de en
Nexia Ebner Stolz

Branchen

MaRisk und BAIT im Kontext des IDW PS330

Die „Bank­auf­sicht­li­chen An­for­de­run­gen an die IT“ (BAIT) wer­den sei­tens der Ba­Fin als zen­trale Grund­lage für die na­tio­nale IT-Auf­sicht im Ban­ken­sek­tor ge­se­hen. Grund­lage für die Prüfung der IT von Un­ter­neh­men im Rah­men der Jah­res­ab­schlussprüfung ist der IDW PS 330 in Kom­bi­na­tion mit den ent­spre­chen­den Stel­lung­nah­men des IDW zur Rech­nungs­le­gung „Grundsätze ord­nungsmäßiger Buchführung“ des Fach­aus­schus­ses für In­for­ma­ti­ons­tech­no­lo­gie (FAIT).

Die „Bank­auf­sicht­li­chen An­for­de­run­gen an die IT“ (BAIT) wer­den sei­tens der Ba­Fin als zen­trale Grund­lage für die na­tio­nale IT-Auf­sicht im Ban­ken­sek­tor ge­se­hen. Grund­lage für die Prüfung der IT von Un­ter­neh­men im Rah­men der Jah­res­ab­schlussprüfung ist im We­sent­li­chen der Prüfungs­stan­dard 330 des In­sti­tuts der Wirt­schaftsprüfer in Deutsch­land e. V. (IDW) (IDW PS 330) in Kom­bi­na­tion mit den ent­spre­chen­den Stel­lung­nah­men des IDW zur Rech­nungs­le­gung „Grundsätze ord­nungsmäßiger Buchführung“ des Fach­aus­schus­ses für In­for­ma­ti­ons­tech­no­lo­gie (FAIT).

IT-Strategie

Gemäß dem IDW PS 330 soll sich das IT-Ma­nage­ment am stra­te­gi­schen Leit­bild der Ge­sell­schaft ori­en­tie­ren. Dazu ist eine von der Ge­sell­schaft ab­ge­lei­tete IT-Stra­te­gie zu do­ku­men­tie­ren. Ergänzend zu den Ausführun­gen und An­for­de­run­gen des IDW, sind von dem In­sti­tut die gängi­gen Stan­dards dar­zu­le­gen, nach wel­chen es agiert, bzw. an de­nen es sich ori­en­tiert. Auch ist die IT-In­fra­struk­tur kon­form zur Ge­schäfts­stra­te­gie bzw. zum Ge­schäfts­mo­dell auf­zu­bauen. Ebenso gilt es, den Fort­be­trieb mit­tels ei­nes an­ge­mes­se­nen Not­fall­ma­nage­ments zu si­chern. Ab­schließend ist in den stra­te­gi­schen Be­trach­tun­gen im Sinne der BAIT auch die „In­di­vi­du­elle Da­ten­ver­ar­bei­tung“ (IDV) mit auf­zu­neh­men.

Das The­men­feld IT-Stra­te­gie im Rah­men der BAIT weist so­mit einen deut­lich höheren De­tail­lie­rungs­grad in den Be­trach­tun­gen auf als sie im IDW PS 330 aus­geführt sind. Al­ler­dings sind die Pro­por­tio­na­lität zur In­sti­tutsgröße und das Ri­si­ko­ge­halt des Ge­schäfts­mo­dells zu be­ach­ten.

IT-Governance

Gemäß BAIT ist die IT-Go­ver­nance die Struk­tur zur Steue­rung so­wie Über­wa­chung des Be­triebs und der Wei­ter­ent­wick­lung der IT-Sys­teme ein­schließlich der da­zu­gehöri­gen IT-Pro­zesse auf Ba­sis der IT-Stra­te­gie. Grundsätz­lich wer­den in den Ausführun­gen der BAIT und Ma­Risk die An­for­de­run­gen aus dem IDW PS 330 und PH 9.330.1 im Ab­schnitt „IT-Um­feld und IT-Or­ga­ni­sa­tion“ auf­ge­grif­fen bzw. fort­geführt.

