deen
Nexia Ebner Stolz

MaRisk und BAIT im Kontext des IDW PS330

Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) werden seitens der BaFin als zentrale Grundlage für die nationale IT-Aufsicht im Bankensektor gesehen. Grundlage für die Prüfung der IT von Unternehmen im Rahmen der Jahresabschlussprüfung ist der IDW PS 330 in Kombination mit den entsprechenden Stellungnahmen des IDW zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung“ des Fachausschusses für Informationstechnologie (FAIT).

Die „Ban­k­auf­sicht­li­chen Anfor­de­run­gen an die IT“ (BAIT) wer­den sei­tens der BaFin als zen­trale Grund­lage für die natio­nale IT-Auf­sicht im Ban­ken­sek­tor gese­hen. Grund­lage für die Prü­fung der IT von Unter­neh­men im Rah­men der Jah­res­ab­schluss­prü­fung ist im Wesent­li­chen der Prü­fungs­stan­dard 330 des Insti­tuts der Wirt­schafts­prü­fer in Deut­sch­land e. V. (IDW) (IDW PS 330) in Kom­bi­na­tion mit den ent­sp­re­chen­den Stel­lung­nah­men des IDW zur Rech­nungs­le­gung „Grund­sätze ord­nungs­mä­ß­i­ger Buch­füh­rung“ des Fach­aus­schus­ses für Infor­ma­ti­ons­tech­no­lo­gie (FAIT).

IT-Stra­te­gie

Gemäß dem IDW PS 330 soll sich das IT-Mana­ge­ment am stra­te­gi­schen Leit­bild der Gesell­schaft ori­en­tie­ren. Dazu ist eine von der Gesell­schaft abge­lei­tete IT-Stra­te­gie zu doku­men­tie­ren. Ergän­zend zu den Aus­füh­run­gen und Anfor­de­run­gen des IDW, sind von dem Insti­tut die gän­gi­gen Stan­dards dar­zu­le­gen, nach wel­chen es agiert, bzw. an denen es sich ori­en­tiert. Auch ist die IT-Infra­struk­tur kon­form zur Geschäfts­st­ra­te­gie bzw. zum Geschäfts­mo­dell auf­zu­bauen. Ebenso gilt es, den Fort­be­trieb mit­tels eines ange­mes­se­nen Not­fall­ma­na­ge­ments zu sichern. Absch­lie­ßend ist in den stra­te­gi­schen Betrach­tun­gen im Sinne der BAIT auch die „Indi­vi­du­elle Daten­ver­ar­bei­tung“ (IDV) mit auf­zu­neh­men.

Das The­men­feld IT-Stra­te­gie im Rah­men der BAIT weist somit einen deut­lich höhe­ren Detail­lie­rungs­grad in den Betrach­tun­gen auf als sie im IDW PS 330 aus­ge­führt sind. Aller­dings sind die Pro­por­tio­na­li­tät zur Insti­tuts­größe und das Risi­ko­ge­halt des Geschäfts­mo­dells zu beach­ten.

IT-Gover­nance

Gemäß BAIT ist die IT-Gover­nance die Struk­tur zur Steue­rung sowie Über­wa­chung des Betriebs und der Wei­ter­ent­wick­lung der IT-Sys­teme ein­sch­ließ­lich der dazu­ge­hö­ri­gen IT-Pro­zesse auf Basis der IT-Stra­te­gie. Grund­sätz­lich wer­den in den Aus­füh­run­gen der BAIT und MaRisk die Anfor­de­run­gen aus dem IDW PS 330 und PH 9.330.1 im Abschnitt „IT-Umfeld und IT-Orga­ni­sa­ti­on“ auf­ge­grif­fen bzw. fort­ge­führt.

So ist z. B. das vor­herr­schende Umfeld der IT im Unter­neh­men zu erhe­ben (z. B. ob die Orga­ni­sa­tion der IT-Res­sour­cen mit­tels eines IT-Sicher­heits­hand­buchs und ver­g­leich­ba­rer orga­ni­sa­to­ri­scher Vor­ga­ben ange­mes­sen und verpf­lich­tend orga­ni­siert ist). Diese grund­le­gen­den Gedan­ken­gänge fin­den sich auch in den BAIT wie­der. Wei­ter­ge­hend for­dern die BAIT eine Defini­tion von „Key Per­for­mance Indi­ca­tors“ (KPI) für The­men­ge­biete der Infor­ma­ti­ons­tech­no­lo­gie, um deren ange­mes­sene Steue­rung zu gewähr­leis­ten.

