Mittwoch, 11. November 2020

Prüfung von Aufbau und Struktur des IT-Risikomanagements

Umsetzung und Prüfung der neuen MaRisk-/BAIT-Anforderungen.

Björn Wehling, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH

Die neuen MaRisk sowie die neuen BAIT stellen durch die Einbeziehung der EBA-Leitlinien zum IKT-Risiko (Guidelines on ICT and Security Risk Management – ICT Guidelines) die Bedeutung des IT-Risikomanagements noch einmal deutlich in den Vordergrund. Doch wie können Aufbau und Struktur eines aufsichtskonformen IT-Risikomanagements aussehen?

Aufbauorganisation

Zentrale Elemente der Aufbauorganisation sind die klare Festlegung von Verantwortlichkeiten sowie aufsichtskonforme Ausgestaltung einer schriftlich fixierten Ordnung, in der auch die Dokumentationsanforderungen enthalten sind. Zudem muss ein funktionsfähiges IKS implementiert werden mit einer (risiko-)adäquaten Ressourcenausstattung. Weiterhin ist festzulegen, in welchem Umfang IT und IT-Infrastruktur genutzt werden soll. Entsprechende Rahmenangaben sollten in der IT-Strategie verankert und aus dieser abgeleitet werden. Die Revision hat hier zu prüfen, inwieweit die IT-Infrastruktur mit der allgemeinen Aufbau- und Ablauforganisation der Bankprozesse einhergeht.

Seminartipps

Strukturanalyse

Bei der Prüfung der Strukturanalyse ist durch die Interne Revision zu beurteilen, ob die Vollständigkeit (Inventarisierung aller Bestandteile des festgelegten Informationsverbundes) und Aktualität der Schutzobjekte gegeben ist und die Abhängigkeiten zwischen den Schutzobjekten richtig hergestellt und dokumentiert wurde. Die Abhängigkeiten zwischen den Schutzobjekten sind sowohl auf vertikaler als auch auf horizontaler Ebene zu beurteilen und die jeweilige Festlegung von Informationseigentümern zu prüfen.

Schutzbedarfsanalyse

Die Prüfung der Schutzbedarfsanalyse(n) beinhaltet die Prüfung mehrerer Teilprozesse. Zunächst ist der Prozess der Einbeziehung von Informationseigentümern und des ISB zu betrachten sowie die implementierten (Schlüssel-)Kontrollen des IKS zu beurteilen. Weiterhin hat die Revision zu prüfen, inwieweit die Schutzbedarfsanalyse vollständig alle Schutzobjekte erfasst (hat) und ob sichergestellt ist, dass neue Schutzobjekte erkannt und einer entsprechenden Analyse unterzogen werden. Ebenso ist zu prüfen, ob eine einheitliche horizontale und vertikale Vererbung des Schutzbedarfs erfolgt.

Sollmaßnahmenkatalog und Soll-Ist-Abgleich

Die Festlegung von Sollmaßnahmen (technisch oder organisatorisch) hat für jedes Schutzobjekt (bspw. IT-Anwendungen und Infrastrukturkomponenten, Medien, Räume und Gebäude) zu erfolgen. Sollmaßnahmen differenzieren sowohl nach Schutzziel als auch nach angestrebtem Schutzniveau und sind angemessen und nachvollziehbar zu dokumentieren. Hier hat die Interne Revision einerseits zu prüfen, ob die jährliche Überprüfung des Sollmaßnahmenkatalogs auf Aktualität und Vollständigkeit vorgenommen und ausreichend dokumentiert wurden, andererseits hat die Prüfung zu erfolgen, ob die aus dem Sollmaßnahmenkatalog resultierenden Anforderungen mit dem realisierten Ist-Zustand abgeglichen wurden und welche Schlüsse aus dem Ergebnis des Abgleichs gezogen wurden. Verantwortlich für die Durchführung/Abnahme des Soll-Ist Abgleichs sollte der ISB sein.

