8. Fachtagung IT-Revision

Neue MaRisk/BAIT-Anforderungen an die Prüfung von IT-Sachverhalten durch die Revision • Neue Prüffelder &Prüfungsansätze • Prüfung operative IT-Sicherheit • PrüfungsTipps

Aufgrund der neuen MaRisk & BAIT hat die (IT-)Revision ihre Prüfungsplanung und das Vorgehen bei der Prüfung von IT-Sachverhalten anzupassen und teilweise neu auszurichten. Es ergeben sich neue Prüffelder und spezifischere Anforderungen an die Prüfungshandlungen und bestimmten (neuen) Schwerpunktbereichen (z. B. operative IT-Sicherheit, IT-Projekte, IT-Auslagerungen, IT-Notfallmanagement und kritische Infrastrukturen).  Die neuen MaRisk & BAIT fordern von der Revision umfassende und z. T. spezifische Kenntnisse in diesen IT-Bereichen, um das Erkennen und Prüfen von Risiken in IT-Systemen und IT-Prozessen zu gewährleisten. Erfahrene Praktiker berichten zu neuen Themen und geben wertvolle Praxis- und Prüfungstipps. Der Fachtag fördert den Erfahrungsaustausch und die Erweiterung des Netzwerks über den eigenen Verbund hinaus.

Inhaltsverzeichnis:

Seminardokumentation

01.12.2021 150,00 €
Prospekt herunterladen Seite drucken

Seminarthemen und Agenda

10:00 - 12:00 Uhr

Neue verschärfte Vorgaben der Bankenaufsicht – Kurzer Exkurs zu den ICT-Risk und DORA

  • Die Anforderungen der BAIT, Neuerungen für die Revision der BAIT und weiteren Vorschriften (EBA Guideline)
  • Typische Prüfungsgebiete bei einer IT-Prüfung

Wesentliche Änderungen der neuen BAIT und Erwartungen der Aufsicht hinsichtlich der Prüfungsfelder der Revision

Anforderungen an die IT-Strategie und IT-Governance der Institute

  • Anforderungen an die bewusste Steuerung der IT-Risiken (OpRisk) – richtige Ableitung, Formulierung, Messung und Kontrolle von Zielen im Rahmen eines gut dokumentierten IT-Strategieprozesses
  • Konsistenzschwächen zwischen IT-, Risiko- und Ressourcenstrategie vermeiden – Anforderungen an das Monitoring und Erfolgskontrolle abgeleiteter Maßnahmen- häufige Schwachstellen aus der Prüfungspraxis

Aktuelle regulatorische Vorgaben zur Steuerung von Benutzerberechtigungen – Zentrale Prüfungsschwerpunkte

  • Anforderungen an das Rollenmodell und die Genehmigungs- und Kontrollprozesse - Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen für Benutzer
  • Überwachung privilegierter User, insb. Systemadmins - Anforderungen an Logging, Protokollierung und Protokollauswertung
  • Soll/Soll und Soll/Ist-Abgleiche - Häufige Schwachstellen aufgrund mangelnder Schutzbedarfsanalyse
  • Prüfung der Notwendigkeit und Zulässigkeit beantragter Rechte - Organisatorische und technische Sicherstellung der minimalen Rechtevergabe
  • Rezertifizierung unter Beteiligung der Fachbereiche - Wer trägt die Verantwortung für den Prozess?
  • 4-Augen-Prinzip und Funktionstrennung - Laufende Überwachung des Vergabeprozesses (z. B. Alarmmeldungen) und anlassbezogene Aktualisierung des Berechtigungsmanagementkonzeptes
13:00 - 15:30 Uhr

Konkretisierte Anforderungen der neuen BAIT an den ISB und die (IT-)Revision

  • Notwendige Anpassungen der Prüfungsplanung und der Durchführung von Prüfungen mit IT-Bezug – neue Prüffelder – neue Prüfungsansätze
  • Rezertifizierung von Benutzerberechtigungen: Minimale Rechtevergabe und Funktionstrennung – Wie sieht eine revisionssichere Protokollierung aus? – Dokumentation von Interessenkonflikten und des Eskalationsprozesses
  • Sicherheitsseitige Begleitung von IT-Projekten und Umgang mit erkannten Informationssicherheitsrisiken - Auswirkungsanalyse – Wie geht man mit erkannten Risiken um?
  • Individuelle Datenverarbeitung (IDV) mit angemessenen Prozessen unter Berücksichtigung des Schutzbedarfs – Identifikation und Dokumentation von IDV-Anwendungen in Zusammenarbeit mit den Fachabteilungen
  • Risikoorientierte Prozesse zur Änderung von IT-Systemen – Changemanagement und Sicherheitspatches - Wie werden Störungen angemessen dokumentiert/analysiert?
  • Prüfung der Prozesse zur Überwachung und Protokollierung von IT-Systemen – Informationssicherheitsmanagement und SIEM-Prozess –Rückführung der generierten SIEM-Meldungen in das IT-Risikomanagement (AT 7.2 u. AT 4.3.2)
  • Auslagerungen und sonstiger Fremdbezug im Einklang mit den (IT-)Strategien – Cloud-Dienste im Kontext der BAIT – Einbindung der Funktion Informationssicherheit ins (zentrale) Auslagerungsmanagement
15:45 - 17:00 Uhr

