Seminarangebot

Seminare / Inhouse-Schulungen

Im Bereich der Seminare arbeiten wir mit bedeutenden Bildungseinrichtungen in Deutschland zusammen, darunter zählen das Deutsche Institut für Interne Revision e.V. (DIIR) sowie die VÖB-Service- GmbH.

Inhouse sind wir in verschiedenen Unternehmen der Finanzindustrie tätig. Aktuell führen wir verstärkt Inhouse-Seminare und Zertifizierungen zum Thema DORA/ Cyber-Resilienz sowie zu KI (Künstliche Intelligenz) für die Finanzindustrie durch.

Die Seminare verteilen sich über folgende Themenfelder:

  • ESG/CSRD/Nachhaltigkeit
  • Cybersicherheit (DORA/NIS2)
  • Künstliche Intelligenz (KI/AI)
  • MaRisk / Auslagerungsmanagement

Die Themenfelder werden ständig aktualisiert/erweitert und können jederzeit gerne auch institutsindividuell angepasst werden. Das konkrete Seminarangebot finden Sie nachfolgend.

 

DORA - Basisanforderungen
und Handlungsbedarf

Handlungsbedarf für die Institute und die Interne Revision

Beschreibung

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten seit dem 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden. Dies ist auch notwendig, denn die Schäden durch Cyberrisiken in den Finanzsystemen sind hoch. Immer wieder sind Finanzdienstleister teils empfindlich betroffen. Zudem werden auch die wichtigen IT-Dienstleister in die erhöhten Anforderungen miteinbezogen.

Mit DORA werden Anforderungen eingeführt, um angemessen auf Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) zu reagieren und Cyber-Angriffe zu verhindern bzw. ihre Auswirkungen zu reduzieren bzw. zu minimieren.  

Das Seminar stellt die Erfordernisse des DORA-Basispapiers dar, diskutiert die Inhalte und leitet Prüfungsfragen ab, die teils auch im Rahmen einer GAP-Analyse verwendet werden können.

Sowohl für die Bereiche der Informationssicherheit sowie der Internen Revision zwingt die IT-Risikolage und die durch DORA verschärfte Regulatorik zum Handeln in den Instituten. Bei Nichteinhaltung der Vorgaben drohen Sonderprüfungen durch die Aufsicht. Bei Nichteinhaltung der künftigen Meldeerfordernisse drohen Bußgelder für die Institute. Die Geschäftsleitungen sind in der Primärverantwortung.

Abgeleitet werden Handlungs- und Prüfungsansätze für die Bereiche Informationssicherheit, Interne Revision und Fraud-Prävention. Praktische Erfahrung ergänzen die Ausführungen.

Einleitung

  • Ziel von DORA
  • Gegenstand, Geltungsbereich, Begriffsbestimmungen
  • Granularer Überblick über die technischen Standards

IKT-Risikomanagement (Art. 5–16) 

  • Organisatorische Pflichten des Managements 
  • Etablierung einheitlicher Vorgaben zur Erkennung von IKT-Störungen und notwendige Reaktion
  • Vereinheitlichung des IKT-Risikomanagements sowie des Regelungsrahmens inkl. Richtlinien, Arbeitsanweisungen und Prozesse
  • Verwendung von IKT-Sicherheitstools, -Richtlinien und -Verfahren
  • Vorgaben für Notfallpläne zur Reaktion und Wiederanlauf
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision) 

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 17–23)

  • Überwachung von Cyber-Bedrohungen (standardisiert)
  • Erfordernisse des IKT-Frühwarnsystems 
  • Einstufung/ Klassifizierung aller IKT-Vorfälle sowie deren umfassende Auswirkungsanalyse 
  • Aufzeichnungspflichten
  • Vordefinition von Kommunikationsplänen 
  • Meldepflichten von schwerwiegenden IKT-Vorfällen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)

Testen der digitalen operationalen Resilienz (Art. 24–27)

  • Anforderungen an das Testprogramm zur Prüfung der digitalen Betriebsstabilität (Penetration Testing)


Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Art. 28–30)

  • Allgemeine Prinzipien IKT-Drittparteienrisiko
  • Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene
  • Wesentliche Vertragsbestimmungen

Teilnehmerkreis

Das Seminar richtet sich an Mitarbeiter und Führungskräfte der Internen Revision, Aufsicht, externen Revision sowie Informationssicherheitsbeauftragte und Mitarbeiter von Beratungsunternehmen.

