Donnerstag, 14. September 2023

Aktuelle Schwerpunkte banken-/versicherungsaufsichtlicher IT-Prüfungen

Feststellungsschwerpunkte, Inhalte und Ambitionsniveaus, die Sie zur besseren Vorbereitung auf „Ihre“ Prüfungen UND zur inhaltlichen Entscheidungsfindung kennen sollten

Prof. Dr. Ralf Kühn, WP/CPA, Geschäftsführender Gesellschafter der Finance Audit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen 

 

I. Prüfungsauftrag und Prüfungsausrichtung

Aufgrund des Fortschritts in der IT werden IT-Systeme komplexer, die Menge der verarbeiteten Daten und der Grad der Arbeitsteilung steigen. Dadurch ist auch das Risiko stark gestiegen, diese Systeme nicht mehr sicher beherrschen zu können. Hinzu kommt die Bedrohung durch Angriffe auf die IT-Systeme, die angesichts der aktuellen weltpolitischen Situation als insgesamt sehr hoch einzustufen ist und bei der sich ggf. Schadensverläufe oder Bedrohungsintensitäten der Vergangenheit nicht in die Zukunft übertragen lassen. 

Der technische Fortschritt („Digitalisierung”) und zunehmende Bedrohungen erfordern zudem steigende Investitionen in die IT, vor allem in die Informationssicherheit. Dieses Geld bereitzustellen, fällt vielen Instituten und Versicherungen in Zeiten starken Kostendrucks schwer.

Banken-/Versicherungsaufsichtliche Prüfungen sollen daher einen vertieften Einblick in die tatsächliche Situation der Bank/Versicherung geben und eine fundierte Bewertung über deren IT-bezogenes Risikomanagement und die Risikolage ermöglichen. Darüber hinaus sollen sie auch vorausschauend sein, um eine zukunftsgerichtete Analyse möglicher negativer Auswirkungen zu ermöglichen und bei Bedarf zu Abhilfe-/Korrekturmaßnahmen führen.

Hierbei kommt (unverändert) eine (nicht abschließend aufgezählte) Reihe von Prüfungstechniken zum Einsatz:

•        Verifizierung und Analyse der bereitgestellten Informationen und Beobachtung der entsprechenden Prozesse,

•        Gezielte Befragungen, um die dokumentierten Prozesse und Strukturen mit der tatsächlichen Praxis zu vergleichen,

•        Walk-through, um sicherzustellen, dass die vorhandenen Verfahren tatsächlich angewendet werden und keine Lücken/Schwachstellen vorhanden sind,

•        Stichproben-/Einzelfalluntersuchung zur Validierung und Einschätzung, 

•        Bestätigung der Daten durch Neuberechnung, Benchmark-Analysen, 

•        Testen der Modelle unter diversen hypothetischen und historischen Bedingungen (z. B. durch eine Szenarioanalyse), um eine Aussage über die Leistungsfähigkeit zu erhalten.

Bei diesen Prüfungen steht naturgemäß das Informationsrisiko im Vordergrund, d. h., alle Risiken für die Vermögens- und Ertragslage der Institute und Versicherungen bzw. deren Kunden, die aufgrund von Mängeln entstehen, die das IT-Management bzw. die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.

Ziel der Prüfung ist damit natürlich auch die Feststellung der Einhaltung der Angemessenheit und Funktionsfähigkeit der internen Steuerungs- und Kontrollsysteme in den Prüfungsgebieten 

•        IT-Strategie,

•        IT-Governance,

•        Informationsrisikomanagement,

•        Informationssicherheitsmanagement,

•        Operative Informationssicherheit,

•        Identitäts- und Rechtemanagement, [...]
Beitragsnummer: 22124

Weiterlesen?

Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "BankPraktiker DIGITAL" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Produkticon
IT verstehen für Nicht-IT-ler: Fit für Prozesssteuerung & Prüfung

Beiträge zum Thema:

Beitragsicon
Die Entwicklung einer effektiven Risiko- und Compliance-Kultur

Wo strukturierte Einarbeitung & Integration fehlt, wird Risiko- & Compliance-Kultur zum Zufallsprodukt - Regelverstöße entstehen fehlendem Risikobewusstsein.

28.04.2025

Beitragsicon
Schrittweise Aufhebung der BAIT beschlossen

Aufhebung der Rundschreiben zu BAIT erfolgt in zwei Schritten

22.01.2025

Beitragsicon
Der IKT-Revisionsplan auf Basis von DORA: Muss-Soll-Kann-Anforderungen

DORA MUSS IN EINEM GANZHEITLICHEM ANSATZ IN DER INTERNEN REVISION UMGESETZT WERDEN. DIE PLANUNGEN ERFOLGEN ÜBER DEN IKT-REVISIONSPLAN.

10.04.2025

Beitragsicon
Optimal vorbereitet sein für die KfW-Prüfung

Förderprogramme der KfW sind Bestandteil des Portfolios einer Bank Die Einhaltung der Bedingungen werdn durch die KfW geprüft.

07.12.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.