May 30, 2024 von Lukas Koslowski
Im Rahmen des IT Risk Managements werden auf Basis identifizierter Risiken adäquate Schutzmassnahmen (Controls) zur Mitigation definiert und implementiert. Durch Outsourcings und Verwendung unterschiedlicher Cloud-Modelle (SaaS, PaaS, IaaS) sind die Verantwortlichkeiten für die verschiedenen Layer je nach Modell unterschiedlich (Shared Responsibility). Somit sind sowohl Risiken als auch mitigierende Massnahmen nicht nur im Verantwortungsbereich von auslagernden Finanzinstituts, sondern auch beim beauftragten Dienstleister. Gleichwohl obliegt die ultimative Verantwortung stets beim auslagernden Finanzinstitut. IT General Controls (ITGCs) bilden ein Instrument, um sowohl die eigenen als auch ausgelagerten Risiken mit geeigneten Kontrollen zu adressieren. Was ITGSs sind und warum auch die Überprüfung der Controls wichtig, aber auch herausfordernd ist, erfahren Sie hier.
Der IT General Control Katalog bildet die Gesamtübersicht aller eigenen wie auch ausgelagerten Kontrollen und bildet die Grundlage für die Überprüfung der Effektivität der implementierten Massnahmen.
In der Regel decken ITGCs mindestens folgende Themengebiete ab:
Für jede Kontrolle werden nachfolgende Ausprägungen definiert:
Praxisbeispiel eines IT General Controls:
Domain | Beschreibung | Verantwortung | Kategorie | Durchführung | Häufigkeit | Nachweis |
---|---|---|---|---|---|---|
IT Operations | Änderungen an der produktiven Umgebung erfolgen gemäss dem definierten Change Management Prozess. | Rolle (z. B. Change Manager) | Preventive Detective Corrective | Manuell Automatisch | Adhoc Wöchentlich Monatlich Quartalsweise Halbjährlich jährlich | ITSM-Tool Change Management Prozess |
Durch den umfassenden Einsatz von Outsourcings sowie unterschiedlicher Cloud Service-Modelle ist neben Identifikation und Definition geeigneter Kontrollen insbesondere die Überprüfung eine Herausforderung. Ein weit verbreitetes Instrument der Dienstleister, um den Nachweis der Effektivität der Kontrollen zu erbringen, ist die Durchführung eines ISAE 3402- bzw. ISAE 3000-Audits und Bereitstellung des Auditberichts.
Für das Finanzinstituts ist es essentiell, die Berichte zu sichten, zu bewerten und in das eigene Reporting zu integrieren. Ausserdem müssen etwaige Kontrollabweichungen mit den jeweiligen Dienstleistern besprochen und Verbesserungsmassnahmen definiert sowie die Behebung überprüft werden.
Es zeigt sich deutlich, dass neben der Identifikation der Risiken und Festlegung adäquater Kontrollen insbesondere die Überwachung über alle involvierten internen und externen Parteien herausfordernd ist.
Redguard unterstützt Sie u. a. bei folgenden Aufgaben im Bereich ITGCs:
Wir begleiten zahlreiche Kunden in der Finanzbranche und freuen uns auf Ihre Anfrage. Lassen Sie sich jetzt unverbindlich beraten.
Überwachung eingesetzter Dienstleister in der Finanzbranche
Cloud Security: Herausforderung in der Finanzbranche