Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) werden seitens der BaFin als zentrale Grundlage für die nationale IT-Aufsicht im Bankensektor gesehen. Grundlage für die Prüfung der IT von Unternehmen im Rahmen der Jahresabschlussprüfung ist im Wesentlichen der Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) (IDW PS 330) in Kombination mit den entsprechenden Stellungnahmen des IDW zur Rechnungslegung „Grundsätze ordnungsmäßiger Buchführung“ des Fachausschusses für Informationstechnologie (FAIT).
IT-Strategie
Gemäß dem IDW PS 330 soll sich das IT-Management am strategischen Leitbild der Gesellschaft orientieren. Dazu ist eine von der Gesellschaft abgeleitete IT-Strategie zu dokumentieren. Ergänzend zu den Ausführungen und Anforderungen des IDW, sind von dem Institut die gängigen Standards darzulegen, nach welchen es agiert, bzw. an denen es sich orientiert. Auch ist die IT-Infrastruktur konform zur Geschäftsstrategie bzw. zum Geschäftsmodell aufzubauen. Ebenso gilt es, den Fortbetrieb mittels eines angemessenen Notfallmanagements zu sichern. Abschließend ist in den strategischen Betrachtungen im Sinne der BAIT auch die „Individuelle Datenverarbeitung“ (IDV) mit aufzunehmen.
Das Themenfeld IT-Strategie im Rahmen der BAIT weist somit einen deutlich höheren Detaillierungsgrad in den Betrachtungen auf als sie im IDW PS 330 ausgeführt sind. Allerdings sind die Proportionalität zur Institutsgröße und das Risikogehalt des Geschäftsmodells zu beachten.
IT-Governance
Gemäß BAIT ist die IT-Governance die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Grundsätzlich werden in den Ausführungen der BAIT und MaRisk die Anforderungen aus dem IDW PS 330 und PH 9.330.1 im Abschnitt „IT-Umfeld und IT-Organisation“ aufgegriffen bzw. fortgeführt.
So ist z. B. das vorherrschende Umfeld der IT im Unternehmen zu erheben (z. B. ob die Organisation der IT-Ressourcen mittels eines IT-Sicherheitshandbuchs und vergleichbarer organisatorischer Vorgaben angemessen und verpflichtend organisiert ist). Diese grundlegenden Gedankengänge finden sich auch in den BAIT wieder. Weitergehend fordern die BAIT eine Definition von „Key Performance Indicators“ (KPI) für Themengebiete der Informationstechnologie, um deren angemessene Steuerung zu gewährleisten.
Die aufsichtsrechtlichen Bankanforderungen an Informationstechnologie (BAIT) orientieren sich letztendlich an den bereits durch das IDW implementierten Standards und Prüfkriterien, welche im Themenfeld „IT-Umfeld und IT-Organisation“ behandelt werden.
Informationsrisikomanagement
Die Unternehmensleitung hat sämtliche Risiken zu identifizieren, welche sich auf die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung auswirken können. Hierbei sind Eintrittswahrscheinlichkeit und quantitative Auswirkungen zu beurteilen. Sowohl die Risikobeurteilung also auch die implementierten Maßnahmen aus dem IT-Kontrollsystem zur Begrenzung möglicher Auswirkungen sind nachvollziehbar zu dokumentieren. Hierfür kann gemäß dem IDW auf die Angemessenheit des IT-Sicherheitskonzeptes abgestellt werden. Die BAIT sehen eine Beurteilung des gesamten Risikomanagements vor. Es wird auf Richtlinien abgezielt und nicht auf die Beurteilung eines einzelnen Sicherheitskonzeptes.
Die Formulierungen der BAIT unterscheiden sich lediglich in den Begrifflichkeiten von den Prüfungsstandards des IDW. Während bspw. im IDW PS 330 von einem zu implementierenden Internen Kontrollsystem gesprochen wird, finden in den BAIT die Begriffe Risiko, Schutzbedarf und Schutzziel Anwendung.
Informationssicherheitsmanagement
Die BAIT spezifizieren die Anforderungen des IDW an das Risikomanagement / IT-Sicherheitskonzept nicht nur im Themenfeld des Informationsrisikomanagements, sondern auch in dem Themengebiet des Informationssicherheitsmanagements. Es sollte eine Informationssicherheitsleitlinie vorhanden und veröffentlicht sein, die sich von der Informationssicherheitsstrategie bzw. der Unternehmensstrategie ableitet. Mögliche Abweichungen bzw. Nichteinhaltungen sind zu begründen.
Im Umgang mit Informationssicherheitsvorfällen lehnen sich die BAIT an den internationalen Standard ISO 27001 an. Die BAIT unterstreichen die gemäß IDW benannte Verantwortung der Geschäftsführung in dem Maße, dass eine regelmäßige Berichterstattung eingefordert wird.
