Die Rolle der Internen Revision in der DORA-Regulierung

Die Rolle der Internen Revision in der DORA-Regulierung

Interne Revision als wesentliche Überwachungsinstanz der DORA-Governance

Die Interne Revision nimmt im Governance-Gefüge der DORA eine zentrale Rolle ein, um die Einhaltung regulatorischer Anforderungen sicherzustellen, Risiken im IKT-Bereich zu überwachen und die digitale Resilienz der Organisation nachhaltig zu stärken.

Hierauf beziehend hat der europäische Dachverband für interne Revisoren (ECIIA) ihr Verständnis der Aufgaben der Internen Revision in einer Publikation zusammengeführt, in der sie auf folgende Fragestellungen eingeht:

  • Welche Aufgaben soll die Interne Revision gemäß DORA wahrnehmen?
  • Welche Praktiken werden von den Unternehmen zur Einhaltung der DORA-Anforderungen umgesetzt?
  • Wie kann die Interne Revision zusätzliche Prüfungssicherheit im DORA-Governance-Prozess zur Verfügung stellen?
Hierbei berücksichtigen die Ausführungen eine Umfrage, die Anfang 2024 durchgeführt wurde und an der u.a. zahlreiche Versicherungsgesellschaften beteiligt waren.

Wesentliche Aussagen:

  • Die Interne Revision muss den IKT-Risikomanagementrahmen regelmäßig in ihren Prüfungsplan einbeziehen. Die hierzu eingesetzten Revisorinnen und Revisoren müssen themenentsprechende Fertigkeiten aufweisen und einen Nachsorgeprozess vorsehen, um kritische IKT-Prüfungsfeststellungen umgehend zu beheben.
  • Insbesondere IKT-Reaktions- und Wiederherstellungspläne sollen regelmäßig einer Revision unterzogen werden.
  • Über bedrohungsorientierte Penetrationstests (Threat-Led Penetration Tests, TLPT) muss qualitativ berichtet werden, auch wenn diese nicht von der Internen Revision begleitet werden.
  • IKT-Drittparteien müssen regelmäßig bewertet und einer Prüfung unterzogen werden, wobei „pooled audits“ möglich sind.
  • Die vertraglichen Vereinbarungen mit IKT-Drittparteien müssen insbesondere im Hinblick auf Regelungen mit Bezug zur Internen Revision überprüft werden.
 

Schwerpunkte von DORA-Revisionsleistungen im ECIIA-Rahmen

Planung 

Die Planung der Internen Revision im Kontext von DORA erfordert eine umfassende Bewertung der regulatorischen Entwicklungen und der spezifischen Risiken, welche die IKT-Systeme eines Unternehmens betreffen können.

Die Revisionsplanung sollte insbesondere folgende Fragestellungen berücksichtigen:

  1. Regulatorische Entwicklungen: Was müssen Revisorinnen und Revisoren über DORA und die dazugehörigen politischen Instrumente verstehen, um die digitale operationelle Resilienz sicherzustellen?
  2. Audit-Risikoanalyse: Welche IKT-bezogenen Risiken könnten die Geschäftstätigkeit beeinträchtigen, und wie sollten diese priorisiert werden?
  3. Auditumfang und -ziele: Welche Prozesse, Systeme und Kontrollen sollten im Prüfungsumfang enthalten sein, um die Einhaltung von DORA sicherzustellen?
  4. Ressourcenzuweisung: Welche Expertise und Ressourcen sind erforderlich, um eine gründliche Revision gemäß den DORA-Anforderungen durchzuführen?
  5. Audit-Testing: Wie sollten Revisorinnen und Revisoren Beweise sammeln und bewerten, um Lücken zu identifizieren und die Einhaltung von DORA sicherzustellen?
In der internen Revisionsplanung müssen hierbei verschiedene Herausforderungen berücksichtigt werden, um eine effektive und zielgerichtete Prüfungsstrategie zu gewährleisten.

Revisorinnen und Revisoren sollten dabei insbesondere folgende Besonderheiten in der Revisionsplanung beachten:

  • Rolle der 1st und 2nd LoD: Je nach Organisationsstruktur sind die DORA-relevanten Verantwortlichkeiten unterschiedlich verteilt (bspw. Kommunikation/ Koordination mit Drittdienstleistern). Hier ist ein individueller Revisionsansatz erforderlich, um die Entwicklung und Durchführung geeigneter Kontrollen zu adressieren.
  • Langfristige Planung: Die Interne Revision sollte einen mehrjährigen Plan entwickeln, der sicherstellt, dass alle DORA-Anforderungen umfassend abgedeckt werden. Dazu gehört ein erstes Audit im Jahr 2024, das den Schwerpunkt auf die Prüfung von Design und die Implementierung der geplanten Regelungen legt, gefolgt von Revisionen zur operativen Wirksamkeit in den folgenden Jahren.
  • Anpassung des Prüfungsfokus: Es kann vorteilhaft sein, den Fokus und den Umfang des mehrjährigen Plans zu ändern, indem man sich auf Schwerpunktrevisionen in ausgewählten Bereichen/ Techniken der operationalen Resilienz  konzentriert.
  • Abstimmung mit behördlichen Prüfungen: Die Planung muss kontinuierlich mit der Geschäftsleitung und mittelbar mit den Aufsichtsbehörden abgestimmt werden, um deren Schwerpunktbetrachtungen zu berücksichtigen.