So ist z. B. das vor­herr­schende Um­feld der IT im Un­ter­neh­men zu er­he­ben (z. B. ob die Or­ga­ni­sa­tion der IT-Res­sour­cen mit­tels ei­nes IT-Si­cher­heits­hand­buchs und ver­gleich­ba­rer or­ga­ni­sa­to­ri­scher Vor­ga­ben an­ge­mes­sen und ver­pflich­tend or­ga­ni­siert ist). Diese grund­le­gen­den Ge­dan­kengänge fin­den sich auch in den BAIT wie­der. Wei­ter­ge­hend for­dern die BAIT eine De­fi­ni­tion von „Key Per­for­mance In­di­ca­tors“ (KPI) für The­men­ge­biete der In­for­ma­ti­ons­tech­no­lo­gie, um de­ren an­ge­mes­sene Steue­rung zu gewähr­leis­ten.

Die auf­sichts­recht­li­chen Bank­an­for­de­run­gen an In­for­ma­ti­ons­tech­no­lo­gie (BAIT) ori­en­tie­ren sich letzt­end­lich an den be­reits durch das IDW im­ple­men­tier­ten Stan­dards und Prüfkri­te­rien, wel­che im The­men­feld „IT-Um­feld und IT-Or­ga­ni­sa­tion“ be­han­delt wer­den.

Informationsrisikomanagement

Die Un­ter­neh­mens­lei­tung hat sämt­li­che Ri­si­ken zu iden­ti­fi­zie­ren, wel­che sich auf die Ord­nungsmäßig­keit und Verläss­lich­keit der Rech­nungs­le­gung aus­wir­ken können. Hier­bei sind Ein­tritts­wahr­schein­lich­keit und quan­ti­ta­tive Aus­wir­kun­gen zu be­ur­tei­len. So­wohl die Ri­si­ko­be­ur­tei­lung also auch die im­ple­men­tier­ten Maßnah­men aus dem IT-Kon­troll­sys­tem zur Be­gren­zung mögli­cher Aus­wir­kun­gen sind nach­voll­zieh­bar zu do­ku­men­tie­ren. Hierfür kann gemäß dem IDW auf die An­ge­mes­sen­heit des IT-Si­cher­heits­kon­zep­tes ab­ge­stellt wer­den. Die BAIT se­hen eine Be­ur­tei­lung des ge­sam­ten Ri­si­ko­ma­nage­ments vor. Es wird auf Richt­li­nien ab­ge­zielt und nicht auf die Be­ur­tei­lung ei­nes ein­zel­nen Si­cher­heits­kon­zep­tes.

Die For­mu­lie­run­gen der BAIT un­ter­schei­den sich le­dig­lich in den Be­grifflich­kei­ten von den Prüfungs­stan­dards des IDW. Während bspw. im IDW PS 330 von einem zu im­ple­men­tie­ren­den In­ter­nen Kon­troll­sys­tem ge­spro­chen wird, fin­den in den BAIT die Be­griffe Ri­siko, Schutz­be­darf und Schutz­ziel An­wen­dung.

Informationssicherheitsmanagement

Die BAIT spe­zi­fi­zie­ren die An­for­de­run­gen des IDW an das Ri­si­ko­ma­nage­ment / IT-Si­cher­heits­kon­zept nicht nur im The­men­feld des In­for­ma­ti­ons­ri­si­ko­ma­nage­ments, son­dern auch in dem The­men­ge­biet des In­for­ma­ti­ons­si­cher­heits­ma­nage­ments. Es sollte eine In­for­ma­ti­ons­si­cher­heits­leit­li­nie vor­han­den und veröff­ent­licht sein, die sich von der In­for­ma­ti­ons­si­cher­heits­stra­te­gie bzw. der Un­ter­neh­mens­stra­te­gie ab­lei­tet. Mögli­che Ab­wei­chun­gen bzw. Nicht­ein­hal­tun­gen sind zu begründen.

Im Um­gang mit In­for­ma­ti­ons­si­cher­heits­vorfällen leh­nen sich die BAIT an den in­ter­na­tio­na­len Stan­dard ISO 27001 an. Die BAIT un­ter­strei­chen die gemäß IDW be­nannte Ver­ant­wor­tung der Ge­schäftsführung in dem Maße, dass eine re­gelmäßige Be­richt­er­stat­tung ein­ge­for­dert wird.

