COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Suche verfeinern

Nutzen Sie die Filter, um Ihre Suchanfrage weiter zu verfeinern.

Ihre Auswahl

… nach Jahr

Alle Filter entfernen

Suchergebnisse

15 Treffer, Seite 1 von 2, sortieren nach: Relevanz Datum
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

    Axel Becker
    …113 9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Die folgenden Ausführungen beschreiben die Anforderungen an die Auslage-… …rungen und den sonstigen Fremdbezug von IT-Dienstleistungen. Die wesentlichen Vorgaben aus den MaRisk wurden hier nahtlos übernom- men. Als… …Prüfungshinweis für die Interne Revision ist zu entnehmen, dass im Rahmen von MaRisk-Prüfungen des Outsourcings die IT-relevanten Auslage- rungen mit geprüft und… …beurteilt werden sollten. Aufgrund der Bedeutung der BAIT haben diese eine hohe Prüfungsrelevanz, denn die BAIT spezifizieren die MaRisk-Anforderungen zum… …. Die für die Informationssicherheit und das Notfallmanagement verantwortli- chen Funktionen des Instituts werden eingebunden.98) 9.1… …IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewer- ke oder… …Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von… …IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z.B. Re- chenleistung, Speicherplatz, Plattformen oder… …(Cloud-Dienstleis- tungen). Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienst- leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der… …Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Notfallmanagement

    Axel Becker
    …119 10. IT-Notfallmanagement Die Ausführungen zum IT-Notfallmanagement waren mehrfach angekündigt und sind nun in die BAIT aufgenommen worden… …. IT-Notfallplanung Die IT-Notfallplanung spezifiziert und ergänzt die in den MaRisk aufgeführte Notfallplanung für die Belange der IT. Dies ist auch sinnvoll und… …notwendig, denn die IT spielt im Rahmen der weiteren Digitalisierung der Banken und Finanzdienstleistungsunternehmen eine wesentliche Rolle. Wesentliche Pro-… …wie z.B. Schnittstellen zu anderen Bereichen (u.a. Risikomanagement oder Informati- onssicherheitsmanagement).102) Die Rahmenbedingungen haben damit die… …abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfall- konzept). Die… …auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzep- te zu verfügen (vgl. AT 7.3 Tz. 2 MaRisk). Die Wirksamkeit und… …mindestens jährlich und anlassbezogen nachzuweisen (vgl. AT 7.3 Tz. 3 MaRisk). 10.2 Die Ziele und Rahmenbedingungen des IT-Notfallmanagements sind auf Basis… …Wiederherstel- lungspläne sowie die dafür festgelegten Parameter und berücksichtigen Ab- hängigkeiten, um die zeitkritischen Aktivitäten und Prozesse wiederherzu-… …, welche zeit- kritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne zu er- stellen. Tz. 10.4 Die Wirksamkeit der IT-Notfallpläne ist durch… …mindestens jährliche IT- Notfalltests zu überprüfen. Die Tests müssen IT-Systeme, welche zeitkri- tische Aktivitäten und Prozesse unterstützen, vollständig…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Risikoorientierte Prüfungsplanung

    Axel Becker
    …17 Risikoorientierte Prüfungsplanung Die Interne Revision hat die Prüffelder der BAIT und der MaRisk in Bezug auf IT-Themen analog zu den weiteren… …Prüffeldern der MaRisk innerhalb der risikoorientierten Prüfungsplanung zu berücksichtigen. Es ist zu empfehlen, die Prüffelder in die regelmäßig… …durchzuführenden Jahresplanungen zu inte- grieren. Sowohl durch den Jahresabschlussprüfer als auch durch einen mög- lichen Sonderprüfer (nach § 44 KWG) könnte die… …tuten zu schärfen. Unter dem Begriff IT-Risiko versteht die Aufsicht alle Ri- siken für die Vermögens- und Ertragslage der Institute, die aufgrund von… …Mängeln entstehen, die das IT-Management bzw. die IT-Steuerung, die Ver- fügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das in- terne… …Kontrollsystem der IT-Organisation, die IT-Strategie, -leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnolo- gie betreffen.14)… …wichtig, dass sich die Interne Revision auf die wesentlichen Risi- ken im Institut konzentriert, bzw. den Prüfungsturnus daraus ableitet. Die MaRisk sehen… …eine risikoorientierte Prüfungsplanung explizit vor.15) Die Ak- tivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert sind, in… …angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen.16) Für die risikoorientierte Bewertung der Internen Revision sind mehrere Schritte… …erforderlich. Die BaFin stellt in dem Anschreiben zu den BAIT die herausragende Bedeu- tung der IT als Basisinfrastruktur für sämtliche bankfachlichen, aber…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Einleitung

