Dienstag, 10. Juli 2018

IT-IKS: Knackpunkte und prüfungsseitige Schwachstellen

Michael Helfer, Geschäftsführer, FCH Consult GmbH

Ein nachvollziehbar dokumentiertes und gesteuertes IT-Risikomanagement stellt als zentraler Fokus der deutschen/europäischen Bankenaufsicht sowie der Abschluss-/Sonderprüfer die Institute vor umfangreiche Umsetzungsherausforderungen. Ein pragmatisches Management der IT-Anforderungen (insbesondere MaRisk & BAIT) sowie die daraus resultierende praktische Umsetzung sind einer der Knackpunkte in aktuellen Projekten (Umsetzung MaRisk & BAIT, aber auch Fachprojekte). Zudem sind weitere Anforderungen wie z. B. IT-Sicherheitsgesetz (ITSiG), BSI-Standards, MaSi, PSD 2 etc. zu berücksichtigen.

Nachfolgend ein kurzer Überblick zu ausgewählten, IT-spezifischen Aspekten (welche oftmals auch noch Schwachstellen darstellen):

  • Sicherstellen einer stringenten Konsistenz zwischen Geschäfts- und IT-(Risiko)Strategie durch konkrete Formulierung und Quantifizierung der Ziele („roter Faden”),
  • Verknüpfung der Schutzbedarfsanalyse mit dem Management operationeller Risiken („IT-OpRisk als Teilmenge der Gesamt-OpRisk”),
  • Festlegen klarer Verantwortlichkeiten: WER ist für WAS im IT-IKS verantwortlich (Prozessverantwortlicher, Orga/IT, Informationssicherheitsbeauftragter) – Erfordernis eines präzisen Rollenmodells,
  • Weitgehender Einbezug der IDV – Neues erforderliches Zentralregister sowie zusätzliche Dokumentationserfordernisse durch IDV-Richtlinie „Software-Entwicklungsprozess“.
Darüber hinaus sollte aber auch eine inhaltliche Auseinandersetzung und Verknüpfung mit den neuen MaRisk-Schwerpunktthemen (Datenmanagement/Risikoberichtswesen, Risikokultur und Verhaltenskodex sowie IT-Auslagerungen) erfolgen.

Zum Schluss noch ein Hinweis auf die aktuellen IT-Sonderprüfungen der Aufsicht. Die Praxis zeigt, dass im Rahmen von 44er-Prüfungen eine Erweiterung der bisher prozessorientierten Prüfungsansätze auch auf die Rezertifizierung der Berechtigungen bei ausgelagerten Prozessen und auch der institutsindividuelle Umgang mit Releasewechseln und Updates (insbesondere der Kernbankanwendungen und steuerungsrelevanter Software) vorgenommen wurde. Insbesondere diese beiden Teilbereiche waren in vielen Häusern in der Vergangenheit nicht im Fokus der Betrachtung, gehören jedoch zum Gesamt-IKS.

PRAXISTIPPS

  • Befassen Sie sich ausführlich mit den IT-Neuerungen aus MaRisk und BAIT.
  • Dokumentieren Sie IT-Teilprozesse & Kontrollerfordernisse auf der Basis einer Risiko-Kontroll-Matrix. Berücksichtigen Sie dabei auch die ausgelagerten Prozesse.
  • Verknüpfen Sie Ihre Schutzbedarfsanalyse mit dem Management operationeller Risiken.
  • Klären Sie die Rollen im IT-Risikomanagement (inkl. IKS).


Beitragsnummer: 754

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Diversitätsmanagement als Schlüsselinstrument der Zukunft

Einführung in die theoretischen Diversitätskonzepte und praktische Anknüpfungspunkte zur Umsetzung des Diversitätsmanagements in Volks- und Raiffeisenbanken.

07.06.2024

Beitragsicon
MaRisk: Fragen zu gehebelten Transaktionen

Ein größeres Thema der 7. Novelle ( MaRisk 2023)ist die Einführung der Regulierung der gehebelten Transaktionen auch für kleinere Banken.

28.06.2024

Beitragsicon
HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Beitragsicon
Fachkräftemangel – jetzt wird guter Rat immer teurer

Im ersten Quartal 2024 sind in Deutschland von den Instituten der Kreditwirtschaft fast 40.000 Stellen öffentlich ausgeschrieben worden.

04.06.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.