IT Governance, Risk & Compliance
Analyse & Konzeption
Optimierung – Digitalisierung – Automatisierung
Qualifizierung

SKS steht für professionelle GRC-Lösungen für Ihr Unternehmen

Unsere beratenden Praktiker analysieren und modellieren Ihre bisherige und zukünftige GRC-Organisation und -architektur.

Für die sich daran anschließende, idealerweise toolgestützte Optimierung, Digitalisierung, Automatisierung bieten wir Ihnen die passgenauen Werkzeuge und die dazugehörige IT-Unterstützung.

Die hierfür erforderliche Qualifikation unserer Mitarbeiter basiert auf jahrelanger, themenbezogener Projekterfahrung und somit auf Best Practice in puncto GRC.

Passgenaue Kombination aus Best Practice und Know-how

Ihren Projekterfolg machen wir durch echte GRC-Berater, langjährige Kooperationen, innovative Tools
sowie die ständige Qualifikation und Weiterbildung unserer Mitarbeiter möglich.


Seit 2003 kooperiert SKS mit der VÖB-Service GmbH. Seit 2008 werden gemeinsame Ideen und Produkte wie der Marktführer “RADAR“ entwickelt, welche unsere Software-Tochter interexa GmbH verlässlich baut & weiterentwickelt. Regelmäßig stimmen wir uns IT GRC-seitig mit der VÖB-Service GmbH und der interexa GmbH zu bestehenden und neuen Produkten, Prozessen, Daten, KI und neuen Entwicklungen ab.

Bewusst kombinieren wir dies im Bereich IT GRC mit echten Inhouse-GRC-Praktikern, dem Know-how der SKS-Töchter SKS Solutions und SKS Meldewesenfabrik und der Expertise der weiteren Bereiche von SKS Advisory. So stellen wir ein breites Beratungsspektrum und die hierauf abgestimmten Tools und Qualifikationen sicher. 

 

RADAR-Familie VÖBs & SKS

CCO unterstützt Sie passgenau bei der bestmöglichen fachlichen Ausgestaltung und Ergänzung aller Module der RADAR-Produktfamilie
von der VÖB-Service und SKS (seit 2009):

 

  • Legal Inventory
  • Vorsteuerung durch Nutzung von Rechtsbereichen
  • Clusterung ~ 3300 Normen in passende Rechtsbereiche (~60)
  • Relevanz- und Wesentlichkeitseinstufungen
  • Risk-Assessment, Kontrollplan & Berichte
  • Zentral/Dezentrale Arbeitsteilung im Hause
  • Zuordnung/Steuerung Verantwortlicher
  • NPP Prozesse AT 8 MaRisk
  • Tracking und Projektsteuerung 
    • Begleitung umfassender §§-Änderungen
  • KPIs & KRIs
  • Workflows & Revisionsfeststellungen
  • Anlage von Super-Usern
  • Datenmanagement
  • Arbeitsanweisungen & Arbeitshilfen
IKS

Internes-Kontroll-System

Dies umfasst die Gesamtheit aus technischen und organisatorischen Regeln, mittels derer das Einhalten von Richtlinien zur Abwehr von Schäden von innen und außen sichergestellt wird. Von konsequent eingeführten Begrifflichkeiten, Rollenverständnissen, bis hin zur Doku-mentation, Eskalation, etc. zielt hier unsere Standardisierung auf die Regeleinhaltung, Prüfungssicherheit  und Schadensabwehr  Hauses ab.

Künstliche Intelligenz (KI)

Künstliche Intelligenz

KI befasst sich mit der Automatisierung intelligenten Verhaltens und maschinellen Lernens. Von Robotics, über Fuzzy Logic, Machine Learning bis hin zu  Artificial Intelligence.

Je nach den aktuellen Anforderungen aus Daten / Fakten / Strukturen der Mandanten unterstütz CCO / SKS mit passgenauen Lösungen zur Steigerung von Effektivität und Effizienz der Compliance - von Logistik über Automation bis hin zu Artificial Intelligence und dies jeweils eng verzahnt mit einem schlüssigen Datenmanagement.

