NEUE BAIT 2021

Notfallmanagement & BCM • Abgrenzungsfragen zu IT-Auslagerung • Auswirkungen IT-Strategie/IT-Governance • rollenbasierte Zugriffsrechte • Schutzbedarfs- & Risikoanalysen

Die Konkretisierungen der MaRisk durch die neuen BAIT führen zu deutlichen Prüfungsschwerpunkten der Aufsicht. Die Verantwortung der Geschäftsführung und von Leitungspositionen für die strategische Ausrichtung der Banken-IT wird deutlicher hervorgehoben; die Anforderungen beziehen sich dabei nicht nur auf die technische, sondern auch auf die personelle und finanzielle Ebene. Die Aufsicht geht verstärkt davon aus, dass die Banken bereits ihre IT entsprechend organisiert und die daraus entstehenden IT-Risiken im Blick haben. Daher prüft sie auch fokussierter, wie diese Konzepte in der Praxis implementiert wurden und wie diese funktionieren.

In diesem Seminar werden aktuelle Prüfungs- & Praxisfragen aller Themenbereiche der neuen BAIT vom Referententeam detailliert analysiert und mit Handlungsempfehlungen praxisnah vermittelt.

Inhaltsverzeichnis:

Nächster Termin

17.03.2021 - 18.03.2021 Zoom 1.290,00 €
Prospekt herunterladen

Seminarthemen und Agenda

10:00 - 15:00 Uhr

Wesentliche Änderungen der neuen BAIT und Erwartungen der Aufsicht hinsichtlich Umsetzung und Anpassungen in den Instituten

 Anforderungen an die IT-Strategie und IT-Governance der Institute

  • Zunehmende Bedeutung der IT: IT-Risiken & Cyber-Risiken stärker im Fokus der Aufsicht – Schwerpunkte und Auslegung der Aufsicht (MaRisk, BAIT, EBA)
  • Anforderungen an die bewusste Steuerung der IT-Risiken (OpRisk) – richtige Ableitung, Formulierung, Messung und Kontrolle von Zielen im Rahmen eines gut dokumentierten IT-Strategieprozesses
  • Konsistenzschwächen zwischen IT-, Risiko- und Ressourcenstrategie vermeiden – Anforderungen an das Monitoring und Erfolgskontrolle abgeleiteter Maßnahmen- häufige Schwachstellen aus der Prüfungspraxis
  • Analyse der IT-Struktur (fachbereichsübergreifend) – Basis für Schutzbedarfsfeststellungen und Steuerungen von IT-Risiken

 IT-Auslagerungen im Fokus

  • Konkretisierung durch die BAIT – Steuerung und Transparenz im Mittelpunkt
  • Prüfung von Weiterverlagerungen bis zum letzten Weiterverlagerungslevel (!?) – Anforderungen an vertragliche Gestaltung
  • Prüfung großer IT-Dienstleister – Relevante Auslegungsfragen

 Erwartungen an den IT-Betrieb und das IT-Sicherheitsmanagement

  • Konkrete Erwartungen an das Datensicherungskonzept
  • Notfallmanagement (BCM) bzw. Security Information Event Management (SIEM)

 Berechtigungsmanagement

  • Eindeutige Dokumentation über den Prozess zur Vergabe, Kontrolle und Löschung – häufige Schwächen und Feststellungsquellen
  • Einstufung und Protokollierung kritischer Zugriffsrechte – regelmäßiger Abgleichmit dem SOLL-Berechtigungskonzept
  • Im Fokus: Rezertifizierung - Anforderung an die Fachbereiche, die Rolle der IT und die Zusammenarbeit zwischen den Bereichen
  • Einrichtung angemessener Prozesse zur Protokollierung und Zuordnung der Verantwortung einer unabhängigen Stelle

 Konkrete Anforderungen an IT-Projekte und Anwendungsentwicklung / IDV

  • Inventarisierung der IT-Systeme - Abhängigkeiten und daraus resultierende OpRisk (IT)
  • Identifikation und Bewertung abhängiger IT-Risiken – Gefahr und Vermeidung doppelter Bewertung

 Anforderungen an die Datenqualität im Informations-Risiko-Management – verschärfte Anforderungen an alle Institute (LSI+SI)

  • Anforderungen an die Datenqualität – Konsequenzen für die Erfassung, Überwachung und Reporting von Risikodaten, insb. IT-OpRisk
  • Nachvollziehbarkeit und Aussagefähigkeit der Risikoberichte – inwieweit stehen quantitative Informationen und qualitative Beurteilungen in einem angemessenen Verhältnis?
  • Mangelnde Nachvollziehbarkeit bei der Einteilung der Schutzklassen bei der Schutzbedarfsfeststellung – häufige Problembereiche
15:15 - 17:00 Uhr

Operationalisierung der neuen BAIT-Vorgaben – Auswirkungen auf die IT-Strategie und IT-Governance

  • Operationalisierung der neuen regulatorischen IT-Vorgaben in den Bankprozessen zur Sicherstellung einer aufsichtskonformen IT-Governance
  • Proportionale Umsetzung der EBA Leitlinien zum Management von IKT- und Sicherheits-Risiken im Zusammenspiel mit BAIT und MaRisk – Anpassungsbedarf im Risikomanagement zur Vermeidung negativer Auswirkungen auf das Risikoprofil
  • Implementierung risikoorientierter (Schlüssel-)Kontrollen in den (IT-)Prozessen
  • Möglichkeiten der Überwachung und Kontrolle aufsichtlicher IT-Vorgaben mit Hilfe einer „IT-Governance-Roadmap“
09:00 - 13:00 Uhr

BAIT in der PrüfungspraxisPrüfungsschwerpunkt IT-Auslagerungen – Häufige Aufsichts-Mängel, vermeidbare Feststellungen & neue Prüffelder

