Logo
BAIT – Erkenntnisse aus Check-ups und Audits nach deren Umsetzung

Die BaFin sah für die Ende 2017 veröffentlichten BAIT keine Übergangsregelung für die Umsetzung vor. In 2018 aufgesetzte Projekte oder Maßnahmenplanungen zur Abarbeitung aller identifizierten „Mängel“ sollten mittlerweile abgeschlossen sein.

Wir haben Ihnen im Folgenden die wesentlichen Punkte zusammengestellt, auf die wir im Rahmen der von uns aktuell durchgeführten Check-ups und Audits gestoßen sind. Nutzen Sie die Aspekte zur Überprüfung, ob Ihr Haus „BAIT ready“ ist.

IT-Strategie

Hinsichtlich der von den BAIT gestellten Anforderungen an die IT-Strategie stellten wir fest, dass bisher nur die von den BAIT geforderten Mindestinhalte festgelegt wurden. Oftmals wurden nur Standards für die Informationssicherheit definiert, nicht aber für den IT-Betrieb. Strategische Ziele für die IT-Architektur sind nur unzureichend definiert.

IT-Governance

Im diesem Bereich wurden mögliche Interessenkonflikte innerhalb der IT-Aufbau- und Ablauforganisation bisher nicht ausreichend identifiziert. Qualitative oder quantitative Kriterien sind nur teilweise festgelegt oder können nur unzulänglich gemessen werden.

Informationsrisikomanagement

Bezüglich der Anforderungen an das Informationsrisikomanagement sind Kompetenzregelungen bisher teilweise nicht klar definiert. Außerdem ist der Informationsverbund nicht ausreichend dokumentiert – geschäftsrelevante Informationen und Geschäftsprozesse werden nicht durchgängig berücksichtigt – und es existiert bisher kein Sollmaßnahmenkatalog.

Informationssicherheitsmanagement

Defizite bestehen noch darin, dass konkretisierende Informationssicherheitsrichtlinien nur unzureichend vorhanden sind und der „Informationssicherheitsvorfall“ teilweise nicht ausreichend definiert ist.

Benutzerberechtigungsmanagement

Hierbei stellten wir fest, dass Interessenskonflikte und Funktionstrennungen nur teilweise berücksichtigt oder dokumentiert sind, der Umgang mit nicht personalisierten Berechtigungen nicht ausreichend dargestellt ist und Verfahren zur Überprüfung der tatsächlichen Nutzung und Protokollierung nicht gegeben sind.

IT-Projekte und Anwendungsentwicklung

Hinsichtlich IT-Projekten und der Anwendungsentwicklung ist festzuhalten, dass Regelungen zur Softwareentwicklung nur in geringem Umfang bzw. unzureichend vorhanden sind, die Versionierung und Absicherung von Eigenentwicklungen nur unzureichend erfolgt und nach wie vor Tests im Produktivsystem durchgeführt werden.

IT-Betrieb

Bezüglich der Anforderungen an den IT-Betrieb fiel auf, dass sowohl die Verfahren zum Changemanagement als auch zum Incidentmanagement wenig systematisiert waren und die Datensicherungskonzepte die Systeme nicht vollständig abdeckten.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Last not least besteht in diesem Bereich noch Nachholbedarf im Hinblick auf die durchgängige Etablierung der Risikobewertungen und Steuerung des sonstigen Fremdbezugs. Auch werden die Ergebnisse aus den Risikobewertungen nicht immer entsprechend berücksichtigt.

Insgesamt ergeben sich so noch einige Punkte über alle Themenbereiche der BAIT hinweg, bei denen im einen oder anderen Haus noch Bedarf zur Aufarbeitung besteht.

Profitieren Sie von unserer Erfahrung und lassen Sie sich bei der Umsetzungsüberprüfung der BAIT in Ihrem Haus von uns unterstützen!