Die auf­sichts­recht­li­chen Ban­k­an­for­de­run­gen an Infor­ma­ti­ons­tech­no­lo­gie (BAIT) ori­en­tie­ren sich letzt­end­lich an den bereits durch das IDW imp­le­men­tier­ten Stan­dards und Prüf­kri­te­rien, wel­che im The­men­feld „IT-Umfeld und IT-Orga­ni­sa­ti­on“ behan­delt wer­den.

Infor­ma­ti­ons­ri­si­ko­ma­na­ge­ment

Die Unter­neh­mens­lei­tung hat sämt­li­che Risi­ken zu iden­ti­fi­zie­ren, wel­che sich auf die Ord­nungs­mä­ß­ig­keit und Ver­läss­lich­keit der Rech­nungs­le­gung aus­wir­ken kön­nen. Hier­bei sind Ein­tritts­wahr­schein­lich­keit und quan­ti­ta­tive Aus­wir­kun­gen zu beur­tei­len. Sowohl die Risi­ko­be­ur­tei­lung also auch die imp­le­men­tier­ten Maß­nah­men aus dem IT-Kon­troll­sys­tem zur Beg­ren­zung mög­li­cher Aus­wir­kun­gen sind nach­voll­zieh­bar zu doku­men­tie­ren. Hier­für kann gemäß dem IDW auf die Ange­mes­sen­heit des IT-Sicher­heits­kon­zep­tes abge­s­tellt wer­den. Die BAIT sehen eine Beur­tei­lung des gesam­ten Risi­ko­ma­na­ge­ments vor. Es wird auf Richt­li­nien abge­zielt und nicht auf die Beur­tei­lung eines ein­zel­nen Sicher­heits­kon­zep­tes.

Die For­mu­lie­run­gen der BAIT unter­schei­den sich ledig­lich in den Begrif­f­lich­kei­ten von den Prü­fungs­stan­dards des IDW. Wäh­rend bspw. im IDW PS 330 von einem zu imp­le­men­tie­ren­den Inter­nen Kon­troll­sys­tem gespro­chen wird, fin­den in den BAIT die Begriffe Risiko, Schutz­be­darf und Schutz­ziel Anwen­dung.

Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment

Die BAIT spe­zi­fi­zie­ren die Anfor­de­run­gen des IDW an das Risi­ko­ma­na­ge­ment / IT-Sicher­heits­kon­zept nicht nur im The­men­feld des Infor­ma­ti­ons­ri­si­ko­ma­na­ge­ments, son­dern auch in dem The­men­ge­biet des Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ments. Es sollte eine Infor­ma­ti­ons­si­cher­heits­leit­li­nie vor­han­den und ver­öf­f­ent­licht sein, die sich von der Infor­ma­ti­ons­si­cher­heits­st­ra­te­gie bzw. der Unter­neh­mens­st­ra­te­gie ablei­tet. Mög­li­che Abwei­chun­gen bzw. Nicht­ein­hal­tun­gen sind zu begrün­den.

Im Umgang mit Infor­ma­ti­ons­si­cher­heits­vor­fäl­len leh­nen sich die BAIT an den inter­na­tio­na­len Stan­dard ISO 27001 an. Die BAIT unter­st­rei­chen die gemäß IDW benannte Ver­ant­wor­tung der Geschäfts­füh­rung in dem Maße, dass eine regel­mä­ß­ige Berich­t­er­stat­tung ein­ge­for­dert wird.