Revisionsprogramm

Die folgende Übersicht bietet einen beispielhaften Überblick über die wesentlichen Elemente eines Prüfprogramms im Rahmen der DORA-Anforderungen und hebt die spezifischen Anhaltspunkte hervor, die während der Revisionen berücksichtigt werden sollten. Das Ziel besteht darin, Unternehmen aktiv bei der systematischen und umfassenden Umsetzung der DORA-Vorgaben zu begleiten und ihre operative Resilienz proaktiv seitens der Internen Revision zu fördern.
 
Bereich DORA-Anforderung Zu berücksichtigende Anhaltspunkte

Governance und
Organisation

Risikopriorisierung
durchführen
  • Prüfung der Durchführung einer GAP-Analyse und Umsetzung eines Maßnahmenplans.
  • Bewertung der Anwendung des Proportionalitätsprinzips auf Größe und Risikoprofil.
  • Überprüfung der Identifikation kritischer und wichtiger Funktionen.
IKT-Risikomanagement Operationale Betriebsresilienz
sicherstellen
  • Vorgehen der IKT-Asset-Inventarisierung
  • Identifikation/ Konzentration von Drittparteiendienstleistern mit Bezug zu kritischen/ wichtigen Funktionen
  • Aktualisierung des IKT-Risikomanagement-Frameworks
Vorfalls-/
Störungsmanagement		 Planung und Überprüfung
der Incident-
Management-Prozesse
  • Klassifizierung von IKT-bezogenen Vorfällen und Bedrohungen
  • Meldung bedeutender IKT-Vorfälle
  • Bewertung und Priorisierung cyberbezogener Risiken
Resilienz-Tests Durchführung regelmäßiger
Resilienz-Tests
  • Verifikation der DOR-Strategie
  • Qualitative Beurteilung von Penetrationstests
Drittanbieter von
IKT-Diensten		 Bewertung der Risiken und
Widerstandsfähigkeit von Drittparteien
  • Risikoanalyse und Due Diligence: Bewertung von Kritikalität, Risiken und Interessenkonflikten vor Vertragsabschluss.
  • Vertragsprüfung: Sicherstellung von Prüfungsrechten und Einhaltung von Sicherheitsstandards.
  • Exit-Strategien: Planung für Anbieterwechsel bei Ausfällen oder Schwächen.
 

Testing 

Auch auf die Auswahl der Revisionsthemen aus DORA wird in der Publikation Bezug genommen: 

  • Formulierung und fortlaufende Aktualisierung einer digitalen Resilienzstrategie: Ein Schwerpunkt der Revisionstätigkeiten wäre hierzu die vorgängige Beurteilung der geplanten Maßnahmen. 25 Prozent der befragten Unternehmen haben zum Umfragezeitpunkt eine digitale Resilienzstrategie entwickelt.
  • Identifikation kritischer/ wichtiger Funktionen („KIF“): Auf den Zusammenhang zwischen Anzahl der KIF und Komplexität der resultierenden IT-Governance wird ebenfalls hingewiesen. Für die Interne Revision ist insbesondere ein mögliches Konzentrationsrisiko durch KIFs zu beachten, die von Drittparteien (ggf. auch deren Zulieferer) erbracht werden.
  • Wiederherstellungs-Tests: Nur 15 Prozent der Befragten gaben an, dass die Interne Revision Daten-Wiederherstellungstests selbst durchführt.
    • Die meisten Unternehmen führen mindestens einen Penetrationstest pro Jahr durch, häufig initiiert von der ersten oder zweiten Linie.
    • 65 Prozent der Unternehmen berichteten von einer vollständigen Einhaltung der Anforderungen an IKT-Reaktions- und Wiederherstellungspläne.
  • Reaktion auf Störungen inkl. Meldewesen: Ein Prüfungsfokus ist hier die Entdeckungs- und Mitteilungsfrist von maximal vier Stunden in DORA.
  • Penetrationstests: Die Interne Revision soll die internen/ externen Penetrationstests durch eine qualitative Bewertung des Testvorgehens unterstützen.
  • Auslagerungs- Risikomanagement: Die Interne Revision muss im Rahmen der DORA-Vorgaben das gesamte Governance- und Berichtswesen für das IKT-Drittparteienmanagement prüfen, einschließlich der Einhaltung von Vertragsbestimmungen, Exit-Strategien und der Berichterstattung an Behörden.
    • Revisionen von IKT-Drittparteien müssen risikobasiert und unter Nutzung etablierter Standards durchgeführt werden, wobei sicherzustellen ist, dass die Dienstleister in Vorfallreaktionspläne einbezogen werden und potenzielle Risiken durch deren Subdienstleister (4th-Parties) berücksichtigt werden.
    • Zur Effizienzsteigerung können auch anerkannte Industriepraktiken angewendet werden, wie bspw. die CCAG zur Durchführung von gemeinschaftlichen Prüfungen („Pooled Audit“) bei den großen Cloud-Anbietern.
Die DORA-Vorgaben und die detaillierten Anforderungen der zugehörigen RTS/ITS stellen unmittelbar anwendbares europäisches Recht dar und erfordern ein hohes Maß an Expertise. Die Prüfung dieser Anforderungen setzt einen interdisziplinären Ansatz voraus, der Expertinnen und Experten für Technik, Governance und Recht einbindet, um regulatorische und technische Vorgaben gleichermaßen abzudecken. BDO verfügt in diesem Bereich über umfassende Arbeitsprogramme und Prüfverfahren, die speziell auf die Unterstützung der Internen Revision bei der DORA-Compliance ausgerichtet sind.

Kontaktieren Sie uns gerne, um mehr über unsere Lösungen und Ansätze zu erfahren.