IT-Prüfungen im Fokus der Aufsicht

Identifizierte Schwachstellen bei der Umsetzung der aktuellen MaRisk-/BAIT-Anforderungen
Erweiterte Anforderungen an (IT-)Revision und Fachbereiche

• Erfahrungsbericht: Begleitung von (Sonder-)Prüfungen der BaFin/Bundesbank mit Schwerpunkt IT
• Häufig identifizierte Schwachstellen bei IT-Prüfungen
• IDV, Anwendungsentwicklungen und Testmanagement im Fokus der Aufsicht
• Prüfungen mit IT-Bezug durch die (IT-)Revision und den ISB – neue Prüffelder und neue Prüfungsansätze aufgrund konkretisierter BAIT-Anforderungen
• Prüffelder Change-Management und Releasewechsel
• Prüfungserfahrungen aus der Prüfung des IT-Betriebs und der operativen Informationssicherheit

Zunehmend wesentliche Feststellungen im Bereich der IT zwingen die Banken, sich mehr mit den bestehenden Schwachstellen und Mängeln in ihren IT-Systemen und IT-Prozessen zu beschäftigen. Die neuen MaRisk und neuen BAIT sowie die EBA-Leitlinien zum ICT-/IKT-Risiko konkretisieren die aufsichtlichen Vorgaben an den IT-Betrieb, der die Aufgabe hat, die Hardware und die zum Betrieb der Hardware erforderliche Software in angemessenem Umfang zur Verfügung zu stellen und störungsfrei zu betreiben. Dabei müssen die Anforderungen, die sich aus der Umsetzung der IT-Strategie/Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, aufsichtskonform erfüllen werden. Hierfür ist ein IT-IKS aufzusetzen und laufend zu überwachen.

Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen. Hierfür benötigen die Institute ein passendes Change- & Releasemanagement. Auch für zeitkritische Änderungen von IT-Systemen sind geeignete Prozesse einzurichten.

Das Seminar liefert wertvolle Praxis- Tipps, Umsetzungs-Hinweise und direkt anwendbare Ansätze zur Prüfung und (weiteren) Umsetzung der aufsichtlichen Anforderungen an die IT.