Benutzerberechtigungsmanagement

Die An­for­de­run­gen an das Be­rech­ti­gungs­ma­nage­ment be­nennt das IDW in sei­nen Prüfungs­stan­dards und Prüfungs­hin­wei­sen un­ter dem Be­griff der „Lo­gi­schen Zu­griffs­kon­trol­len“. Hier­bei wer­den An­for­de­run­gen an die Au­then­ti­fi­zie­rung, Pro­zesse der Ad­mi­nis­tra­tion, Über­wa­chung der Be­nut­zer­rechte und kri­ti­sche Be­rech­ti­gun­gen ge­stellt. In­ner­halb der BAIT wer­den diese As­pekte eben­falls auf­ge­grif­fen und fort­geführt. So sind Be­rech­ti­gungs­kon­zepte auf den drei Ebe­nen Be­triebs­sys­tem, Ap­pli­ka­tion und Da­ten­bank ge­for­dert. Et­was kon­kre­ter wer­den die BAIT in den An­for­de­run­gen an den or­ga­ni­sa­to­ri­schen Auf­bau der Be­rech­ti­gungsüber­wa­chung. Die Über­wa­chung bzw. das Mo­ni­to­ring der Be­rech­ti­gun­gen hat los­gelöst von den fach­li­chen Ab­tei­lun­gen (z. B. Ad­mi­nis­tra­to­ren, „Fire Figh­ter“ so­wie Kri­ti­sche Be­rech­ti­gun­gen) zu er­fol­gen.

Durch den ganz­heit­li­chen Ri­si­ko­ana­satz der Prüfungs­be­richts­ver­ord­nung (PrüfbV) und der BAIT sind nicht nur die rech­nungs­le­gungs­re­le­van­ten An­wen­dun­gen im Rah­men der Prüfung von In­sti­tu­ten zu berück­sich­ti­gen. Fer­ner rücken durch die auf­sichts­recht­li­chen An­for­de­run­gen auch wei­tere, für die Bank als we­sent­lich und/oder kri­ti­sch ein­zu­stu­fende/ein­ge­stufte An­wen­dun­gen in den Fo­kus.

IT-Pro­jekte, An­wen­dungs­ent­wick­lung inkl. durch End­be­nut­zer in den Fach­be­rei­chen
Un­abhängig da­von, wel­cher Prüfungs­stan­dard oder auf­sichts­recht­li­che An­for­de­rung be­trach­tet wird, gilt, dass bei si­gni­fi­kan­ten Hard­ware- oder Soft­ware-Ände­run­gen an einem IT-Sys­tem, die Aus­wir­kun­gen auf die Si­cher­heit des Ge­samt­sys­tems zu un­ter­su­chen sind.

Gemäß § 9 der PrüfbV sind we­sent­li­che Ände­run­gen in den IT-Sys­te­men so­wie da­mit ver­bun­de­nen Pro­jek­ten im Rah­men der Jah­res­ab­schlussprüfung dar­zu­stel­len. So­wohl die Ausführun­gen des IDW als auch die der Ma­Risk und der BAIT stim­men in ih­ren The­men­schwer­punk­ten und An­for­de­rungs­spek­tren übe­rein. Stel­len­weise ge­ben die BAIT kon­krete Hand­lungs­emp­feh­lun­gen bzw. Vor­ga­ben, die die An­for­de­run­gen des IDW punk­tu­ell kon­kre­ti­sie­ren.

Auch ge­hen die BAIT verstärkt auf die Rolle die­ser Fach­be­rei­che ein. So wird bspw. vor al­lem bei der Ent­wick­lung der „In­di­vi­du­el­len Da­ten­ver­ar­bei­tung (IDV)“ die Ver­ant­wor­tung durch den Fach­be­reich her­vor­ge­ho­ben. Die An­for­de­run­gen für die Ent­wick­lung der IDV, wel­che be­reits im Re­gel­werk des IDW de­tail­liert ge­re­gelt sind, wer­den or­ga­ni­sa­to­ri­sch auf eine Ebene mit der An­wen­dungs­ent­wick­lung ge­stellt. Zusätz­lich sind alle In­di­vi­dual­ent­wick­lun­gen zu in­ven­ta­ri­sie­ren (Re­gis­ter für IDV der Fach­be­rei­che).

IT-Betrieb (inkl. Datensicherung)

Während die PrüfbV le­dig­lich die Si­cher­stel­lung von In­te­grität, Ver­trau­lich­keit, Au­then­ti­zität und Verfügbar­keit auch für den IT-Be­trieb be­nennt, neh­men Ma­Risk und BAIT die in den Stan­dards des IDW auf­geführ­ten As­pekte auf und be­to­nen di­verse An­for­de­run­gen aus die­sem Be­reich noch­mals.

