Aufbau eines effizienten IKS im IT-Bereich

Thomas Maurer, Leiter Interne Revision, Münchner Bank eG

I. Einleitung

Die Bedeutung und der Nutzen eines funktionsfähigen internen Kontrollsystems in allen relevanten Bereichen der Institute ist wohl mittlerweile allen verantwortlichen Akteuren bewusst. Bei der konkreten Umsetzung in der Praxis hingegen sind die Ausprägungen vielfältig und in vielen Instituten noch nicht dort, wo man sie haben möchte. Dies trifft auch auf den IT-Bereich mit seinen besonderen Anforderungen an die fachlichen und persönlichen Fähigkeiten der dort tätigen Mitarbeitenden zu. Auch im Rahmen von Sonderprüfungen der Aufsicht wird das Thema IKS immer wieder bemängelt. Hauptkritikpunkte sind die nicht ordnungsgemäß durchgeführte Rezertifizierung der vergebenen Berechtigungen sowie die nicht durch eine neutrale Stelle oder gar nicht durchgeführte Kontrolle der Tätigkeit der Administratoren. Gerade im Bereich der Administratoren ist auf Grund deren nahezu unbeschränkter Kompetenz das Risiko besonders hoch. Daher sollte gerade dort die regelmäßige Kontrolle durch eine unabhängige Stelle im Interesse jedes einzelnen Instituts liegen. Das Problem bei der Umsetzung liegt meist darin begründet, dass eine neutrale Stelle mit den erforderlichen Fachkenntnissen für eine inhaltliche Kontrolle der administrativen Tätigkeit gerade in kleinen und mittleren Instituten nur schwer zu finden sein wird. Nachfolgend werden die grundlegenden Anforderungen an Kontrollen im IT-Bereich dargestellt sowie mögliche Lösungsansätze diskutiert. Es muss aber allen Entscheidungsträgern bewusst sein, dass derartige Kontrollen mit einem nicht unerheblichen personellen Aufwand und Investitionen in die fachliche Weiterbildung verbunden sein werden.

II. Aufsichtsrechtliche Anforderungen

1. MaRisk [...]
Beitragsnummer: 21910