Sie benötigen einen Flash Player, um diesen Film sehen zu können.

Ein möglicher Projektansatz

Auf Grund praktischer Erfahrungen sehen wir drei Kernkompetenzen als notwendig an, die im Falle von solchen Gefährdungsanalysen auf Seiten des Instituts vorhanden sein müssen:

  • Bankenbereich
  • Nicht-Bankenbereich
  • IT-Bereich

Erfahrungsgemäß ergibt sich im Rahmen der Identifizierung von Gefährdungspotentialen regelmäßig eine Fülle von potentiellen Einfallstoren. Darum ist es notwendig, neben der Aufbauorganisation (Strukturen) auch die Ablauforganisation (Prozesse) und die vorhandenen IT-Kontrollen (Unterstützungsprozesse) zu untersuchen.

Auf diese Weise können die jeweiligen Kontrollen und ihre Wirksamkeit in ihrer Gesamtheit berücksichtigt werden und in eine Gesamtbeurteilung einfließen. Mit Hilfe dieser umfassenden Gesamtbeurteilung kann ein einzelner Bereich gesichert als risikobehaftet oder nicht risikobehaftet beurteilt werden.

Bankenbereich: Im Bankenbereich existieren eine Vielzahl branchchenspezifischer gesetzlicher (z.B. KWG, WpHG, MiFID) bzw. aufsichtsrechtlicher (MaRisk) Rahmenbedingungen, denen im Rahmen einer Gefährdungsanalyse entsprechend Rechnung zu tragen bzw. die besonders zu berücksichtigen sind.

Nicht-Bankenbereich: Bei Gefährdungsanalysen im Nicht-Bankenbereich unterscheidet man klassische Einfallstore wie Einkauf, Personal, Informationstechnologie und weitere als wesentlichen Ansatzpunkt für eine Untersuchung.

IT-Bereich: Bei Gefährdungsanalysen im Bereich der Informationstechnologie unterscheidet man die Risiken im Bereich der IT-Verfahren (z.B. Test-, Abnahme- und Freigabeverfahren sowie Notfallmanagement) sowie solche auf der Ebene von Systemen und Anwendungen (z.B. Zugriffsschutz und Berechtigungskonzeption).

Weiter zu möglichen Rollen eines externen Beraters...