22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

Risikomanagement für IDV-Anwendungen leicht gemacht Wie Risiken durch nicht-IT gemanagten Anwendungen reduziert werden können

Egal, ob ein Excel-Tool zur Auswertung von Finanzdaten, ein Dashboard in Power BI oder ein Script, das verschiedene Datenquellen miteinander verbindet – Individuelle Datenverarbeitung (IDV) ist ein fester Bestandteil der täglichen Arbeit.

Jedoch bergen diese IDV-Tools erhebliche Risiken, da sie von den Anwendern selbst entwickelt und betrieben werden und nicht, wie Standard-Geschäftsanwendungen, durch die IT-Abteilung verwaltet und überwacht werden. Damit verbunden steht das Risiko, eine solche IDV nicht mit den nötigen Schutzmaßnahmen versehen zu können, die für ihre Nutzung notwendig wäre. Aus diesem Grund sollte jedes Unternehmen IDV-Anwendungen identifizieren, um das damit verbundene Risiko managen und reduzieren zu können.

Was sind IDV-Anwendungen?

IDV-Tools sind Anwendungen, die nicht wie Standardsoftware von der IT-Abteilung, sondern von Mitarbeitenden eines Fachbereichs selbst entwickelt/betrieben werden und dabei einen Geschäftsprozess unterstützen. Die Verantwortung für Entwicklung und Betrieb liegt folglich allein im jeweiligen Fachbereich. Für die Definition von IDV-Anwendungen wird zudem das Kriterium der Datenverarbeitung herangezogen. IDV-Anwendungen aggregieren, manipulieren und/oder modellieren Daten unter Verwendung von Formeln, Skripten, Workflows oder ähnlichem.

Beispiele für IDV-Anwendungen:

 

  • Ein Excel-Tool, das Finanzdaten anhand komplexer Berechnungen analysiert

  • Ein SQL-Script, das Kundendaten aus verschiedenen Quellen aggregiert

  • Ein Power BI Dashboard, das potentielle Investitionsentscheidungen modelliert

Sicherheit geht vor: Wieso sollten IDV-Anwendungen überwacht werden?

Zahlreiche Controlling-, Finanz- oder IT-Prozesse in Unternehmen werden mithilfe von Excel-Tools unterstützt oder vollständig durchgeführt. Eine kürzlich in Frontiers of Computer Science veröffentlichte Studie1 zeigt, dass 94 Prozent aller Excel-Kalkulationstabellen, die für geschäftliche Entscheidungen genutzt werden, Fehler aufweisen. Solche Fehler oder gar der Ausfall einer IDV-Anwendung können gravierende Auswirkungen auf Geschäftsprozesse haben, Fehlentscheidungen nach sich ziehen und zu finanziellen Verlusten führen.

Durch die Überwachung von IDV-Anwendungen und die Implementierung entsprechender Schutzmaßnahmen können diese Risiken und ihre Auswirkungen deutlich minimiert werden. Gleichzeitig wird die Vertraulichkeit, Verfügbarkeit und Integrität der bearbeiteten Daten erhöht, und Fehler können frühzeitig erkannt werden. Kritische IDV-Anwendungen können darüber hinaus in standardisierte Geschäftsanwendungen überführt werden.

 

Für Finanzdienstleister ist ein effektives Risikomanagement von IDV-Anwendungen unerlässlich, da es durch konkrete regulatorische Vorgaben (DORA/VAIT/BAIT/KAIT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vorgeschrieben wird. Doch das von IDV-Anwendungen ausgehende Risiko betrifft nicht nur die Finanzbranche, sondern alle datenverarbeitenden Industrien.

 

Aus diesem Grund sollte jedes Unternehmen eine robuste Governance-Struktur für IDV-Anwendungen implementieren, um die damit verbundenen Risiken wirksam zu managen und zu minimieren.

Wie kann das Risiko von IDV-Anwendungen gesteuert werden?

