compliance assessment vait

aufgabe

Im Rahmen einer internen Analyse der Versicherung wurde die Compliance mit den Anforderungen der VAIT überprüft. Das Vorgehen fokussierte auf die Identifikation von Regelungsdefiziten, Vollzugs- bzw. Umsetzungsdefizite hingegen wurden nicht untersucht. Im Ergebnis wurde für die Mehrzahl der Untersuchungsfelder eine befriedigende Compliance festgestellt. In zwei Feldern lag eine unzureichende Compliance vor, so daß dort ein unbedingter Handlungsbedarf unterstellt werden mußte. Für die verbleibenden Untersuchungsfelder ging das Haus davon aus, daß nur geringe Handlungsbedarfe vorliegen. Im Rahmen des Projektes „Compliance Assessment VAIT“ sollte das von der Versicherung durchgeführte Self Assessment der VAIT-Compliance von externer Seite überprüft werden.

vorgehen

  • Durchführung der Qualitätssicherung des Self Assessments via Dokumentenanalyse
  • Durchführung eines vertikalen, vertiefenden Compliance Assessment in vier definierten Fokus-Themenfeldern via zusätzlicher Interviews:
    • Informationsrisikomanagement
    • Informationssicherheitsmanagement
    • IT-Betrieb (inkl. Datensicherung)
    • Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen
  • Ermittlung Defizite und deren Bewertung hinsichtlich Kritikalität und Korrekturaufwand
  • Ableitung erforderlicher Maßnahmen und Schätzung des Umsetzungsaufwands
  • Empfehlungen weitere Vorgehensweise und Entwurf priorisierte Roadmap

nutzen

  • Verifizierte Ergebnisse des Self Assessments unter Berücksichtigung:
    • Tiefer Compliance-Expertise
    • Prüfungspraxis der Aufsicht
    • VAIT-Novellierungs-Themen
  • Verifizierte Ergebnisse des Self Assessments unter Einbezug von Vollzugs- bzw. Umsetzungsständen in den Fokus-Themenfeldern
  • Konkrete Maßnahmen und Priorisierte Roadmap als Grundlage einer Projekt-/Portfolioplanung
  • Grobe Aufwandschätzung als Grundlage der IT-Jahresbudgetplanung