Aktuelle Erfahrungen aus Prüfungen zur Umsetzung der aufsichtlichen IT-Anforderungen

Identifizierte Schwachstellen bei der Umsetzung der aktuellen MaRisk-/BAIT-/IKT-Anforderungen

• Erfahrungsbericht: Begleitung von (Sonder-)Prüfungen der BaFin/Bundesbank mit Schwerpunkt IT
• Häufig identifizierte Schwachstellen bei IT-Prüfungen
• IDV, Anwendungsentwicklungen und Testmanagement im Fokus der Aufsicht
• Prüfungen mit IT-Bezug durch die (IT-)Revision und Kontrollen durch den ISB – neue Prüffelder/Kontrollfelder und aktuelle Prüfungsansätze aufgrund konkretisierter BAIT-Anforderungen
• Prüffelder Change-Management und Releasewechsel
• Prüfungserfahrungen aus der Prüfung des IT-Betriebs und der operativen Informationssicherheit

Zunehmend wesentliche Feststellungen im Bereich der IT zwingen die Banken, sich mehr mit den bestehenden Schwachstellen und Mängeln in ihren IT-Systemen und IT-Prozessen zu beschäftigen.

Die MaRisk und BAIT sowie die EBA-Leitlinien zum ICT-/IKT-Risiko konkretisieren die aufsichtlichen Vorgaben an den IT-Betrieb, der die Aufgabe hat, die Hardware und die zum Betrieb der Hardware erforderliche Software in angemessenem Umfang zur Verfügung zu stellen und störungsfrei zu betreiben.

Dabei müssen die Anforderungen, die sich aus der Umsetzung der IT-Strategie /Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, aufsichtskonform erfüllen werden. Hierfür ist ein angemessenes IT-IKS aufzusetzen und laufend zu überwachen.

Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen. Hierfür benötigen die Institute ein passendes Change- & Releasemanagement. Auch für zeitkritische Änderungen von IT-Systemen sind geeignete Prozesse einzurichten.

Das Seminar liefert wertvolle Praxis- Tipps, Umsetzungs-Hinweise und direkt anwendbare Ansätze zur Prüfung und (weiteren) Umsetzung der aufsichtlichen Anforderungen an die IT.