Anforderungen an die IT in Banken und deren Prüfung am Beispiel von COBIT 5

Bachelor-Studiengang IT Security

Markus Moser, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Ausgangspunkt dieser Arbeit stellt die Tätigkeit von Revisorinnen und Revisoren in Sparkassen dar, welche eine Prüfung der IT durchführen. Daneben werden IT-Prüfungen auch von Wirtschaftsprüfungskanzleien zur Unterstützung der Jahresabschlussprüfung durchgeführt. Interessant ist in diesem Zusammenhang das Stichwort „Anforderungen“: FinanzdienstleisterInnen, wie Banken, sehen sich massiven regulatorischen Anforderungen gegenübergestellt. Neben den rechtlichen Aspekten wandelt sich das Bankenumfeld aufgrund veränderter Rahmenbedingungen, sowie einem sich ständig weiterentwickelnden technologischen Umfeld. Diesen Änderungen muss von Seiten der Bank Rechnung getragen werden. Der Einhaltung dieser Änderungen bzw. externen und internen Vorgaben muss die Revision mit adäquaten Prüfungen begegnen.

Revisorinnen und Revisoren in Sparkassen sowie JahresabschlussprüferInnen stehen vor der Herausforderung, dass es unzählige IT-Rahmenwerke gibt, welche für die Prüfung der IT in Sparkassen herangezogen werden können. Als JahresabschlussprüferIn bzw. interne/r RevisorIn in Sparkassen stellt sich vor jedem neu zu beginnenden IT-Audit die Frage, was zu prüfen bzw. was jedenfalls zu prüfen ist, damit die Prüfung den „Anforderungen“ entspricht, welche an die IT in Banken gesetzt werden.

Ziel

Aus diesem Grund behandelt diese Arbeit die Forschungsfrage, welche IT-Prozesse aus dem IT-Rahmenwerk COBIT 5 auf Basis der erhobenen Anforderungen an die IT in Banken geprüft werden müssen, um eine zweckmäßige Prüfung der IT in Sparkassen sicherstellen zu können. Die Auswahl der COBIT-5-Prozesse hat in diesem Fall auf Basis der „Anforderungen“ an die IT in Banken in nachvollziehbarer und praxisrelevanter Weise zu erfolgen.

Ergebnis

Hinsichtlich der Überleitung von Anforderungen an das COBIT-5-Rahmenwerk wurde zu Beginn der Arbeit eine Übersichtstabelle erstellt. Diese dient als Ausgangsbasis für die Kaskadierung der Anforderungen unterschiedlicher Anspruchsgruppen zu COBIT-5-Prozessen. Für die Überleitung wurde die Zielkaskade in COBIT 5 verwendet.

Als Ergebnis der Zielkaskade wurden 20 COBIT-5-Prozesse identifiziert, welche für die Prüfung der IT in Banken auf Basis der Anforderungen abgeleitet wurden. Den COBIT-5-Prozessen wurden schlussendlich noch die Arbeitsprodukte hinzugefügt, um eine vereinfachte Beurteilung der COBIT-5-Prozesse vornehmen zu können.