Risikoorientierte "Use-Cases" für die DORA-Prüfungssaison

Schwerpunkt risikoorientierte Planung und Cyberresilienz der Organisation

Beschreibung

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind seit dem 17.01.2025 bei vielen der 3.600 DORA-relevanten Finanzunternehmen einzuhalten und von der dortigen Internen Revision „risikoorientiert“ zu prüfen.

Der risikoorientierte Prüfungsplan der Internen Revision war im letzten Jahr oder alternativ „Ad-Hoc“ ab 17.01.2025 an die neuen regulatorischen Erfordernisse anzupassen. Daraus abgeleitet sind risikoorientiert die wichtigen Prüffelder zu identifizieren und die Prüfungen gezielt vorzubereiten. Erste DORA-Prüfungen laufen bereits.

Wir stellen in dem Seminar ausgewählte „risikoorientierte“ use cases für die Interne Revision dar und gehen auf erste praktische Prüfungserkenntnisse und Prüfungserfahrungen ein.

Das Seminar richtet sich an die Interne Revision, externe Revision, IKT-Projekt- und Umsetzungsverantwortliche, IKT-Risk Manager, Informationssicherheitsbeauftragte, BCM-Beauftragte als auch an DORA-relevante Fachbereiche.

Inhalte

Neuer DORA-bezogener risikoorientierter Prüfungsplan der Internen Revision

  • IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16), Prüfung Erfordernisse RTS RMF Art. 1 – 27, IKT-Governance/ DOR-Strategie/ IKT-Kommunikationsstrategie als auch IKT-Drittparteienstrategie, IKT-Kommunikationsfunktion (Beauftragter, -pläne, -kommunikationsstrategien), Umsetzung der neuen DORA-Pflichtszenarien gem. RTS RMF Art 26 (2) in IKT-Geschäftsfortführung
  • Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30), SfO-IKT Drittparteien, Überwachungsanforderungen (allgemeine und kritisch/ wichtige IKT-Drittparteien), allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters
  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23) Prozess Vorfallsmeldewesen, Zuständigkeiten Aufbauorganisation (neues IKT-Risikomanagement), Identifizierungsmatrix für meldepflichtige Vorfälle/ Bedrohungen – Wesentlichkeitsschwellen?, Regelung Eingabe ins MVP-Register der BaFin (Erstmeldung, Folgemeldung, Abschlussmeldung), Erfassung der Schäden aus Vorfällen – Reporting an die BaFin/ EBA

IKT-Governance/ -Compliance

  • Umgang mit Altlasten und nicht umgesetzten DORA-Themen
  • SfO Arbeitsanweisungen / Verbandsvorgaben/ -muster, fehlende Audit-Trails (Nachweis der DORA SfO-Vollständigkeit), inhaltlich fehlende SfO-Themen wie z.B. aus RTS RMF Art. 27 (DORA-Jahresbericht etc.) – Risiko bei aufsichtlichen Prüfungen wegen fehlendem Nachweis der vollständigen DORA-Umsetzung
  • Beurteilung der IKT-Governance

IKT-Geschäftsfortführungsmanagement (der DORA-Notfall)

  • Neuer Prozess (Vollständigkeit aller DORA-relevanten Ergänzungen), typische Schwachpunkte aus Revisionsfeststellungen
  • IKT-Kommunikationsstrategie (Erstellung/ Verabschiedung)
  • Notfalltests und Training IKT-Geschäftsfortführung

IKT-Drittparteien

  • Vollständige Umsetzung der DORA-Vertragsanpassung?
  • Neue Einrichtung der Überwachung (DORA-Vertragsmonitoring, SLA-Überwachung, Überwachung kritisch/ wichtiger Funktionen incl. Unterauftragsvergabe
  • Vollständiges Setup Informationsregister im MVP-Portal
  • Kritische revisorische Reflektion

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Prüfung IKT-Drittparteienmanagement

Prüfung IKT-​Drittparteienmanagement durch die Interne Revision

Beschreibung

Für die Interne Revision stellt das Prüffeld der IKT-Drittdienstleister ein zentrales Prüffeld unter DORA dar, welches „risikoorientiert“ zu prüfen ist. Neben der risikoorientierten Prüfungsplanung stehen die besonderen Prüfungsanforderungen und Hinweise der Aufsicht einen wichtigen Rahmen dar. Erste Prüfungserkenntnisse werden in Form von „Use-Cases“ herausgearbeitet und durch zentrale Prüfungsfragen ergänzt. Dies soll eine wirkungsvolle Hilfestellung für die Interne Revision ermöglichen.

DORA beinhaltet zentrale Anforderungen für die Überwachung der IKT-Dienstleistungen seitens der IKT-Drittdienstleistern. Insbesondere stehen hierbei die kritisch/ wichtigen Funktionen im Fokus. Das fordert von den Instituten neben einer reinen Vertragsüberwachung, eine fachseitige Leistungsüberwachung sowie die fortlaufende Einschätzung der Risiken der IKT-Drittparteien – und zwar während des gesamten Lebenszyklus des Bezugs. Weiter fordert DORA schon vor Vertragsabschluss eine Ex-ante-Risikobewertung sowie eine Due-Diligence.

Neben einer hinreichenden schriftlich fixierten Ordnung (SfO) konzentrieren sich die Revisionsprüfungen auf zentrale Themen wie Umsetzung der DORA-konformen Mindestvertragsinhalte in Verträgen, der vollständigen und hinreichenden Eintragung in das MVP-Informationsregister der Aufsicht, der fortlaufenden Leistungsüberwachung und weiteren Themen.

Das Seminar zeigt die relevanten Prüfungserfordernisse auf, erläutert erste „neutralisiert dargestellte“ Prüfungserfahrungen sowie den Handlungsbedarf für die Interne Revision und die Institute.

Einleitung

  • Prüffeld der IKT-Drittdienstleister
  • Überwachung von IKT-Drittdienstleistern (incl. Überwachungszyklus)

Risikoorientierte Prüfungsplanung

  • Planungsgrundlagen (zentrale DORA-Prüffelder)
  • Identifizierung von IKT-Drittparteien anhand BaFin-Identifizierungsmethode
  • Erfassung Auslagerungsketten kritisch/wichtiger Funktionen
  • Modifizierung und Durchführung aller Risikoanalysen (Methodik)
  • Prozessanforderungen für IKT-Drittparteien (SfO)

BaFin Umsetzungshinweise

  • Ausweitung der Vertragsanforderungen 
  • Neuregelung von Unterauftragsvergaben 
  • Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence 
  • Geänderte Anforderungen an den Ausstieg
  • Hinweis zu Meldepflichten und Informationsregister

Schriftlich fixierte Ordnung

  • SfO IKT-Drittparteien
  • Unvollständige SfO, fehlende Audit-Trails in der SfO (Nachweis der DORA SfO-Vollständigkeit)
  • inhaltlich fehlende SfO-Themen

Mindestvertragsinhalte

  • Vollständige Umsetzung der DORA-Vertragsanpassung?
  • Prozess laufende Überwachung IKT-Drittparteien (inkl. Vertragsüberwachung, SLA, KPI etc.)

Einpflegung ins MVP-Portal (Informationsregister)

  • allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters
  • Inhalt/Eingabe ins Informationsregister
  • Prozess Einmeldung ins Informationsregister (MVP-Portal)

Praxisfälle aus Revisionsprüfungen

  • Themenbereich Informationsregister 
  • Selektion der IKT-Drittparteien
  • Operationelle Risiken 
  • Risikoanalysen
  • Mindestvertragsinhalte
  • Überwachung Auslagerungsketten

Teilnehmerkreis

Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, der IT (IT-Organisation) Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen etc.

Eingabe ins Informationsregister

Eingabe ins Informationsregister – Praxistraining

Beschreibung

Gemäß DORA müssen Finanzunternehmen seit dem 17.01.2025 an ein Informations-register führen. Darin sollen alle vertraglichen Vereinbarungen über die Nutzung von Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) zwischen dem Finanzunternehmen und IKT-Drittdienstleistern enthalten sein. Die Unternehmen müssen die Register jährlich einreichen – und wenn die BaFin das verlangt. In DORA-Umsetzungsprojekten wird die praktische Eingabe ins Informationsregister selten praktisch trainiert. Dies birgt die Gefahr einer Nichterfüllung der Meldeerfordernisse oder auch der Falschmeldung durch die Fachzuständigen mit den entsprechenden Konsequenzen.

Das Seminar stellt die notwendigen praktischen Prozessanforderungen für die Eingabe ins Informationsregister dar. In diesem Seminar wird ein Beispielfall für die Eingabe ins Informationsregister dargestellt und die daraus resultierenden Vorbereitungsarbeiten sowie Eingabeerfordernisse besprochen.

Das Seminar richtet sich an Projekt- und Umsetzungsverantwortliche, IKT-Risk Manager als auch an zuliefernde Fachbereiche sowie die Interne Revision – die gleichfalls in die projektbegleitenden Tätigkeiten der Institute eingebunden und auch künftig das Prüffeld Eingabe ins Informationsregister innerhalb des risikoorientierten Prüfungsansatzes prüft.

Das Seminar geht auf die konkreten DORA-Umsetzungsanforderungen ein und stellt die praktische Umsetzung dar.

Inhalte

  • Einleitung / Begriffsbestimmungen
  • Klassifizierung (kritische/wichtige) IKT-Dienstleistungen
  • Allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters
  • Umfang des Informationsregisters
  • Aufbau des Informationsregisters
  • Fallbeispiel – Inhalt/Eingabe ins Informationsregister

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Überwachung NIS2-Einhaltung IKT-Drittparteien

für Finanzinstitute und die Interne Revision

Beschreibung

Mit der Einführung/Umsetzung der NIS2-Richtliniehat die EU die Anforderungen an Cybersicherheit und Risikomanagement für Unternehmen erheblich verschärft. Dadurch stehen auch Finanzinstitute vor erweiterten Anforderungen an die Steuerung und Überwachung von Cybersicherheitsrisiken – insbesondere entlang ihrer IKT-Liefer- bzw. Dienstleistungsketten. Parallel wirken bestehende aufsichtsrechtliche Vorgaben wie DORA (Digital Operational Resilience Act)[2] und nationale Mindestanforderungen an das Risikomanagement, wodurch ein komplexes regulatorisches Zusammenspiel in der IKT-Drittparteienüberwachung entsteht.

IKT-Drittparteien – etwa Cloud-Anbieter, IT-Dienstleister oder Softwareprovider – sind zu kritischen Bestandteilen der Wertschöpfungskette geworden. Gleichzeitig erhöhen sie die Angriffsfläche und stellen besondere Anforderungen an Transparenz, Kontrolle und Nachweisbarkeit von Sicherheitsmaßnahmen. Finanzinstitute müssen daher nicht nur geeignete Steuerungsmechanismen etablieren, sondern auch eine kontinuierliche, prüffähige Überwachung der NIS2-Compliance sicherstellen.

Insbesondere die Interne Revision nimmt hierbei eine Schlüsselrolle ein: Sie bewertet unabhängig die Angemessenheit und Wirksamkeit der implementierten Kontrollsysteme und liefert der Geschäftsleitung sowie Aufsichtsorganen eine fundierte Einschätzung zur regulatorischen Konformität.

Dieses Seminar vermittelt praxisnah, wie Finanzinstitute ein wirksames Überwachungssystem für die NIS2-Einhaltung im IKT-Drittparteienmanagement aufbauen und wie die Interne Revision dieses systematisch prüfen und begleiten kann.

Inhalte

1. Regulatorischer Rahmen im Finanzsektor

2. IKT-Drittparteienmanagement im Finanzkontext

3. Überwachungsanforderungen nach NIS2

4. Prüfungsansätze der Internen Revision

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

KI-Marktüberwachungs- und Innovationsförderungsgesetz

Bedeutung für die Finanzinstitute

Beschreibung

Im Rahmen des Seminars werden die Grundinhalte des „KI-Marktüberwachungs- und Innovationsförderungsgesetzes“ und die relevanten Aspekte für die Praxis in Finanzinstituten dargestellt. Es dient der Durchführung der Verordnung (EU) 2024/1689 (KI-Verordnung). Mit dem in Artikel 1 enthaltenen KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) werden insbesondere die national zuständigen Behörden (die nationale KI-Governance) benannt, deren Aufgaben geregelt sowie Kooperationsvorschriften und die erforderlichen Vorschriften für das Bußgeldverfahren erlassen.

Die Regelungen der KI-Verordnung gelten grundsätzlich unmittelbar ab dem 2. August 2026. Der vorliegende Gesetzentwurf dient der Durchführung dieser Vorgaben. Ziel ist eine innovationsfreundliche und bürokratiearme Durchführung der KI-Governance.

Das KI-Marktüberwachungs- und Innovationsförderungsgesetzes ist eines der zentralen Regelungserfordernisse bei der KI-Umsetzung der Kredit- und Finanzinstitute und gibt den Mitarbeitern/ -innen die Grundlage für den Compliance-gerechten Einsatz in der Bankpraxis. Das Seminar enthält hierfür weitere Hilfestellungen und Umsetzungshinweise.

Inhalte

  1. Anwendungsbereich
  2. Marktüberwachungsbehörden
  3. Notifizierende Behörden und Akkreditierung
  4. Unabhängige KI-Marktüberwachungskammer
  5. Koordinierungs- und Kompetenzzentrum für die Verordnung (EU) 2024/1689
  6. Zentrale Anlaufstelle
  7. Unterrichtung nach Artikel 79, 81 und 82 der Verordnung (EU) 2024/1689
  8. Zentrale Beschwerdestelle
  9. Zusammenarbeit der zuständigen Behörden
  10. Zusammenarbeit der Marktüberwachungsbehörden mit der nach Artikel 52 Absatz 2 der Verordnung (EU) 2024/2847 benannten Behörde
  11. Befugnisse der zuständigen Behörden; Einschränkung eines Grundrechts
  12. Innovationsfördernde Maßnahmen
  13. KI-Reallabore, Verordnungsermächtigung
  14. Tests von Hochrisiko-KI-Systemen unter Realbedingungen
  15. Bußgeldverfahren

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

KI-Strategie und Bestimmung Hochrisikorelevanz

KI-​Strategie und Bestimmung der Hochrisikorelevanz gem. EU-​KI-​Verordnung

Beschreibung

Im Rahmen des Seminars werden die Erfordernisse an die KI-Strategie und „Compliance“-gerechte Bestimmung der Hochrisikorelevanz gem. EU KI-Verordnung in Kredit- und Finanzdienstleistungsunternehmen dargestellt. Regelmäßig gegen Ende des jeweiligen Jahres sind die Strategien der Institute anzupassen. Das Seminar enthält hierfür Hilfestellungen und Umsetzungshinweise.

Das Seminar stellt die geschäftliche Nutzung von generativer KI (Künstliche Intelligenz) und die einschlägigen rechtlichen Herausforderungen vor dem Hintergrund des Einsatzes sowie die Bedeutung für die Interne Revision dar.

Inhalte

  1. Einleitung / Entwicklungen
  2. Inhalte und funktionsweisendes Tools zur Bestimmung der Hochrisikorelevanz gem. EU-KI-Verordnung
    • Daran abgeleitet der Handlungsbedarf für die KI-Governance in Kredit- und Finanzdienstleistungsinstituten gem. EU KI-Verordnung
  3. Aufbau der KI-Strategie
    • Einsatzgebiete/ Use-Cases
    • KI-Management
    • Risk-Management
    • Aufbau-Ablauforganisation
    • Interne Kontrollen
  4. Typische institutsspezifische Handlungsbedarfe
    • Mitarbeiterinformation (Verhaltenstraining)
    • Aufbau- und Ablauforganisation
    • Risk Management
    • Internal Audit
    • Compliance (Leitlinien/ Richtlinien)

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

KI/DORA-konforme Überwachung von Drittparteien

KI-/DORA-​konforme Überwachung von Drittparteien

Beschreibung

Im Rahmen des Seminars werden praktische aus regulatorischen Aspekten abgeleitete „DORA-konforme Überwachungsansätze von KI-Adressen/ IKT-Drittparteien“ dargestellt und die Bedeutung für die Interne Revision abgeleitet. In den Überwachungsansatz wird berücksichtigt, ob die IKT-Drittpartei ein Hochrisiko-KI System betreibt, ein KI-Anbieter oder ein KI-Betreiber gem. der Definition der EU KI VO ist. Je nach Funktion und Bestimmung leitet sich der intensivere oder weniger intensivere Überwachungsansatz gem. DORA ab, der in der Praxis umzusetzen ist. Dieser soll auch helfen, ein Verständnis für die Prüfung der KI-Thematik in Kredit- und Finanzdienstleistungsunternehmen durch die Internen Revision auf Basis einer an der KI-Umsetzung ausgerichteten „risikoorientierten Vorgehensweise“ herzustellen.

Inhalte

  1. Einleitung / Entwicklungen
  2. Überblick über DORA-Überwachungserfordernisse
  3. Überwachung IKT-Drittparteien mit Hochrisikostatus
  4. Überwachung IKT-Drittparteien mit keinem Hochrisikostatus
  5. Abgeleitete und modifizierte Risikoanalyse - Praxisbeispiele
  6. Revisionsansätze/ Prüfungsfragen

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

Zertifikatslehrgang "IKT-​Manager/-in Digital Operational Resilience Act (DORA)"

Beschreibung

In 2,75 Tagen erarbeiten wir gründlich und detailliert die Schlüsselaspekte des IKT-Sicherheitsmanagement. Die abschließende Prüfung – die remote durchgeführt wird - bescheinigt Ihre Sachkunde.

Inhalte

Einleitung

DORA-Basisanforderungen

  • IKT-Risikomanagement (Art. 5–16)
  • Behandlung, Klassifizierung und Berichterstattung IKT- bezogener Vorfälle (Art. 17–23)
  • Testen der digitalen operationalen Resilienz (Art. 24–27)
  • Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Art. 28–30)

Vorstellung der Technischen Regulierungsstandards …

  • zur weiteren Harmonisierung der IKT-Risikomanagementinstrumente, -methoden, -prozesse und -politik (Art. 15 und Art. 16 der Verordnung (EU) 2022/2554)
  • zur Festlegung der Kriterien für die Einstufung von IKT-bezogenen Vorfällen, der Wesentlichkeitsschwellen für schwerwiegende Vorfälle und erhebliche Cyber-Bedrohungen gemäß Verordnung (EU) 2022/2554

Technischer Regulierungsstandards zum Inhalt der Meldungen und Berichte über größere Zwischenfälle und erhebliche Cyber-Bedrohungen sowie zur Festlegung der Fristen für die Meldung größerer Vorfälle. Entwürfe für technische Durchführungsstandards zu den Standardformularen, Vorlagen und Verfahren für Finanzinstitute zur Meldung eines schweren Vorfalls und einer erheblichen Cyber-Bedrohung.

  • Art. 19/2 Freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein
  • Art. 3/13 Finanzunternehmen sollen die Aufsicht über Bedrohungen informieren können, welche das Potential haben, einen schwerwiegenden IKT-Vorfall herbeizuführen.

Wiederholung und Abschlussprüfung
Wiederholung der vermittelten Inhalte mit Schwerpunkt auf den wichtigsten Sachverhalten. Ferner haben Sie nochmal die Möglichkeit Ihre Fragen zu platzieren und gemeinsam mögliche Antworten zu diskutieren.

Hinweis

Der Zertifikatslehrgang ist in erster Linie eine Wissensvermittlung zur Vorbereitung der Zertifikatsprüfung. Dieser bezieht sich nicht darauf, den Teilnehmern vollständig zu erläutern, wie die Anforderungen von DORA in allen Regelungsgebieten detailliert in die Praxis umgesetzt werden. Hierfür wurden Spezialseminare entwickelt. 

Teilnehmerkreis

Der Zertifikatslehrgang wendet sich an Fach- und Führungskräfte der Internen Revision, im IT-Bereich, in der externen Revision, im Auslagerungsmanagement, in der Aufsicht und an Informationssicherheitsbeauftragte sowie an Mitarbeiter von Beratungsunternehmen.

Zertifikatslehrgang "Experte KI-​Regulierung für Bank- und Finanzinstitute"

Ihr Nutzen:

  • Überblick über die Systematik und Inhalte der EU-KI-Verordnung (AI Act)
  • Verständnis über die Klassifizierung und Anforderungen an Hochrisiko-KI-Systeme
  • Kenntnis über Pflichten zu Datenqualität, Transparenz, Nachvollziehbarkeit und menschlicher Aufsicht
  • Fähigkeit zum Aufbau einer institutsinternen KI-Governance
  • Einblick in bestehende und geplante aufsichtsrechtliche Anforderungen (z. B. EBA, DORA)
  • Verständnis ethischer und datenschutzrechtlicher Anforderungen
  • Entwicklung institutsindividueller Handlungsschritte zur Umsetzung

Inhalte

Modul 1: BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI

Modul 2: EU KI-Verordnung

Modul 3: Checkliste ISO 42001 – KI-Managementsystem

Modul 4: KI-Anforderungen an den Datenschutz

Modul 5: Prozessanforderungen an die Einführung von KI in Finanzinstituten

  • MaRisk-Erfordernisse (AT 8.2 Änderungen betrieblicher Prozesse oder Strukturen)
    • Veränderungen in der Aufbau- und Ablauforganisation
    • Auswirkungsanalyse (Kontrollverfahren/ Kontrollintensität
    • Einbindung Risikocontrolling-Funktion, Compliance-Funktion, Interne Revision
  • DORA-Erfordernisse z.B.:
    • IKT-Projektmanagement (neue KI-Projekte, RTS RMF Art. 15)
    • IKT-Assetmanagement (Bewertung KI-System, RTS RMF Art. 4,5)
    • Beschaffung, Entwicklung und Wartung von KI IKT-Systemen (RTS RMF Art. 16)
    • KI IKT-Änderungsmanagement (RTS RMF Art. 17)
  • KI – Behandlung meldepflichtiger Vorfälle (Use-Case)
    • Erkennung IKT-bezogener Vorfälle und Reaktion (RTS RMF Art. 22 ff.)
    • Beispielhafte „KI-Use-Cases

Wiederholung und Abschlussprüfung
In 2,50 Tagen erarbeiten wir gründlich und detailliert die Schlüsselaspekte der Compliance in KI. Die abschließende Prüfung (Multiple Choice Test) bescheinigt Ihre Fachkenntnis. Die Zertifizierung dient als Kompetenznachweis gegenüber Dritten gem. der EU KI-Verordnung.
Wiederholung der vermittelten Inhalte mit Schwerpunkt auf den wichtigsten Sachverhalten. Ferner haben Sie nochmal die Möglichkeit, Ihre Fragen zu platzieren und gemeinsam mögliche Antworten zu diskutieren.

Teilnehmerkreis

Der Zertifikatslehrgang wendet sich an Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der KI bezogenen Fachbereiche, u.a. Internen Revision, Informationssicherheitsbeauftragte, IT-Bereich, IKT-Risikomanagement, externe Revision, Auslagerungsmanagement, Aufsicht sowie Mitarbeiter von Beratungsunternehmen.

Nutzung generativer KI im Unternehmen und die Bedeutung für die Interne Revision

Beschreibung

Im Rahmen des Seminars werden rechtliche Herausforderungen und Aspekte bei der geschäftlichen Nutzung von generativer Künstlicher Intelligenz (KI) aus Sicht der Internen Revision thematisiert, denn die mit der Nutzung generativer KI verbundenen spezifischen organisatorischen Herausforderungen und Risiken sind sehr anspruchsvoll. Hierbei werden Ansatzpunkte für die Interne Revision herausgearbeitet und dargestellt.

Inhalte

  1. Einleitung / Entwicklungen
  2. Rechtliche/ revisorische Aspekte bei der Beschaffung von KI
  3. Rechtliche/ revisorische Aspekte in der Einsatzphase
    • Datenverarbeitung
    • Cybersicherheit
    • Schutzrechte
    • Haftungsrechtliche Aspekte
    • Arbeitsrechtliche Aspekte
  4. Ethische Aspekte beim Einsatz von generativer KI
  5. Muster Checkliste bei der Nutzung von KI
  6. Revisionscheckliste/ Kontrollen IKT-Risikomanager / exemplarische Darstellung

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

Nachhaltigkeitsbericht-erstattung – CSRD

Beschreibung

Die EU-Richtlinie zur Nachhaltigkeits-berichterstattung (Corporate Sustainability Reporting Directive, CSRD) regelt die Pflicht zur Nachhaltigkeitsberichterstattung im Lagebericht. Im Vergleich zur bisherigen Regelung nach §§ 289b ff. Handelsgesetzbuch (HGB) erweitert sie den Anwendungsbereich und den Umfang der Nachhaltigkeitsberichterstattung deutlich. Die CSRD trat am 05. Januar 2023 in Kraft und ist in nationales Recht umzusetzen.

Durch die CSRD wird die „nichtfinanzielle Erklärung“ (bisher geregelt in § 289b HGB) in „Nachhaltigkeitsberichterstattung“ umbenannt, um auch begrifflich zu zeigen, dass Nachhaltigkeits- und Finanzberichterstattung den gleichen Stellenwert haben.

Wann und für wen wird die Nachhaltigkeitsberichterstattung nach der CSRD-Pflicht?

Das richtet sich vor allem nach der Unternehmensgröße sowie Kapitalmarktorientierung. Die Pflicht gilt für Geschäftsjahre, die beginnen am oder nach dem:

  1. Januar 2024: für Unternehmen, die bereits der Pflicht zur nichtfinanziellen Erklärung unterliegen,
  2. Januar 2025: für alle anderen großen Unternehmen,
  3. Januar 2026: für kapitalmarktorientierte kleine und mittlere Unternehmen,
  4. Januar 2028: für bestimmte Unternehmen aus Drittstaaten mit relevantem EU-Bezug.

Das Seminar stellt die Erfordernisse der CSRD und den Handlungsbedarf für die Finanzinstitute und die Interne Revision (Projektbegleitung, Revisionsprüfung) dar.

Einleitung

Regulatorische und interne Anforderungen

  • CSRD (Richtlinie (EU) 2022/2464)
  • Ausfüllanleitung nach ESRS (Richtlinie (EU) 2023/2772)
  • MaRisk-Umsetzung heranziehen (7. MaRisk-Novelle bei Banken- und Finanzinstituten)
  • Wesentlichkeitsanalyse erstellen

Aufbau- und Ablauforganisation

  • Ressourcenbereitstellung & Zuweisung der Verantwortlichkeiten (Three-Lines-of-Defence)
  • Aufbau- und ablauforganisatorische Anforderungen

Notwendige und wichtige Erleichterungsregelungen

  • Größenklassenbedingte Erleichterungen (Unternehmensgröße)
  • Weitere Erleichterungen

Die ESRS-Tabelle

BaFin-Hinweise

  • Prüfungsrelevanz Interne Revision
  • Prüfungsrelevanz Jahresabschlussprüfer
  • Prüfungsrelevanz Aufsicht

Teilnehmerkreis

Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeitende der Internen Revision, Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeitende von Beratungsunternehmen

 

Information icon

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.