  • IT-Auslagerungen und IT-Fremdbezüge als Schwerpunkt der neuen MaRisk, BAIT und EBA-Leitlinien
  • Allgemeine Anforderungen an die Steuerung von wesentlichen und unwesentlichen (IT)-Auslagerungen
  • Berücksichtigung aller fremdbezogenen Dienstleistungen (Auslagerungen sowie Fremdbezüge) in der Risikobewertung und -steuerung
  • Problemfelder „Nicht aktuelle Outsourcing-Strategien“ und „fehlende Auslagerungsgovernance“
  • Problemfelder „Anlassbezogene Prüfungen von IT-Dienstleistungen“, IT-Weiterverlagerungen“ und „Konzentrationsrisiken“– Betrachtung der Wesentlichkeit, Steuerbarkeit, Vertragsgestaltung und Ausstiegsszenarien
  • Problemfelder „lückenhafte laufende Überwachung der SLA-Vereinbarungen“, „unvollständige Risikoanalysen“, „fehlende Organisationsrichtlinien und Dokumentationen“ 
  • Besondere Auffälligkeiten in den Finanzverbünden
  • Implementierung eines zentralen Auslagerungsmanagements - Klare Kontroll- und Überwachungsprozesse
  • Exit- Strategien 
  • Dienstleister-Reporting
  • Umgang mit BCM-Schwachstellen bei Dienstleistern

Erwartungen der neuen BAIT an den Umgang mit Cloud-Computing 

  • Prüfung von Risiken (in) der Cloud – Stark zunehmende Anzahl von Cloud- Auslagerungen deutscher Institute zur Datenspeicherung & Datenverwaltung und damit zunehmende Outsourcing-Risiken und zunehmende Komplexität der Dienstleister(über)Prüfungen
  • Prüfung der Cyber-Governance durch die Interne Revision – Prüfung des Umgangs mit Cyberrisken, insbesondere deren Abbildung im Risikomanagement sowie Empfehlungen zur Vertragsgestaltung mit Cloud-Anbietern.
  • Vorgaben der EBA-GL on Outsourcing hinsichtlich Auslagerungen an Cloud- Service-Provider – Proportionale Umsetzung durch die Institute und Prüfungsanforderungen an die Revision – Kontrollintensität bei Cloudauslagerungen in Abhängigkeit der Komplexität der Dienstleistermodelle und Art der Cloud-Bereitstellung
  • Besondere Prüfungshandlungen bei wesentlichen Cloud-Auslagerungen & Weiterverlagerungen in Drittstaaten - Prüfung der IT-Notfallplanung (auch beim Dienstleister!)
  • Praxis- und Prüfungstipps für zielgerichtete Prüfungshandlungen und aufsichtskonforme Prüfungsdokumentation

Konditionen und Organisatorisches

Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung. Den Zugangslink nebst Code erhalten Sie am Vortag des Seminars. Dieser ermöglicht Ihnen die Teilnahme am Seminar. Ihre Teilnahmebestätigung finden Sie unter MeinFCH. Bitte überweisen Sie den Rechnungsbetrag innerhalb von 30 Tagen nach Zugang der Rechnung.

Eine Stornierung Ihrer Anmeldung ist nicht möglich. Eine kostenfreie Vertretung durch Ersatzteilnehmer beim gebuchten Termin dagegen schon. Der Name des Ersatzteilnehmers muss dem Veranstalter jedoch spätestens vor Seminarbeginn mitgeteilt werden. Wir weisen darauf hin, dass eine „Teilnahme“ von anderen als den gebuchten Teilnehmern ansonsten nicht gestattet ist und Schadensersatzansprüche des Veranstalters auslösen.

Bei Absage durch den Veranstalter wird das volle Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche. Änderungen des Programms aus dringendem Anlass behält sich der Veranstalter vor.

Tagungsort

ONLINE-Veranstaltung mit ZOOM
die Zugangsdaten erhalten Sie per E-Mail in Nutzung über Plattform Zoom
Telefon: +49 6221-998980
Fax: +49 6221-9989899

Nächster Termin

17.03.2021 - 18.03.2021

Ihre Dozenten

Jörg Bretz
Prüfungsleiter Bankgeschäftliche Prüfungen
Deutsche Bundesbank


Désirée Heunemann
Fachbereichsleiterin IT-Governance
Deutsche Kreditbank AG


Prof. Dr. Ralf Kühn
Geschäftsführer, WP/CPA, CIA, CISA
Finance Audit GmbH


Durch unsere Hybrid-Lösung haben Sie die Wahl:

  • Entweder besuchen Sie das Seminar vor Ort oder
  • Sie besuchen das Seminar LIVE im virtuellen Raum über unsere Online-Lösung
Weitere Infos zur Online-Lösung finden Sie HIER.

Spezialistenzertifikat

Bilden Sie sich zum Spezialisten in Ihrer Fachrichtung fort und erhalten Sie dafür ein Hochschulzertifikat. Weisen Sie so auch gegenüber der Aufsicht, dem Arbeitgeber und den Kunden Ihre Sachkund...

Mehr erfahren
Erwerben Sie die Dokumentation

Bei Seminarteilnahme erhalten Sie die Dokumentation bereits inklusive.

Werden Sie Sponsor!

Sie sind etablierter bzw. zertifizierter Lösungsanbieter im Finanzsektor? Dann reihen Sie sich ein in die Liste unserer namhaften Kooperationspartner. Werden auch Sie Sponsor und präsentieren Ihre Produkte und Ihr Unternehmen auf unseren Seminaren einer qualifizierten, institutsübergreifenden und klar fokussierten Zielgruppe.

Mit freundlicher Unterstützung von

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.