Risikoorientiert ausgerichtete Interne Revision


Die Bedeutung des IT-Notfallmanagements für die Interne Revision
Anforderungen in Finanzinstituten nach BAIT und MaRisk




Axel Becker

Nach dem BSI-Lagebericht ist die aktuelle IT-Sicherheitslage in Deutschland angespannt bis kritisch. Hintergründe sind Cyberangriffe, cyberkriminelle Lösegelderpressungen, Schweigegeld- und Schutzgelderpressungen, Datendiebstahl und weitere Ereignisse, die in Summe nach der Erhebung von Bitkom zu einem gesamtwirtschaftlichen Schaden von 223,5 Milliarden Euro in 2021 geführt haben. Das entspricht in Summe etwa der Hälfte des jährlichen Bundeshaushaltes, die allein durch Datendiebstahl, Industriespionage oder Sabotage vernichtet wurde, und zwar verteilt auf alle Branchen in Deutschland (inklusive der Finanzbranche).

In der deutschen Bankenaufsicht wurde durch die BaFin-Neuausrichtung die Risikoorientierung der Behörde neu aufgesetzt und das IT-Risiko auf die Liste der zwei Topthemen bei den Bankenprüfungen gesetzt. Die weitere Konkretisierung erfolgte mit der am 16. August 2021 veröffentlichten BAIT-Novelle, mit der auch die Leitlinien der Europäischen Bankenaufsichtsbehörde EBA für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in die BAIT übernommen wurden. Das Kürzel IKT steht für Informations- und Kommunikationstechnologien.

Für die Interne Revision in Banken und Finanzdienstleistungsinstituten bedeutet dies die Fokussierung ihrer risikoorientierten Prüfungstätigkeiten auf die faktisch bestehenden und die regulatorisch vorgegebenen Topthemen. Der folgende Beitrag geht auf das neu veröffentlichte Kapitel IT-Notfallmanagement ein, das auch im Falle eines Ausfalls der IT-Systeme – beispielsweise infolge eines Cyberangriffs – eine bedeutende Rolle für die Wiederherstellung der Funktionsfähigkeit der einzelnen Institute spielt.


Dieser Beitrag aus der Zeitschrift für Interne Revision (ZIR) (Ausgabe 4, 2022, Seite 204 bis 211) wurde von der Redaktion von Compliance-Magazin.de gekürzt.
In voller Länge können Sie ihn und weitere hier nicht veröffentliche Artikel im ZIR lesen.


Zeitschrift Interne Revision - Fachzeitschrift für Wissenschaft und Praxis

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Probe-Abo
Hier geht's zum Normal-Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [20 KB]
Hier geht's zum pdf-Bestellformular (Probe-Abo) [19 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Probe-Abo) [39 KB]


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Im Überblick

Zeitschrift Interne Revision (ZIR)

  • Product Compliance als Prüfgebiet

    Die Nicht-Erfüllung produktbezogener Anforderungen stellt für Entwickler und Hersteller von Produkten - also für nahezu alle Industrieunternehmen - ein wesentliches unternehmerisches Risiko dar. Trotzdem scheint Product Compliance für viele Interne Revisionen ein weitgehend unbestelltes Feld zu sein.

  • Risikoorientierte Überprüfung von KI-Lösungen

    Künstliche Intelligenz (KI) ist aus unserem Alltag nicht mehr wegzudenken. Sprach- und Fahrassistenten sind nur zwei prominente Beispiele. Aber auch bei jeder Internetsuche, beim Streamen von Musik oder Videos, bei der Nutzung sozialer Medien und bei vielen weiteren Alltagssituationen ist KI im Spiel.

  • Prüfungsmandat Risikomanagement

    Eine Kernaufgabe der Internen Revision ist die Erkennung und Bewertung relevanter Risiken eines Unternehmens. Durch risikoadäquate Prüfmethoden und unabhängige Prüfungshandlungen wird eine empirische Datenbasis generiert, mit dem Ziel, darauf aufbauend eine belastbare Aussage zur Funktionsfähigkeit der Risikomanagementprozesse sowie deren weitere Verbesserung zu ermöglichen.

  • Objektivität: Bedeutung für die Interne Revision

    Objektivität ist ein zentrales Prinzip und Konzept der Revisionsarbeit. Es ist ein Versprechen an die Auftraggeber und die Revisionspartner. Für die Erfüllung des Revisionsauftrags ist die Objektivität der Revisorinnen und Revisoren von großer Bedeutung. Trotzdem erscheint das Thema im Revisionsalltag nicht besonders drängend, und eine Beschäftigung mit der Objektivität scheint nicht zwingend erforderlich.

  • Nachhaltigkeit im neuen DCGK 2022

    Die nachhaltige Unternehmensführung (Sustainable Corporate Governance) wird in jüngerer Zeit durch weitreichende Reformen aus nationaler und europäischer Sicht vorangetrieben. Neben einer neuen EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive - CSRD) hat die EU-Kommission den Entwurf einer Richtlinie zu nachhaltigkeitsbezogenen Sorgfaltspflichten (Corporate Sustainability Due Diligence - CSDD) veröffentlicht, die als künftiges Pendant zum deutschen Lieferkettensorgfaltspflichtengesetz (LkSG) fungiert.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen