Gepostet am 16. Juli 2020 von
Im Fokus der Aufsicht: IDV Management
In der MaRisk wird IDV als durch „Fachbereiche selbst entwickelte Anwendungen“ definiert – ob damit aber „klassische“ Softwareentwicklung im Fachbereich oder der auf Standardapplikationen aufbauende Einsatz von Verarbeitungslogik (bspw. Nutzung von Makros oder Excel-Formeln) gemeint ist, lässt der Regulator offen.
Die BaFin fordert in den Mindestanforderungen an das Risikomanagement (MaRisk) AT 7.2 Nr. 5 für IDV ein analoges Vorgehen zur Standardsoftware. In den Bankaufsichtlichen Anforderungen an die IT (BAIT) werden die IDV spezifischen Pflichten zur Definition von Vorgaben zur Schutzbedarfsbestimmung, eine unternehmensweite IDV Governance sowie die Pflicht zum Testen und Inventarisieren aller IDV formuliert (Tz.43, 44 BAIT).
Häufige Kritik seitens der Auditoren
Durch die dezentrale Entwicklung kommt es häufig zu Problemen bei der Identifikation und der Inventarisierung von IDV. Da hieraus eine unvollständige Strukturanalyse resultiert, wird das Risikoprofil des Unternehmens falsch dargestellt. Dies ist eine von Auditoren häufig kritisierte Schwachstelle im IDV Management. Operativ zeigen sich oftmals Probleme bei der Umsetzung der IDV Governance in den Fachbereichen, die üblicherweise aus den zu technisch formulierten Anforderungen oder der fehlenden Trennung von Entwicklern und Testern entstehen. Eine unzureichende Ausgestaltung und Implementierung von IDV spezifischen Rollen und Kontrollhandlungen komplettiert die Summe der bekanntesten Schwachstellen im Kontext IDV.
Maßgeschneiderte Lösungen der Severn Consultancy
Severn Consultancy, eine auf den internationalen Finanzmarkt spezialisierte Unternehmensberatung, hat eine maßgeschneiderte und praxiserprobte Vorgehensweise zum ganzheitlichen und vollintegrierten IDV Management entwickelt:
Zunächst ist - abhängig von den institutsindividuellen Rahmenbedingungen - der IDV Begriff mit Blick auf den entsprechenden Komplexitätsgrad zu definieren und die Methodik zur Schutzbedarfsbestimmung für IDV zu bestimmen.
Im Rahmen des Prozessmanagements sollten Vorgaben für die Identifikation, die Klassifizierung, den Entwicklungsprozess und die Inbetriebnahme der IDV formuliert werden. Zudem sollten parallel zu Entwicklung und Inbetriebnahme die Umsetzung der IDV Governance sowie die Einbindung in das Risikomanagement prozessual verankert werden. Gerade bei der Verarbeitung kritischer Informationen oder der Unterstützung kritischer Prozesse sollte IDV perspektivisch in die zentrale IT überführt werden.
Im IDV Management sollten für die verschiedenen Tätigkeiten feste Rollen in der Governance verankert werden, wobei den Entwicklern aus den Fachbereichen wegen der Verbindung von technischem und fachlichem Know-how eine Schlüsselrolle zukommt. Zudem sollte eine Zentralstelle geschaffen werden, welche das IDV Inventar verwaltet und die Deutungshoheit über die IDV Governance hat. Ergänzende Multiplikatoren, die zwischen der Zentralstelle und den Entwicklern vermitteln, unterstützen in den Fachbereichen bei der Umsetzung der Governance. Des Weiteren bietet sich auch für IDV die Ausgestaltung der Kontrollhandlungen im Rahmen des Three-Lines-of-Defense-Modells an.
Mit dem IDV Factsheet alle Anforderungen im Blick
In unserem Factsheet zu „Herausforderungen und Umgang mit IDV“ bieten wir einen detaillierten Überblick über Anforderungen an IDV, in der Praxis auftretende Problemstellungen und ein Best-Practice im IDV Management, das ideal in die Ablauf- und Aufbauorganisation verschiedenster Banken integriert werden kann. Sprechen Sie uns einfach an!