Ne­ben der an­for­de­rungs­kon­for­men Auf­stel­lung der In­for­ma­ti­ons­tech­no­lo­gie zur Ge­schäfts­aus­rich­tung und Stra­te­gie des In­sti­tuts, be­to­nen die BAIT aber­mals das Er­for­der­nis, dass eine de­tail­lierte In­ven­tur der Sys­teme und de­ren Kom­po­nen­ten nebst anhängen­der (War­tungs-)Verträge zu er­fol­gen hat. Zu­dem wird die Steue­rung des (Kom­po­nen­ten-)Port­fo­lios un­ter Ri­si­ko­as­pek­ten be­tont, wel­che auch den Le­bens­zy­klus der Kom­po­nen­ten mit­ein­schließt.

Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen
Bei dem The­men­kom­plex der Aus­la­ge­rung, egal in wel­cher Form und in wel­chem Um­fang, be­steht so­wohl beim IDW als auch bei den bank­auf­sichts­recht­li­chen For­de­run­gen die grundsätz­li­che Prämisse, dass die Ver­ant­wor­tung beim aus­la­gern­den Un­ter­neh­men ver­bleibt. Auch wenn die FAIT 5 die Aus­la­ge­rungs­the­ma­tik für rech­nungs­le­gungs­re­le­vante Ge­schäfts­pro­zesse wei­ter kon­kre­ti­sie­ren als der IDW PS 330 bzw. der PH 9.330.1, ge­hen die Ma­Risk in Ergänzung der BAIT im De­tail­lie­rungs­grad noch einen Schritt wei­ter. Die Ma­Risk un­ter­schei­den strikt zwi­schen dem sog. Fremd­be­zug sons­ti­ger Dienst­leis­tun­gen und ei­ner we­sent­li­chen Aus­la­ge­rung. Der sons­tige Fremd­be­zug wird nicht als Aus­la­ge­rung be­wer­tet.

Ergänzend zu den An­for­de­run­gen und De­fi­ni­tio­nen der Ma­Risk zu (we­sent­li­chen) Aus­la­ge­run­gen, un­ter­strei­chen die BAIT die Be­trach­tungs­re­le­vanz für den sons­ti­gen Fremd­be­zug. So ist auch für diese, zu­min­dest im Vor­feld, eine (ein­ma­lige) Ri­si­ko­be­trach­tung durch­zuführen und in den Ri­si­ko­ma­nage­ment­pro­zess zu im­ple­men­tie­ren (zu berück­sich­ti­gen). Auch die als sons­ti­ger Fremd­be­zug ein­ge­stufte (Fremd-)Dienst­leis­tung ist durch das In­sti­tut zu über­wa­chen.

Die BAIT kon­kre­ti­sie­ren den be­reits ausführ­li­chen Ab­schnitt der Ma­Risk über die Aus­la­ge­rung von Dienst­leis­tun­gen nicht di­rekt. Viel­mehr wird der sons­tige Fremd­be­zug von Dienst­leis­tun­gen ei­ner größeren Auf­merk­sam­keit zu­teil, wenn auch noch nicht so weit und de­tail­liert wie bei ei­ner we­sent­li­chen Aus­la­ge­rung.

Technisch organisatorische Ausstattung nach MaRisk AT 7.2

Grund­le­gend wer­den die An­for­de­run­gen aus den Prüfungs­stan­dards des IDW auf­ge­nom­men, die einen ge­ord­ne­ten Re­gel­be­trieb von IT-An­wen­dun­gen vor­aus­set­zen (do­ku­men­tierte Ver­fah­ren­sabläufe für die Ar­beits­vor­be­rei­tung, Pro­gram­mein­satz­pla­nung, den Be­trieb von IT-An­wen­dun­gen und Netz­wer­ken so­wie für die Ar­beits­nach­be­rei­tung).
Die Ma­Risk be­to­nen die sach­ge­rechte Be­rech­ti­gungs­steue­rung/Zu­griffs­rechte auf Kom­po­nen­ten und In­for­ma­tio­nen so­wie re­gelmäßige Überprüfung der IT-Sys­tem­kom­po­nen­ten durch die tech­ni­schen und fach­li­chen Mit­ar­bei­ter auf de­ren An­ge­mes­sen­heit. Die An­for­de­run­gen der Ma­Risk im AT 7.2 ge­hen zu­dem im We­sent­li­chen in de­nen der BAIT auf. Die For­de­rung nach einem Re­gel­pro­zess für die Ent­wick­lung und Im­ple­men­tie­rung so­wie Neu-Einführung von Sys­tem­kom­po­nen­ten für be­zo­gene Stan­dar­dan­wen­dun­gen aber auch In­di­vi­du­al­soft­ware wer­den in den BAIT de­tail­liert aus­geführt.