Benutzerberechtigungsmanagement
Die Anforderungen an das Berechtigungsmanagement benennt das IDW in seinen Prüfungsstandards und Prüfungshinweisen unter dem Begriff der „Logischen Zugriffskontrollen“. Hierbei werden Anforderungen an die Authentifizierung, Prozesse der Administration, Überwachung der Benutzerrechte und kritische Berechtigungen gestellt. Innerhalb der BAIT werden diese Aspekte ebenfalls aufgegriffen und fortgeführt. So sind Berechtigungskonzepte auf den drei Ebenen Betriebssystem, Applikation und Datenbank gefordert. Etwas konkreter werden die BAIT in den Anforderungen an den organisatorischen Aufbau der Berechtigungsüberwachung. Die Überwachung bzw. das Monitoring der Berechtigungen hat losgelöst von den fachlichen Abteilungen (z. B. Administratoren, „Fire Fighter“ sowie Kritische Berechtigungen) zu erfolgen.
Durch den ganzheitlichen Risikoanasatz der Prüfungsberichtsverordnung (PrüfbV) und der BAIT sind nicht nur die rechnungslegungsrelevanten Anwendungen im Rahmen der Prüfung von Instituten zu berücksichtigen. Ferner rücken durch die aufsichtsrechtlichen Anforderungen auch weitere, für die Bank als wesentlich und/oder kritisch einzustufende/eingestufte Anwendungen in den Fokus.
IT-Projekte, Anwendungsentwicklung inkl. durch Endbenutzer in den Fachbereichen
Unabhängig davon, welcher Prüfungsstandard oder aufsichtsrechtliche Anforderung betrachtet wird, gilt, dass bei signifikanten Hardware- oder Software-Änderungen an einem IT-System, die Auswirkungen auf die Sicherheit des Gesamtsystems zu untersuchen sind.
Gemäß § 9 der PrüfbV sind wesentliche Änderungen in den IT-Systemen sowie damit verbundenen Projekten im Rahmen der Jahresabschlussprüfung darzustellen. Sowohl die Ausführungen des IDW als auch die der MaRisk und der BAIT stimmen in ihren Themenschwerpunkten und Anforderungsspektren überein. Stellenweise geben die BAIT konkrete Handlungsempfehlungen bzw. Vorgaben, die die Anforderungen des IDW punktuell konkretisieren.
Auch gehen die BAIT verstärkt auf die Rolle dieser Fachbereiche ein. So wird bspw. vor allem bei der Entwicklung der „Individuellen Datenverarbeitung (IDV)“ die Verantwortung durch den Fachbereich hervorgehoben. Die Anforderungen für die Entwicklung der IDV, welche bereits im Regelwerk des IDW detailliert geregelt sind, werden organisatorisch auf eine Ebene mit der Anwendungsentwicklung gestellt. Zusätzlich sind alle Individualentwicklungen zu inventarisieren (Register für IDV der Fachbereiche).
IT-Betrieb (inkl. Datensicherung)
Während die PrüfbV lediglich die Sicherstellung von Integrität, Vertraulichkeit, Authentizität und Verfügbarkeit auch für den IT-Betrieb benennt, nehmen MaRisk und BAIT die in den Standards des IDW aufgeführten Aspekte auf und betonen diverse Anforderungen aus diesem Bereich nochmals.
Neben der anforderungskonformen Aufstellung der Informationstechnologie zur Geschäftsausrichtung und Strategie des Instituts, betonen die BAIT abermals das Erfordernis, dass eine detaillierte Inventur der Systeme und deren Komponenten nebst anhängender (Wartungs-)Verträge zu erfolgen hat. Zudem wird die Steuerung des (Komponenten-)Portfolios unter Risikoaspekten betont, welche auch den Lebenszyklus der Komponenten miteinschließt.
Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Bei dem Themenkomplex der Auslagerung, egal in welcher Form und in welchem Umfang, besteht sowohl beim IDW als auch bei den bankaufsichtsrechtlichen Forderungen die grundsätzliche Prämisse, dass die Verantwortung beim auslagernden Unternehmen verbleibt. Auch wenn die FAIT 5 die Auslagerungsthematik für rechnungslegungsrelevante Geschäftsprozesse weiter konkretisieren als der IDW PS 330 bzw. der PH 9.330.1, gehen die MaRisk in Ergänzung der BAIT im Detaillierungsgrad noch einen Schritt weiter. Die MaRisk unterscheiden strikt zwischen dem sog. Fremdbezug sonstiger Dienstleistungen und einer wesentlichen Auslagerung. Der sonstige Fremdbezug wird nicht als Auslagerung bewertet.
