Donnerstag, 14. September 2023

Aktuelle Schwerpunkte banken-/versicherungsaufsichtlicher IT-Prüfungen

Feststellungsschwerpunkte, Inhalte und Ambitionsniveaus, die Sie zur besseren Vorbereitung auf „Ihre“ Prüfungen UND zur inhaltlichen Entscheidungsfindung kennen sollten

Prof. Dr. Ralf Kühn, WP/CPA, Geschäftsführender Gesellschafter der Finance Audit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen 

 

I. Prüfungsauftrag und Prüfungsausrichtung

Aufgrund des Fortschritts in der IT werden IT-Systeme komplexer, die Menge der verarbeiteten Daten und der Grad der Arbeitsteilung steigen. Dadurch ist auch das Risiko stark gestiegen, diese Systeme nicht mehr sicher beherrschen zu können. Hinzu kommt die Bedrohung durch Angriffe auf die IT-Systeme, die angesichts der aktuellen weltpolitischen Situation als insgesamt sehr hoch einzustufen ist und bei der sich ggf. Schadensverläufe oder Bedrohungsintensitäten der Vergangenheit nicht in die Zukunft übertragen lassen. 

Der technische Fortschritt („Digitalisierung”) und zunehmende Bedrohungen erfordern zudem steigende Investitionen in die IT, vor allem in die Informationssicherheit. Dieses Geld bereitzustellen, fällt vielen Instituten und Versicherungen in Zeiten starken Kostendrucks schwer.

Banken-/Versicherungsaufsichtliche Prüfungen sollen daher einen vertieften Einblick in die tatsächliche Situation der Bank/Versicherung geben und eine fundierte Bewertung über deren IT-bezogenes Risikomanagement und die Risikolage ermöglichen. Darüber hinaus sollen sie auch vorausschauend sein, um eine zukunftsgerichtete Analyse möglicher negativer Auswirkungen zu ermöglichen und bei Bedarf zu Abhilfe-/Korrekturmaßnahmen führen.

Hierbei kommt (unverändert) eine (nicht abschließend aufgezählte) Reihe von Prüfungstechniken zum Einsatz:

•        Verifizierung und Analyse der bereitgestellten Informationen und Beobachtung der entsprechenden Prozesse,

•        Gezielte Befragungen, um die dokumentierten Prozesse und Strukturen mit der tatsächlichen Praxis zu vergleichen,

•        Walk-through, um sicherzustellen, dass die vorhandenen Verfahren tatsächlich angewendet werden und keine Lücken/Schwachstellen vorhanden sind,

•        Stichproben-/Einzelfalluntersuchung zur Validierung und Einschätzung, 

•        Bestätigung der Daten durch Neuberechnung, Benchmark-Analysen, 

•        Testen der Modelle unter diversen hypothetischen und historischen Bedingungen (z. B. durch eine Szenarioanalyse), um eine Aussage über die Leistungsfähigkeit zu erhalten.

Bei diesen Prüfungen steht naturgemäß das Informationsrisiko im Vordergrund, d. h., alle Risiken für die Vermögens- und Ertragslage der Institute und Versicherungen bzw. deren Kunden, die aufgrund von Mängeln entstehen, die das IT-Management bzw. die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.

Ziel der Prüfung ist damit natürlich auch die Feststellung der Einhaltung der Angemessenheit und Funktionsfähigkeit der internen Steuerungs- und Kontrollsysteme in den Prüfungsgebieten 

•        IT-Strategie,

•        IT-Governance,

•        Informationsrisikomanagement,

•        Informationssicherheitsmanagement,

•        Operative Informationssicherheit,

•        Identitäts- und Rechtemanagement, [...]
Beitragsnummer: 22124

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "BankPraktiker DIGITAL" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
IT verstehen für Nicht-Itler: Fit für Prozesssteuerung & Prüfung

790,00 € exkl. 19 %

11.10.2023

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Produkticon
IT verstehen für Nicht-IT-ler: Fit für Prozesssteuerung & Prüfung

Beiträge zum Thema:

Beitragsicon
Die Rolle künstlicher Intelligenz in der Unternehmensleitung

Vorstand & Aufsichtsrat sollten sich über die die rechtlichen Vorgaben der kommenden KI-EU-Verordnung informieren, um mögliche Haftungsrisiken zu vermeiden.

21.06.2024

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Beitragsicon
Optimal vorbereitet sein für die KfW-Prüfung

Förderprogramme der KfW sind Bestandteil des Portfolios einer Bank Die Einhaltung der Bedingungen werdn durch die KfW geprüft.

07.12.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.