Prof. Dr. Ralf Kühn, WP/CPA, Geschäftsführender Gesellschafter der Finance Audit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen
I. Prüfungsauftrag und Prüfungsausrichtung
Aufgrund des Fortschritts in der IT werden IT-Systeme komplexer, die Menge der verarbeiteten Daten und der Grad der Arbeitsteilung steigen. Dadurch ist auch das Risiko stark gestiegen, diese Systeme nicht mehr sicher beherrschen zu können. Hinzu kommt die Bedrohung durch Angriffe auf die IT-Systeme, die angesichts der aktuellen weltpolitischen Situation als insgesamt sehr hoch einzustufen ist und bei der sich ggf. Schadensverläufe oder Bedrohungsintensitäten der Vergangenheit nicht in die Zukunft übertragen lassen.
Der technische Fortschritt („Digitalisierung”) und zunehmende Bedrohungen erfordern zudem steigende Investitionen in die IT, vor allem in die Informationssicherheit. Dieses Geld bereitzustellen, fällt vielen Instituten und Versicherungen in Zeiten starken Kostendrucks schwer.
Banken-/Versicherungsaufsichtliche Prüfungen sollen daher einen vertieften Einblick in die tatsächliche Situation der Bank/Versicherung geben und eine fundierte Bewertung über deren IT-bezogenes Risikomanagement und die Risikolage ermöglichen. Darüber hinaus sollen sie auch vorausschauend sein, um eine zukunftsgerichtete Analyse möglicher negativer Auswirkungen zu ermöglichen und bei Bedarf zu Abhilfe-/Korrekturmaßnahmen führen.
Hierbei kommt (unverändert) eine (nicht abschließend aufgezählte) Reihe von Prüfungstechniken zum Einsatz:
• Verifizierung und Analyse der bereitgestellten Informationen und Beobachtung der entsprechenden Prozesse,
• Gezielte Befragungen, um die dokumentierten Prozesse und Strukturen mit der tatsächlichen Praxis zu vergleichen,
• Walk-through, um sicherzustellen, dass die vorhandenen Verfahren tatsächlich angewendet werden und keine Lücken/Schwachstellen vorhanden sind,
• Stichproben-/Einzelfalluntersuchung zur Validierung und Einschätzung,
• Bestätigung der Daten durch Neuberechnung, Benchmark-Analysen,
• Testen der Modelle unter diversen hypothetischen und historischen Bedingungen (z. B. durch eine Szenarioanalyse), um eine Aussage über die Leistungsfähigkeit zu erhalten.
Bei diesen Prüfungen steht naturgemäß das Informationsrisiko im Vordergrund, d. h., alle Risiken für die Vermögens- und Ertragslage der Institute und Versicherungen bzw. deren Kunden, die aufgrund von Mängeln entstehen, die das IT-Management bzw. die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.
Ziel der Prüfung ist damit natürlich auch die Feststellung der Einhaltung der Angemessenheit und Funktionsfähigkeit der internen Steuerungs- und Kontrollsysteme in den Prüfungsgebieten
• IT-Strategie,
• IT-Governance,
• Informationsrisikomanagement,
• Informationssicherheitsmanagement,
• Operative Informationssicherheit,
• Identitäts- und Rechtemanagement, [...]
Beitragsnummer: 22124