Prüfungshilfe für Internet-Banking

Ordnungsmerkmale

erschienen in: <kes> 2006^#4, Seite 32

Zusammenfassung: Zur Unterstützung der Arbeit von IT-Prüfern stellt die ISACA eine Reihe von Leitfäden bereit, die einem gemeinsamen Schema folgen. Exemplarisch soll hier die Prüfungsrichtlinie Internet-Banking vorgestellt werden.

Spezifische Anforderungen an die IT-Prüfung machen es notwendig, über geeignete Prüfungssystematiken zu verfügen. Die ISACA hat es sich deshalb mit ihrem weltweiten Vertretungsanspruch in Fragen der IT-Prüfung und -Kontrolle zur Aufgabe gemacht, Prüfungsleitfäden in Gestalt von Standards, Guidelines und Procedures bereitzustellen. Die Struktur dieser Prüfungsleitfäden folgt einer gleichförmigen Systematik, was den Wiedererkennungswert steigert und die Handhabung erleichtert. So werden zunächst allgemeingültige Ziele, einschlägige CoBIT/4-Domänen und -Prozesse sowie die Zwecksetzung dargestellt. Anschließend erfolgt abhängig vom unterstützten Sachgebiet eine Aufbereitung der spezifischen Fachlichkeit. Aus einer Reihe von Prüfungsleitfäden (vgl.  www.isaca.org) soll hier die Guideline zur Prüfung des Internet-Bankings vorgestellt werden.

Neben traditionellen Bankprodukten werden über Internet-Banking zunehmend auch weitere Funktionen bereitgestellt, etwa die Abwicklung von Wertpapiertransaktionen, Rechnungsstellung und -begleichung. Abhängig vom "Online-Reifegrad" einer Bank erfolgt eine differenzierte Unterstützung des Geschäftes durch Internet-Banking entweder als ergänzender Vertriebskanal neben klassischen Filialen oder als Abbildung des vollständigen Produktangebots durch einen ausschließlich "virtuellen" Vertrieb. Das Produktangebot ist dabei üblicherweise gekennzeichnet von informationellen, kommunikativen und transaktionsorientierten Maßnahmen im Internet-Banking.

Prüfungsvoraussetzung

Die Püfung im Internet-Banking ist von dessen naturgemäß hochrisikoorientierter Geschäftsabwicklung gekennzeichnet. Diese Risikoorientierung folgt dabei nicht einmal ursächlich aus dem Internet-Banking selbst, sondern leitet sich bereits aus den Risiken traditioneller Bankgeschäfte ab. Aus diesem Grund verfügt die bereitstellende Bank meist bereits über ein Risikomanagement, das sie in die Lage versetzt, solche Risiken zu identifizieren, zu messen, zu überwachen und zu kontrollieren.

Gegenüber traditionellen Bankgeschäften wird Online-Banking von drei zusätzlichen Elementen bestimmt: der Gesamtverantwortung der Geschäftsführung, der Verantwortlichkeit sonstiger Führungskräfte sowie der Verantwortlichkeit der operativen Führung. Die operative Führung hat hierbei die Aufgabe, Risiken des Internet-Bankings effektiv im obigen Sinn zu managen. Der Geschäftsführung sind regelmäßig Berichte über die eingesetzte Technik und implementierte Verfahren, die vermuteten Risiken und die resultierenden Handlungen gegenüber diesen Risiken bereitzustellen.

Internes Kontrollsystem

Entsprechend dem konkreten Produktangebot der Bank und dem zugehörigen Risikopotenzial sollte ein ausgewogenes internes Kontrollsystem (Internal Control System, ICS) implementiert sein. Die Prüfung dieses ICS muss den Prüfer in die Lage versetzen, zu bewerten, ob das interne Kontrollsystem geeignet und angemessen ist. Der Blickwinkel sollte auf Konsistenz der Technologie einschließlich strategischer Ziele, Effektivität, Effizienz und Wirtschaftlichkeit liegen. Zudem sollte die Einhaltung von Unternehmensrichtlinien und gesetzlichen Anforderungen beachtet werden.

Weitere Gesichtspunkte des ICS sind die Verfügbarkeit von Daten und Anwendungen inklusive Notfallplanung. Die Überwachung der Datenintegrität einschließlich Vermögenssicherung, Absicherung von Transaktionen und Zuverlässigkeit des Datenflusses sind ebenfalls notwendige Eigenschaften des ICS. Weitere Aspekte: Verfahren zur Vertraulichkeit und Datenschutzverfahren müssen für den Zugriff von Mitarbeitern und Kunden verfügbar sein, die Zuverlässigkeit des Berichtsweges ist sicherzustellen – die sieben Kontrollziele zu CoBIT/4 sind einschlägig: Effektivität, Effizienz, Vertraulichkeit, Integrität, Verfügbarkeit, Compliance und Zuverlässigkeit (s. a. <kes> 2006^#2, S. 26).

Der Prüfungsleitfaden zum Internet-Banking umfasst zudem Aspekte zur Unabhängigkeit und Kompetenz des Prüfers, zu risikoorientierter Prüfungsplanung, Prüfungsbereichen und -zielen, zur Durchführung und Checkliste der Prüfung sowie zur Berichterstattung. Das englischsprachige Original "IS Auditing Guideline G24 Internet Banking" sowie weitere Prüfungsleitfäden sind unter  www.isaca.org kostenlos verfügbar. (Bernd Wojtyna, Organisationsprogrammierer – CDI/CISA)

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006^#4, Seite 32