Referenzen
Referenzen

„Alle Kollegen empfanden die zweitägige Schulung zum Thema OSPlus Produktadministration als gut investierte Zeit. Mein persönlicher Eindruck wurde dadurch bestätigt. Erste Ideen, wie wir die neuen Ansätze zum Einsatz bringen können, sprudelten bereits kurze Zeit danach. Alle Kollegen – auch die, die meinten sie wären nicht so betroffen oder sie wüssten schon alles – haben bisher "Unbekanntes" als wertvolle Hilfestellung erkannt. Insbesondere das Stöbern im lebenden System war eine Hilfe.“

Gabriele Sarnow, stellvertretende Leiterin Interne Revision der Sparkasse Celle

Referenzen
Referenzen

„Seit über 10 Jahren haben wir die Bereiche Informationssicherheits-Management und Datenschutz an die s-consit ausgelagert. Insbesondere schätzen wir die problemlose Zusammenarbeit sowohl auf fachlicher als auch persönlicher Ebene. Die s-consit ist uns stets ein verlässlicher Partner!"

Joachim Dietmar Ziegler, Vorsitzender des Vorstandes der Sparkasse Parchim-Lübz

Referenzen
Referenzen

„Wir haben seit mehreren Jahren die Aufgabe des Informationssicherheitsbeauftragten an die s-consit ausgelagert und freuen uns über die stets reibungslose Zusammenarbeit. Zuverlässigkeit, Erreichbarkeit und hohe Fachkompetenz erleben wir im täglichen Umgang. Maßnahmen werden mit Augenmaß und partnerschaftlich umgesetzt. Weiter so!“

Jörg Winther, Leiter IT-Management der Sparkasse Münsterland Ost

Referenzen
Referenzen

„Die Strategieberatung wurde individuell auf unsere Bedürfnisse ausgerichtet und von den Mitarbeitern der s-consit professionell und zielorientiert umgesetzt. Die Strategieberatung der s-consit hat die zukünftigen Erfolge der Sparkasse somit aktiv beeinflusst.“

Horst Wanik, Vorsitzender des Vorstandes der Kreissparkasse Gelnhausen

Referenzen
Referenzen

„Unsere kurzfristige Anfrage auf Unterstützung im Bereich Rechnungswesen wurde unkompliziert umgesetzt. Der Einsatz der s-consit war eine absolut wertvolle und hilfreiche Unterstützung. Wir sind sehr zufrieden!“

Thomas Maus, Vorsitzender des Vorstandes der Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Der Bericht zur DAW-Protokollauswertung durch die s-consit stellt für die Sparkasse einen enormen Mehrwert im Rahmen des IKS dar. Sie ist sehr übersichtlich gegliedert und konsolidiert die wesentlichsten Informationen aus den Tätigkeiten der Sparkassen Administratoren im Umfeld des 'Dezentralen Adminstrationswerkzeuges'. Die abgeleiteten Handlungsempfehlungen der s-consit aus der monatlichen Protokollauswertung unterstützen den IT-Verantwortlichen deutlich bei der Wahrnehmung seiner High-Level-Kontrollen. Das Preis-Leistungsverhältnis ist meines Erachtens nach top! Ich werde das Produkt der s-consit bei passender Gelegenheit weiterempfehlen.“

Andreas von Oesen, Leiter IT-Organisation der Weser-Elbe Sparkasse

Referenzen
Referenzen

„Unser Ziel bei der Beauftragung der s-consit war neben der Sicherstellung der Jahresabschlusserstellung auch die Gewährleistung der vollständigen Funktionsfähigkeit des Fachbereichs. Dieses wurde zu unserer vollsten Zufriedenheit erfüllt. Wir bedanken uns für die äußerst gute Zusammenarbeit!“

Michael Scholz, Mitglied des Vorstandes der Sparkasse Donauwörth

Referenzen
Referenzen

"Die REV-Tools unterstützen uns, sodass wir die Abläufe im Rechnungswesen effizienter gestalten können."

Stefan Müller, Leiter Betriebswirtschaft/Planung, Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Das Quality Assessment der s-consit hat die strategische Ausrichtung meiner Revisionsprozesse zur Prüfungsplanung, Berichterstattung und Mängelverfolgung bestätigt. Besonders profitieren konnte ich von den Hinweisen zur Ausgestaltung der Organisationsrichtlinien für die Interne Revision, die praktischen Beispiele aus anderen Sparkassen waren dabei sehr wertvoll für die Weiterentwicklung unserer Revisionsfunktion."

Stephan Thörmer, Abteilungsleiter Interne Revision der Sparkasse Barnim