Die Anforderungen an IT-Sicherheit und regulatorische Konformität steigen stetig – insbesondere in der Versicherungsbranche. Krause & Schopp hat diesen Wandel frühzeitig erkannt und den eigenen Fokus gezielt erweitert: Mit dem Geschäftsfeld
IT-Regulatorik begleiten wir unsere Kunden dabei, regulatorische Anforderungen praxisnah und prozessintegriert umzusetzen. Im Interview berichten Carsten Schopp und Jürgen Balgheim, wie sich das Thema bei uns entwickelt hat, welche Erfahrungen wir einbringen und welchen Mehrwert wir unseren Kunden bieten.
Warum IT-Regulatorik?
Interviewer: Was war der entscheidende Grund, unser Leistungsangebot um das Geschäftsfeld IT-Regulatorik zu erweitern?
Carsten Schopp: In unseren Projekten rund um Zahlungsverkehr und Prozessautomatisierung hatten wir immer wieder Berührungspunkte mit IT-Security und Berechtigungsmodellen – sowohl fachlich als auch technisch. Besonders ab 2018/19 wurde klar, dass sich hier ein Trend abzeichnet. Wir haben erkannt, dass IT-Regulatorik ein relevantes Thema für Krause & Schopp sein könnte, weil wir durch unsere Projekte ohnehin ständig damit konfrontiert waren – sei es durch IAM*, End User Computing oder Berechtigungsfragen.
Jürgen Balgheim: Das Thema war bei uns schon länger präsent – aber so richtig ins Rollen kam es erst, als wir mit unserem IAM-Experten in die Diskussion eingestiegen sind. Dabei wurde deutlich, wie wichtig das Thema ist. Gleichzeitig war klar: GRC in seiner Gesamtheit ist für uns als Unternehmen zunächst zu groß. Deshalb haben wir überlegt, wie man das Thema anders schneiden kann – etwa durch eine Verknüpfung mit Zahlungsverkehr und unserem tiefen Prozesswissen in der Versicherungswirtschaft.
Interviewer: Und wie ging es dann weiter?
Jürgen Balgheim: Mit unserem IAM-Experten haben wir erste Punkte entlang unserer Prozessketten ausgearbeitet. Er hat dann in einem Projekt die IAM-Themen für die Anbindung einer zentralen Plattform verantwortet. Später kam eine regulatorische Prüfung bei einem unserer Kunden – und da wurde uns klar, wie gravierend die Auswirkungen sein können, wenn regulatorische Anforderungen nicht sauber umgesetzt werden. Das war der Moment, in dem wir gemerkt haben: Mit einem Experten allein schaffen wir das nicht – wir müssen das Thema ausbauen.
Carsten Schopp: Genau, und in dieser Phase haben wir weitere Kolleg:innen eingebunden, die bereits Erfahrung mit regulatorischen Anforderungen und Risikokatalogen hatten. Das war ein weiterer Meilenstein, um das Thema IT-Regulatorik bei uns zu verankern.
Interviewer: Was würdet ihr sagen – was ist der größte Mehrwert, den Krause & Schopp im Bereich IT-Regulatorik bietet?
Jürgen Balgheim: Für mich liegt der größte Mehrwert in der Verbindung von tiefem Prozessverständnis mit regulatorischem Know-how. Wir betrachten Regulatorik nicht isoliert, sondern immer im Kontext der Geschäftsprozesse – insbesondere im Zahlungsverkehr. Es reicht nicht, Anforderungen einfach umzusetzen, man muss verstehen, wie sie in die Prozesse greifen und wo Risiken entstehen können.
Carsten Schopp: Genau – viele unserer Kolleg:innen bringen End-to-End-Kenntnisse aus der Versicherungswelt mit, vom Antrag bis zur Bilanz. Dadurch haben sie ein gutes Gespür dafür, wo fachlich Risiken entstehen können und wie man diese effizient adressiert. Das unterscheidet uns deutlich von anderen Beratungshäusern.
Interviewer: Was unterscheidet Krause & Schopp dabei von anderen Beratungshäusern?
Jürgen Balgheim: Unsere Berater erkennen kritische Konstellationen sofort – etwa wenn jemand gleichzeitig Bankverbindungen ändern und Zahlungen auslösen kann. Diese Sensibilität fehlt oft bei anderen, die Regulatorik eher formal oder rein technisch betrachten.
Carsten Schopp: Wir denken Regulatorik immer im Zusammenhang mit den Prozessen. Das heißt, wir helfen nicht nur bei der Umsetzung von Anforderungen, sondern verbessern gleichzeitig die Sicherheit und Effizienz der Abläufe. Das ist ein echter Mehrwert für unsere Kunden.
Interviewer: Wie erleichtert IT-Regulatorik den Alltag unserer Kunden?
Jürgen Balgheim: Ein gutes Beispiel ist das Berechtigungsmanagement. In vielen Unternehmen sind Berechtigungen historisch gewachsen und nie richtig aufgeräumt worden. Da hat ein Sachbearbeiter eine Berechtigung erhalten – und die bleibt dann oft über Jahre bestehen, auch wenn sich seine Rolle längst geändert hat. Das ist ein enormes Risiko, gerade im Zahlungsverkehr, wo wir sehr nah am Geld arbeiten.
Carsten Schopp: Und genau da setzen wir an. Wir sensibilisieren unsere Kunden für diese Risiken und helfen, Berechtigungsprofile sauber zu trennen – etwa zwischen fachlicher Nutzung und technischen Wartungsrechten. Auch Sonderfälle wie der „Notfall-User“ werden bei uns klar geregelt und dokumentiert.
Interviewer: Welche Themen sind dabei besonders relevant?
Jürgen Balgheim: Neben Berechtigungen sind das vor allem IKS, Rollenkonzepte und Dokumentation. Diese Themen sind nicht nur regulatorisch relevant, sondern auch entscheidend für die Qualität und Sicherheit der Prozesse. Wir sehen sie nicht als Pflichtübung, sondern als integralen Bestandteil guter Prozessgestaltung
Fortsetzung folgt…
Im zweiten Teil unseres Interviews sprechen Carsten Schopp und Jürgen Balgheim darüber, wie IT-Regulatorik und Zahlungsverkehr konkret zusammenhängen, welche Herausforderungen sich daraus ergeben – und was das für Krause & Schopp als Dienstleister bedeutet. Auch die Rolle von Künstlicher Intelligenz und neuen regulatorischen Rahmenbedingungen wird dabei beleuchtet.
Haben Sie Fragen oder interessieren Sie sich für individuelle Angebotsvarianten?
Unsere Product Ownerin, Annemarie Maruck, steht Ihnen gerne für weitere Informationen zur Verfügung.