Steuerung eines Umsetzungsprogramms zur Etablierung einer BAIT-konformen IT-Governance-Struktur im Finanzinstitut
Im Auftrag eines Finanzinstituts wurde ein umfassendes Programm zur Sicherstellung der aufsichtsrechtlichen Compliance im IT-Bereich sowie angrenzender Governance-Funktionen konzipiert, gesteuert und umgesetzt. Das Vorhaben umfasste insgesamt 17 Teilprojekte, die fachlich miteinander verzahnt und in ein übergeordnetes Steuerungsmodell eingebettet wurden. Ziel war es, die regulatorische Compliance im IT-Umfeld nachhaltig sicherzustellen und die Governance-Strukturen des Hauses zukunftssicher aufzustellen.
Den Auftakt des Projekts bildete die Überarbeitung der IT-Strategie, bei der regulatorische Anforderungen in strategische Handlungsfelder überführt wurden. Ein zentraler Projektbaustein war die Integration des IT-Risikomanagements mit weiteren relevanten Disziplinen, unter anderem das ISMS, das BCM, der Datenschutz sowie OpRisk. Zur Stärkung der Resilienz wurde ein auf die geschäftskritischen Prozesse abgestimmtes BCM-System aufgebaut, ergänzt durch ein IT-Service Continuity Management. Die Prozesse im Incident- und Problem-Management wurden analysiert und optimiert. Zudem wurde ein ITIL-konformes Change-Management eingeführt. Ein weiterer Meilenstein war die Entwicklung eines Rahmens für ein BAIT-konformes Berechtigungsmanagement als Basis für eine Identity- und Access-Management-Lösung.
Das Programm führte zu einer regulatorischen Absicherung der IT-Governance. Die zuvor dezentral gesteuerten Risiken wurden in ein einheitliches, steuerungsfähiges Rahmenwerk überführt. Die Einführung eines konsistenten und rollenbasierten Berechtigungsmanagement stärkte die operative Sicherheit und Nachvollziehbarkeit von Zugriffsrechten. Die Neugestaltung des ISMS und BCM orientierte sich an den geschäftsrelevanten Prozessen und wurde gemäß international anerkannten Standards umgesetzt. Ergänzend wurden Mitarbeitende durch Coaching und Schulungen in die neuen Prozesse eingeführt, um eine nachhaltige Verankerung im operativen Alltag zu gewährleisten. Abschließend wurde die Organisation gezielt auf anstehende IT-Prüfungen nach § 44 KWG vorbereitet und in ihrer Prüfungsfestigkeit gestärkt.
„Das Programm hat uns in die regulatorische Spur gebracht und unsere IT-Governance auf ein neues Niveau gehoben."
- Projektmitarbeiter
