Individuelle Datenverarbeitung (IDV) vs. Sonderprüfung: Excel & Co. BaFin-konform nutzen?

IDV ist das Schreckgespenst einer (hoffentlich nicht anlassbezogenen) Sonderprüfung nach §44. Mit dem Office Process Manager (aOPM) will Agentes nun eine Software anbieten, mit der Excel, sonstige Programme für die Tabellenkalkulation, Access, Reporting- und BI-Tools sowie SharePoint erkannt sowie überwacht werden können. Damit könnte die Software Banken helfen, regulatorische Vorgaben im Umgang mit IDV-Anwendungen zu erfüllen und unbeabsichtigte Fehler zu vermeiden.

Tippfehler, falsche Formel oder Zahlendreher – die Konsequenzen sind dramatisch. Nicht nur das finanzielle Verluste und eine beschädigte Reputation drohen – auch die BaFin sieht bei der IDV doppelt so genau hin. Und Excel ist nicht gerade das, was man unter professioneller Bankensoftware versteht. Trotzdem ist die 1985 vorgestellte Tabellenkalkulation eines der wichtigsten Office-Werkzeuge – und – das am meisten genutzte IDV-Tool. Viele Institute setzen mehrere tausend Excel-Anwendungen mit zum Teil Millionen von Formeln ein – in Controlling, Bankensteuerung, Rechnungswesen, Kundenberatung sowie Produktvertrieb. Oft sind sie dabei kalkulatorische Basis für unternehmenskritische Entscheidungsprozesse.

Das Problem: Bereits kleinste Fehler in der Berechnung können millionenschwere Folgen nach sich ziehen; ob durch individuelle Verarbeitungsfehler oder unautorisierte Zugriffe.

Das haben auch EZB und BaFin erkannt und fokussieren das Thema immer stärker: Im Zuge von Sonderprüfungen nach § 44 Kreditwesengesetz sehen sich immer mehr Banken mit wesentlichen Feststellungen konfrontiert.”

Datenbank mit Verantwortlichkeiten, Prüfungen und Überwachung

Mit dem “Agentes Office Process Manager” (Website) sollen sich nun IDV-Dateien nach bankfachlichen Aspekten und Risikokriterien technisch identifizieren, fachlich klassifizieren und dokumentieren lassen. Dazu werden sie registriert, analysiert und katalogisiert. Das Ergebnis sei eine zentrale Datenbank, die den Status quo vollständig abbildet.

IDV-Dateien mit Formeln oder Makrocode werden dem Erstellenden automatisch zur Bewertung und Dokumentation sowie dem IDV-Verantwortlichen zur Freigabe vorgelegt. Zudem erfolgt eine technische Überwachung bereits freigegebener und versionierter Dateien; kommt es hier zu Änderungen, erhält der Autor oder Bearbeiter eine Information und muss gemäß den Vorgaben der BaFin festlegen, ob diese wesentlich sind. Ist das der Fall, führt dies zu einem erneuten Test- und Freigabeverfahren im elektronischen 4-Augen-Prinzip. Damit wird eine kontrollierte und berechtigte Nutzung der IDV sichergestellt. Alle durch den aOPM-Prozess generierten Metadaten und Informationen können zudem auf Knopfdruck aggregiert und in Reports angezeigt werden. Die Revision kann den aktuellen Datenstatus so jederzeit vollständig und nachvollziehbar einsehen.

Dringend notwendiger Schritt

Die European Spreadsheet Risks Interest Group geht davon aus, dass mehr als 90 Prozent aller Tabellenkalkulationen Fehler enthalten. Wie teuer solche Fehler werden können, erfuhr laut Medienberichten 2012 JP Morgan Chase – die Bank verlor demnach durch einen Copy-and-paste-Fehler sechs Milliarden US-Dollar.

Durch den Einsatz des aOPM lassen sich solche Risiken erheblich vermindern, wenn nicht sogar komplett vermeiden – es erfolgt eine dreifache Kontrolle: Die Änderung wird zunächst vom System registriert sowie dem Autor oder aktuellen Bearbeiter zur Prüfung vorgelegt und im Falle einer wesentlichen Änderung stößt das System ein neues Test- und Freigabeverfahren an.“

Claus Stielenbach, Business Development Manager Agentes

Aktuell verwenden die Software mehr als 50 Volksbanken, Sparkassen sowie Landes-, Privat- und Förderbanken.aj