Montag, 3. Mai 2021

IDV und Excel-Anwendungen

Wieder stärker im Fokus durch die neuen MaRisk & BAIT?

Jürgen, Krug, Stv. Abteilungsleiter Zentralrevision/(IT-)Revisor, Frankfurter Sparkasse 

 

Wir müssen uns mal wieder die Frage stellen, ob die individuelle Datenverarbeitung (IDV) in einer durch standardisierte Kernanwendungen bestimmten Welt noch eine Rolle spielt.

 

Die Antwort lautet erneut ja, denn professionelle SW-Entwicklung kostet in der Regel Zeit und damit viel Geld. Es liegt folglich nahe, zur Unterstützung der Prozessabläufe in den Fachbereichen unterschiedliche – vor allem schnell anpassbare – eigene Anwendungen (u. a. MS Office-Anwendungen Excel und Access) zu entwickeln und einzusetzen. Diese Anwendungen beinhalten teilweise umfangreiche Funktionalitäten (z. B. komplexe Berechnungen und Aggregationen von Daten fürs Reporting sowie zum Datentransfer).

 

Problematik bei der IDV

In der Regel werden die IDV-Anwendungen von den Fachbereichen selbst entwickelt und betrieben (angereichert mit Formeln und Programmcode). Dies ist auch grundsätzlich sinnvoll, da das notwendige Spezialwissen in den Fachbereichen vorhanden ist. Zur Erleichterung der täglichen Arbeit wird eine vorerst kleine Anwendung „gestrickt“. Im Laufe der Zeit entwickelt sich daraus eine stattliche Anwendung mit besonderen Funktionen und mehreren Schnittstellen zu anderen Datentöpfen und schon ist sie da – die „neue Anwendung“.

 

Kritisch daran ist, dass für die IDV-Anwendungen die identischen Anforderungen wie für professionell entwickelte Programme gelten, diese aber immer noch rudimentär umgesetzt werden. Aber warum ist das so? Die Spezialisten in den Fachbereichen haben normalerweise nicht gelernt, wie Programme idealtypisch zu entwickeln sind (Vorgehensmodelle, Entwicklungsphasen etc.) und vernachlässigen „unbewusst“ u. a. qualitätssichernde Maßnahmen und Sicherheitsaspekte. Dazu zählen hauptsächlich die Funktionstrennung als organisatorische Sicherungsmaßnahme, die technische Umsetzung von Rollen und Rechten sowie aussagekräftige Protokollierungskonzepte.

 

Erwartungen der Aufsicht an die Nutzung von Excel-Anwendungen und IDV

Aufgrund der immer noch (zu) intensiven Nutzung von Anwendungen auf Basis von Trägersystemen hat die Aufsicht ihre Erwartungen nochmals konkretisiert. Neben den Vorgaben für die Anwendungsentwicklung und das Freigabeverfahren werden die Notwendigkeit eines zentralen IDV-Inventars sowie technisch-organisatorische Ansätze zur Bestandserhebung gefordert. Auch die Anforderungen an die Schutzbedarfsfeststellung und ggf. eine Restrisiko-Analyse von (fremden) IDV-Anwendungen haben an Bedeutung gewonnen. Natürlich darf der Einbezug von IT-Dienstleistern im Hinblick auf die Prozesstransparenz und die Steuerbarkeit nicht fehlen.

 

Herausforderungen für das Unternehmen

Die Herausforderungen sind vielschichtig. Angefangen mit der systematischen Identifizierung aller (wesentlichen) IDV-Anwendungen, idealerweise mit Tool-Unterstützung, über die angemessenen Risikoeinschätzungen bis hin zur ordnungsgemäßen Dokumentation der Anwendungen. Selbst in dieser Phase stellen sich weitere Fragen:

 

  • Sind die Anwendungen vollständig erfasst?
  • Sind die Risikoeinschätzungen plausibel und nachvollziehbar?
  • Wie werden die Anwendungen verwaltet (Übersicht, Liste, Tool)?
  • Sind (Prozess-)Verantwortliche benannt?
  • Ist die Versionsverwaltung ordnungsgemäß?
  • Sind die Qualitätssicherungsmaßnahmen ausreichend?
  • Wird der Datenschutz ausreichend berücksichtigt?

 

Fazit

Die Individuelle Datenverarbeitung stellt in vielen Unternehmen immer noch eine Herausforderung dar. Zu häufig mangelt es an der Sensibilisierung für die Thematik und am Risikobewusstsein.

 

Ziel muss sein, die Anforderungen der Aufsicht in ein lebbares Rahmenwerk für das Unternehmen zu adaptieren und somit u. a. für eine bessere Akzeptanz in den Fachbereichen zu sorgen. 

 

PRAXISTIPPS

  • Setzen Sie geeignete Tools zur Softwareverwaltung und Risikobewertung ein.
  • Berücksichtigen Sie auch SQL, VBA und andere Scriptsprachen.
  • Regeln Sie das Zusammenspiel zwischen Fachbereich(en) und IT/Organisation.

Beitragsnummer: 18187

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Prüfung der Umsetzung der BAIT 2021

In diesem Beitrag werden praxisorientierte Prüfungsansätze für die Interne Revision aufgezeigt, um die komplexen Anforderungen der BAIT effizient zu prüfen.

26.08.2022

Beitragsicon
BCBS, SREP und die Optimierungspotenziale im Risikomanagement

Effiziente Wege zur Sicherstellung hoher Datenqualität machen die Erfüllung aufsichtsrechtlicher Anforderungen im Risikomanagement einfacher.

02.02.2024

Beitragsicon
Effiziente Begleitung von Fusionsprojekten durch die Interne Revision

Ein Fusionsprojekt ist als wesentliches Projekt angemessen revisions-seitig zu begleiten. Dies ist in BT 2.1, Tz. 2 MaRisk aufsichtsrechtlich gefordert, sollt

03.06.2024

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.