Jürgen, Krug, Stv. Abteilungsleiter Zentralrevision/(IT-)Revisor, Frankfurter Sparkasse
Wir müssen uns mal wieder die Frage stellen, ob die individuelle Datenverarbeitung (IDV) in einer durch standardisierte Kernanwendungen bestimmten Welt noch eine Rolle spielt.
Die Antwort lautet erneut ja, denn professionelle SW-Entwicklung kostet in der Regel Zeit und damit viel Geld. Es liegt folglich nahe, zur Unterstützung der Prozessabläufe in den Fachbereichen unterschiedliche – vor allem schnell anpassbare – eigene Anwendungen (u. a. MS Office-Anwendungen Excel und Access) zu entwickeln und einzusetzen. Diese Anwendungen beinhalten teilweise umfangreiche Funktionalitäten (z. B. komplexe Berechnungen und Aggregationen von Daten fürs Reporting sowie zum Datentransfer).
Problematik bei der IDV
In der Regel werden die IDV-Anwendungen von den Fachbereichen selbst entwickelt und betrieben (angereichert mit Formeln und Programmcode). Dies ist auch grundsätzlich sinnvoll, da das notwendige Spezialwissen in den Fachbereichen vorhanden ist. Zur Erleichterung der täglichen Arbeit wird eine vorerst kleine Anwendung „gestrickt“. Im Laufe der Zeit entwickelt sich daraus eine stattliche Anwendung mit besonderen Funktionen und mehreren Schnittstellen zu anderen Datentöpfen und schon ist sie da – die „neue Anwendung“.
Kritisch daran ist, dass für die IDV-Anwendungen die identischen Anforderungen wie für professionell entwickelte Programme gelten, diese aber immer noch rudimentär umgesetzt werden. Aber warum ist das so? Die Spezialisten in den Fachbereichen haben normalerweise nicht gelernt, wie Programme idealtypisch zu entwickeln sind (Vorgehensmodelle, Entwicklungsphasen etc.) und vernachlässigen „unbewusst“ u. a. qualitätssichernde Maßnahmen und Sicherheitsaspekte. Dazu zählen hauptsächlich die Funktionstrennung als organisatorische Sicherungsmaßnahme, die technische Umsetzung von Rollen und Rechten sowie aussagekräftige Protokollierungskonzepte.
Erwartungen der Aufsicht an die Nutzung von Excel-Anwendungen und IDV
Aufgrund der immer noch (zu) intensiven Nutzung von Anwendungen auf Basis von Trägersystemen hat die Aufsicht ihre Erwartungen nochmals konkretisiert. Neben den Vorgaben für die Anwendungsentwicklung und das Freigabeverfahren werden die Notwendigkeit eines zentralen IDV-Inventars sowie technisch-organisatorische Ansätze zur Bestandserhebung gefordert. Auch die Anforderungen an die Schutzbedarfsfeststellung und ggf. eine Restrisiko-Analyse von (fremden) IDV-Anwendungen haben an Bedeutung gewonnen. Natürlich darf der Einbezug von IT-Dienstleistern im Hinblick auf die Prozesstransparenz und die Steuerbarkeit nicht fehlen.
Herausforderungen für das Unternehmen
Die Herausforderungen sind vielschichtig. Angefangen mit der systematischen Identifizierung aller (wesentlichen) IDV-Anwendungen, idealerweise mit Tool-Unterstützung, über die angemessenen Risikoeinschätzungen bis hin zur ordnungsgemäßen Dokumentation der Anwendungen. Selbst in dieser Phase stellen sich weitere Fragen:
- Sind die Anwendungen vollständig erfasst?
- Sind die Risikoeinschätzungen plausibel und nachvollziehbar?
- Wie werden die Anwendungen verwaltet (Übersicht, Liste, Tool)?
- Sind (Prozess-)Verantwortliche benannt?
- Ist die Versionsverwaltung ordnungsgemäß?
- Sind die Qualitätssicherungsmaßnahmen ausreichend?
- Wird der Datenschutz ausreichend berücksichtigt?
Fazit
Die Individuelle Datenverarbeitung stellt in vielen Unternehmen immer noch eine Herausforderung dar. Zu häufig mangelt es an der Sensibilisierung für die Thematik und am Risikobewusstsein.
Ziel muss sein, die Anforderungen der Aufsicht in ein lebbares Rahmenwerk für das Unternehmen zu adaptieren und somit u. a. für eine bessere Akzeptanz in den Fachbereichen zu sorgen.
PRAXISTIPPS
- Setzen Sie geeignete Tools zur Softwareverwaltung und Risikobewertung ein.
- Berücksichtigen Sie auch SQL, VBA und andere Scriptsprachen.
- Regeln Sie das Zusammenspiel zwischen Fachbereich(en) und IT/Organisation.
Beitragsnummer: 18187