Für eine effiziente Umsetzung der MaRisk und BAIT für IDV-Anwendungen hat sich die Volksbank eG – Die Gestalterbank im Februar 2020 dazu entschieden, das Softwareprodukt aOPM (agentes Office Process Manager) einzuführen.

Mit dem Softwareprodukt aOPM können Banken eine revisions- und prüfungssichere MaRisk- und BAIT-konforme Bewertung und Dokumentation der vorhandenen Tabellenkalkulationsdateien vornehmen. Das alles findet in einem digitalen Prozess im elektronischen 4- oder 6-Augen-Prinzip statt.

Die „Mindestanforderungen an das Risikomanagement“ (MaRisk) der BaFin fordern von Kreditinstituten u.a. die Einrichtung angemessener Steuerungs- und Kontrollprozesse für die Erstellung und Nutzung von IDV-Anwendungen. Daher müssen in eigener Verantwortung entsprechende IT-Prozesse geschaffen werden, um die regulatorischen Vorgaben der BaFin dauerhaft einzuhalten.

Im Interview spricht Claudia Di Chio, Business Development Managerin bei agentes, mit Christian Weiss, Zukunftsgestalter sowie Bereichsleiter IT & Zahlungssysteme Operations und Frank Böhme, Zukunftsgestalter und IT-Regulatorik (beide Volksbank eG – Die Gestalterbank).

Claudia Di Chio

Christian Weiss

Frank Böhme

Herr Weiss, Herr Böhme, ich freue mich, dass wir uns heute zum Thema IDV-Anwendungen austauschen. Wie einleitend erwähnt, hat die Gestalterbank schon seit Februar 2020 das agentes Softwareprodukt aOPM im Einsatz. Somit können wir nach über zwei Jahren produktivem Betrieb eine Bilanz ziehen. Bevor wir in die fachliche Thematik einsteigen, ist aus meiner Sicht interessant zu erfahren, weshalb Sie sich damals für aOPM entschieden haben.

Frank Böhme: In der BAIT sind in den Kapiteln 7.13 und 7.14 die Anforderungen an die individuelle Datenverarbeitung (IDV) beschrieben. Zu IDV gehören auch die Excel-Dateien, welche teilweise umfangreiche Funktionalitäten beinhalten und für Reportings sowie zum Datentransfer oder zum Treffen relevanter Entscheidungen genutzt werden.

Sehr oft wurde die reine Excel-Datei der professionellen SW-Entwicklung oder anderen Anwendungen gegenüber bevorzugt, da sie in der Regel Zeit und damit viel Geld einspart. Durch diese Tatsache wurden in der Vergangenheit sehr viele Dateien erstellt. Dem gegenüber stehen teils mangelnde DSGVO-Konformität, fehlende Überwachung, Dokumentation sowie Pflege der jeweiligen Excel-Dateien und der damit verbundenen Strukturen. Die BaFin fordert, dass die Banken die IDV (also auch unkontrolliert gewachsene Excel-Dateien) und das damit verbundene operationelle Risiko auf ein transparentes und beherrschbares Risiko minimieren.

Christian Weiss: Um dieser Aufforderung nachzukommen, hat sich unsere Bank entschieden, unsere Excel-Dateien mit dem Produkt aOPM der agentes Unternehmensgruppe zu bearbeiten. Wir haben hierzu die wenigen auf dem Markt zur Verfügung stehenden Programme geprüft und uns aufgrund der im Atruvia-Umfeld funktionierenden und über aOPM zur Verfügung gestellten Funktionen – sowie der guten Usability – für das Produkt von agentes entschieden.

Wie haben Sie rückblickend die Einführung von aOPM wahrgenommen?

Christian Weiss: Die Volksbank hat stark damit gekämpft, die Herausforderungen der Praxis mit den regulatorischen Anforderungen in Einklang zu bringen. Es hat uns einiges an Kraft gekostet, unsere Beschäftigten von den Vorteilen, welche der Einsatz von aOPM mit sich bringt, zu überzeugen. Bei der Integration der Software war agentes ein zuverlässiger Ansprechpartner mit offenem Ohr für unsere Anliegen.

Frank Böhme: agentes hat uns in der Vergangenheit auch aktiv mit einigen Workshops zur Integration von aOPM im Unternehmen unterstützt, sodass wir bereits einen großen Schritt in die richtige Richtung machen konnten. Durch die hohen Anforderungen der BaFin, vor allem durch die Regularien an die IDV, bleibt der ganze Prozess aber weiterhin eine Herausforderung.

Herr Böhme, aOPM soll den Nutzer/die Nutzerin in seiner/ihrer täglichen Arbeit unterstützen. Wie bewerten Sie aOPM hinsichtlich der Erfüllung der MaRisk-konformen Dokumentation von Excel-Dateien in Ihren täglichen Arbeitsprozessen?

