BaFin, MaRisk Neufassung 2010 und Ihre Auswirkungen auf die IT

Neben Änderungen, die im Schwerpunkt das zentrale Risikomanagement betreffen, wurden die MaRisk u.a. auch in dem Punkt "Berechtigungen" angepasst. Hier wird indirekt ein systematischer Berechtigungsmanagement- bzw. Identiy-Management-Prozess (Berechtigungsvergaben, Eintritts-/Austrittsmanagement) von der IT gefordert.

Das bedeutet auch, dass Anwendungen, die in wichtigen bzw. kritischen Geschäftsprozessen eingesetzt werden, zwingend Mechanismen zum Berechtigungsmanagement inklusive revisionfähigkeit besitzen müssen (für den nachvollziehbaren Nachweis darüber, wer zu welchem Zeitpunkt was und mit welchen Berechtigungen getan hat). Mit dem jetzt wesentlich konkreter gefaßtem Ansatz zum Berechtigungsmanagement ist die Zeit von excelbasierten Kleinstanwendungen, die ggf. kritische Geschäftsprozesse stützten endgültig vorbei.  

Darüber hinaus ergeben sich auch stringentere Anforderungen in puncto Unternehmensgruppen bzw. Konzernen. Hier wird u.a. eine zentrale Risiko-Sicht gefordert. Weiterhin werden auch unternehmens- bzw. konzernumfassende Strategien und Vorgaben eingefordert.   

Näheres hierzu lesen Sie bitte in dem entsprechenden Artikel (s. Link) zu den MA-Risk.


Lesen Sie im aktuellen Artikel die konkreten Ableitungen der geänderten MaRisk für die IT