Auslagerungssachverhalte

Bei Auslagerung von entsprechenden IT-Prozessen und IT-Aktivitäten an IT-Dienstleister müssen diese die Maßgaben des Instituts vertraglich zusichern und über Abweichungen berichten. Entsprechende Berichte sind durch die Interne Revision und den Fachbereich/das zentrale Auslagerungsmanagement auszuwerten.

Restrisikoanalyse

Im Rahmen der Restrisikoanalyse hat eine Risikobewertung mit Umsetzung der Sollmaßnahmen und ein Soll-Ist-Abgleich zu erfolgen. Die identifizierten Abweichungen sind anhand von Risikokriterien zu analysieren, wobei sich die Risikokategorien sich an der Risikobewertung des Instituts für operationelle Risiken orientieren oder entsprechend überleiten lassen. Die Risikobewertung berücksichtigt u. a. mögliche Bedrohungen, das Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit. Bei der Bewertung ist der Schutzbedarf der von den Risiken betroffenen Informationen und IT-Systeme angemessen zu berücksichtigen und die identifizierten und bewerteten Risiken nachvollziehbar in einem Risikoinventar zu dokumentieren. Die Interne Revision hat die Prozesse der Restrisikoanalyse entsprechend nachzuvollziehen und über die Angemessenheit der Risikobewertung und Risikokategorisierung bzw. eine abweichende Risikoeinschätzung zu berichten.

Berichtswesen

Die Geschäftsleitung und das Aufsichtsorgan sind mindestens vierteljährlich durch den Fachbereich/ISB über Informationsrisiken zu informieren. Wesentliche Risiken einschließlich abgeleiteter Maßnahmen zur Abstellung bzw. zum Umgang mit diesen Risiken sind im Risikobericht darzustellen und zu bewerten. Die Interne Revision hat die Vorgaben zur regelmäßigen und ad-hoc Berichterstattung bzgl. des IT-Risikomanagements an die Geschäftsleitung und das Aufsichtsorgan zu prüfen und ihrerseits darüber zu berichten.

PRAXISTIPPS

Prüfen Sie das Vorhandensein einer übersichtlichen Aufbau- und Ablauforganisation mit klaren Verantwortlichkeiten für die jeweiligen (Teil-)Prozesse.
Stimmen Sie sich vor/bei/nach den Prüfungen eng mit dem ISB ab.
Prüfen Sie, dass der Process-Ownership-Vergabeprozess zu einer lückenlosen Verantwortungskette des Prozesses in der End-to-End-Betrachtung führt.
Prüfen Sie die Auslagerungsverträge mit IT-Dienstleistern daraufhin, ob alle notwendigen und aufsichtlich geforderten Inhalte schriftlich vereinbart wurden und über IT-Risiko-relevante Sachverhalte (ad-hoc) berichtet wird.
Setzen Sie als Erwartungswert für den Anteil der IT-Risiken am gesamten OpRisk einen Wert von größer 50 % an und prüfen Sie intensiv die Vollständigkeit und Richtigkeit der Überleitung von IT-Risiken in das OpRisk-Management.

Beitragsnummer: 12997

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Kein Widerruf nach vollständiger Erfüllung eines Kreditvertrags

Ein Verbraucher kann sich nach vollständiger Erfüllung aller vertraglichen Verpflichtungen aus einem Kreditvertrag nicht mehr auf sein Widerrufsrecht berufen.

17.04.2024

BCBS 561 – Verschärfung der aufsichtsrechtlichen Zinsschockszenarien

Der 300 BP-Zinsschock der letzten zwei Jahre hat Folgen für die Behandlung von Zinsrisiken. Der neue BCBS 561 regelt die Berechnung von Zinsschock-Szenarien.

13.02.2024

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

Datenqualität(sprüfungen) im AWV-/AWG-Meldewesen

Datenqualität(-sprüfungen) im AWV-/AWG-Meldewesen und die verzahnte Betrachtung von Datenqualitäts- und Meldeprozessen

28.02.2024