    Axel Becker
    …11 Einleitung Mit der am 16. 8. 2021 veröffentlichten BAIT-Novelle übernimmt die BaFin die Leitlinien der Europäischen Bankenaufsichtsbehörde EBA… …für das Mana- gement von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in die BAIT. Das Kürzel IKT steht für Informations- und… …Kommunikationstechnologien.1) Wei- terhin wurden verschiedene Kapitel inhaltlich neu strukturiert. Die IT-Regu- latorik – welche über die EBA veröffentlicht wurde – ist damit… …zunehmend auch von den europäischen Mitwettbewerbern einzuhalten. Sofortiges Inkrafttreten Die neuen BAIT treten mit ihrer Veröffentlichung sofort in Kraft… …. Wie bereits im Fachgremium IT besprochen wurde, sind Übergangsfristen für die Neue- rungen der BAIT nach Auffassung der Aufsicht nicht notwendig, da es… …sich bei den Neuerungen um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt.2) Für die Institute… …bedeutet dies dennoch einen hohen Umsetzungsdruck, denn die Jahresab- schlussprüfer werden bereits im nächsten Jahresabschluss zum Umsetzungs- stand der… …neuen BAIT berichten; die Berichte gehen automatisch zur Aufsicht. Gleichzeitig stellt der Themenbereich der IT neben dem Adressen- ausfallrisiko einen… …der zentralen Themenschwerpunkte für IT-Sonderprüfun- gen dar. Die einzelnen Vorstände haben die zügige Umsetzung zu verantwor- ten. Hintergrund der… …Neufassung Wesentlicher Grund für die Neufassung der BAIT war letztlich die Veröffent- lichung der „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ im…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Strategie

    Axel Becker
    …21 1. IT-Strategie Nach den MaRisk hat die Geschäftsleitung eine nachhaltige Geschäftsstrate- gie festzulegen, in der die Ziele des Instituts für… …Geschäftsstrategie sind sowohl exter- ne Einflussfaktoren, wie z.B. die Marktentwicklung, die Wettbewerbssituati- on sowie das regulatorische Umfeld, als auch interne… …Einflussfaktoren, wie z.B. die Risikotragfähigkeit, die Liquidität, die Ertragslage sowie personelle und technisch-organisatorische Ressourcen, mit zu… …berücksichtigen.19) Im Hinblick auf die zukünftige Entwicklung der relevanten Einflussfaktoren sind Annahmen zu treffen.20) Diese Annahmen sind einer regelmäßigen bzw… …. anlassbezogenen Überprüfung zu unterziehen; erforderlichenfalls ist die Ge- schäftsstrategie anzupassen.21) Dabei steigt auch die Bedeutung der IT-Themen in den… …strategischen Aussa- gen der Unternehmen. Denn für viele Finanzdienstleister sind die Investitio- nen in eine moderne und leistungsfähige IT existenziell. Die… …Themenbereiche Digitalisierung und IT-Sicherheit sind mittlerweile feste Bestandteile der strategischen Ausrichtung vieler Kreditinstitute. Die Ausstattung und… …Organisation der IT innerhalb des Kreditinstituts ge- hört originär zu den Aufgaben der Geschäftsleitung, die eine ordnungsgemä- ße Geschäftsorganisation im… …Kreditinstitut vorhalten muss. Wichtig ist der Aufsicht die nachhaltige Ausgestaltung, d.h. die Berücksichtigung des Going- Concern-Prinzips. Gleichzeitig wird ein… …Prüfungen die Mechanismen zur Überprüfung einzelner strategischen Ziele – sog. Key Per- formance Indicators (KPI) – enorm an Bedeutung. Dabei geht es darum…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    MaRisk AT 7.2: Technisch-organisatorische Ausstattung