Nachhaltigkeit & Standardisierung

Nachhaltigkeit & Standardisierung

Nachhaltige Compliance-Prozesse dienen letztlich der dauerhaften Sicherstellung der Wettbewerbsfähigkeit eines Unternehmens. Die regulatorischen Pflichten werden dazu in klaren Prozessen strukturiert und verstetigt. Dabei werden von CCO durch Standardisierung wiederkehrende Muster und Schrittfolgen genutzt, um durch Vereinheitlichung (auf Basis unserer jahrelangen best-practice-Erfahrungen) Synergien zu heben und Schäden / Strafen dauerhaft abzuwenden.  Effektive und Effiziente Compliance-Prozesse nutzen unter anderem Automation, KI, Logistik und Datenmanagement, um die Regeleinhaltung des Unternehmens zu verbessern - idealer Weise, ohne die Wettbewerbsfähigkeit zu beinträchtigen.

Informations-sicherheit

Informationssicherheit (ISMS)

Informationssicherheit ist der Schutz vor und die Wiederherstellung von Informationen oder Informationsressourcen nach unautorisierter oder ungewollter Zerstörung, Modifizierung, Enthüllung oder Benutzung. Auf Grundlage der Anforderungen der BAIT unterstützen wir sie sachkundig und auf Grundlage jahrelanger Inhouse-Erfahrungen und den Anforderungen der ISO 27xxx-Reihe, BSI-Grundschutz, etc. bei der Umsetzung und Modifikation eines vollständigen Informations-Sicherheits-Managements-Systems (ISMS). Vom Asset-Inventory, Schutzbedarfs-analysen, Risk-Assessments sowie Risiko- aufwandsangemessenen Maßnahmen bis hin zum Incident-Management, etc. Effektiv, effizient und prüfungssicher. Wir setzen hier klar auf konsequente Standardisierung und Automation.

Identity & Access Management

Identity & Access Management (IAM)


Definition & erste Inhalte:

Das Identity-Management, welches softwareunterstützt - mittels

manueller, maschineller, organisatorischer und technischer Maßnahmen angemessene Berechtigungen im Unternehmen gewährleistet und so Interessenkonflikte vermeidet - Identitäten und Berechtigungen verwaltet hat vielfach Schnittstellen zum sogenannten Access Management, welches auf Basis von Zugriffsrechten z.B. das Single-Sign-on (SSO) oder den individuellen Zugriff auf einzelne Anwendungen ermöglicht aber auch Security Policies verwaltet. Für die Kombination von Identity-Management und Access Management wurde in der Informationstechnik mittlerweile der Begriff „Identity and Access Management“ (IAM) geprägt.

MaRisk-Compliance

MaRisk-Compliance


Die regulatorische Compliance befasst sich mit der Umsetzung der für ein Unternehmen wesentlichen und relevanten Rechtsvorgaben. Wir begleiten Sie bei der schlanken Umsetzung  der regulatorischen Pflichten der Beauftragten-Funktion als solcher wie auch insbesondere bei der sicheren Versorgung mit regulatorischen Änderungen über den Marktführer - über die RADAR-Produktfamilie. Detailliert finden wir für die jeweiligen Anforderungen Ihres Hauses passende technische Lösungen und ergänzen diese durch eine umfassende fachlich/konzeptionelle Beratung zu optimaler und pfiffiger Performance und Prüfungssicherheit. Eine medienbruchfreie End-to End-Lösung schafft viel Freiraum: Vom standardisierten Rechtsverzeichnis inkl. Relevanz und Wesentlichkeitseinschätzungen über die passende Risikoanalyse und darauf aufbauende risikoangemessene Kontrollen, Anpassungsprozesse nach MARisk AT8 bis hin zur normierten Berichterstattung. Aber auch in den einzelnen Pflichten können wir vielfältige Entlastung von Routineaufgaben bieten.

WpHG-Compliance

WpHG-Compliance


Die Wertpapier-Compliance befasst sich - vereinfacht mit Verbraucherschutz, Wohlverhaltenspflichten, der Verminderung von ungerechten Wettbewerbsvorteilen aber auch dem Mitarbeiterschutz im Kontext des Wertpapierhandels. Der Großteil des Pflichtenkanons richtet sich an das jeweilige Unternehmen als Ganzem. Wir unterstützen Sie umfassend bei der Effektiven, effizienten und prüfungssicheren Erfüllung der Kernpflichten der WpHG-Compliance-Funktion: Risikoanalyse, Sicherungsmaßnahmen, Berichts- und Kommunikationswesen, Monitoring, Internen Grundsätzen, Kontakt mit der Aufsicht, Strategieprozess und Kontrollen.

Security Information and Event Mgmt

Security Information and Event Management (SIEM)

 

Security Information and Event Management (SIEM) kombiniert die zwei Konzepte Security Information Management (SIM) und Security Event Management (SEM) für die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten. SIEM dient damit der IT-und Computersicherheit einer Organisation und ist ein Softwareprodukt, das zentral installiert oder als Cloudservice genutzt werden kann.