Benut­zer­be­rech­ti­gungs­ma­na­ge­ment

Die Anfor­de­run­gen an das Berech­ti­gungs­ma­na­ge­ment benennt das IDW in sei­nen Prü­fungs­stan­dards und Prü­fungs­hin­wei­sen unter dem Begriff der „Logi­schen Zugriffs­kon­trol­len“. Hier­bei wer­den Anfor­de­run­gen an die Authen­ti­fi­zie­rung, Pro­zesse der Admi­ni­s­t­ra­tion, Über­wa­chung der Benut­zer­rechte und kri­ti­sche Berech­ti­gun­gen ges­tellt. Inn­er­halb der BAIT wer­den diese Aspekte eben­falls auf­ge­grif­fen und fort­ge­führt. So sind Berech­ti­gungs­kon­zepte auf den drei Ebe­nen Betriebs­sys­tem, App­li­ka­tion und Daten­bank gefor­dert. Etwas kon­k­re­ter wer­den die BAIT in den Anfor­de­run­gen an den orga­ni­sa­to­ri­schen Auf­bau der Berech­ti­gungs­über­wa­chung. Die Über­wa­chung bzw. das Moni­to­ring der Berech­ti­gun­gen hat los­ge­löst von den fach­li­chen Abtei­lun­gen (z. B. Admi­ni­s­t­ra­to­ren, „Fire Figh­ter“ sowie Kri­ti­sche Berech­ti­gun­gen) zu erfol­gen.

Durch den ganz­heit­li­chen Risi­koa­na­satz der Prü­fungs­be­richts­ver­ord­nung (PrüfbV) und der BAIT sind nicht nur die rech­nungs­le­gungs­re­le­van­ten Anwen­dun­gen im Rah­men der Prü­fung von Insti­tu­ten zu berück­sich­ti­gen. Fer­ner rücken durch die auf­sichts­recht­li­chen Anfor­de­run­gen auch wei­tere, für die Bank als wesent­lich und/oder kri­tisch ein­zu­stu­fende/ein­ge­stufte Anwen­dun­gen in den Fokus.

IT-Pro­jekte, Anwen­dungs­ent­wick­lung inkl. durch End­be­nut­zer in den Fach­be­rei­chen
Unab­hän­gig davon, wel­cher Prü­fungs­stan­dard oder auf­sichts­recht­li­che Anfor­de­rung betrach­tet wird, gilt, dass bei sig­ni­fi­kan­ten Hard­ware- oder Soft­ware-Ände­run­gen an einem IT-Sys­tem, die Aus­wir­kun­gen auf die Sicher­heit des Gesamt­sys­tems zu unter­su­chen sind.

Gemäß § 9 der PrüfbV sind wesent­li­che Ände­run­gen in den IT-Sys­te­men sowie damit ver­bun­de­nen Pro­jek­ten im Rah­men der Jah­res­ab­schluss­prü­fung dar­zu­s­tel­len. Sowohl die Aus­füh­run­gen des IDW als auch die der MaRisk und der BAIT stim­men in ihren The­men­schwer­punk­ten und Anfor­de­rungs­spek­t­ren übe­r­ein. Stel­len­weise geben die BAIT kon­k­rete Hand­lungs­emp­feh­lun­gen bzw. Vor­ga­ben, die die Anfor­de­run­gen des IDW punk­tu­ell kon­k­re­ti­sie­ren.

Auch gehen die BAIT ver­stärkt auf die Rolle die­ser Fach­be­rei­che ein. So wird bspw. vor allem bei der Ent­wick­lung der „Indi­vi­du­el­len Daten­ver­ar­bei­tung (IDV)“ die Ver­ant­wor­tung durch den Fach­be­reich her­vor­ge­ho­ben. Die Anfor­de­run­gen für die Ent­wick­lung der IDV, wel­che bereits im Regel­werk des IDW detail­liert gere­gelt sind, wer­den orga­ni­sa­to­risch auf eine Ebene mit der Anwen­dungs­ent­wick­lung ges­tellt. Zusätz­lich sind alle Indi­vi­dual­ent­wick­lun­gen zu inven­ta­ri­sie­ren (Regis­ter für IDV der Fach­be­rei­che).

IT-Betrieb (inkl. Daten­si­che­rung)

Wäh­rend die PrüfbV ledig­lich die Sicher­stel­lung von Inte­gri­tät, Ver­trau­lich­keit, Authen­ti­zi­tät und Ver­füg­bar­keit auch für den IT-Betrieb benennt, neh­men MaRisk und BAIT die in den Stan­dards des IDW auf­ge­führ­ten Aspekte auf und beto­nen diverse Anfor­de­run­gen aus die­sem Bereich noch­mals.

