Montag, 3. Mai 2021

IDV und Excel-Anwendungen

Wieder stärker im Fokus durch die neuen MaRisk & BAIT?

Jürgen, Krug, Stv. Abteilungsleiter Zentralrevision/(IT-)Revisor, Frankfurter Sparkasse 

 

Wir müssen uns mal wieder die Frage stellen, ob die individuelle Datenverarbeitung (IDV) in einer durch standardisierte Kernanwendungen bestimmten Welt noch eine Rolle spielt.

 

Die Antwort lautet erneut ja, denn professionelle SW-Entwicklung kostet in der Regel Zeit und damit viel Geld. Es liegt folglich nahe, zur Unterstützung der Prozessabläufe in den Fachbereichen unterschiedliche – vor allem schnell anpassbare – eigene Anwendungen (u. a. MS Office-Anwendungen Excel und Access) zu entwickeln und einzusetzen. Diese Anwendungen beinhalten teilweise umfangreiche Funktionalitäten (z. B. komplexe Berechnungen und Aggregationen von Daten fürs Reporting sowie zum Datentransfer).

 

Problematik bei der IDV

In der Regel werden die IDV-Anwendungen von den Fachbereichen selbst entwickelt und betrieben (angereichert mit Formeln und Programmcode). Dies ist auch grundsätzlich sinnvoll, da das notwendige Spezialwissen in den Fachbereichen vorhanden ist. Zur Erleichterung der täglichen Arbeit wird eine vorerst kleine Anwendung „gestrickt“. Im Laufe der Zeit entwickelt sich daraus eine stattliche Anwendung mit besonderen Funktionen und mehreren Schnittstellen zu anderen Datentöpfen und schon ist sie da – die „neue Anwendung“.

 

Kritisch daran ist, dass für die IDV-Anwendungen die identischen Anforderungen wie für professionell entwickelte Programme gelten, diese aber immer noch rudimentär umgesetzt werden. Aber warum ist das so? Die Spezialisten in den Fachbereichen haben normalerweise nicht gelernt, wie Programme idealtypisch zu entwickeln sind (Vorgehensmodelle, Entwicklungsphasen etc.) und vernachlässigen „unbewusst“ u. a. qualitätssichernde Maßnahmen und Sicherheitsaspekte. Dazu zählen hauptsächlich die Funktionstrennung als organisatorische Sicherungsmaßnahme, die technische Umsetzung von Rollen und Rechten sowie aussagekräftige Protokollierungskonzepte.

 

Erwartungen der Aufsicht an die Nutzung von Excel-Anwendungen und IDV

Aufgrund der immer noch (zu) intensiven Nutzung von Anwendungen auf Basis von Trägersystemen hat die Aufsicht ihre Erwartungen nochmals konkretisiert. Neben den Vorgaben für die Anwendungsentwicklung und das Freigabeverfahren werden die Notwendigkeit eines zentralen IDV-Inventars sowie technisch-organisatorische Ansätze zur Bestandserhebung gefordert. Auch die Anforderungen an die Schutzbedarfsfeststellung und ggf. eine Restrisiko-Analyse von (fremden) IDV-Anwendungen haben an Bedeutung gewonnen. Natürlich darf der Einbezug von IT-Dienstleistern im Hinblick auf die Prozesstransparenz und die Steuerbarkeit nicht fehlen.

 

Herausforderungen für das Unternehmen

Die Herausforderungen sind vielschichtig. Angefangen mit der systematischen Identifizierung aller (wesentlichen) IDV-Anwendungen, idealerweise mit Tool-Unterstützung, über die angemessenen Risikoeinschätzungen bis hin zur ordnungsgemäßen Dokumentation der Anwendungen. Selbst in dieser Phase stellen sich weitere Fragen:

 

  • Sind die Anwendungen vollständig erfasst?
  • Sind die Risikoeinschätzungen plausibel und nachvollziehbar?
  • Wie werden die Anwendungen verwaltet (Übersicht, Liste, Tool)?
  • Sind (Prozess-)Verantwortliche benannt?
  • Ist die Versionsverwaltung ordnungsgemäß?
  • Sind die Qualitätssicherungsmaßnahmen ausreichend?
  • Wird der Datenschutz ausreichend berücksichtigt?

 

Fazit

Die Individuelle Datenverarbeitung stellt in vielen Unternehmen immer noch eine Herausforderung dar. Zu häufig mangelt es an der Sensibilisierung für die Thematik und am Risikobewusstsein.

 

Ziel muss sein, die Anforderungen der Aufsicht in ein lebbares Rahmenwerk für das Unternehmen zu adaptieren und somit u. a. für eine bessere Akzeptanz in den Fachbereichen zu sorgen. 

 

PRAXISTIPPS

  • Setzen Sie geeignete Tools zur Softwareverwaltung und Risikobewertung ein.
  • Berücksichtigen Sie auch SQL, VBA und andere Scriptsprachen.
  • Regeln Sie das Zusammenspiel zwischen Fachbereich(en) und IT/Organisation.

Beitragsnummer: 18187

Produkte zum Thema:

Produkticon
Excel-Anwendungen und IDV nach neuen MaRisk & neuen BAIT

790,00 € exkl. 19 %

11.05.2021

Produkticon
IT-Risikomanagement nach neuen MaRisk & neuen BAIT

790,00 € exkl. 19 %

12.05.2021

Beiträge zum Thema:

Beitragsicon
Umgang mit Excel-Anwendungen und IDV

Die neuen MaRisk/BAIT verlangen, dass die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Welche Anforderungen sind daher an den Umgang mit Excel-Anwendungen und IDV zu stellen in den Bereichen Inventarisierung, Dokumentation und Versionierung?

12.11.2020

Beitragsicon
Programm für Nachhaltigkeitsstresstests

Der Beitrag liefert einen Diskussionsanstoß in Banken, wie nun in das Thema Nachhaltigkeitsstresstests zu starten ist.

29.04.2021

Beitragsicon
Auslagerung in die Cloud – Eine Herausforderung, die sich lohnt!

Cloud-Auslagerungen sind mit Herausforderungen verbunden, die sich aber lohnen!

06.05.2021


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.