SIEM umfasst:

  • die Fähigkeit von Produkten, die Daten von Netzwerk- und Sicherheitskomponenten zu sammeln, analysieren und präsentieren
  • den Umgang mit Sicherheitslücken
  • Logdateien von Betriebssystemen, Datenbanken und Anwendungen
  • externe Gefahren
  • Echtzeit-Warnungen


Einige SIEM-Anbieter sind: Arcsight oder Splunk.

IT GRC

IT GRC

GRC stellt einen integrierten, ganzheitlichen Ansatz für organisationsweite Governance, Risk und Compliance dar, der sicherstellen soll, dass die Organisation sich ethisch und gemäß ihrem Risikoappetit sowie interner und externer Vorgaben verhält. Ziel ist es, die Organisation der Vielzahl von Verflechtungen der unterschiedlichen Vorgänge zu erleichtern und zu verbessern. Um dieses Ziel zu erreichen,
ist a) die Abstimmung von Strategien, Prozessen, Menschen und Technologie zur Steigerung von Effizienz und Effektivität erforderlich und wird b) mit IT-Unterstützung versucht alle der oben genannten Abhängigkeiten zu berücksichtigen und sie als standardisierte Geschäftsobjekte sowie automatisierte Abläufe in bestehende und neue Geschäftsprozesse einzubetten. 

Die GRC-Disziplinen (Governance, Risikomanagement und Compliance), die GRC-Regeln (interne Vorgaben, externe Vorgaben, Risikoappetit), die GRC-Eigenschaften (integriert, ganzheitlich, organisationsweit), die GRC-Komponenten (Strategie, Prozesse, Menschen, Technologie), die GRC-Ziele (ethisches Verhalten, gesteigerte Effizienz, gesteigerte Effektivität), die durch GRC gesteuerten und unterstützten Aktivitäten (u.a. Finanzprozesse und IT-Management) und die GRC-IT (rechnergesteuerte Werkzeuge und Systeme) bildet das Gerüst und den Rahmen GRC-Modells: Link

Business Continuity Management

Business Continuity Management (BCM)


Business Continuity Management (BCM) stellt die Entwicklung von Strategien, Plänen und Handlungen dar, um Tätigkeiten oder Prozesse – deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden (wie z.B. Betriebsstörungen) – zu schützen bzw. alternative Abläufe zu ermöglichen. Ziel ist die Sicherstellung des Fortbestands des Unternehmens im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß.

Geldwäsche Fraud Sanktions

Geldwäsche Fraud Sanktions


Geldwäsche ist das verdeckte Einschleusen illegal erworbener Vermögenswerte in den legalen Wirtschaftskreislauf. "Fraud" bzw. die sog. "sonstigen strafbaren Handlungen" befassen sich mit der Abwehr aller strafbaren Delikte, die zu einer Gefährdung des Vermögens des Instituts führen können. "Sanktions" befasst sich mit der Durchsetzung von Verfügungs- oder Handelsverboten gegen Staaten, Personen, Gruppen und Organisationen, für die aufgrund einer Sanktion bestimmte Verbote bestehen. CCO unterstützt Sie umfassend bei der Effektiven, effizienten und prüfungssicheren Erfüllung der Pflichten aller Themengebiete - insbesondere durch konsequenten Technologieeinsatz und bestehende Kooperationen.

Verzahnung (KPIs und KRIs)

Key Performance Indikatoren und Key Risk Indikatoren


Leistungs- und Risiko-Kennzahlen verfolgen den Fortschritt / Erfüllungsgrad / Risikograd etwa. bezüglich wichtiger regulatorischer Pflichten - Sie ermöglichen eine direkte, komfortable und frühzeitige Steuerung unterschiedlichster komplexer Risiken, Pflichten und Leistungen Ihres Hauses. Gerade in den unterschiedlichen Compliance-Sparten ermöglicht CCO durch jahrelange hausinterne Erfahrung die Einrichtung und Kalibrierung effektiver und effizienter  KPIs und KRIs.