Neben der anfor­de­rungs­kon­for­men Auf­stel­lung der Infor­ma­ti­ons­tech­no­lo­gie zur Geschäfts­aus­rich­tung und Stra­te­gie des Insti­tuts, beto­nen die BAIT aber­mals das Erfor­der­nis, dass eine detail­lierte Inven­tur der Sys­teme und deren Kom­po­nen­ten nebst anhän­gen­der (War­tungs-)Ver­träge zu erfol­gen hat. Zudem wird die Steue­rung des (Kom­po­nen­ten-)Port­fo­lios unter Risi­koa­spek­ten betont, wel­che auch den Lebens­zy­k­lus der Kom­po­nen­ten mit­ein­sch­ließt.

Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen
Bei dem The­men­kom­plex der Aus­la­ge­rung, egal in wel­cher Form und in wel­chem Umfang, besteht sowohl beim IDW als auch bei den ban­k­auf­sichts­recht­li­chen For­de­run­gen die grund­sätz­li­che Prä­misse, dass die Ver­ant­wor­tung beim aus­la­gern­den Unter­neh­men ver­b­leibt. Auch wenn die FAIT 5 die Aus­la­ge­rungs­the­ma­tik für rech­nungs­le­gungs­re­le­vante Geschäft­s­pro­zesse wei­ter kon­k­re­ti­sie­ren als der IDW PS 330 bzw. der PH 9.330.1, gehen die MaRisk in Ergän­zung der BAIT im Detail­lie­rungs­grad noch einen Schritt wei­ter. Die MaRisk unter­schei­den strikt zwi­schen dem sog. Fremd­be­zug sons­ti­ger Dienst­leis­tun­gen und einer wesent­li­chen Aus­la­ge­rung. Der sons­tige Fremd­be­zug wird nicht als Aus­la­ge­rung bewer­tet.

Ergän­zend zu den Anfor­de­run­gen und Defini­tio­nen der MaRisk zu (wesent­li­chen) Aus­la­ge­run­gen, unter­st­rei­chen die BAIT die Betrach­tungs­re­le­vanz für den sons­ti­gen Fremd­be­zug. So ist auch für diese, zumin­dest im Vor­feld, eine (ein­ma­lige) Risi­ko­be­trach­tung durch­zu­füh­ren und in den Risi­ko­ma­na­ge­ment­pro­zess zu imp­le­men­tie­ren (zu berück­sich­ti­gen). Auch die als sons­ti­ger Fremd­be­zug ein­ge­stufte (Fremd-)Dienst­leis­tung ist durch das Insti­tut zu über­wa­chen.

Die BAIT kon­k­re­ti­sie­ren den bereits aus­führ­li­chen Abschnitt der MaRisk über die Aus­la­ge­rung von Dienst­leis­tun­gen nicht direkt. Viel­mehr wird der sons­tige Fremd­be­zug von Dienst­leis­tun­gen einer grö­ße­ren Auf­merk­sam­keit zuteil, wenn auch noch nicht so weit und detail­liert wie bei einer wesent­li­chen Aus­la­ge­rung.

Tech­nisch orga­ni­sa­to­ri­sche Aus­stat­tung nach MaRisk AT 7.2

Grund­le­gend wer­den die Anfor­de­run­gen aus den Prü­fungs­stan­dards des IDW auf­ge­nom­men, die einen geord­ne­ten Regel­be­trieb von IT-Anwen­dun­gen vor­aus­set­zen (doku­men­tierte Ver­fah­rens­ab­läufe für die Arbeits­vor­be­rei­tung, Pro­gram­m­ein­satz­pla­nung, den Betrieb von IT-Anwen­dun­gen und Netz­wer­ken sowie für die Arbeits­nach­be­rei­tung).
Die MaRisk beto­nen die sach­ge­rechte Berech­ti­gungs­steue­rung/Zugriffs­rechte auf Kom­po­nen­ten und Infor­ma­tio­nen sowie regel­mä­ß­ige Über­prü­fung der IT-Sys­tem­kom­po­nen­ten durch die tech­ni­schen und fach­li­chen Mit­ar­bei­ter auf deren Ange­mes­sen­heit. Die Anfor­de­run­gen der MaRisk im AT 7.2 gehen zudem im Wesent­li­chen in denen der BAIT auf. Die For­de­rung nach einem Regel­pro­zess für die Ent­wick­lung und Imp­le­men­tie­rung sowie Neu-Ein­füh­rung von Sys­tem­kom­po­nen­ten für bezo­gene Stan­dard­an­wen­dun­gen aber auch Indi­vi­dual­soft­ware wer­den in den BAIT detail­liert aus­ge­führt.

