Fazit
Die individuellen Anforderungen der IT-Compliance und des IT-Risiko-Managements sind für jedes Unternehmen unterschiedlich und müssen deshalb jeweils spezifisch ermittelt werden. Den erheblichen wirtschaftlichen und rechtlichen Risiken des IT-Einsatzes ist mit einer konsequenten Umsetzung eines maßgeschneiderten Compliance- und Risiko-Management-Konzepts zu begegnen. (qua)
Die jüngsten Bestimmungen
-
MiFID-Umsetzung: Sie verschärft die Forderungen des Kreditwesengesetzes (KWG).
-
Wirksamkeit gefordert: Neu ist Paragraf 25a. Er sieht einen Wirksamkeitsnachweis für das Risiko-Management-System vor.
-
Notfallkonzept: Ebenfalls neu ist die Vorgabe, dass zum Risiko-Management auch ein Notfallkonzept - insbesondere für IT-Systeme - gehört.
-
MaRisk: Die in Paragraf 25 a KWG enthaltenen unbestimmten Rechtsbegriffe sind in den Mindestanforderungen an das Risiko-Management (MaRisk) konkretisiert, die wiederum im Zuge der MiFID-Umsetzung neu gefasst wurden.
-
EuroSOX: Die "EuroSOX"-Richtlinien verlangen von bestimmten Unternehmen (vornehmlich Aktiengesellschaften), im Lagebericht die wesentlichen Merkmale des IT-Risiko-Management-Systems zu beschreiben. Die Aufgabe, die Wirksamkeit des Systems zu überwachen, kann der Unternehmensvorstand einem Prüfungsausschuss übertragen.