IT-Berechtigungen bei Banken und Sparkassen managen
Die Novellierung der MaRisk erfordert weitreichende Änderungen im IT-Berechtigungsmanagement
Mit der Novellierung der MaRisk vor knapp 3 Jahren wurde festgelegt, dass Kreditinstitute, die an Mitarbeiter vergebenen IT-Berechtigungen für Anwendungen mit bankfachlichem Hintergrund eingehend prüfen müssen, d. h. es muss kontrolliert und dargelegt werden, dass jeder Mitarbeiter auch nur die IT-Berechtigungen erhält und ausübt, die der Mitarbeiter aufgrund seiner Tätigkeit benötigt. Ebenfalls ist zu prüfen, dass der Mitarbeiter mit Vergabe der IT-Berechtigungen keine Funktionstrennungskonflikte erhält.
Gemäß MaRisk (AT 4.3.1) ist hierfür nicht nur eine gültige Aufbau- und Ablauforganisation für die zu definierenden Prozesse und den damit verbundenen Aufgaben und Tätigkeiten nebst Kompetenzen, Verantwortlichkeiten sowie Kontrollen erforderlich, sondern auch die Bereitstellung der richtigen technisch-organisatorischen Ausstattung für eine angemessene IT-Berechtigungsvergabe.
Weiterhin sind nach MaRisk (AT 7.2) für eine angemessene IT-Berechtigungsvergabe entsprechende Prozesse einzurichten, die sicherstellen, dass jeder Mitarbeiter auch nur die Berechtigungen erhält, die er aufgrund seiner Tätigkeit benötigt.
Im Rahmen eines zur erstellenden IT-Berechtigungskonzeptes ist zu berücksichtigen, dass zwischen administrativen und ausführenden Tätigkeiten im Tagesgeschäft (technisch oder organisatorisch) unterschieden wird. Das Berechtigungskonzept beschreibt die Aufgaben-teilung und Verantwortungsbereiche im Institut, sodass im Zuge dessen sowohl eine Aushebelung des Vier-Augen-Prinzips als auch funktionale Überschneidungen vermieden werden. Darüber hinaus stellt das IT-Berechtigungskonzept nicht nur den Rahmen, sondern beinhaltet u. a. auch die administrativen Vorgaben in der Berechtigungsvergabe für das Institut.
In diesem Kontext ist bankon bereits mehrfach erfolgreich von der Berechtigungskonzeption inkl. Rollenmodell unter Berücksichtigung kritischer und unkritischer IT-Berechtigungen bis hin zur administrativen Umsetzung, mit technischer Workflow-Unterstützung in der Rezertifizierung, in den verschiedensten Instituten tätig gewesen.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld, so dass auch Ihre IT-Berechtigungsvergabe revisions- und prüfungssicher erfolgt.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de