Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Prüfungsleitfaden BAIT

23.09.2022
Sicherer IT-Einsatz in Kredit- und Finanzdienstleistungsinstituten. Von Axel Becker. Erich Schmidt Verlag GmbH & Co. KG, Berlin 2022, DIIR-Forum, Band 11, 150 Seiten, Preis Euro (D) 44,95 ISBN 978-3-503-20926-2 (gedrucktes Werk), Preis Euro (D) 40,90 ISBN 978-3-503-20927-9 (E-Book).
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im August 2021 die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und eine neue Fassung ihrer Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die Aufsicht beschreibt in den geänderten BAIT, welche Rahmenbedingungen sie aktuell für eine sichere Informationsverarbeitung und Informationstechnik erwartet. Die BAIT fußen auf den MaRisk. Gegenüber der BAIT-Fassung aus dem Jahr 2018 sind die Anforderungen wesentlich erweitert und präzisiert worden. Der vorliegende Prüfungsleitfaden für die Interne Revision beschäftigt sich inhaltlich vollständig mit den Bankaufsichtlichen Anforderungen an die IT und ausgewählten IT-relevanten Mindestanforderungen an das Risikomanagement der Banken.

Der Autor Axel Becker verfügt über eine langjährige Erfahrung im Bereich der Internen Revision im Sektor Finanzdienstleistungen. Er hat bereits verschiedene Leitfäden zur Prüfung der Umsetzung regulatorischer Anforderungen durch die Interne Revision veröffentlicht. Sein wertvolles Wissen und die gewonnenen Erfahrungen hat der Autor in den vorliegenden Band eingebracht.

Der zu den BAIT veröffentlichte Prüfungsleitfaden richtet sich in erster Linie an die Interne Revision in Kreditinstituten, darüber hinaus aber auch an alle, an die sich die BAIT richten: Vorstände, IT-Organisation, Datenschutz, Informationssicherheit, externe Prüfung und Beratung. Da sich die IT-Risiken in Organisationen außerhalb des Finanzsektors nicht grundsätzlich vom regulierten Bereich unterscheiden, können von der BaFin formulierte Erwartungen an einen sicheren und risikoreduzierenden Einsatz von Informationstechnologie auch brauchbare und wichtige Impulse für andere Organisationen im Sinne von Good- / Best-Practice- Ansätzen geben, insbesondere für solche in der kritischen Infrastruktur.

Der Prüfungsleitfaden stellt die Bankaufsichtlichen Anforderungen an die IT umfassend dar und ergänzt das Rundschreiben der BaFin um verschiedene nützliche Aspekte, indem er die IT- Anforderungen kommentiert, erläutert und sinnvoll ergänzt.

Das Buch untergliedert sich in 16 Kapitel. An die Einleitung, in der im Wesentlichen die BAIT und Hintergrundinformationen zur Neufassung gegeben werden, schließen sich ein Kapitel zur risikoorientierten Prüfungsplanung der Internen Revision und einzelne Kapitel zu den Themenbereichen der BAIT und den ausgewählten Themen der MaRisk an. Dies sind im Einzelnen:

• IT-Strategie,
• IT-Governance,
• Informationsrisikomanagement,
• Informationssicherheitsmanagement,
• operative Informationssicherheit,
• Identitäts- und Rechtemanagement,
• IT-Projekte, Anwendungsentwicklung,
• IT-Betrieb,
• Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen,
• IT-Notfallmanagement,
• Management der Beziehungen mit Zahlungsdienstnutzern,
• kritische Infrastrukturen,
• MaRisk AT 7.2: technisch-organisatorische Ausstattung,
• MaRisk AT 7.3: Notfallkonzept.

In Abhängigkeit von ihrer Ausrichtung und der jeweiligen IT-Organisation des Instituts beziehungsweise des Unternehmens werden Anforderungen zum wirksamen Umgang mit IT-Risiken einen wesentlichen Aspekt bei der risikoorientierten Planung der Internen Revision und ihrer Prüfungs- und Beratungsaktivitäten darstellen. Insbesondere Themen wie gestiegene Cybersicherheitsrisiken und Risiken der digitalen Transformation und im Umgang mit neuen Technologien sind in nahezu allen Organisationen aktuell.

Durch die erläuternde, vollständige Darstellung der Anforderungen erhalten Leserinnen und Leser einen schnellen Überblick und Einstieg in die BAIT. Zu allen betrachteten Themen liefert der Prüfungsleitfaden Checklisten mit revisionsseitigen Fragestellungen. Darüber hinaus listet der Autor anlassbezogen Punkte auf, die durch die Interne Revision im Rahmen ihrer Prüfungen geklärt werden sollten und gibt beispielhaft Feststellungen, die durch die Bankenaufsicht im Rahmen ihrer Prüfungen getroffen wurden.

Zusammenfassend lässt sich festhalten, dass der Prüfungsleitfaden aus Sicht der Internen Revision viele nützliche Ansatzpunkte bietet, die bei konkreten Prüfungen, Überlegungen und Beurteilungen berücksichtigt werden können. Die Ausführungen werden durch praktische Erläuterungen, Hinweise und Checklisten ergänzt. Der Prüfungsleitfaden ist insbesondere aufgrund seiner ganzheitlichen und umfassenden Betrachtung für Interne Revisorinnen und Revisoren, die sich mit der Prüfung der Bankaufsichtlichen Anforderungen an die IT beschäftigen, eine lohnende Lektüre und ein nützliches Hilfsmittel.

Diplom-Wirtschaftsmathematiker Diplom-Kaufmann Thomas Gossens, CIA, CISA, CRISC, ACDA, ist Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision der Stadtsparkasse Düsseldorf.

Quelle: ZIR Zeitschrift Interne Revision Ausgabe 4/2022

Programmbereich: Management und Wirtschaft