Umsetzung MaRisk-IT

Startseite / Leistungsspektrum / Umsetzung MaRisk-IT

Umsetzung aufsichtsrechtlicher Anforderungen
Wir unterstützen Sie bei der Umsetzung aktueller MaRisk-Anforderungen und der Weiterentwicklung Ihrer Steuerungssysteme.
Unser Fokus liegt hier beim Management operationeller Risiken und dem Ausbau der bankinternen Steuerungssysteme für Prozess-, Outsourcing- und IT-Risiken.
Aktuell: Wir übernehmen je nach Bedarf unserer Kunden Umsetzungsaufgaben beim „Management operationeller IT-Risiken“ für die 4 Umsetzungsmodule
(1) bankindividuelle IT-Strategie
(2) Schutzbedarfsanforderungen/Klassifizierung von Daten
(3) Anforderungen für selbsterstellte Software und Drittanwendungen
(4) Qualitätssicherung „Datenklassifizierung/Schutzbedarfsanforderungen“

Weiterentwicklung Internes Kontrollsystem (IKS)
Wir optimieren Ihr Internes Kontrollsystem für Prozesse und Outsourcing-Sachverhalte durch eine systematische Risikobewertung und ein adäquates Maßnahmenmanagement. Warnsignale und OpRisk-Kennzahlen ermöglichen eine präventive Risikosteuerung.

Management operationeller IT-Risiken
Das Projekt gliedert sich in fünf Phasen.
Für „kleine“ Banken und Finanzdienstleister wird die Projektarbeit gemeinschaftlich durch die Zusammenarbeit
von in der Regel 3 Banken geleistet.

Phase 1: Analyse Schriftlich fixierte Ordnung (SFO)
Auf Basis der bestehenden SFO wird für jede Teilnehmerbank ein gültiges
ProzesskompendiumProzesskompendium mit den 4 Ebenen
- Prozessbereich
- Prozessgruppe
- Prozess
- Teilprozess
erstellt.

Zur Vermeidung einer bankindividuellen Erhebung wird eine von Transfer abc bereitgestelltes
Prozesskompendium mit ca. 1.200 Teilprozessen verwendet. In der Projektgruppe werden
anschließend die für die Bank wesentlichen Prozesse identifiziert.

Phase 2: Analyse eingesetzter IT-Systeme
In dieser Phase erfolgt zunächst die Erhebung der eingesetzten IT-Systeme (Anwendungen)
auf Basis der von Transfer abc eingesetzten Erhebungsunterlagen. Anschließend werden die
Anwendungen den Prozessen zugeordnet und somit die IT-gestützten Prozesse ermittelt.

Phase 3: Ermittlung Schutzbedarf
In dieser Phase wird der Schutzbedarf der Prozesse und Daten mit dem jeweiligen
vollständigenvollständigen CIN--Schlüssel (z.B. A4CIN3) festgelegt. Dabei werden die entsprechenden
Bewertungen für die
- Verfügbarkeit (A)
- Vertraulichkeit (C)
- Integrität (I)
- Verbindlichkeit(N)
durchgeführt. Hier wird bis auf die Teilprozesse verzweigt, um auf dieser Ebene den
notwendigen Schutzbedarf festlegen zu können.

Phase 4: Ermittlung realisiertes Schutzniveau
In dieser Phase wird das realisierte Schutzniveau im jeweiligen Prozess bzw. Teilprozess
ermittelt. Hierbei werden u.a. auch die Erfahrungen der Banken mit den jeweiligen
Anwendungen berücksichtigt.

Phase 5: Risikoanalyse und Maßnahmen
In dieser Phase werden die festgestellten Risiken analysiert, bereits umgesetzte
Maßnahmenbeschrieben und ggf. neue Maßnahmen festgelegt..
Anschließend erfolgt eine Restrisikoanalyse des realisierten Schutzniveaus unter der
Prämisse, dass neu festgelegte Maßnahmen umgesetzt sind. Die Ergebnisse werden für
jede Bankin einer Zusammenfassung mit Risikomatrix dargestellt.
Im Anschluss daran werden die Notfallkonzepte der Banken auf Anpassungsbedarf
hinsichtlich der festgestellten Risiken überprüft und ggf. angepasst.