IT-Risiken im Fokus der Aufsicht

Umsetzung neuer aufsichtlicher Anforderungen

• Erfahrungsbericht: Durchführung / Begleitung von (Sonder-)Prüfungen der BaFin / Bundesbank mit Schwerpunkt IT
• Häufig identifizierte Schwachstellen bei IT-Prüfungen
• IDV, Anwendungsentwicklungen und Testmanagement im Fokus
• Prüfungen mit IT-Bezug durch die (IT-)Revision und den ISB – neue Prüffelder / Prüfungsansätze aufgrund konkretisierter BAIT-Anforderungen
• Prüffelder Change-Management und Releasewechsel
• Prüfungserfahrungen aus der Prüfung des IT-Betriebs und der operativen Informationssicherheit

Zunehmend wesentliche Feststellungen im Bereich der IT zwingen die Banken, sich mehr mit den bestehenden Schwachstellen und Mängeln in ihren IT-Systemen und IT-Prozessen zu beschäftigen. Die MaRisk und BAIT sowie die EBA-Leitlinien zum ICT-/IKT-Risiko und neue DORA-Vorgaben konkretisieren die aufsichtlichen Vorgaben an den IT-Betrieb, der die Aufgabe hat, die Hardware und die zum Betrieb der Hardware erforderliche Software in angemessenem Umfang zur Verfügung zu stellen und störungsfrei zu betreiben. Dabei müssen die Anforderungen, die sich aus der Umsetzung der IT-Strategie / Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, aufsichtskonform erfüllt werden. Hierfür ist ein IT-IKS aufzusetzen und laufend zu überwachen.

Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen. Hierfür benötigen die Institute ein passendes Change- und Releasemanagement. Auch für zeitkritische Änderungen von IT-Systemen sind geeignete Prozesse einzurichten.

Das Seminar liefert wertvolle Praxis-Tipps, Umsetzungs-Hinweise und direkt anwendbare Ansätze zur Prüfung und (weiteren) Umsetzung der aufsichtlichen Anforderungen an die IT.