IKT-Revisionspläne inkl. Follow-up Verfahren bei kritischen Erkenntnissen

Contents

IKT-Revisionspläne inkl. Follow-up Verfahren bei kritischen Erkenntnissen (Art. 6 Abs. 6 und 7 i.V.m. Art. 5 Abs. 2 lit. f DORA)
Inhaltliche Anforderungen laut DORA
Prüfungsrelevanz

IKT-Revisionspläne inkl. Follow-up Verfahren bei kritischen Erkenntnissen (Art. 6 Abs. 6 und 7 i.V.m. Art. 5 Abs. 2 lit. f DORA)

Der IKT-Risikomanagementrahmen unterliegt nach Art. 6 Abs. 6 DORA der regelmäßigen Überprüfung durch die interne Revision – sofern es sich beim Institut nicht um ein Kleinstunternehmen handelt. Ziel ist eine objektive Bewertung von:

Wirksamkeit der IKT-Kontrollsysteme,
Angemessenheit der Governance,
Risikotransparenz und Sicherheitslage,
Einhaltung regulatorischer Anforderungen.

Die daraus gewonnenen Erkenntnisse sind gemäß Art. 6 Abs. 7 DORA durch ein formelles Follow-up-Verfahren nachzuhalten. Die Verantwortung für die Genehmigung und regelmäßige Überprüfung liegt beim Leitungsorgan (Art. 5 Abs. 2 lit. f DORA).

Inhaltliche Anforderungen laut DORA

1. Revisionspläne für IKT-Risiken (Art. 6 Abs. 6)

Integration der IKT-Themen in den mehrjährigen Revisionsplan
Risikoorientierte Prüfungsfrequenz abhängig von IKT-Bedeutung und Vorfällen
Revisoren müssen über ausreichende IKT-Fachkenntnis und Unabhängigkeit verfügen
Themenspezifische Prüfungsschwerpunkte: Governance, BCM, Zugriffskontrollen, Cloud, Drittrisiken etc.
Koordination mit 2nd Line Funktionen (Informationssicherheit, Compliance)

2. Formelles Follow-up Verfahren (Art. 6 Abs. 7)

Dokumentierte Verfahren zur Nachverfolgung kritischer Erkenntnisse aus der IKT-Revision
Klassifikation der Findings (z. B. kritisch, hoch, mittel, gering)
Fristen zur Behebung abhängig von Kritikalität
Zuständigkeiten und Monitoring-Prozess für Umsetzungsnachweise
Regelmäßige Berichterstattung an das Leitungsorgan
Prüfung, ob Maßnahmen vollständig, wirksam und fristgerecht umgesetzt wurden

3. Governance durch das Leitungsorgan (Art. 5 Abs. 2 lit. f)

Genehmigung der IKT-Revisionspläne und wesentlicher Änderungen
Überwachung und Bewertung der Prüfungsergebnisse
Sicherstellung, dass Ressourcen, Methoden und Follow-ups strategisch verankert sind
Berichtspflicht der Revisionsleitung an das Leitungsorgan

Prüfungsrelevanz

Bei DORA-Audits oder aufsichtlichen Prüfungen erwarten Behörden:

Vorliegen eines risikobasierten IKT-Revisionsplans
Durchführung dokumentierter IKT-Prüfungen mit Maßnahmenverfolgung
Nachweis der Unabhängigkeit und Kompetenz der Revisionsfunktion
Formelle Regelungen zur Abarbeitung kritischer Feststellungen
Berichte und Sitzungsprotokolle zur Überwachung durch das Leitungsorgan