Welcher Fachbereich kennt das nicht? Man steht häufig vor der Frage: Entwickle und nutze ich die schnelle - vielleicht auch „quick and dirty“ - Excellösung oder betreibe ich den Aufwand einer Entwicklung oder Erweiterung von offiziellen IT-Systemen?
Individuelle Datenverarbeitung (IDV) – weil es mal wieder schnell gehen muss
Die umfangreichen fachlichen Aufgaben und Prozesse innerhalb eines Finanzinstitutes - sei es im Bereich Handel, Kredit oder in der Unternehmenssteuerung - werden durch bereitgestellte Standardsoftware oder eigenentwickelte IT-Lösungen unterstützt. Diese, auch als „reguläre IT“ bezeichneten IT-Systeme unterliegen den Erwartungen der Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie ggfs. den Mindestanforderungen an das Risikomanagement (MaRisk) in ihrer jeweils aktuellen Fassung, insbesondere AT 7.2.
Dadurch müssen IT-Systeme einen Test- und Freigabeprozess erfolgreich durchlaufen, sind mittels Fach- und IT-Konzepten sowie Anwenderhandbüchern umfangreich dokumentiert und erfüllen alle relevanten Sicherheitsanforderungen (z.B. Business Continuity Management). Die (Weiter-)Entwicklung von IT-Systemen erfolgt in der Regel in Releasezyklen. Abhängigkeiten zu anderen Schnittstellen und Systemen sind zu berücksichtigen. Kurzfristige Anforderungen können nicht eben mal so in ein System aufgenommen werden.
Da dem Fachbereich oft die Zeit fehlt oder einfache Prüfroutinen entwickelt werden müssen, entstehen IDV-Anwendungen. Dabei handelt es sich häufig um Excel- oder Access-basierte Tools, die in den Abteilungen Unterstützung bei der täglichen Arbeit leisten. Über den Einsatz einer IDV-Anwendung kann der Fachbereich weitestgehend unabhängig entscheiden und der Test- und Entwicklungszyklus dieser Anwendung erstreckt sich in der Regel über ein enges Zeitfenster. Sobald sich Anpassungsbedarf ergibt, kann dieser zeitnah durch den Mitarbeiter bei gleichzeitig geringem Abstimmungsaufwand mit verschiedenen Systemen oder gar Gremien erfolgen.
Aber sind solche IDV-Anwendungen die Ultima Ratio zur kurzfristigen und kostengünstigen Bereitstellung automatisierter fachlicher Funktionen und zur Unterstützung von Routineprozessen für den Fachbereich?
IDV – zügige Lösung ohne Risiken?
Eigenentwickelte Tools können auch Gefahren bergen. So gut sich die Kriterien für IDV darstellen und so schnell IDV entwickelt werden kann, so groß sind auf der anderen Seite die operationellen Risiken. Häufig verfügt nur derjenige Mitarbeiter, der die Anwendung entwickelt hat, über das entsprechende Know-How. Und was passiert, wenn dieser Mitarbeiter das Unternehmen verlässt? Ein weiteres operationelles Risiko besteht darin, dass viele manuelle Schritte, die teilweise sehr umfangreich und damit auch fehleranfällig sind, durchlaufen werden müssen. Zudem liegt häufig keine Dokumentation vor, was die Nachvollziehbarkeit für einen Dritten erschwert. Die Frage nach der Datenqualität stellt sich in der Regel ebenfalls, da es z.B. keine automatisierten Schnittstellen gibt, die die Änderungen in der Quelle im Excel- oder Access-Tool ebenfalls anpassen. Hinzu kommt, dass sich weitere Risiken als Folge von System- oder Schnittstellenanpassungen in der umliegenden IT-Systemlandschaft ergeben. Damit ist eine Sicherstellung der Anforderungen der MaRisk, die sich auch auf IDV bezieht, oftmals nicht gewährleistet.
IDV – aber bitte nur nach Vorschrift!
Die Praxis zeigt, dass die Unternehmen grundsätzlich in Richtung des Einsatzes „regulärer IT-Systeme“ in den Fachbereichen tendieren. Ursache hierfür sind neben den bereits genannten regulatorischen Vorgaben auch die mittlerweile in die MaRisk überführten Anforderungen gemäß BCBS 239 hinsichtlich Data Governance, Data Lineage und Datenqualität. Aber auch andere Entwicklungen dienen als Motivation. Agiles Vorgehen und die Entwicklung von „regulärer IT“ verkürzen die Zeit bis zum ersten für den Fachbereich nutzbaren Tool. Damit fällt ein Hauptargument der Fachbereiche für IDV weg. Auch der verpflichtende Prüfungsaufwand in einer eher „ungeregelten“ IDV-Umgebung reduziert sich so für die Banken. Die Verankerung eines weitestgehenden Verzichts auf IDV-Lösungen in der IT-Strategie der Finanzinstitute könnte zukünftig zur Regel werden.
Ein Restbedarf an IDV-Anwendungen wird allerdings sicherlich immer verbleiben. Deren revisions- und prüfungssichere Entwicklung sowie ein stabiler Betrieb durch die Fachbereiche sollten dabei das Ziel sein. Soweit nicht bereits geschehen, sollten dazu entsprechende institutsspezifische Leit- und Richtlinien für IDV-Anwendungen vorgegeben werden, die die Qualitätsmerkmale von Standard-IT-Systemen hinsichtlich Dokumentation, Freigabeprozess und Datensicherheit aufgreifen wie auch einfordern, ohne dabei die Bereitstellungsgeschwindigkeit signifikant zu verringern.
