Beschreibung
Durch erhöhte Feststellungen im Bereich Berechtigungsmanagement müssen die Banken handeln!
Ein funktionierendes Berechtigungsmanagement erfordert die Beteiligung und die Verantwortung der Fachbereiche. Im Markt entfalten diese Anforderungen eine besondere Wirkung, insb. aus Sicht der geforderten(„need-to-know"-Prinzip) und in der Praxis nicht immer stringent gehaltenen Trennung von Funktionen, Aufgaben und Abläufen. Entscheidend ist hier die (technische) Abbildung einer sauber strukturierten Organisation. Ist das nicht der Fall – und die Prüfungspraxis zeigt, dass das in den meisten Fällen zutrifft–, müssen die Verantwortlichen die vorhandenen Strukturschwächen bei der Vergabe, Überwachung und Rezertifizierung von Rechten auf ein Minimum reduzieren. Struktur- und Schutzbedarfsanalysen sowie deren Überführung in das Informationsrisikomanagement sind stark gefordert und entscheidend nach den neuen MaRisk und BAIT.
Prüfungsschwerpunkte bei Benutzerberechtigungen – Aktuelle Handlungsfelder
- Prüfung beantragter Rechte – Organisatorische und technische Sicherstellung der minimalen Rechte
- Anforderungen an die Zusammenarbeit zwischen dem Markt und der IT-Abteilung–Prüfung betroffener Prozesse und Funktionen hinsichtlich dem Risikogehalt
Saubere Berechtigungsvergabe – Wie schafft man ein einheitliches Funktionsverständnis?
- Genehmigungs- und Kontrollprozesse – Sicherstellung, dass die Vorgaben des (IT-) Berechtigungskonzepts eingehalten werden – Häufige Schwachstelle: Ungenügende Kontrolle der Umsetzung im Zielsystem (BAIT 5 Tz.27)
- Sicherstellung der Vergabe von Berechtigungen an Benutzer nach dem Prinzip der minimalen Rechtevergabe – Klare Unterscheidung in personalisierte, nicht personalisierte und technische Benutzer und die Funktionstrennung im Rechtekonzept (BAIT 5 Tz. 25)
Relevante Handlungsfelder rund um Fragestellungen zum Berechtigungsmanagement und -prozess, anhand Erläuterungen durch Praxisbeispiele
- Der Regelkreislauf des Berechtigungsmanagements
- Aufbau eines Sollsystems – Verwaltung im Ist-System
- Entwicklung und Implementierung eines Rechte-/Rollenkonzepts
- Prozessablauf bei Personalveränderungen und bei Kompetenzänderungen
Referenten
- David Rother, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank
- Martina Vinken, Teamleiterin Organisation, Volksbank Mittelhessen eG
- Jürgen Krug, IT-Revisor, stellv. Abteilungsleiter Zentralrevision, Frankfurter Sparkasse
Bewertungen
Es gibt noch keine Bewertungen.