Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht

Prüfungs-Schwerpunkte & Prüfungs-Ansätze: Notfallmanagement • Auslagerung • IT-Strategie/IT-Governance • rollenbasierte Zugriffsrechte • Schutzbedarfs- & Risikoanalysen

Die NEUEN BAIT setzen die "IT-Leitlinien" der EBA um und beinhalten neue Kapitel (u.a. zum Notfallmanagement), die die Neuen MaRisk weiter konkretisieren sollen. Hier besteht weitreichender Anpassungsbedarf bei den Instituten. Durch die zunehmend komplexere Ausgestaltung der IT in den Instituten steigen die aufsichtlichen Anforderungen und damit auch die Prüfungsintensität von Interner Revision und externen Prüfern.

Erfahrene Referenten aus Bundesbank, Revision und Wirtschaftsprüfung beleuchten die Neuerungen sowie die damit einhergehenden umzusetzenden Maßnahmen und geben wertvolle Praxis-Tipps.

Inhaltsverzeichnis:

Nächster Termin

25.11.2020 - 26.11.2020 Düsseldorf 1.400,00 €
Prospekt herunterladen

Seminarthemen und Agenda

10:00 - 14:30 Uhr

Wesentliche Änderungen der neuen BAIT und Erwartungen der Aufsicht hinsichtlich Umsetzung und Anpassungen in den Instituten

⇒ Anforderungen an die IT-Strategie und IT-Governance der Institute

  • Zunehmende Bedeutung der IT: IT- & Cyber-Risiken stärker im Aufsichts-Fokus: Schwerpunkte und Auslegung der Aufsicht (MaRisk, EBA on ICT-Risk, BAIT)
  • Anforderungen an die bewusste Steuerung der IT-Risiken (OpRisk) – richtige Ableitung, Formulierung, Messung und Kontrolle von Zielen im Rahmen eines gut dokumentierten IT-Strategieprozesses
  • Konsistenzschwächen zwischen IT-, Risiko- und Ressourcenstrategie vermeiden – Anforderungen an das Monitoring und Erfolgskontrolle abgeleiteter Maßnahmen- häufige Schwachstellen aus der Prüfungspraxis
  • Analyse der IT-Struktur (fachbereichsübergreifend) – Basis für Schutzbedarfsfeststellungen und Steuerungen von IT-Risiken

Neue Anforderungen an die Datenqualität im Informations-Risiko-Management

  • Anforderungen an die Datenqualität – Konsequenzen für die Erfassung, Überwachung und Reporting von Risikodaten, insb. IT-OpRisk
  • Nachvollziehbarkeit und Aussagefähigkeit der Risikoberichte: angemessenes Verhältnis von quantitativen Informationen und qualitativer Beurteilung
  • Mangelnde Nachvollziehbarkeit bei der Einteilung der Schutzklassen bei der Schutzbedarfsfeststellung – häufige Problembereiche

Erwartungen an den IT-Betrieb und das IT-Sicherheitsmanagement

  • Konkrete Erwartungen an das Datensicherungskonzept
  • Notfallmanagement (BCM) bzw. Security Information Event Management (SIEM)

Berechtigungsmanagement

  • Eindeutige Dokumentation über den Prozess zur Vergabe, Kontrolle und Löschung – häufige Schwächen und Feststellungsquellen
  • Einstufung und Protokollierung kritischer Zugriffsrechte – regelmäßiger Abgleichmit dem SOLL-Berechtigungskonzept
  • Im Fokus: Rezertifizierung - Anforderung an die Fachbereiche, die Rolle der IT und die Zusammenarbeit zwischen den Bereichen
  • Einrichtung angemessener Prozesse zur Protokollierung und Zuordnung der Verantwortung einer unabhängigen Stelle

Konkrete Anforderungen an IT-Projekte und Anwendungsentwicklung / IDV

  • Inventarisierung der IT-Systeme - Abhängigkeiten und daraus resultierende OpRisk (IT)
  • Identifikation und Bewertung abhängiger IT-Risiken – Gefahr und Vermeidung doppelter Bewertung

IT-Auslagerungen im Fokus

  • Konkretisierung durch die BAIT – Steuerung und Transparenz im Mittelpunkt
  • Prüfung von Weiterverlagerungen bis zum letzten Weiterverlagerungslevel (!?) – Anforderungen an vertragliche Gestaltung
  • Prüfung großer IT-Dienstleister – Relevante Auslegungsfragen
15:00 - 17:00 Uhr

Umsetzungstipps zu Informationsrisiko- und Informationssicherheits-Management – häufige Problemfelder und Prüfungsschwerpunkte

