Michael Maria Claaßen, Bereichsleiter Interne Revision der Volksbank Marl-Recklinghausen eG, seit 1988 in der Internen Revision leitend tätig
I. Einleitung
Der Digital Operational Resilience Act – kurz DORA – stellt eine EU-Verordnung zur Härtung der digitalen Widerstandsfähigkeit dar. Neben der Verordnung bestehen diverse Reglementierungs- und Implementierungsstandards. Mit der Einführung von DORA zum 17.01.2025 ist eine angemessene Berücksichtigung im audit universe der Internen Revision sicherzustellen. Die Abbildung im audit universe darf sich dabei nicht nur auf eine Implementierung stichtagsbezogener Prüfungsfelder zum Themenfeld DORA beschränken. IKT-Aspekte wie das IKT-Risikomanagement oder das Management des IKT-Drittparteienrisikos sind Teil fast aller Prüfungsprozesse und in fast jedem Prüfungsfeld angemessen zu berücksichtigen. Die fachliche Qualifikation aller Revisionsmitarbeiter ist in diesem Zusammenhang auf einen neuen Level zu heben.
II. Einordnung von DORA ins audit universe
Informationstechnologie ist das relevante Trägersystem für die meisten Geschäftsprozesse. IT-Strukturen und IT-Prozesse werden von Teams gestaltet und kontinuierlich weiterentwickelt, um im Kunden- und Geschäftsverkehr Mehrwerte zu schaffen. Jede Lösung birgt aber auch Risiken, die vielleicht auf den ersten Blick nicht ersichtlich sind. In Verbünden wird i. d. R. ein IKT-Dienstleister genutzt, der Lösungen in Form eines Kernbankverfahrens mit diversen Assets zur Verfügung stellt. Weiterhin wird durch Härtung der Systeme versucht, diese Systeme vor Angriffen Dritter zu schützen. Andere „Dienstleister“ versuchen diese Lösungen auszuhebeln, in dem Assets angeboten werden, um Schwachstellen in den IKT-Systemen aktiv zu suchen oder Schadsoftware in IT-Umgebungen einzuschleusen. Im Zeitverlauf kann es zu massiven Schäden kommen. Ein „Black Swan“ ist allgegenwärtig. Diese grob vereinfachte und sicherlich unzureichende Darstellung soll aufzeigen, wie wichtig das Thema IKT-Risiken für eine Bank ist und somit einer angemessenen Berücksichtigung im audit universe bedarf. Die Prozessowner und Prozessuser der Fachbereiche und somit auch die Prozessowner in der Internen Revision haben durch ihr Handeln Einfluss auf die IKT-Risiken. Dem Drei-Linien-Modell mit Abgrenzung der unterschiedlichen Aufgaben der jeweiligen Linie ist zwingend Rechnung zu tragen.
Die Nutzung von Standardlösungen innerhalb eines Verbundes und somit des IT-Dienstleisters haben den wesentlichsten Anteil an der Informations- und Kommunikationstechnologie in einer Bank. Bei Nutzung von Drittanbietern auch außerhalb des Verbundes sind die Standards auch immer einzuhalten. Unter MaRisk-Gesichtspunkten betrifft dies auch Lösungen im Rahmen von Weiterverlagerungen. Insbesondere bei der Nutzung von Assets außerhalb eines Verbundes, z. B. Softwarelösungen, die als Randverfahren im Berechtigungsmanagement bezeichnet werden können, kann bei nicht sachgemäßer Handhabung ein Risiko entstehen, wenn Standards nicht eingehalten werden. Es ergeben sich dabei diverse Obliegenheiten. Werden z. B. die Systeme im Zeitverlauf angemessen gepatcht? Diese und andere Fragestellungen müssen Teil der Risikobewertungsverfahren zur Erstellung eines angemessenen Prüfungsplanes mit zeitlicher und thematischer Einordnung der Prüfungsfelder sein. Dieses vereinfachte Beispiel zeigt auch, dass es nicht ein einheitliches Risikobewertungsverfahren zur Prüfungsplanerstellung in der Internen Revision gibt. Die Risikobewertungsverfahren der Internen Revision müssen die Besonderheiten der Prüfungsfelder angemessen abbilden. [...]
Beitragsnummer: 22789