Prüfung der Angemessenheit von Daten & Prozessen zur Steuerung & Überwachung von IT-Risiken

Neue Aufsichts-Anforderungen an die Risikodaten und Prozesse im IT-Risikomanagement – Besonderheiten im Risikoinventur-Prozess bei IT-Risiken – Nutzung von IT-Risk-Self-Assessments

• Notwendige Prozessänderungen durch MaRisk, BAIT, EBA-ICTLeitlinien und "DORA"
• Anforderungen an die Aufbereitung und Aggregation von aussagekräftigen Risikodaten
• Sinnvolle Frühwarnindikatoren zur Überwachung und Steuerung der IT-Risiken
• Besondere Herausforderungen bei der IT-Risikoinventur und der Beurteilung von IT-Risikoszenarien
• Verankerung von IT-Risiken und Cyber-Risiken im Security Information and Event Management (SIEM) sowie im IT Service Continuity Management (ITSCM)
• Häufige Mängel und identifizierte Schwachstellen in der Praxis

Die neue MaRisk, neuen BAIT sowie die EBA-ICT-Leitlinien und die geplanten "DORA"-Vorgaben rücken die Steuerung und Überwachung von IT-Risiken sowie die damit zusammenhängenden Prozesse und Steuerungsdaten bei Instituten und Dienstleistern deutlich in den Fokus der Aufsicht. Operationelle IT-Risiken und Angriffe von außen nehmen weiter zu – insbesondere die Dezentralisierung der Bank- und IT-Prozesse in der Corona-Krise hat deutliche Schwachstellen in verschiedenen Bankbereichen aufgezeigt. Zunehmend schwerwiegendere Feststellungen bei Aufsichts-, Revisions- und Abschluss- Prüfungen in den Bereichen IT-Risikomanagement und IT-Infrastruktur haben zu weitreichenden Aufsichtsmaßnahmen geführt. Somit kommt der Beherrschung der IT-Risiken eine immer größere Rolle zu. Aber welche Risiko- Daten (u.a. IT-Risiko-Indikatoren) und Prozesse müssen überwacht werden, um eine institutsspezifische, risikoorientierte Steuerung und Überwachung der IT-Risiken sicherzustellen? Besondere Herausforderungen ergeben sich bei der (IT-)Risikoinventur und der Beurteilung von Risikoszenarien. Auch ITDienstleiter- Abhängigkeiten und Cyber- Risiken sind bei der Analyse und Bewertung von IT-Risiken mit zu berücksichtigen und in das Security Information and Event Management (SIEM) sowie das IT Service Continuity Management (ITSCM) mit einzubeziehen.

Der Referent gibt wertvolle Praxistipps bzgl. der Überprüfung der Angemessenheit von Daten und Prozessen zur Steuerung und Überwachung von IT-Risiken anhand konkreter Beispiele.