Was versteht man unter IDV?
Individuelle Datenverarbeitung (IDV) – oder auch End User Computing (EUC) genannt – bezeichnet eine Anwendung zur Datenverarbeitung, die in den Fachbereichen durch den Endanwender selbst erstellt und regelmäßig genutzt wird. Prominente Beispiele sind dabei Anwendungen, die auf Microsoft Excel bzw. Access basieren und in wesentlichen Prozessen der Bereiche Risikocontrolling, Gesamtbanksteuerung oder beim Jahresabschluss zum Einsatz kommen. Aber auch skriptbasierte Anwendungen wie z.B. PHP oder Perl werden in der Praxis häufig verwendet.
Somit ist nicht nur die bankfachlich genutzte Excel-Datei zur Ermittlung der Bilanz- und GuV-Positionen als IDV zu bezeichnen – auch bereits die auf Excel basierte Einsatzplanung kann dabei unter die Definition von IDV fallen.
Welche Anforderungen an IDV ergeben sich aus MaRisk / BAIT?
Während die MaRisk u.a. die Anforderungen an die technisch-organisatorische Ausstattung von Kreditinstituten und deren Umgang mit IT-Systemen und IT-Prozessen beschreiben, werden diese in den BAIT konkretisiert und bilden somit einen Rahmen für das Management der Informationssicherheit von Kreditinstituten.
Bereits die initiale Anforderung zur Identifizierung aller IDV stellt Unternehmen in der Praxis vor eine erste große Hürde. Häufig wird versucht, dies mit Hilfe einer auf Microsoft Excel basierenden Übersicht zu erfüllen – ohne direkt zu erkennen, dass damit bereits die nächste IDV generiert wurde und in die soeben erstellte Übersicht aufzunehmen wäre. Ganz zu schweigen von der Tatsache, dass diese Art der Lösung mit einem hohen, manuellen Pflegeaufwand verbunden ist und zudem unterstellt, dass neue IDV durch die Mitarbeiter der Fachbereiche proaktiv gemeldet werden müssten.
Die Feststellung des Schutzbedarfs einer IDV stellt sich in der Praxis als weitere Herausforderung heraus, basieren darauf doch weitere Maßnahmen, die für die jeweilige IDV gelten. So sind Anforderungen an Dokumentation, Programmierrichtlinien oder aber der Prozess zur Rezertifizierung von Berechtigungen für IDV, die in einem kritischen Prozess verwendet werden und deren fehlerhafte Programmierung einen erheblichen Schaden anrichten kann, höher als für ebensolche IDV, deren Auswirkungen vernachlässigbar sind.
Wie kann Constructive Consulting Ihr Unternehmen unterstützen?
Die Berater von Constructive Consulting bieten mit ihrer langjährigen Erfahrung und Expertise optimale Voraussetzungen, bankenaufsichtsrechtliche Anforderungen zu analysieren und innerhalb der Unternehmen umzusetzen.
So haben wir konkret zur Umsetzung der vorgenannten Anforderungen erfolgreich Maßnahmen in einem international tätigen Konzern implementiert. Unter Berücksichtigung der konzerninternen sowie regulatorischen Anforderungen fiel die Entscheidung innerhalb eines Auswahlprozesses auf eine MaRisk-konforme Software eines Drittanbieters, der seit mehr als 20 Jahren in diesem Umfeld tätig ist.
Das ausgewählte Tool wird als Add-In innerhalb von Microsoft Excel bzw. Access zur Verfügung gestellt und erstellt automatisiert für jede genutzte Anwendung einen Eintrag innerhalb eines zentralen Inventars – ohne, dass der Endanwender proaktiv werden müsste. Der Eintrag erfolgt dabei in einem solchen Umfang, dass er den Anforderungen der BAIT gerecht wird. In Abhängigkeit der weiteren Benutzung der IDV erfolgt eine Unterstützung bei der Schutzbedarfsfeststellung und – sofern notwendig – den weiteren Dokumentationsanforderungen. Somit werden Endanwender durch das Tool bedarfsgerecht bei der regelmäßigen Nutzung der IDV unterstützt.
Für IDV-Verantwortliche innerhalb des Unternehmens wiederum hält das Tool eine eigene GUI vor, die den Zugriff auf die vorhandenen Einträge des Inventars zulässt. Somit können mittels vorhandener, oder aber auch selbst konstruierter Auswertungen, Reports generiert werden. Diese sind insbesondere hilfreich für etwaige Kontrollmaßnahmen, die den implementierten IDV-Prozess unterstützen sollen.
Mit der Unterstützung von Constructive Consulting wurden innerhalb des ersten Jahres mehr als 600.000 Dateien in der Datenbank registriert – davon über 58.000 IDV. Für 5% der IDV wurde ein erhöhter Schutzbedarf festgestellt, und aufgrund der konzerninternen Vorgaben risikomitigierende Maßnahmen ergriffen.
