Erweiterte Anforderungen aus neuer MaRisk & neuer BAIT – Verankerung der IDV-Richtlinie in den Arbeitsanweisungen – Testen und Genehmigung neu entwickelter/veränderte Anwendungen

  • Konkrete Erwartungen der Aufsicht an die Nutzung von Excel- Anwendungen und IDV aus neuer MaRisk und neuer BAIT
  • Häufige Feststellungen und identifizierte Schwachstellen in der Praxis
  • Anforderungen an das Software-Register und Umsetzung von IDV-Richtlinien in Arbeitsanweisungen, Risikoanalysen und Schutzbedarfseinstufungen
  • Rolle des Datenschutzbeauftragten (DSB) im Umgang mit Excel und IDV
  • Prüfung von Excel-Tools, IDV-Eigenanwendungen und Software- Auslagerungen
  • Abnahmetest für neu entwickelte/veränderte Anwendungen

Zunehmend wesentliche Feststellungen im Bereich der Informationssicherheit und des Datenmanagements zwingt die Banken, sich mehr mit den Themen Individuelle Datenverarbeitung (IDV) und Excel zu beschäftigen. Schlechte Ergebnisse der Aufsichts-Prüfungen bei Instituten und Rechenzentren haben dazu geführt, dass verschärfte Anforderungen an Excel-Anwendungen und IDV in den neuen MaRisk und neuen BAIT im Rahmen der Umsetzung der EBA-Leitlinien zum ICT-/IKT-Risiko Einzug erhalten haben.

Excel, IDV und "Schatten-IT" sind aber ein fester Bestandteil in nahezu allen Bank-Prozessen geworden. Ob selbst programmiert oder extern eingekauft, zunehmend werden IDV-Anwendungen in den Fachabteilungen implementiert und teilweise selbst administriert. Die Nutzung wird im Laufe der Zeit selbstverständlich aber in der Regel auch komplexer. Dies führt oft zu (operationellen) Risiken, die aber mangels Erfassung nicht im Risikomanagement abgebildet und gesteuert werden können!

Hier gilt es, aufsichtskonforme IDV-Richtlinien zu erstellen und prüfungssicher in den Arbeitsanweisungen zu implementieren. Alle bestehenden und genutzten IDV- und Excel-Anwendungen im Institut müssen identifiziert, getestet und genehmigt werden vor der weiteren Verwendung. Die Risikoanalysen und Schutzbedarfsklassifizierungen sind sauber aufzusetzen und zu dokumentieren und müssen durch die Interne Revision geprüft werden.

Referenten

David Rother
Prüfungs- und Teamleiter Bankgeschäftliche Prüfungen
Deutsche Bundesbank
München
Stephan Wirth
Datenschutzbeauftragter, Informationssicherheitsbeauftragter
NRW.BANK
Düsseldorf
Jürgen Krug
IT-Revisor, stv. Leiter Zentralrevision
Frankfurter Sparkasse
Frankfurt/Main