Frank Böhme: Aus Sicht des Users haben die regulatorischen Anforderungen für diesen zunächst keinen Mehrwert, sondern stellen einen Aufwand dar, da er nun gewohnte Prozesse umstellen muss. Früher gab es diese Anforderungen eben nicht. Ohne die passende und produktive Softwarelösung wäre diese Aufgabe aber noch aufwändiger für den User. Bei der Erfassung und Bewertung unterstützt aOPM nun mit einem klaren und strukturierten Ablauf. Nach der Grunderfassung spielt die Lösung ihre eigentliche Stärke aus, das heißt, nur noch relevante Dateien mit Formeländerungen müssen neu bewertet werden, alle anderen Dateien werden automatisiert von aOPM bearbeitet.

Welche Vorteile sehen Sie im Einsatz von aOPM?

Frank Böhme: Vor allem die Erfüllung der Anforderungen aus der MaRisk und BAIT in Bezug auf IDV-Excel in einem strukturierten einheitlichen Prozess. Außerdem die Einhaltung der Datenschutzanforderung DSGVO in Bezug auf Excel-Dateien mit der Kennzeichnung von Löschfristen und auch der automatische Blattschutz für relevante Dateien. Indirekt tragen die Qualitätssicherung und Dokumentation der Excel-Datei sowie die Nachvollziehbarkeit bei der Entwicklung zu einem besseren Workflow bei.

Wie ist aus Ihrer Sicht der Überblick zum aktuellen Status der IDV-Anwendungen in Ihrer Bank?

Frank Böhme: Die Verwendung von Excel-Dateien ist nur ein Teil der IDV-Anwendungen. Unsere Bank hat verschiedene Auswertungstools im Einsatz, erstellt SQL-Scripte (werden auch über aOPM bewertet) und programmiert eigene Anwendungen sowie Robotic-Process-Automation-Prozesse.

Das heißt, das Bewertungs-, Dokumentations-, Test- sowie Freigabekonzept muss für alle IDV-Anwendungen passen und den Zielen der Regularien entsprechen. Bei der Einführung von aOPM hatten wir nur die Konzepte für Excel-Dateien bestimmt, mit dem Ziel, so wenig wie möglich Aufwand zu haben. Deshalb haben wir nach einem Jahr alle Bewertungen zurückgesetzt und mit einem neuen Bewertungs-, Dokumentations- sowie Test- und Freigabekonzept versehen.

Christian Weiss: Wir hatten uns bisher bei der IDV stark auf Excel fokussiert und haben im Rahmen einer 44-Simulation für die IDV außerhalb Excel weiteren Handlungsbedarf erkannt. Die Herausforderung besteht zurzeit darin, alle IDV-Anwendungen mit den Konzepten nachzubearbeiten. Außerdem müssen wir die langfristige strategische Entscheidung treffen, wie viele IDV-Anwendungen unsere Bank zukünftig noch zulassen möchte.

Diese Herausforderung gehen wir gerne mit Ihnen gemeinsam an und werden natürlich dabei Unterstützung leisten. Kommen wir nun zum Ende unseres Gespräches: Meine Interviews schließe ich gerne mit einem Fazit meines Gesprächspartners ab. Sie haben das letzte Wort.

Frank Böhme: Die Einhaltung von IDV-Regularien kann für Bankhäuser natürlich eine Herausforderung sein. Gerade für den Ersteller der Dateien wirken diese Vorgaben zunächst einmal wie eine zusätzliche Belastung. Allerdings: Eine Feststellung von schwergewichtigen Mängeln durch die BaFin, anhand einer umfangreichen IDV-Prüfung, ist geschäftsschädigend und daher unbedingt zu vermeiden.

Meine Empfehlung ist, den optimalen Weg zwischen operationellen Risiken und Wirtschaftlichkeit zu finden. Im Bereich des Prozessmanagements von Tabellenkalkulationsdateien und den damit verbundenen Strukturen ist das Softwareprodukt aOPM von agentes der richtige Weg.

Herzlichen Dank für das angenehme Gespräch. Wir freuen uns auf die weitere partnerschaftliche Zusammenarbeit mit der Volksbank eG – Die Gestalterbank!

Claudia Di Chio über den agentes Office Process Manager:

"In erster Linie geht es bei aOPM darum, Excel-Dateien nach MaRisk und BAIT zu analysieren und zu bewerten, also kurz gesagt darum, der BAIT und MaRisk standzuhalten. Zusätzlich werden natürlich auch Open-Office- oder diverse Skript-Dateien berücksichtigt. Excel ist jedoch ein Hauptfaktor, welcher sehr ausgereizt wird und besondere Aufsicht braucht. Über einen Dateiservice findet eine Überwachung von definierten Dateipfaden statt. aOPM hat alle Dateien immer in Bewertung. Das heißt, sobald es in einer Datei eine Formeländerung oder Makro Code gibt, erkennt das aOPM und es steht für den User/die Userin eine Aufgabe und eine Bewertung an. Jede Datei bleibt also in der Überwachung und der User/die Userin kann eigenständig entscheiden, was genau in der Ursprungsbewertung geändert oder aktualisiert werden soll. All das wird historisiert und dokumentiert. Sobald die Datei als MaRisk relevant bewertet wird, wird sie von aOPM geschützt. Bei jedem Schließen greift ein automatischer Blattschutz. Nur die Mitarbeitenden, die berechtigt sind, etwas zu ändern, kommen an die Dateien heran."