Björn Wehling, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH

Die neuen MaRisk/BAIT verlangen, dass die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Welche Anforderungen sind daher an den Umgang mit Excel-Anwendungen und IDV zu stellen in den Bereichen Inventarisierung, Dokumentation und Versionierung?

Inventarisierung

Jeder Fachbereich muss den Bestand „seiner“ IDV-Anwendungen erheben und fortlaufend pflegen – eine zentrale Registrierung ist sinnvoll und unumgänglich für IT- und ISB-Belange, sodass ein übersichtliches und aktuelles IDV-Inventar erstellt und abgerufen werden kann. Daher sollten bestimmte Mindestangaben erhoben werden (Name und Zweck der Anwendung, Datumsangaben, Fremd- oder Eigenentwicklung, fachverantwortliche(r) Mitarbeiter, zugrundeliegende Technologie, Ergebnis der Risikoklassifizierung/Schutzklasseneinstufung und die daraus abgeleiteten Schutzmaßnahmen). In der Praxis besteht oftmals kein (zentraler und/oder aktueller) Überblick über die im Einsatz befindlichen IDV-Anwendungen.

Seminartipps

• Excel-Anwendungen und IDV nach neuen MaRisk & neuen BAIT, 11.05.2021, Köln.
• IT-Risikomanagement nach neuen MaRisk & neuen BAIT , 12.05.2021, Köln.
• NEUE BAIT 2021, 17.03.2021 - 18.03.2021, Frankfurt/M.
• Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.11.2020 - 26.11.2020, Zoom.
• Prüfung Datenqualität, 10.12.2020, Frankfurt/M.

Verfahrens-Dokumentation/Programm-Dokumentation

Fachlicher Inhalt sollte entweder in die Arbeitsablaufbeschreibung integriert werden oder als separates Handbuch für die Anwender zur Verfügung stehen. Zudem sind programmtechnische Dokumentationen z. B. in Form von ausreichenden Kommentierungen im Quellcode oder als separates Dokument vorzunehmen. Darüber hinaus wird eine Architektur-/Schnittstellenübersicht mit sämtlichen Datenquellen und Schnittstellen zu anderen Anwendungen von der Aufsicht erwartet. Weiterhin sollte ein dezidiertes Zugriffsrechtekonzept (Soll-Rollenkonzept) erstellt und laufend aktualisiert werden. Häufig geben nicht vorgenommene/unzureichende Dokumentationen Anlass für Beanstandungen.

Versionierung der Programmdateien

Die Nachvollziehbarkeit des Programmcodes und sämtlicher Vorgängerversionen müssen sichergestellt sein. Sinnvoll dabei ist die Nutzung eines Versionsverwaltungstools (z. B. CVS), welches sämtliche Änderungen mit einem Zeitstempel und Benutzerkennung sichert und so archiviert, dass sie zu einem späteren Zeitpunkt wiederhergestellt werden können. Bei Bedarf – beispielsweise bei versehentlichen oder fehlerhaften Änderungen – kann man zu einer früheren Version zurückkehren, damit das Zustandekommen von Ergebnissen (z. B. Rahmen von Prüfungshandlungen der Innenrevision) damit auch im Nachhinein nachvollziehbar ist.

PRAXISTIPPS

• Prüfen Sie, welche sinnvollen Verfahren/Tools genutzt werden können, um eine vollständige Erfassung und Inventarisierung sämtlicher IDV sicherzustellen
• Schaffen Sie Voraussetzungen, um die Tätigkeiten der Mitarbeiter i. Z. m. IDV-Verfahren und IDV-Programmen ausreichend dokumentieren zu können
• Jede Änderung einer IDV(-Datei) sollte zu einer automatisierten, unveränderbaren Versionierung führen. Dabei sollten die Angaben zu Änderungsdatum, Uhrzeit und änderndem Mitarbeiter automatisch miterfasst werden.