Bankenauf-sichtliche IT-Anforderungen

Bankenaufsichtliche Anforderungen an die IT (BAIT)


Mit der Ende 2017 in Kraft getretenen BAIT erfolgte die Konkretisierung der MaRisk-Themen im Kontext der Informationstechnologie und sorgte damit für Klarheit bezüglich der digitalen Anforderungen der MaRisk:
Im modularen Aufbau der BAIT wurden die Anforderungen an die Informationstechnologie wie folgt zusammengefasst: Link auf Grafik und zwischenzeitlich um das Modul „kritische Infrastruktur“ ergänzt. Bei der laufenden Weiterentwicklung der BAIT stehen aktuell Themen, wie Notfallmanagement, BCM oder Cybersecurity (G7 – Fundamental Elements of Cybersecurity) im Fokus.

SKS unterstützt Sie in diesem komplexen und anspruchsvollen Themenfeld unterstützen, indem wir für Sie unser umfassendes regulatorisches Prozess-Know-how mit unseren umfangreichen Erfahrungen im Bereich der IT-Prüfung und der Prozessimplementierung kombinieren. Unser Leistungsportfolio umfasst u.a.:

  • Quickcheck zur BAIT-Konformität (Umsetzungsempfehlungen und Implementierung)
  • Umsetzung der Informationssicherheit (ISMS) nach BAIT-Anforderungen 
  • BAIT-konforme Anpassung der IT-Prozesse und maßgeschneiderter Aufbau des internen Kontrollsystems (IKS), sowie zugrundeliegender Prozesse mit einer standardisierten Reporting-Struktur
  • Aufbau und Anpassung eines BAIT konformen Berechtigungsmanagements


Unsere umfangreiche Erfahrung in der Implementierung, Optimierung und Prüfung von IT-Prozessen, -Kontrollen und -Organisationen versetzt uns in die Lage die jeweils optimale Lösung für Sie zu finden.

IT-Risiko-Management

IT-Risikomanagement

Das IT-Risikomanagement (ITRM) umfasst alle Aktivitäten zum systematischen, strukturierten und effizienten Umgang mit Risiken, die der Einsatz von Informationstechnologie bedingt. Zu diesem Prozess gehören die Identifikation, Analyse, Bewältigung und Steuerung der IT-Risiken im Unternehmen, die institutionalisierte Überwachung des Erfolgs von Maßnahmen zur Risikominimierung sowie die Überwachung der Effektivität von IT-Risikomanagementmaßnahmen.

Der ITRM-Prozess sollte folgende Schritte umfassen:

  1. Festschreibung von Informationsschutz als Unternehmensziel
  2. Definition und Klassifikation von Schutzzielen und Schutzzonen
  3. System- & Bedrohungsanalyse
  4. Risikobewertung
  5. Technische und/oder organisatorische Maßnahmen zur Risikominimierung
  6. Möglichkeiten der Risikoübertragung
  7. Risikoakzeptanz
OP-Risk

OP-Risk


Unternehmerische Tätigkeit ist einer Vielzahl von Risiken ausgesetzt, die sich in unternehmerische und operationelle Risiken aufteilen lassen. Die operationellen Risiken lassen sich ihrerseits auf organisatorische und kommunikative Schwachstellen zurückführen und haben in der Vergangenheit zu hohen zum Teil existenzgefährdenden Schäden gerade im Bankwesen und in der Folge zu gesetzlichen Regelungen für operationelle Risken geführt.

Die operationellen Teilrisiken lassen sich in bankinterne Risiken, Risiken aufgrund externer Ereignisse und Rechtsrisiken systematisieren.
Diese Risiken müssen Banken zunächst identifizieren und analysieren, um dann organisatorische Vorkehrungen (z.B. durch Verbesserung interner Arbeitsanweisungen, Personalfortbildung, etc.) zur Schadenvermeidung zutreffen. 

Die SKS Gruppe bietet Ihnen mit ihrer Tochter Interexa AG sowohl das fachliche Know-how als auch mit der Software Operational Risk Center (ORC) die entsprechende Lösung für alle wesentlichen OpRisk-Methoden.
Dazu nutzen wir Best-Practice-Methoden aus dem OpRisk Management unter Verwendung des integrierten Ansatzes von interexa und SKS Advisory: Link
 
Wir helfen Ihnen, die OpRisk-Methoden, das IKS und die MaRisk-Compliance erfolgreich zu verzahnen.

