Strategische Zusammenarbeit zwischen IT-Organisation und IT-Revision

Annerose Debes, Gruppenleiterin IT-Organisation, Kreissparkasse Gelnhausen

In einer Zeit, in der regulatorische Anforderungen zunehmend strenger und die Bedrohungslage durch Cyber-Angriffe immer komplexer und bedrohlicher wird, ist die Zusammenarbeit zwischen IT-Organisation und IT-Revision in Kreditinstituten wichtiger denn je. Diese Zusammenarbeit kann einen wichtigen Beitrag dazu leisten, Prüfungsabläufe der IT-Revision effizienter zu gestalten und das Risiko-Bewusstsein in der IT-Organisation vor dem Hintergrund der externen Anforderungen zu steigern.

Eine dynamische Partnerschaft mit klarer Rollentrennung

Die IT-Organisation als 1st Line of Defense stellt die operative Säule dar und hat die Aufgabe, u. a. durch die Implementierung operativer Informationssicherheitsmaßnahmen sowie durch Sicherstellung der Implementierung angemessener, wirksamer und funktionsfähiger IT-Prozesse, die Sicherheit der Bankensysteme sowie deren Resilienz gegen Cyberbedrohungen zu gewährleisten. Dabei reicht das Spektrum von der Implementierung von IT-Sicherheitslösungen über das Informationsrisikomanagement bis hin zur Einhaltung der durch BAIT, DORA und MaRisk vorgeschriebenen Vorgaben. Sie ist das Fundament, auf dem die digitale Resilienz der Bank aufgebaut wird.

Die IT-Revision dagegen agiert als Teil der Internen Revision des Instituts als unabhängige Kontrollinstanz in der 3rd Line of Defense, die ihre Prüfungen darauf ausrichtet, die Angemessenheit und Wirksamkeit der Maßnahmen der IT-Organisation zu überprüfen. Ein zentraler Aspekt ist hierbei die Unabhängigkeit der Internen Revision, die in den MaRisk explizit vorgeschrieben ist (AT 4.4.3 MaRisk). Diese Unabhängigkeit gewährleistet, dass die Revision objektiv bleibt und keine Interessenkonflikte entstehen.

Synergien trotz Unabhängigkeit: Mehrwert für beide Seiten

Eine koordinierte Zusammenarbeit auf strategischer Ebene bietet der IT-Organisation sowie der IT-Revision erhebliche Vorteile, ohne die Linientrennung zu gefährden.

Die IT-Organisation dokumentiert täglich wertvolle operative Daten, sei es zu IT-Sicherheitsvorfällen oder identifizierten Schwachstellen in den Systemen. Diese Daten sind für die IT-Revision von unschätzbarem Wert, um ihre Prüfungsplanung risikoorientiert gestalten zu können. Ein regelmäßiger, strukturierter Austausch solcher Informationen unterstützt die Revision dabei, gezielt die Bereiche zu prüfen, die das größte Risiko für das Unternehmen darstellen. Dadurch erhöht sich die Relevanz der Prüfberichte und ermöglicht der IT-Organisation, direkt auf die Erkenntnisse zu reagieren und entsprechende Maßnahmen umzusetzen.

Ein weiterer Ansatzpunkt für eine verstärkte Zusammenarbeit ist der Wissensaustausch durch gemeinsame regelmäßige Schulungen und Workshops. Regulatorische Rahmenbedingungen verändern sich kontinuierlich, insbesondere derzeit im Kontext von DORA. Gemeinsame Schulungsmaßnahmen zu den aktuellen Anforderungen der Aufsicht ermöglichen es beiden Seiten, ihre Kenntnisse zu aktualisieren und ein einheitliches Verständnis für die jeweiligen Herausforderungen zu entwickeln. Hierbei entsteht in der Regel ganz automatisch ein enger themenbezogener Austausch. Dieser kontinuierliche Wissenstransfer stärkt nicht nur die Compliance, sondern fördert auch die proaktive Identifikation neuer Risiken.

Grenzen der Zusammenarbeit

So wertvoll Synergien zwischen IT-Organisation und Revision auch sind, es muss sichergestellt sein, dass die IT-Revision nicht in operative Prozesse involviert ist und ihre Prüfungen neutral und unvoreingenommen durchführen kann. Diese klare Trennung ist die Basis für das Vertrauen der Geschäftsführung und der Aufsichtsbehörden in die Prüfungsberichte. Die IT-Revision muss eine kritische und fundierte Beurteilung der internen Kontrollsysteme und IT-Prozesse vornehmen können. Diese objektive Perspektive ist entscheidend, um potenzielle Schwächen im IT-Risikomanagement aufzudecken und konkrete Handlungsempfehlungen entwickeln zu können.

Fazit: Synergien nutzen, Unabhängigkeit wahren

Durch die Zusammenarbeit zwischen IT-Organisation und IT-Revision können trotz der klaren Trennung der Verantwortlichkeiten im Three Lines of Defense-Modell durch eine strukturierte Kommunikation und den Austausch operativer Daten wertvolle Synergien geschaffen werden. Gleichzeitig bleibt die Unabhängigkeit der IT-Revision das unverzichtbare Fundament für eine erfolgreiche und objektive Prüfungsarbeit.

• Regelmäßiger Austausch von Risikodaten: Schaffen Sie Strukturen für einen regelmäßigen Informationsaustausch zwischen IT-Organisation und Revision, um die Prüfungsplanung zu optimieren.
• Wissensaufbau durch Schulungen: Bieten Sie regelmäßige gemeinsame Fortbildungen zu regulatorischen Neuerungen und IT-Risiken an, um die Zusammenarbeit zu fördern und aktuelle Anforderungen gemeinsam zu verstehen.
• Unabhängigkeit wahren: Achten Sie darauf, dass die IT-Revision stets als unabhängige Instanz agiert und ihre Prüfungsarbeit ohne operative Einflüsse durchführen kann.