Prüfung von Eigenanwendungen und Software-Auslagerungen aus Sicht der Internen Revision

  • Prüfung IT-Governance und der IT-Prozesse/-Systeme – Inwieweit existiert angemessene Personalausstattung/Fachkenntnis für das Management von Informationsrisiken/-sicherheit, IT-Betrieb und Anwendungsentwicklung?
  • Beurteilung des Risikomanagements für IDV-Anwendungen und Schutzbedarfsklassifizierung
  • Überprüfung der Versionierung der Programmdateien – Was muss beachtet werden?
  • Prüfung durchgeführter Qualitätssicherungsmaßnahmen der Fachbereiche
  • Bedeutung & Funktion der Kommunikation zwischen den Fachbereichen und der IT
  • Excel- und IDV-Prüfung durch die (IT-)Revision: häufige Feststellungen – Vorgehensweise – Praxistipps
  • Prüfung der angemessenen Überführung der Restrisiken in den OpRisk- Management-Prozess • Revisionsberichterstattung über (veränderte) ITRisikolage
  • Besondere Anforderungen an die Nutzung von Excel-Anwendungen und IDV durch die Interne Revision selbst

Konditionen und Organisatorisches

Im Teilnahmeentgelt ist die Seminardokumentation als PDF enthalten. Bei der Anmeldung gewähren wir ab dem zweiten Teilnehmer aus demselben Haus bei zeitgleicher Anmeldung einen Preisnachlass von 20%.

Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung. Der Zugang für das Online-Seminar erfolgt über "meinFCH", Sie erhalten rechtzeitig vor dem Seminar eine E-Mail. Ihre Teilnahmebestätigung finden Sie unter MeinFCH. Bitte überweisen Sie den Rechnungsbetrag innerhalb von 30 Tagen nach Zugang der Rechnung. Eine Stornierung Ihrer Anmeldung ist nicht möglich. Eine kostenfreie Vertretung durch Ersatzteilnehmer beim gebuchten Termin dagegen schon. Der Name des Ersatzteilnehmers muss dem Veranstalter jedoch spätestens vor Seminarbeginn mitgeteilt werden. Wir weisen darauf hin, dass eine „Teilnahme“ von anderen als den gebuchten Teilnehmern ansonsten nicht gestattet ist und Schadensersatzansprüche des Veranstalters auslösen. Bei Absage durch den Veranstalter wird das volle Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche. Änderungen des Programms aus dringendem Anlass behält sich der Veranstalter vor.

Tagungsort

ONLINE-Veranstaltung mit ZOOM
die Zugangsdaten erhalten Sie per E-Mail in Nutzung über Plattform Zoom
Telefon: +49 6221-998980
Fax: +49 6221-9989899

Ihre Dozenten

Dr. Thomas Klühspies
Bank Examiner Regional Banking and Financial Supervision
Deutsche Bundesbank


Jürgen Krug
IT-Revisor, stellv. Abteilungsleiter Zentralrevision
Frankfurter Sparkasse


Mike Langer
Revision IT (2641/H)
Landesbank Baden-Württemberg


Ihr Ansprechpartner

Marcus Michel
Tel: +49 6221 9989 8 – 0
E-Mail: info@FCH-Gruppe.de

Sie haben ein Seminar verpasst oder haben an dem Seminartermin keine Zeit?

Dann nutzen Sie die innovative und flexible Non-Stop-Wissensvermittlung per 24/7-Streaming-Plattform FCH BankFlix.

Mehr erfahren
Spezialistenzertifikat

Bilden Sie sich zum Spezialisten in Ihrer Fachrichtung fort und erhalten Sie dafür ein Hochschulzertifikat. Weisen Sie so auch gegenüber der Aufsicht, dem Arbeitgeber und den Kunden Ihre Sachkund...

Mehr erfahren
Werden Sie Sponsor!

Sie sind etablierter bzw. zertifizierter Lösungsanbieter im Finanzsektor? Dann reihen Sie sich ein in die Liste unserer namhaften Kooperationspartner. Werden auch Sie Sponsor und präsentieren Ihre Produkte und Ihr Unternehmen auf unseren Seminaren einer qualifizierten, institutsübergreifenden und klar fokussierten Zielgruppe.

Mit freundlicher Unterstützung von

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.