Aus Prüfungs­sicht können hier die Stan­dards des IDW her­an­ge­zo­gen wer­den. Die Ma­Risk und BAIT wei­ten den Blick­win­kel der auf­sichts­recht­li­chen An­for­de­run­gen auf die ganz­heit­li­che Ri­si­ko­be­trach­tung der In­for­ma­ti­ons­tech­no­lo­gie für Un­ter­neh­mens­werte im In­sti­tut aus. Es wer­den so­mit nicht nur die rech­nungs­le­gungs­re­le­van­ten Kom­po­nen­ten be­trach­tet, son­dern alle Kom­po­nen­ten, wel­che eine (we­sent­li­che) Be­deu­tung für die Werte und den da­mit ver­bun­de­nen Ge­schäfts­pro­zes­sen des In­sti­tuts be­inhal­ten.

Notfallkonzepte

Die je­der­zei­tige Verfügbar­keit des IT-Sys­tems ist eine we­sent­li­che Vor­aus­set­zung für die Auf­recht­er­hal­tung des Ge­schäfts­be­triebs. Aus die­sem Grund for­dern so­wohl das IDW als auch die Ma­Risk, Vor­keh­run­gen für einen Not­be­trieb zu tref­fen. Auch die PrüfbV for­dern gemäß § 11 Ab­satz 2 Nr. 6 eine an­ge­mes­sene Aus­ge­stal­tung des Not­fall­kon­zepts für die IT-Sys­teme. Ein Aus­fall we­sent­li­cher IT-An­wen­dun­gen ohne kurz­fris­tige Aus­weichmöglich­keit kann ma­te­ri­elle und im­ma­te­ri­elle Vermögens­schäden nach sich zie­hen und stellt einen we­sent­li­chen Man­gel der Buchführung dar.

In den BAIT ist der The­men­kom­plex des Not­fall­be­triebs kei­nem ei­ge­nen Ab­schnitt zu­ge­ord­net. Viel­mehr fin­det der Be­griff des Not­fall­ma­nage­ments in den Ab­schnit­ten „IT-Stra­te­gie“ und „Aus­la­ge­run­gen und sons­ti­ger Fremd­be­zug von IT-Dienst­leis­tun­gen“ An­wen­dung. So ist das Not­fall­ma­nage­ment un­ter Wah­rung der IT-Be­lange zu im­ple­men­tie­ren und auch die Er­geb­nisse aus Ri­si­ko­be­wer­tung bei sons­ti­gen Fremd­bezügen mit ein­zu­be­zie­hen.

Fazit

Während der im Rah­men der Jah­res­ab­schlussprüfung An­wen­dung fin­dende IDW PS 330 als we­sent­li­ches Ziel die Be­ur­tei­lung und Ri­si­ko­ein­schätzung der rech­nungs­le­gungs­re­le­van­ten Sys­teme ver­folgt, ge­hen die auf­sichts­recht­li­chen An­for­de­run­gen an die Fi­nanz­in­sti­tute einen Schritt wei­ter. Hier ist das Ziel die Be­ur­tei­lung der Ri­si­ko­si­tua­tion des Bank­in­sti­tuts ins­ge­samt. Folg­lich ist bei Ban­ken der ri­si­ko­ori­en­tierte Prüfungs­an­satz nicht rein auf den Jah­res­ab­schluss mit Bi­lanz und GuV aus­zu­rich­ten, son­dern um die An­for­de­run­gen, wel­che aus den auf­sichts­recht­li­chen Vor­ga­ben re­sul­tie­ren, zu er­wei­tern. Aus die­sem Grund sind die in § 25a Abs. 1 KWG, § 25b KWG, Ma­Risk und BAIT be­schrie­be­nen An­for­de­run­gen, bzw. ergänzen­den Erläute­run­gen durch den Ab­schlussprüfer, zu berück­sich­ti­gen.

nach oben