    Axel Becker
    …139 13. MaRisk AT 7.2: Technisch-organisatorische Ausstattung Die technisch-organisatorische Ausstattung soll in den Kreditinstituten si-… …cherstellen, dass die Erfordernisse der MaRisk auf Basis der verfügbaren IT- Systeme und -Ausstattungen eingehalten werden können.119) Die Anforderung… …berücksichtigt das Proportionalitätsprinzip bei der Umset- zung der MaRisk. Hierbei müssen kleine Institute nicht die umfangreiche In- frastruktur bereithalten wie… …beispielsweise systemrelevante Institute (Groß- banken). Die Interne Revision sollte im Rahmen ihrer Prüfungen auch eine Einstufung und Beurteilung der… …MaRisk – Bearbeitungs- und Prüfungsleitfaden, 3. Auflage, Becker, A. /Berndt, M. /Klein, J. (Hrsg.), Heidelberg 2013, S. 181. MaRisk AT 7.2, Tz. 2 Die… …IT-Systeme (Hardware- und Software-Komponenten), die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die… …Verfügbarkeit, die Authentizität sowie die Vertraulich- keit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der… …einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen… …in einem Rollenmodell ist mög- lich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regel- mäßig von den fachlich und technisch… …gehören beispielsweise geschäftsrelevante In- formationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zu- gehörigen IT-Prozesse sowie Netz-…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationsrisikomanagement

    Axel Becker
    …Maßnahmen zu vergleichen. Die daraus abgeleite- te Transparenz der IT-Risikosituation und die Akzeptanz des ermittelten IT- Restrisikos durch die… …Geschäftsleitung ist die zentrale Anforderung zur Schärfung des IT-Risikobewusstseins im Institut und gegenüber IT-Dienst- leistern.33) Zusammengefasst benötigen… …die Institute funktionsfähige IT-Prozesse und ein funktionsfähiges IT-Management für die betriebsinternen Informations- risiken. 3.1 Die… …7.2 Tz. 1 MaRisk). IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informations- verbundes müssen die Integrität, die… …Verfügbarkeit, die Authentizität so- wie die Vertraulichkeit der Daten sicherstellen (vgl. AT 7.2 Tz. 2 MaRisk). Das Institut hat die mit dem Management der… …diesbezügliche Berichtspflichten zu definieren (vgl. BT 3.2 Tz. 1 MaRisk). 33) Vgl. BaFin: IT-Sicherheit: Aufsicht konkretisiert Anforderungen an die Kredit-… …wirtschaft vom 15. 1. 2018 (https://www.bafin.de/SharedDocs/Veroeffentlichun- gen/DE/Fachartikel/2018/fa_bj_1801_BAIT.html). 3.2 Die Bestandteile eines… …Interessenkonflikten umzusetzen. 3. Informationsrisikomanagement 42 Die Aufsicht betont hierbei die Freiheit von Interessenkonflikten in der Um- setzung. Hierbei… …hat sich in der Praxis die strikte Umsetzung des Three(Four)-Lines-of-Defense-Ansatzes als zielführend erwiesen, der die kla- re Struktur der… …den maßgeblichen Stellen gehören auch die IT- relevanten Fachbereiche, die Eigentümer der Informationen sind.34) Informationsverbund Zu einem…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Betrieb