  • Häufige Probleme im Informationsverbund: Überblick, Aktivitäten und Ableitungen
  • Change- und Releasemanagement
  • Informationssicherheitsmanagement: Handlungsempfehlungen zur Prozessgestaltung, Dokumentation und zum Test des Informationssicherheitsvorfalls - Praxiserfahrungen zu angemessenen Nachsorgemaßnahmen
  • Prüfung der Umsetzung nationaler und internationaler Standards und Best Practices (Cobit, ITIL, BSI, ISO etc.)
  • Handlungsempfehlungen und Praxisbeispiele aus aktuellen IT-Prüfungserfahrungen
09:00 - 13:00 Uhr

Konkretisierte Anforderungen der neuen BAIT an den ISB und die (IT-)Revision

  • Notwendige Anpassungen der Prüfungsplanung und der Durchführung von Prüfungen mit IT-Bezug – neue Prüffelder – neue Prüfungsansätze
  • Rezertifizierung von Benutzerberechtigungen: Minimale Rechtevergabe und Funktionstrennung – Wie sieht eine revisionssichere Protokollierung aus? – Dokumentation von Interessenkonflikten und des Eskalationsprozesses
  • Sicherheitsseitige Begleitung von IT-Projekten und Umgang mit erkannten Informationssicherheitsrisiken - Auswirkungsanalyse – Wie geht man mit erkannten Risiken um?
  • Individuelle Datenverarbeitung (IDV) mit angemessenen Prozessen unter Berücksichtigung des Schutzbedarfs – Identifikation und Dokumentation von IDV-Anwendungen in Zusammenarbeit mit den Fachabteilungen
  • Risikoorientierte Prozesse zur Änderung von IT-Systemen – Changemanagement und Sicherheitspatches - Wie werden Störungen angemessen dokumentiert/analysiert?
  • Prüfung der Prozesse zur Überwachung und Protokollierung von IT-Systemen – Informationssicherheitsmanagement und SIEM-Prozess –Rückführung der generierten SIEM-Meldungen in das ITRisikomanagement(AT 7.2 u. AT 4.3.2)

Konditionen und Organisatorisches

Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung. Den Zugangslink nebst Code erhalten Sie am Vortag des Seminars. Dieser ermöglicht Ihnen die Teilnahme am Seminar. Ihre Teilnahmebestätigung finden Sie unter MeinFCH. Dort finden Sie eine Woche nach dem Termin auch den Filmmitschnitt des Seminars für die Dauer von 3 Monaten. Bitte überweisen Sie den Rechnungsbetrag innerhalb von 30 Tagen nach Zugang der Rechnung.

Eine Stornierung Ihrer Anmeldung ist nicht möglich. Eine kostenfreie Vertretung durch Ersatzteilnehmer beim gebuchten Termin dagegen schon. Der Name des Ersatzteilnehmers muss dem Veranstalter jedoch spätestens vor Seminarbeginn mitgeteilt werden. Wir weisen darauf hin, dass eine „Teilnahme“ von anderen als den gebuchten Teilnehmern ansonsten nicht gestattet ist und Schadensersatzansprüche des Veranstalters auslösen.

Bei Absage durch den Veranstalter wird das volle Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche. Änderungen des Programms aus dringendem Anlass behält sich der Veranstalter vor.

Tagungsort

WhiteLoft Studio Düsseldorf
Ackerstraße 19 in 40233 Düsseldorf
Telefon: +49. 171 – 99 444 98
https://whiteloft.de/

Nächster Termin

25.11.2020 - 26.11.2020

Ihre Dozenten

Jörg Bretz
Prüfungsleiter Bankgeschäftliche Prüfungen
Deutsche Bundesbank


Prof. Dr. Ralf Kühn
Geschäftsführer
Finance Audit GmbH


Mike Langer
Revision IT (2641/H)
Landesbank Baden-Württemberg


Durch unsere Hybrid-Lösung haben Sie die Wahl:

  • Entweder besuchen Sie das Seminar vor Ort oder
  • Sie besuchen das Seminar LIVE im virtuellen Raum über unsere Online-Lösung
Weitere Infos zur Online-Lösung finden Sie HIER.

Spezialistenzertifikat

Bilden Sie sich zum Spezialisten in Ihrer Fachrichtung fort und erhalten Sie dafür ein Hochschulzertifikat. Weisen Sie so auch gegenüber der Aufsicht, dem Arbeitgeber und den Kunden Ihre Sachkund...

Mehr erfahren
Erwerben Sie die Dokumentation

Bei Seminarteilnahme erhalten Sie die Dokumentation bereits inklusive.

Werden Sie Sponsor!

Werden auch Sie Sponsor und präsentieren Ihre Produkte und Ihr Unternehmen auf unseren Seminaren einer qualifizierten, institutsübergreifenden und klar fokussierten Zielgruppe.

Mehr erfahren
Mit freundlicher Unterstützung von

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, nutzen wir Google Analytics und hierfür erforderliche Cookies. Weitere Infos finden Sie in unseren Datenschutzhinweisen.