Formale Beanstandungen
- Es existiert keine Prozessbeschreibung zum Change-Management-Verfahren.
- Es existiert keine Prozessbeschreibung zum Incident-Management
- Prozessabläufe werden zwar „gelebt“, sind aber nicht ausreichend dokumentiert.
- Arbeits- oder Organisationsanweisungen sind nicht oder nicht ausreichend dokumentiert
- Keine oder keine ausreichende Einbindung in Test- und Freigabeverfahren beim Dienstleister
- Keine ausreichende Dokumentation zur Ermittlung der notwendigen IT-Ressourcen
- Die Kommunikation von informationssicherheitsrelevanten Vorfällen erfolgt lediglich informell
- Die IT-Projektliste enthält lediglich in Teilbereichen Informationen, so dass eine zentrale Überwachung und Steuerung der IT-Projekte erschwert wird.
- Auswirkungsanalysen für IT-Projekte sind nicht vorgeschrieben
- Die Kommunikation von Projektrisiken findet nur informell statt.
- Ein nach der Produktivsetzung der Änderung notwendiger Überwachungsprozess wird nicht vorgeschrieben.
- In der IT-Anwendungsübersicht sind Datenflüsse und damit Schnittstellenbeziehungen nicht eindeutig nachvollziehbar
- In der Change-Management-Richtlinie wird die Unterscheidung zwischen Störungen und Changes nicht definiert.
- Für Störungen/Incidents sind keine Eskalationsstufen definiert.
- Der Benutzerdeaktivierungsprozess sollte alle relevanten Berechtigungen umfassen
- Die Verwaltung und Vergabe von umfassenden Berechtigungen ist nicht separat gewürdigt bzw. konzeptualisiert worden.
- Die Frequenz der durchzuführenden Berechtigungsreviews ist inkonsistent zwischen der Praxis und der in der Anweisung vorgeschriebenen Frequenz.
Auffällig ist, dass Feststellungen getroffen wurden, die auch ohne die Anforderung durch die BAIT selbstverständlich sein sollten, wie zum Beispiel Kontrollberichte von Auslagerungsunternehmen einzuholen. Die Kapitalverwaltungsgesellschaften sollten vor diesem und den anderen genannten Aspekten zeitnah ihre IT-Organisation auf entsprechende Umsetzungsnotwendigkeiten überprüfen.
Es ist wichtig darauf hinzuweisen, dass die Implementierung der KAIT auch neue Aufgaben und Pflichten für andere Funktionen aufwerfen. Abhängig von der Größe der KVG und der Komplexität der betriebenen Geschäfte muss man neue Berichtspflichten und -wege schaffen. Berichte des Informationssicherheitsbeauftragten sollten nicht nur an die Geschäftsleitung gehen, sondern zum Beispiel auch an die Compliance-Funktion und die Interne Revision. Für die Interne Revision ergeben sich neue eigenständige Prüfungsfelder, die in der Prüfungsplanung zu berücksichtigen sind. Sollte kein Scan-Programm über alle Anwendungen vorliegen, müssen alle Fachbereiche an der Erstellung einer IDV-Richtlinie mitarbeiten, da oftmals nur die Anwender selbst wissen, welche IDV für ihre Tätigkeit wesentlich ist.
Fazit
Die KAIT werden die betroffenen Kapitalverwaltungsgesellschaften vor nicht unerhebliche Herausforderungen stellen. Vor diesem Hintergrund sollten KVGen bereits jetzt im Status des Entwurfs sämtliche Aspekte der IT-Organisation unter Berücksichtigung der zu erwartenden Regelungen überprüfen. Insbesondere Spezifizierungen zu bereits bestehenden Anforderungen zeitnah umsetzen. Eine entsprechende Prüfungspflicht des Abschlussprüfers dürfte zeitnah folgen. Zudem stellt das Thema IT auch jetzt schon einen Schwerpunkt in aufsichtsrechtlichen Sonderprüfungen dar.
Über die Autoren:
Oliver Heist ist Partner der Wirtschaftsprüfungsgesellschaft EY, in der Beratung von Unternehmen aus dem Wealth & Asset Management für die Regionen Europa, Mittlerer Osten, Indien und Afrika (EMEIA)
Christopher Zilch arbeitet ebenfalls in der EY-Abteilung Wealth & Asset Management für die Regionen Europa, Mittlerer Osten, Indien und Afrika (EMEIA).