Eigen-Anwendungen & IDV im Fokus der Aufsicht

Erweiterte Anforderungen aus aktuellen IT-Prüfungen – Testpflicht!

• Konkrete Erwartungen der Aufsicht an die Nutzung von Eigen- Anwendungen und IDV-Anwendungen – Neuerungen durch DORA
• Anforderungen an das IDV-Register und Umsetzung von IDV-Richtlinien in Arbeitsanweisungen, Risikoanalysen und Schutzbedarfseinstufungen
• 3-Lines of Defense Modell im Kontext von IDV und Rolle des ISB
• Entwicklung, Testen und Produktivnahme für neue / veränderte IDV
• Prüfung von IDV-Anwendungen – Besonderheiten bei KI-Anwendungen (z. B. ChatGPT)
• Häufige Feststellungen und identifizierte Schwachstellen in der Praxis

Zunehmend wesentliche Feststellungen der Aufsichts-Prüfungen bei Instituten und Rechenzentren haben dazu geführt, dass verschärfte Anforderungen an Excel-Anwendungen und IDV in den MaRisk und BAIT im Rahmen der Umsetzung der EBALeitlinien zum ICT- / IKT-Risiko Einzug erhalten haben. Hinzu kommen nun weitere Anforderungen durch DORA, die die BAIT Anfang 2025 ablösen.

Excel, IDV und »Schatten-IT« sind aber ein fester Bestandteil in nahezu allen Bank-Prozessen geworden. Ob selbst programmiert oder extern eingekauft, zunehmend werden IDV-Anwendungen in den Fachabteilungen implementiert und teilweise selbst administriert, deren Nutzung im Laufe der Zeit selbstverständlich und komplexer.

Dies führt oft zu (operationellen) Risiken, die aber mangels Erfassung nicht im Risikomanagement abgebildet und gesteuert werden können! KI-Anwendungen (z. B. ChatGPT) sind vor dem Hintergrund von IT-Auslagerungen ebenfalls zu beurteilen!

Hier gilt es, aufsichtskonforme IDVRichtlinien zu erstellen und prüfungssicher in den Arbeitsanweisungen zu implementieren. Alle bestehenden und genutzten IDV- und Excel-Anwendungen im Institut müssen identifiziert, getestet und genehmigt werden vor der weiteren Verwendung.

Risikoanalyse und Schutzbedarfsklassifizierung sind sauber aufzusetzen und zu dokumentieren.