a)

die Architektur der IT-Systeme einschließlich aller Anwendungen, ihrer Schnittstellen und Interaktionen;

b)

ein Datenflussdiagramm mit einer Übersicht über die wichtigsten Anwendungen, Datenbanken und IT-Komponenten für die Anwendung des IRB-Ansatzes und für die Ratingsysteme;

c)

die Zuordnung von IT-Systemeigentümern;

d)

die Kapazität, Skalierbarkeit und Effizienz der IT-Systeme;

e)

die Handbücher der IT-Systeme und Datenbanken.

a)

die IT-Infrastruktur die ordentlichen und außerordentlichen Verfahren eines Instituts zeitnah, automatisch und flexibel unterstützen kann;

b)

dem Risiko des Ausfalls der Funktionalität der IT-Infrastruktur („Störungen“), dem Risiko des Datenverlusts und dem Risiko fehlerhafter Beurteilungen („Fehler“) angemessen Rechnung getragen wird;

c)

die IT-Infrastruktur angemessen vor Diebstahl, Betrug, Manipulation oder Sabotage von Daten oder Systemen durch böswillige Insider oder Außenstehende geschützt ist.

a)

die Verfahren zur Sicherung der IT-Systeme, Daten und Dokumentation implementiert sind und regelmäßig getestet werden;

b)

Aktionspläne zur Aufrechterhaltung der Kontinuität für entscheidend wichtige IT-Systeme umgesetzt werden;

c)

die Wiederherstellungsverfahren für IT-Systeme im Störungsfall definiert sind und regelmäßig getestet werden;

d)

die Verwaltung der IT-Systemnutzer im Einklang mit den einschlägigen Grundsätzen und Verfahren des Instituts steht;

e)

Prüfpfade für kritische IT-Systeme umgesetzt werden;

f)

das Management von Änderungen an IT-Systemen angemessen ist und die Überwachung von Änderungen alle IT-Systeme abdeckt.

a)

die regelmäßige Überwachung und Ad-hoc-Überprüfungen zu Empfehlungen zur Beseitigung von aufgedeckten Schwächen oder Mängeln führen;

b)

die Feststellungen und Empfehlungen nach Buchstabe a der Geschäftsleitung und dem Leitungsorgan des Instituts mitgeteilt werden;

c)

geeignete Nachweise dafür vorhanden sind, dass die Empfehlungen ordnungsgemäß berücksichtigt und vom Institut umgesetzt werden.