Data Governance

Data Governance

Data Governance steht für ganzheitliches Management von Daten, die in einem Unternehmen oder einer Organisation verwendet werden. Es beinhaltet Richtlinien und Vorgehensweisen, um die Qualität, den Schutz und die Sicherheit der Daten zu gewährleisten und sorgt für die Einhaltung rechtlicher Vorgaben. 
Für uns ist damit die die positive Aufgabe verbunden, mit Ihren Daten wirksam genutzte Unternehmenswerte zu entwickeln. Dabei schauen wir kontextbezogen auf Ihre Daten und betrachten Sie nicht als einzelne Größen. Wir setzen auf gute Datenqualität durch Informations-transparenz und -eindeutigkeit sowie proaktives Datenmanagement. 
Unser ganzheitlicher Ansatz des Data Governance Standards setzt auf eine dauerhafte Implementierung und nutzt viele Instrumente zur fortwährenden Etablierung. Dabei bildet das Vorgehensmodell einen Ordnungsrahmen, um den thematischen Zusammenhang von verschiedenen Elementen aufzuzeigen. Die Elemente agieren sowohl unabhängig voneinander als auch in Abhängigkeit zueinander. Jedes Teilelement bildet für sich ein eigenständiges Handlungsfeld, kann einzeln konzipiert und Data Governance wirksam umgesetzt werden. Die vollumfängliche Durchschlagskraft entsteht jedoch durch das Zusammenwirken der Elemente.

Bei der smarten Gestaltung Ihres Data Governance können wir Sie mit unserem Know-how auf jeder gewünschten Teilstrecke begleiten.
Lesen sie hier mehr über unser umfassendes Data Governance Leistungsportfolio.

Ob nun ein vollumfängliches Data Governance Framework umgesetzt oder Themen einzeln verfolgt werden, wir sind die Experten, die Sie dabei sowohl fachlich als auch technisch unterstützen und gemeinsam mit Ihnen maßgeschneiderte Lösungen entwickeln.

GRC-Tools

Coming soon...

AT 9 MaRisk Outsourcing

AT 9 MaRisk Outsourcing


Die Auslagerung komplexer Strukturen und Prozessen hat bereits in den letzten Jahren aufgrund steigenden Kosten- und Margendrucks Auftrieb gegeben. Dieser Trend wird sich - vor allem in IT-gestützten Bereichen - aufgrund der aktuellen Herausforderungen von Corona noch weiter verstärken. Robuste, krisensichere und automatisierte Lösungen werden verstärkt nachgefragt. Wir unterstützen Sie mit jahrelanger Erfahrung im Outsourcing-Umfeld bei schlanken Lösungen - nicht nur bei den fachlich- / dokumentarischen Anforderungen, sondern auch beim technischen und prüfungssicheren Handling Ihrer gesamten Auslagerungen.

Services

In den zuvor aufgeführten Themen- und Kompetenzfeldern unterstützen wir Sie insbesondere mit den folgenden Services:

Handlungsbedarf

Identifizierung von Handlungsbedarf aufgrund neuer Regelungen, Prüfungen etc. 

 

Beratung

 Beratung zur Umsetzung rechtssicherer, angemessener und wirksamer Maßnahmen zur Erfüllung aller regulatorischen Pflichten und Anforderungen.

Analysen

Erstellung und Aktualisierung instituts-
spezifischer Analysen / Assessments.

Konzeption & Modellierung

Entwicklung bedarfsgerechter und maßgeschneiderter Lösungen.

Digitalisierung & Automatisierung

Prozessoptimierung / Digitalisierung / Automatisierung > Erhöhung von Effektivität
und Effizienz.

Qualifizierung

Schulungen, Sachkundenachweise
und Coachings.

Ansprechpartner

Mag. Alexander Kaserer

Bereichsleiter IT GRC  I  Geschäftsführender Partner SKS Austria

Alexander Kaserer ist seit 2011 im Bereich Risikomanagement mit Schwerpunkt Non Financial Risk (NFR) bei der SKS Group tätig. Nach dem Betriebswirtschaftsstudium an der Wirtschaftsuniversität Wien – Schwerpunkte: Bankbetriebslehre und Finanzierung & Finanzmärkte – arbeitete er für die Uni-Credit Bank Austria in unterschiedlichen Ländern. Als selbstständiger Berater baute er im Anschluss diverse NFR Strukturen in verschiedenen Banken, Versicherungen und KAG‘s auf. Seit 2014 ist er Geschäftsführer von SKS Österreich mit Sitz in Wien. Seit 2015 verantwortet er den Themenschwerpunkt Non Financial Risk in der SKS Group und ist u.a. für die Themen Informationssicherheit, BAIT, IT-Risikomanagement, BCM und Berechtigungsmanagement zuständig. Aktuell leitet Herr Kaserer außerdem den Bereich IT GRC und ist als Projektleiter in diversen Projekten im NFR Umfeld aktiv.