  • 1. Richtlinie erstellen
    • Definition von IDV-Anwendungen: Kriterien für die Einstufung von IDV-Anwendungen inklusive Entscheidungsbaum
    • Ausarbeitung eines Lifecycles für IDV-Anwendungen
    • Rollen und deren Verantwortlichkeiten innerhalb des IDV-Lifecycles festlegen
    • Kriterien für die Risikoklassifizierung und Schutzbedarfsmaßnahmen festlegen

    Ergebnis: Übergreifende Governance-Struktur inklusive Lifecycle für IDV-Anwendungen

  • 2. IDV-Tools registrieren und inventarisieren
    • Ausarbeitung eines Prozesses, zur Identifizierung bereits bestehender IDV-Anwendungen
    • Erstellung eines Registrierungsformulars, um zukünftige IDV-Anwendungen bereits vor der Entwicklung zu registrieren
    • Erhebung und Dokumentation aller relevanter Informationen für jede IDV-Anwendung. Dazu zählen unter anderem (1) Name der IDV-Anwendung, (2) IDV-Verantwortlicher, (3) IDV-Ersteller, (4) genutzte Software, (5) Funktionsbeschreibung, (6) Abteilung/Fachbereich, und so weiter.

    Ergebnis: Inventar aller IDV-Anwendungen

  • 3. Risikobewertung
    • Erstellung und Individualisierung eines Fragenkatalogs, um Risiko anhand verschiedener Paramater zu bewerten (Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität)

    Ergebnis: Kritikalität / Spezifisches Risiko jeder IDV-Anwendung 

  • 4. Ermittlung von Schutzbedarfsmaßnahmen und Kontrolle
    • Erstellung eines Katalogs mit spezifischen Schutzbedarfsmaßnahmen für IDV-Anwendungen
    • Bestimmung von Schwellenwerten, bei denen Schutzbedarfsmaßnahmen umgesetzt werden müssen
    • Prozess zur regelmäßigen Bewertung und Kontrolle der Umsetzung von Schutzbedarfsmaßnahmen

    Ergebnis: Spezifische Schutzanwendung für jede IDV-Anwendung 

    → Minimierung von Risiken

Wie kann Intero Consulting Sie bei effizientem Risikomanagement Ihrer IDV-Anwendungen unterstützen?

  1. Intero Consulting unterstützt Sie bei der Ausarbeitung einer IDV Governance Struktur, die individuell auf Ihr Unternehmen abgestimmt ist.
  2. Intero Consulting verfügt über ein tiefgreifendes regulatorisches Verständnis und zahlreiche Best Practices zur Umsetzung eines IDV-Risikomanagements.
  3. Intero Consulting begleitet den gesamten Prozess von der Identifizierung der IDV-Anwendungen, über die Risikobewertung bis hin zur Umsetzung von Schutzbedarfsmaßnahmen.

Literaturliste

Pak-Lok Poon et al, Spreadsheet quality assurance: a literature review, Frontiers of Computer Science (2024). DOI: 10.1007/s11704-023-2384-6

Ihre Experten zu IDV-Risikomanagement

Dies ist ein Porträtfoto von Michael Lohmann.

Michael Lohmann

Junior Manager
Ein Portät von Philipp Fackler.

Philipp Fackler

Senior Consultant
Dies ist ein Porträtfoto von Benedikt Winklhofer.

Benedikt Winklhofer

Junior Consultant

Weitere Impulse zu GRC

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

22.11.2024

Risikomanagement für individuelle Datenverarbeitungsanwendungen

08.11.2024

DORA und Management von IKT-Drittparteienrisiken im Finanzsektor

Header IT-Arbeitsplatz
26.07.2024

Digital Workplace

11.04.2024

DORA Readiness Analyse

27.09.2023

VAIT-Readiness Assessment

25.01.2023

Governance, Risk & Compliance - Audit Management

Unser Competence Center GRC