Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können und die Zugriffe auf unsere Website zu analysieren. Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie in unserer DATENSCHUTZERKLÄRUNG.
  • Regulatory Assurance

Regulatory Assurance

Regulatorische Anforderungen

Es gibt kaum noch Branchen, in denen IT nicht zu einer Schlüsselfunktion für die Umsetzung strategischer Ziele geworden ist. Neben den realisierten Effizienzvorteilen steigt auch die Abhängigkeit – in welchem Unternehmen führt ein Ausfall der IT noch nicht zu erheblichen Störungen im Geschäftsbetrieb? Dabei stellt die Verfügbarkeit der IT-seitigen Unterstützung nur einen Aspekt einer Fülle für den Geschäftserfolg wesentlicher Faktoren dar.
Aufsichtsbehörden nutzen das Mittel regulatorischer Anforderungen, also der Definition von Mindestanforderungen (nicht nur) an die IT, um das Sicherheitsniveau der IT zu verbessern und bewusst risikoorientierte Entscheidungen in IT Management Prozessen zu etablieren. Dies trifft übergreifend auf regulatorische Anforderungen zu, unabhängig ob diese Anforderungen durch die BaFin für den Finanzsektor (wie beispielsweise die VAIT im Versicherungsbereich und die BAIT im Bankenbereich), durch das BSI für Kritische Infrastrukturen (wie beispielsweise das Sicherheitsgesetz und die KritIS-Verordnung) formuliert wurden oder europaweit durch die EU-Datenschutzgrundverordnung (EU-DSGVO) einheitlich vorgegeben werden. Neben einer rein kostenorientierten, quantitativen Bewertungsgrundlage müssen Entscheidungen damit auch qualitative Aspekte berücksichtigen.

Regulatory: Herausforderungen und Chancen

Die Umsetzung und Erfüllung regulatorischer Anforderungen an die IT ist regelmäßig allein durch den Bereich IT nicht zu bewältigen, sondern betrifft regelmäßig mehrere Unternehmensbereiche und erfordert daher eine ganzheitliche Betrachtung. Für die Beurteilung vorhandener Risiken ebenso wie für die Definition erforderlicher Maßnahmen ist ein Verständnis der fachlichen Auswirkung notwendig. Welche Geschäftsprozesse sind beispielsweise von der Anwendung „E-Mail“ abhängig? Welche Geschäftsprozesse von den Funktionen des Dokumentenmanagementsystems? Welche Auswirkung hat eine Störung – sind regulatorische Anforderungen betroffen? Wie reagieren die Kunden?
Regelmäßig sind Unternehmen in den operativen Bereichen adäquat aufgestellt, um mit Einzelanforderungen umzugehen. In der übergreifenden Steuerung und Verantwortlichkeit jedoch liegen häufig Schwächen vor, sowohl innerhalb der Teilgebiete (taktische Lücke) als auch übergreifend auf Unternehmensebene (strategische Lücke). In unserer Erfahrung führt eine Zuordenbarkeit von Maßnahmen zu der erforderlichen Managementebene zu einer effizienten und wirkungsvolleren Umsetzung. Idealerweise werden die Maßnahmen zur Compliance mit den regulatorischen Anforderungen in Form eines Management Systems umgesetzt (z.B. Datenschutz-Management-System, Tax Compliance Management System, Informationssicherheits-Management-System), wobei Risiken und Kontrollziele häufig durch gemeinsame Kontrollen adressiert werden – somit lassen sich bei geschickter Planung und Integration der Management-Systeme Redundanzen vermeiden und somit mehrere Anforderungen mit der gleichen Maßnahme abdecken.

Regulatorische Anforderungen erstrecken sich regelmäßig auf alle Managementebenen eines Unternehmens. Auf welcher Steuerungsebene sind Maßnahmen erforderlich, um deren Wirksamkeit zu optimieren?
Wir bieten Ihnen ein erprobtes Vorgehensmodell an, um Lücken in der Erfüllung regulatorischer Anforderungen – aber auch das versteckte Potenzial – transparent zu Erkennen und mit geeigneten Maßnahmen umzusetzen.

Eine einmalige, zeitpunktorientierte Umsetzung entspricht dabei nicht der Vorstellung der Aufsichtsbehörden. Im Unternehmen führt eine solche Vorgehensweise zu Frust und Mehraufwänden durch immer wiederkehrende Anmerkungen aus Audits und letztendlich fehlgeschlagene Projekte. Unternehmen mit entsprechenden Prozessen sind in die Lage, neue oder geänderte regulatorische Anforderungen zügig und wirtschaftlich umzusetzen. Ein kontinuierlicher Verbesserungsprozess (KVP) sorgt dafür, dass eine regelmäßige Nachjustierung erfolgt und auch geänderte Anforderungen rechtzeitig erkannt und berücksichtigt werden.
Regulatorische Anforderungen müssen durch das Unternehmen erfüllt werden – die erfolgreiche Umsetzung geschieht jedoch durch die Mitarbeiter. Um als Unternehmen das Themenfeld regulatorischer Anforderungen langfristig erfolgreich behandeln zu können sollte die Organisation ein entsprechendes Bewusstsein „leben“. Wir unterstützen Sie mit Workshops und Coaching in der erfolgreichen Umsetzung!

Regulatory Assurance: Der BDO Unterschied

Unser Team im Fachbereich IT & Controls Assurance hilft Ihnen mit interdisziplinärer Expertise aus Prüfungs- und Beratungsprojekten, den Stand der Umsetzung im Unternehmen zu erarbeiten sowie Optimierungspotential zu erkennen und zu verstehen. Gemeinsam mit Ihnen diskutieren wir geeignete Maßnahmen, um Ihnen eine schnelle und effiziente Umsetzung zu ermöglichen. Angefangen auf strategischer Ebene, über taktische Maßnahmen bis hin zu operativen Prozessen. 


Wir unterstützen Sie bei spezifischen Fragestellungen oder in übergreifenden Handlungsfeldern.
Dies bezieht sich unter anderem auf regulatorische Anforderungen in den folgenden Themengebieten:

  • EU-Datenschutzgrundverordnung (EU-DSGVO)
  • IT-Sicherheitsgesetz / Informationssicherheit
  • Bankaufsichtliche Anforderungen an die IT (BAIT)
  • Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
  • Solvabilitätsberichterstattung (Solvency II) und Anforderungen an die Datenqualität
  • Handelsrechtliche und steuerrechtliche Anforderungen (z.B. GoBD, elektronischer Rechnungseingangsworkflow)