- Von Redaktion
- 20.02.2020 um 09:11
- Unklare Punkte identifizieren und Standpunkte festlegen
Da die Anforderungen nicht aus dem eigenen Unternehmen stammen, stimmen Sprache und implizite Annahmen nicht überein. Hier müssen die Anforderungen so ergänzt und erklärt werden, dass sie im Unternehmen verstanden werden.
Im Beispiel ist zu klären, wer denn die Geschäftsleitung ist. Die Bafin stellt in den Vorbemerkungen klar, dass immer die gesamte Geschäftsleitung gemeint ist, nicht einzelne Geschäftsleiter. In einem Versicherungsverein auf Gegenseitigkeit oder einer Aktiengesellschaft wird diese Funktion durch den Vorstand wahrgenommen.
Anforderungen in der Regulatorik sind oft in einer gewissen Flughöhe beschrieben. Im Gegensatz zu fachlichen Anforderungen ist es schwieriger nachzufragen, wie sie zu interpretieren sind. Eigene Festlegungen müssen hier getroffen und dokumentiert werden. Wichtig ist hierbei, verschiedene Standpunkte einzunehmen. Wie interpretiert die Anforderung die IT, ein Fachbereichsmitarbeiter, ein externer Partner, ein Revisor, ein Vorstand, ein gutwilliger Prüfer, ein strenger Prüfer, ein Jurist?
In dieser Bandbreite muss das Unternehmen seine Position finden. In einer späteren Diskussion mit Auditoren hat es sich immer als nützlich erwiesen, klar darlegen zu können, aufgrund welcher Annahmen, Voraussetzungen und Entscheidungen man welche Festlegungen getroffen hat. Im Beispiel der Strategie wäre unter anderem festzulegen, welche Anlässe man als „anlassbezogen“ für wesentlich hält, wie und durch wen diese Anlässe identifiziert werden und welche Anlässe als unwesentlich verworfen werden.
- Abweichungen bestimmen und beschreiben
Nun geht es daran, den eigenen Stand mit den Anforderungen zu vergleichen. Die Unterschiede sind zu dokumentieren. Hieraus ergeben sich die Handlungsfelder für die Implementierung.
Hierbei zahlen sich die Vorarbeiten der beiden vorgenannten Punkte aus. Man prüft in unserem Beispiel die acht Teilaspekte auf ihren Stand:
- Gibt es bereits eine IT-Strategie?
- Gibt es Widersprüche zur Geschäftsstrategie? Kann man die Ableitung klar darstellen?
- Enthält die IT-Strategie messbare Ziele?
- Enthält sie zu den Zielen passende Maßnahmen?
- Verfolgt der Gesamtvorstand die Umsetzung der Maßnahmen regelmäßig nach, um seiner Verantwortung gerecht zu werden?
- Ist die IT-Strategie durch den Gesamtvorstand verabschiedet worden?
- Wird die IT-Strategie regelmäßig und passend zu den definierten Anlässen überprüft?
- Wird sie dabei auch angepasst?
Hierbei reicht es nicht, das Gefühl zu haben, die Punkte zu erfüllen. Hilfreich sind wieder die ersten Punkte des Artikels zur Erwartung der Aufsicht: Ist das Verfahren klar dokumentiert? Werden Nachweise für die Einhaltung erstellt? Ist die Nachhaltigkeit sichergestellt? Gibt es Prozesse und Messwerte zur Verbesserung?
Nur wenn man diese Fragen klar mit Ja beantworten kann, gibt es keine Abweichung zur Anforderung.
0 Kommentare
- anmelden
- registrieren
kommentieren