Samstag, 30. Juni 2018

IT-IKS: Knackpunkte und prüfungsseitige Schwachstellen

Michael Helfer, Geschäftsführer, FCH Consult GmbH

Ein nachvollziehbar dokumentiertes und gesteuertes IT-Risikomanagement stellt als zentraler Fokus der deutschen/europäischen Bankenaufsicht sowie der Abschluss-/Sonderprüfer die Institute vor umfangreiche Umsetzungsherausforderungen. Ein pragmatisches Management der IT-Anforderungen (insbesondere MaRisk & BAIT) sowie die daraus resultierende praktische Umsetzung sind einer der Knackpunkte in aktuellen Projekten (Umsetzung MaRisk & BAIT, aber auch Fachprojekte). Zudem sind weitere Anforderungen wie z. B. IT-Sicherheitsgesetz (ITSiG), BSI-Standards, MaSi, PSD 2 etc. zu berücksichtigen.

Nachfolgend ein kurzer Überblick zu ausgewählten, IT-spezifischen Aspekten (welche oftmals auch noch Schwachstellen darstellen):

Sicherstellen einer stringenten Konsistenz zwischen Geschäfts- und IT-(Risiko)Strategie durch konkrete Formulierung und Quantifizierung der Ziele („roter Faden”),
Verknüpfung der Schutzbedarfsanalyse mit dem Management operationeller Risiken („IT-OpRisk als Teilmenge der Gesamt-OpRisk”),
Festlegen klarer Verantwortlichkeiten: WER ist für WAS im IT-IKS verantwortlich (Prozessverantwortlicher, Orga/IT, Informationssicherheitsbeauftragter) – Erfordernis eines präzisen Rollenmodells,
Weitgehender Einbezug der IDV – Neues erforderliches Zentralregister sowie zusätzliche Dokumentationserfordernisse durch IDV-Richtlinie „Software-Entwicklungsprozess“.

Darüber hinaus sollte aber auch eine inhaltliche Auseinandersetzung und Verknüpfung mit den neuen MaRisk-Schwerpunktthemen (Datenmanagement/Risikoberichtswesen, Risikokultur und Verhaltenskodex sowie IT-Auslagerungen) erfolgen.

Zum Schluss noch ein Hinweis auf die aktuellen IT-Sonderprüfungen der Aufsicht. Die Praxis zeigt, dass im Rahmen von 44er-Prüfungen eine Erweiterung der bisher prozessorientierten Prüfungsansätze auch auf die Rezertifizierung der Berechtigungen bei ausgelagerten Prozessen und auch der institutsindividuelle Umgang mit Releasewechseln und Updates (insbesondere der Kernbankanwendungen und steuerungsrelevanter Software) vorgenommen wurde. Insbesondere diese beiden Teilbereiche waren in vielen Häusern in der Vergangenheit nicht im Fokus der Betrachtung, gehören jedoch zum Gesamt-IKS.

PRAXISTIPPS

Befassen Sie sich ausführlich mit den IT-Neuerungen aus MaRisk und BAIT.
Dokumentieren Sie IT-Teilprozesse & Kontrollerfordernisse auf der Basis einer Risiko-Kontroll-Matrix. Berücksichtigen Sie dabei auch die ausgelagerten Prozesse.
Verknüpfen Sie Ihre Schutzbedarfsanalyse mit dem Management operationeller Risiken.
Klären Sie die Rollen im IT-Risikomanagement (inkl. IKS).

Beitragsnummer: 754

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Automation in Banken: Energieausweisdaten intelligent verarbeiten

Automatisierung in Kreditinstituten – Künstliche Intelligenz unterstützt bei der Bewältigung der EU-Taxonomie zur effizienten Datenverarbeitung.

02.05.2024

DORA umsetzen: So gelingt effizientes Management der IKT-Dienstleister

Um DORA-Berichtspflichten nachweislich und ressourcenschonend zu erfüllen, gilt es, Auslagerungsprozesse durchdacht zu digitalisieren.

02.05.2024

HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Machen statt warten! – Sind Banken heute schon startklar für DORA?

Im Beitrag geht es um DORA-Anforderungen & reguläre IKT-Risikomanagementrahmenwerk (RMF), deren RTS größere Prozess-Auswirkungen in Instituten haben können.

13.05.2024

Unternehmenswissen – Herzstück einer erfolgreichen Transformation

Wissensmanagement am Beispiel einer Genossenschaftsbank: Basis für Kollaboration, Automation und regulatorische Konformität

15.05.2024