    Axel Becker
    …101 8. IT-Betrieb In diesem Kapitel werden die Anforderungen aus den MaRisk und BAIT an den IT-Betrieb betrachtet. Die BAIT liefert dabei konkrete… …Datensicherung. Gemäß AT 7.2 Tz. 1 MaRisk muss sich der Umfang und die Qualität der tech- nisch-organisatorischen Ausstattung an den betriebsinternen Erfordernis-… …Prozessen auf die Verwendung gängiger Standards verwiesen. Für IT-Pro- zesse und den IT-Betrieb ist ITIL88) ein solcher Standard. Für die Verwaltung von… …IT-Systemen empfiehlt sich die Verwendung einer Configuration Management Database (CMDB)89). Ziel einer CMDB ist es, alle relevanten Informationen zu einem… …Unterstützung von Service-Pro- zessen in Bezug auf die IT-Systeme. Für den IT-Standard ITIL dient die CMDB als zentrale Datenbasis des gesamten… …IT-Servicemanagements. 8.1 Der IT-Betrieb hat die Anforderungen, die sich aus der Umsetzung der Ge- schäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen… …erge- ben, zu erfüllen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk). 8.2 Die Komponenten der IT-Systeme und deren Beziehungen zueinander sind in geeigneter… …Weise zu verwalten, und die hierzu erfassten Bestandsanga- ben regelmäßig sowie anlassbezogen zu aktualisieren. 88) ITIL ist die „IT-Infrastructure… …Datenverlust. Zum akzeptierten Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie zum maximal tolerierbaren Datenverlust sei auf die Schutzbedarfsziele ver-… …eine große Funk- tionserweiterung handelt. Die Change-Management-Prozesse sollten dabei aber in unterschiedlicher Tiefe, abhängig von Art, Umfang…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Operative Informationssicherheit

    Axel Becker
    …69 5. Operative Informationssicherheit Das Kapitel Operative Informationssicherheit wurde neu in die BAIT einge- fügt. Hierbei sollen die… …. Anforderungen an die operative Informationssicherheit Die Anforderungen an die operative Informationssicherheit setzen für die IT- Systeme, die zugehörigen… …Anforderungen. Es geht hier insbesondere um die Funktionsfähigkeit der internen Kontrollsysteme in den einzelnen Insti- tuten. Dies ist auch für die Interne… …Revision ein wichtiger Ansatzpunkt und Inhalt der IT-Prüfungen. Die Folgeabschnitte führen die bankaufsichtsrecht- lichen Anforderungen im Einzelnen auf… …. 5.1 Die operative Informationssicherheit setzt die Anforderungen des Informa- tionssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Pro- zesse… …und sonstige Bestandteile des Informationsverbundes müssen die In- tegrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten… …. AT 7.2 Tz. 2 MaRisk). Für IT-Risiken sind an- gemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von… …IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutz- maßnahmen für den IT-Betrieb sowie die Festlegung… …. Protokolldaten, Mel- dungen und Störungen, welche Hinweise auf Verletzung der Schutzziele ge- ben können. Regelbasierte Auswertungen Die regelbasierte Auswertung… …sicher- heitsrelevanter Ereignisse zu definieren. Regeln sind vor Inbetriebnahme zu testen. Die Regeln sind regelmäßig und anlassbezogen auf Wirksamkeit zu…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationssicherheitsmanagement

    Axel Becker
    …49 4. Informationssicherheitsmanagement In AT 7.2 Tz. 2 MaRisk werden Anforderungen an die IT-Systeme und die zu- gehörigen IT-Prozesse gestellt… …. Dabei sind die Integrität, die Verfügbarkeit, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. Bei der Ausgestaltung der IT-Systeme… …und IT-Prozesse verweisen die MaRisk auf gängige Standards wie z.B. die IT-Grundschutz-Standards und -Kataloge41) des Bundesamts für Sicherheit in der… …Informationstechnik (BSI) und die internationalen Sicherheitsstandards ISO/IEC 2700X der International Organization for Standardization. Insbesondere der BSI-Standard… …gesetzt werden kann. Ziele des Informationssicherheitsmanagements Ziele des Informationssicherheitsmanagements sind die Definition, Steue- rung, Kontrolle… …, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit. Verantwortlich für die Einrichtung der unterneh- mensweiten Informationssicherheit ist… …die Geschäftsleitung. Der Informati- onssicherheitsbeauftragte ist für die operative Umsetzung des ISMS zustän- dig und hat die Geschäftsleitung… …laufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichts- pflichten des… …Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk. 41) Vgl. BSI IT-Grundschutz-Standards und… …-Kataloge (https://www.bsi.bund.de/). 4. Informationssicherheitsmanagement 50 Informationssicherheitsleitlinie Die Informationssicherheitsleitlinie…
    Alle Treffer im Inhalt anzeigen
zurück 1 2 weiter ►

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2026 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance