Zum Inhalt springen
Resilience Platform Resilience Platform

Assessment Support

Praktische Hilfen für Ihre Assessments

Strukturierte Unterstützung für Prüfungs- und Assessmentprozesse.

SREP IT Risk Questionnaire 2025

10 Prüffelder mit Antwortleitfäden, Nachweislisten und Prüfungsvorbereitung für die Bankenaufsicht.

Zum Prüffeld →

SWIFT CSP Assessment

11 Controls (8 mandatory, 3 advisory) mit Evidenz-Checklisten und Status-Tracking für das jährliche CSP-Assessment.

Zu den Controls →

Jahresabschlussprüfung

10 Prüfungsschwerpunkte von ITGC bis Berichterstattung mit Prüfungshandlungen und Deliverables.

Zu den Prüfungsphasen →

SREP IT Risk Questionnaire 2025 — Antwortleitfaden

Prinzip: Beantworten Sie jede Frage nach dem SOAR-Prinzip: Situation – Operation – Assessment – Result

S – Situation (Ist-Zustand)

Beschreiben Sie die aktuelle Organisation, Prozesse und Systeme im Prüffeld. Seien Sie konkret und nennen Sie relevante Dokumente, Richtlinien und Verantwortlichkeiten.

O – Operation (Massnahmen)

Dokumentieren Sie die umgesetzten Massnahmen, Kontrollen und Prozesse. Verweisen Sie auf Nachweise (Richtlinien, Protokolle, Berichte).

A – Assessment (Bewertung)

Bewerten Sie den Reifegrad und die Wirksamkeit der Massnahmen. Nutzen Sie eine selbsterklärende Skala (z.B. etabliert / umgesetzt / in Planung / nicht umgesetzt).

R – Result (Ergebnis)

Fassen Sie das Ergebnis zusammen und nennen Sie geplante oder laufende Verbesserungsmassnahmen mit Zeitplan.

Häufige Fehler

  • Zu allgemeine Antworten ohne konkreten Institutsbezug
  • Fehlende Nachweisverweise (die Aufsicht erwartet belegbare Aussagen)
  • Widersprüchliche Angaben zwischen verschiedenen Prüffeldern
  • Verschweigen von Schwachstellen (diese werden in der Prüfung ohnehin aufgedeckt)

Goldene Regeln

  • Jede Aussage mit einem Nachweis belegen (Dokument, Bericht, Protokoll)
  • Bei Lücken: nicht beschönigen, sondern Massnahmenplan mit Datum nennen
  • Konsistenz zwischen allen Antworten sicherstellen
  • Vorab-prüfen: Sind die genannten Dokumente aktuell und auffindbar?

Evidenz-Vorbereitung

Ordnen nach: Prüffeld (SREP-IT-01 bis -10) — Format: Elektronischer Ordner mit Index-Datei, chronologisch sortiert

  • ? Sind alle genannten Richtlinien aktuell (Datum < 12 Monate)?
  • ? Sind die Verantwortlichkeiten eindeutig zugeordnet?
  • ? Existieren die genannten Nachweise physisch/elektronisch?
  • ? Sind die Nachweise revisionssicher (Versionierung, Freigabe)?

SWIFT CSP Assessment — Antwortleitfaden

Prinzip: Pro Control: Status angeben (Compliant / Partially Compliant / Non-Compliant) + Nachweis + Erläuterung

Status

Geben Sie für jeden Control den aktuellen Compliance-Status an: Compliant (vollständig umgesetzt), Partially Compliant (teilweise umgesetzt, Massnahmen laufen) oder Non-Compliant (nicht umgesetzt, Massnahmen geplant).

Evidence Reference

Nennen Sie das konkrete Dokument, das die Umsetzung belegt (z.B. Netzwerkdiagramm_V2.3.pdf, Firewall_Config_2025-03.docx).

Implementation Note

Kurze Erläuterung, WIE der Control umgesetzt ist (keine theoretische Beschreibung, sondern konkrete technische/organisatorische Massnahme).

Remediation Plan

Bei Abweichungen: Massnahme, Verantwortlicher, Termin für die Behebung.

Häufige Fehler

  • Compliant-Status ohne belastbaren Nachweis
  • Veraltete Netzwerkdokumentation (nicht aktuell)
  • Fehlende Unterscheidung zwischen Soll und Ist
  • Keine regelmässigen Überprüfungen der Wirksamkeit

Goldene Regeln

  • Jeder "Compliant"-Status muss durch einen aktuellen Nachweis belegt sein
  • SWIFT-Umgebung mindestens einmal jährlich auf CSP-Konformität prüfen
  • Netzwerkdokumentation aktuell halten (Änderungen zeitnah nachtragen)
  • Externe Validierung vor der CSP-Einreichung einplanen (ca. 4–6 Wochen)

Evidenz-Vorbereitung

Ordnen nach: Control-ID (CSP-1.1 bis CSP-3.3) — Format: Elektronischer Ordner pro Control mit Index, SWIFT CSP Portal-Upload bereit

  • ? Netzwerkdiagramm mit SWIFT-Segmentierung aktuell?
  • ? Firewall-Regelwerk dokumentiert und freigegeben?
  • ? Berechtigungsmatrix für SWIFT-Zugriffe vorhanden?
  • ? Letzter Schwachstellenscan der SWIFT-Umgebung durchgeführt?
  • ? Notfallplan für SWIFT-Ausfall getestet?

Jahresabschlussprüfung (IKT-Prüfungshandlungen) — Antwortleitfaden

Prinzip: Prüfungsphasen nacheinander durchlaufen: Planung → ITGC → ITAC → Auslagerungen → Datenanalyse → Berichterstattung

Prüfungsplanung

Bereiten Sie eine IKT-Risikobeurteilung vor, identifizieren Sie rechnungslegungsrelevante Systeme und legen Sie die Prüfungsstrategie fest. Stellen Sie die Unterlagen dem Prüfer rechtzeitig zur Verfügung.

Nachweisbereitstellung

Organisieren Sie die Nachweise pro Prüfungsschwerpunkt in einem strukturierten Order. Jeder Nachweis sollte eine klare Bezeichnung, Version und ein Datum haben.

Prüferbegleitung

Stellen Sie Ansprechpartner pro IT-Prüffeld bereit. Bereiten Sie Kurzpräsentationen zu ITGC, ITAC und Auslagerungen vor.

Feststellungsmanagement

Dokumentieren Sie Prüfungsfeststellungen zentral, bewerten Sie die Auswirkungen und leiten Sie Massnahmen ein.

Häufige Fehler

  • Unvollständige oder nicht auffindbare Nachweise
  • Fehlende Aktualität der Dokumente (Jahresabschlussprüfung bezieht sich auf das abgelaufene Geschäftsjahr)
  • Keine klaren Ansprechpartner für IT-Prüffelder
  • Zeitdruck durch verspätete Bereitstellung der Unterlagen

Goldene Regeln

  • Prüfungsordner mindestens 4 Wochen vor Prüfungsbeginn bereitstellen
  • Jede Prüfungsfestellung schriftlich dokumentieren und Quittierung einholen
  • Management Letter als Chance für Verbesserungen nutzen
  • Vorjahresfeststellungen vor Prüfungsbeginn abarbeiten

Evidenz-Vorbereitung

Ordnen nach: Prüfungsphase (AP-01 bis AP-10) — Format: Physischer + elektronischer Prüfungsordner mit Index, Register und Seitenzahlen

  • ? IKT-Risikobeurteilung für das abgelaufene Geschäftsjahr erstellt?
  • ? ITGC-Dokumentation (Zugriff, Änderung, Betrieb) aktuell und vollständig?
  • ? Auslagerungsregister mit aktuellen ISAE 3402/SOC2-Berichten?
  • ? Vorjahresfeststellungen abgearbeitet?
  • ? Ansprechpartner pro Prüffeld benannt?

Zeitplan für die Assessment-Vorbereitung

SREP IT Risk

  • T–6 Monate Gap-Analyse durchführen, Nachweise sammeln
  • T–3 Monate Selbstassessment durchführen, Lücken identifizieren
  • T–1 Monat Antworten finalisieren, Vorstandsvorbereitung
  • T–0 Einreichung bei der Aufsicht

SWIFT CSP

  • T–6 Monate Selbstassessment aller 11 Controls durchführen
  • T–3 Monate Unabhängige Validierung (internes Audit oder extern)
  • T–1 Monat Attestation im SWIFT CSP Portal vorbereiten
  • T–0 Einreichung (Frist: 31.12.2025)

Jahresabschlussprüfung

  • T–6 Monate Vorjahresfeststellungen abarbeiten, Nachweise aktualisieren
  • T–3 Monate Prüfungsordner erstellen, Ansprechpartner benennen
  • T–1 Monat Prüfungsplan mit Prüfer abstimmen, Unterlagen bereitstellen
  • T–0 Prüfungsdurchführung (ca. 4–8 Wochen)

Cross-References: assessmentsübergreifende Vorbereitung

Nutzen Sie Synergien zwischen den Assessments — viele Nachweise und Massnahmen decken mehrere Prüfungen gleichzeitig ab.

SREP ↔ SWIFT CSP Cross-Reference

SREP SWIFT CSP
SREP-IT-01 (IKT-Governance) CSP-2.1 (Betriebsprozesse)
SREP-IT-03 (ISMS) CSP-1.2 (Systemhärtung)
SREP-IT-04 (BCM) CSP-2.1 (Notfallplan)
SREP-IT-05 (Drittparteien) CSP-2.5 (Vorfallmanagement)
SREP-IT-06 (Vorfallmanagement) CSP-2.5 (Vorfallreaktion)
SREP-IT-07 (Resilienztests) CSP-1.2 (Schwachstellenmanagement)

SREP ↔ Jahresabschlussprüfung Cross-Reference

SREP Jahresabschluss
SREP-IT-01 (IKT-Governance) AP-01 (Prüfungsplanung)
SREP-IT-02 (IKT-Risikomanagement) AP-01 (Risikobeurteilung)
SREP-IT-03 (ISMS) AP-03 bis AP-05 (ITGC)
SREP-IT-05 (Drittparteien) AP-07 (Auslagerungen)
SREP-IT-09 (Reporting) AP-09 (IKT-Berichte)

Hinweis: Diese Hilfen sind praxisorientierte Leitfäden und ersetzen keine individuelle Prüfungsvorbereitung oder Rechtsberatung. Die tatsächlichen Anforderungen können je nach Institut variieren.