IT-Berechtigungen bei Banken und Sparkassen managen

Die Novellierung der MaRisk erfordert weitreichende Änderungen im IT-Berechtigungsmanagement

Mit der Novel­lie­rung der MaRisk vor knapp 3 Jah­ren wur­de fest­ge­legt, dass Kre­dit­in­sti­tu­te, die an Mit­ar­bei­ter ver­ge­be­nen IT-Berech­ti­gun­gen für Anwen­dun­gen mit bank­fach­li­chem Hin­ter­grund ein­ge­hend prü­fen müs­sen, d. h. es muss kon­trol­liert und dar­ge­legt wer­den, dass jeder Mit­ar­bei­ter auch nur die IT-Berech­ti­gun­gen erhält und aus­übt, die der Mit­ar­bei­ter auf­grund sei­ner Tätig­keit benö­tigt. Eben­falls ist zu prü­fen, dass der Mit­ar­bei­ter mit Ver­ga­be der IT-Berech­ti­gun­gen kei­ne Funk­ti­ons­tren­nungs­kon­flik­te erhält.

Gemäß MaRisk (AT 4.3.1) ist hier­für nicht nur eine gül­ti­ge Auf­bau- und Ablauf­or­ga­ni­sa­ti­on für die zu defi­nie­ren­den Pro­zes­se und den damit ver­bun­de­nen Auf­ga­ben und Tätig­kei­ten nebst Kom­pe­ten­zen, Ver­ant­wort­lich­kei­ten sowie Kon­trol­len erfor­der­lich, son­dern auch die Bereit­stel­lung der rich­ti­gen tech­nisch-orga­ni­sa­to­ri­schen Aus­stat­tung für eine ange­mes­se­ne IT-Berech­ti­gungs­ver­ga­be.

Wei­ter­hin sind nach MaRisk (AT 7.2) für eine ange­mes­se­ne IT-Berech­ti­gungs­ver­ga­be ent­spre­chen­de Pro­zes­se ein­zu­rich­ten, die sicher­stel­len, dass jeder Mit­ar­bei­ter auch nur die Berech­ti­gun­gen erhält, die er auf­grund sei­ner Tätig­keit benö­tigt.

Im Rah­men eines zur erstel­len­den IT-Berech­ti­gungs­kon­zep­tes ist zu berück­sich­ti­gen, dass zwi­schen admi­nis­tra­ti­ven und aus­füh­ren­den Tätig­kei­ten im Tages­ge­schäft (tech­nisch oder orga­ni­sa­to­risch) unter­schie­den wird. Das Berech­ti­gungs­kon­zept beschreibt die Auf­ga­ben-tei­lung und Ver­ant­wor­tungs­be­rei­che im Insti­tut, sodass im Zuge des­sen sowohl eine Aus­he­be­lung des Vier-Augen-Prin­zips als auch funk­tio­na­le Über­schnei­dun­gen ver­mie­den wer­den. Dar­über hin­aus stellt das IT-Berech­ti­gungs­kon­zept nicht nur den Rah­men, son­dern beinhal­tet u. a. auch die admi­nis­tra­ti­ven Vor­ga­ben in der Berech­ti­gungs­ver­ga­be für das Insti­tut.

In die­sem Kon­text ist ban­kon bereits mehr­fach erfolg­reich von der Berech­ti­gungs­kon­zep­ti­on inkl. Rol­len­mo­dell unter Berück­sich­ti­gung kri­ti­scher und unkri­ti­scher IT-Berech­ti­gun­gen bis hin zur admi­nis­tra­ti­ven Umset­zung, mit tech­ni­scher Work­flow-Unter­stüt­zung in der Rezer­ti­fi­zie­rung, in den ver­schie­dens­ten Insti­tu­ten tätig gewe­sen.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, so dass auch Ihre IT-Berech­ti­gungs­ver­ga­be revi­si­ons- und prü­fungs­si­cher erfolgt.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie uns an.

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de