Ergänzend zu den Anforderungen und Definitionen der MaRisk zu (wesentlichen) Auslagerungen, unterstreichen die BAIT die Betrachtungsrelevanz für den sonstigen Fremdbezug. So ist auch für diese, zumindest im Vorfeld, eine (einmalige) Risikobetrachtung durchzuführen und in den Risikomanagementprozess zu implementieren (zu berücksichtigen). Auch die als sonstiger Fremdbezug eingestufte (Fremd-)Dienstleistung ist durch das Institut zu überwachen.
Die BAIT konkretisieren den bereits ausführlichen Abschnitt der MaRisk über die Auslagerung von Dienstleistungen nicht direkt. Vielmehr wird der sonstige Fremdbezug von Dienstleistungen einer größeren Aufmerksamkeit zuteil, wenn auch noch nicht so weit und detailliert wie bei einer wesentlichen Auslagerung.
Technisch organisatorische Ausstattung nach MaRisk AT 7.2
Grundlegend werden die Anforderungen aus den Prüfungsstandards des IDW aufgenommen, die einen geordneten Regelbetrieb von IT-Anwendungen voraussetzen (dokumentierte Verfahrensabläufe für die Arbeitsvorbereitung, Programmeinsatzplanung, den Betrieb von IT-Anwendungen und Netzwerken sowie für die Arbeitsnachbereitung).
Die MaRisk betonen die sachgerechte Berechtigungssteuerung/Zugriffsrechte auf Komponenten und Informationen sowie regelmäßige Überprüfung der IT-Systemkomponenten durch die technischen und fachlichen Mitarbeiter auf deren Angemessenheit. Die Anforderungen der MaRisk im AT 7.2 gehen zudem im Wesentlichen in denen der BAIT auf. Die Forderung nach einem Regelprozess für die Entwicklung und Implementierung sowie Neu-Einführung von Systemkomponenten für bezogene Standardanwendungen aber auch Individualsoftware werden in den BAIT detailliert ausgeführt.
Aus Prüfungssicht können hier die Standards des IDW herangezogen werden. Die MaRisk und BAIT weiten den Blickwinkel der aufsichtsrechtlichen Anforderungen auf die ganzheitliche Risikobetrachtung der Informationstechnologie für Unternehmenswerte im Institut aus. Es werden somit nicht nur die rechnungslegungsrelevanten Komponenten betrachtet, sondern alle Komponenten, welche eine (wesentliche) Bedeutung für die Werte und den damit verbundenen Geschäftsprozessen des Instituts beinhalten.
Notfallkonzepte
Die jederzeitige Verfügbarkeit des IT-Systems ist eine wesentliche Voraussetzung für die Aufrechterhaltung des Geschäftsbetriebs. Aus diesem Grund fordern sowohl das IDW als auch die MaRisk, Vorkehrungen für einen Notbetrieb zu treffen. Auch die PrüfbV fordern gemäß § 11 Absatz 2 Nr. 6 eine angemessene Ausgestaltung des Notfallkonzepts für die IT-Systeme. Ein Ausfall wesentlicher IT-Anwendungen ohne kurzfristige Ausweichmöglichkeit kann materielle und immaterielle Vermögensschäden nach sich ziehen und stellt einen wesentlichen Mangel der Buchführung dar.
In den BAIT ist der Themenkomplex des Notfallbetriebs keinem eigenen Abschnitt zugeordnet. Vielmehr findet der Begriff des Notfallmanagements in den Abschnitten „IT-Strategie“ und „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“ Anwendung. So ist das Notfallmanagement unter Wahrung der IT-Belange zu implementieren und auch die Ergebnisse aus Risikobewertung bei sonstigen Fremdbezügen mit einzubeziehen.
Fazit
Während der im Rahmen der Jahresabschlussprüfung Anwendung findende IDW PS 330 als wesentliches Ziel die Beurteilung und Risikoeinschätzung der rechnungslegungsrelevanten Systeme verfolgt, gehen die aufsichtsrechtlichen Anforderungen an die Finanzinstitute einen Schritt weiter. Hier ist das Ziel die Beurteilung der Risikosituation des Bankinstituts insgesamt. Folglich ist bei Banken der risikoorientierte Prüfungsansatz nicht rein auf den Jahresabschluss mit Bilanz und GuV auszurichten, sondern um die Anforderungen, welche aus den aufsichtsrechtlichen Vorgaben resultieren, zu erweitern. Aus diesem Grund sind die in § 25a Abs. 1 KWG, § 25b KWG, MaRisk und BAIT beschriebenen Anforderungen, bzw. ergänzenden Erläuterungen durch den Abschlussprüfer, zu berücksichtigen.
