银行业和保险业是受到严格监管的行业,受到各种法律、法规、要求和准则的约束。这些法规的遵守情况由不同级别的不同监管机构进行多次检查,但并不总是没有矛盾。 2008年的金融危机也极大地促进了监管要求的进一步收紧。
最近的一个法律要求的例子是联邦金融监管局 (BaFin) 的“保险 IT 监管要求”(VAIT),BaFin 在此定义了对保险公司 IT 的期望。顺便说一句:BaFin 已经在银行业的“银行业 IT 监管要求”(BAIT) 中提出了类似的要求。
监管项目的三个阶段
正如您可以想象的那样,监管 IT 项目已提上保险行业的议事日程。最终,需求不断变化,IT 调整变得必要。这些项目有明确的目标:
满足要求,但仅此而已。
提供具有成本效益的解决方案,在实践中意味着尽可能少的额外工作,主要采用既定的工作方法,并且只改变需要改变的内容。
明智地使用回旋余地和解释选项。
根据我的经验,此类项目分三个阶段进行,所有阶段都必须完成。谁早 加密电子邮件列表 出局,谁就输了。我想更详细地向您介绍这个三阶段过程。我在 VAIT 第八章的一个客户项目中经历过这一点,顺便说一句,该项目有一个有点笨拙的名称“IT 服务外包和 IT 服务领域的其他服务关系;单独购买硬件和/或软件”。
第一阶段:轻肩
当我最初阅读这样的 VAIT 文档时,它通常看起来有点轻量级。我阅读了要求并在每一点点头。不知何故,这一切都是不言而喻的,此时您可能也有同样的感觉。在示例项目中,可能会不时出现一些尚未 100% VAIT 合规的主题。也许只是到处缺少一些文档,您可以很快完成它。
如果您不完全熟悉 VAIT 的具体表述,在第八章中您会发现诸如“公司必须......在 IT 服务领域提前进行风险分析”、“服务提供商所欠服务的提供是否适合风险分析”或“从风险分析中得出的措施……必须在合同设计中适当考虑”。
当然,在示例项目中,客户考虑了与服务提供商合作的风险,当然他监控服务提供商的表现并正确起草了相关合同。这里还应该改变什么?其实,经过一些细节的改进,你就差不多可以出局了,对吧?
第二阶段:大冲击
不幸的是,在最初的欣喜之后,幻灭很快就会到来。在与客户再次仔细阅读需求后,我思考了每句话到底意味着什么,整个事情如何优化设计和实施,以及如何在日常运营中证明实施和合规性。发生了以下事情:项目在人们的眼中变得越来越大,变化变得越来越广泛,必要的干预也变得越来越深刻。在这种情况下,可能会出现以下问题:
可以使用哪些服务风险分析标准?
需要评估哪些方面?
风险分析是否必须纳入操作风险管理?
根据 Solvency II 的规定,整个事情是否相关?
它是如何记录的?
您如何为全方位的服务和供应商管理这一点?
如果你还记得的话,一开始这个问题很小,但是你想得越多,它就变得越大。大问题需要大解决方案。在该项目中,我想到了高度集成、全自动的解决方案,这些解决方案在各个方向上都很灵活,并为每种可能发生的情况和每种特殊情况做好了准备。
第三阶段:务实的方法
最后是整合阶段。在提到的客户项目中,最终出现了实际需要什么的问题。之前是否对 VAIT 的个别表述进行了过多解释,是否超出了实际目标?
在第一阶段,这些要求似乎是显而易见且合理的——正如他们所说,这是常识。与此同时,我们多年来一直在成功地工作,并且常常凭着常识。所以实际上差距应该不会太大。