Aus Prü­fungs­sicht kön­nen hier die Stan­dards des IDW her­an­ge­zo­gen wer­den. Die MaRisk und BAIT wei­ten den Blick­win­kel der auf­sichts­recht­li­chen Anfor­de­run­gen auf die ganz­heit­li­che Risi­ko­be­trach­tung der Infor­ma­ti­ons­tech­no­lo­gie für Unter­neh­mens­werte im Insti­tut aus. Es wer­den somit nicht nur die rech­nungs­le­gungs­re­le­van­ten Kom­po­nen­ten betrach­tet, son­dern alle Kom­po­nen­ten, wel­che eine (wesent­li­che) Bedeu­tung für die Werte und den damit ver­bun­de­nen Geschäft­s­pro­zes­sen des Insti­tuts bein­hal­ten.

Not­fall­kon­zepte

Die jeder­zei­tige Ver­füg­bar­keit des IT-Sys­tems ist eine wesent­li­che Vor­aus­set­zung für die Auf­rech­t­er­hal­tung des Geschäfts­be­triebs. Aus die­sem Grund for­dern sowohl das IDW als auch die MaRisk, Vor­keh­run­gen für einen Not­be­trieb zu tref­fen. Auch die PrüfbV for­dern gemäß § 11 Absatz 2 Nr. 6 eine ange­mes­sene Aus­ge­stal­tung des Not­fall­kon­zepts für die IT-Sys­teme. Ein Aus­fall wesent­li­cher IT-Anwen­dun­gen ohne kurz­fris­tige Aus­weich­mög­lich­keit kann mate­ri­elle und imma­te­ri­elle Ver­mö­gens­schä­den nach sich zie­hen und stellt einen wesent­li­chen Man­gel der Buch­füh­rung dar.

In den BAIT ist der The­men­kom­plex des Not­fall­be­triebs kei­nem eige­nen Abschnitt zuge­ord­net. Viel­mehr fin­det der Begriff des Not­fall­ma­na­ge­ments in den Abschnit­ten „IT-Stra­te­gie“ und „Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen“ Anwen­dung. So ist das Not­fall­ma­na­ge­ment unter Wah­rung der IT-Belange zu imp­le­men­tie­ren und auch die Ergeb­nisse aus Risi­ko­be­wer­tung bei sons­ti­gen Fremd­be­zü­gen mit ein­zu­be­zie­hen.

Fazit

Wäh­rend der im Rah­men der Jah­res­ab­schluss­prü­fung Anwen­dung fin­dende IDW PS 330 als wesent­li­ches Ziel die Beur­tei­lung und Risi­ko­ein­schät­zung der rech­nungs­le­gungs­re­le­van­ten Sys­teme ver­folgt, gehen die auf­sichts­recht­li­chen Anfor­de­run­gen an die Finan­z­in­sti­tute einen Schritt wei­ter. Hier ist das Ziel die Beur­tei­lung der Risi­ko­si­tua­tion des Bank­in­sti­tuts ins­ge­s­amt. Fol­g­lich ist bei Ban­ken der risi­ko­o­ri­en­tierte Prü­fungs­an­satz nicht rein auf den Jah­res­ab­schluss mit Bilanz und GuV aus­zu­rich­ten, son­dern um die Anfor­de­run­gen, wel­che aus den auf­sichts­recht­li­chen Vor­ga­ben resul­tie­ren, zu erwei­tern. Aus die­sem Grund sind die in § 25a Abs. 1 KWG, § 25b KWG, MaRisk und BAIT beschrie­be­nen Anfor­de­run­gen, bzw. ergän­zen­den Erläu­te­run­gen durch den Abschluss­prü­fer, zu berück­sich­ti­gen.

nach oben