Flexibilität trotz DORA: Der smarte Einsatz von IDV-Tools in Banken

Veröffentlicht von Holger A. Brinkhaus am

Einleitung

Banken stehen vor der Herausforderung, selbst entwickelte Anwendungen (IDV – Individually Developed Applications) flexibel zu nutzen und dabei gleichzeitig strengeren regulatorischen Anforderungen gerecht zu werden. IDV – oft auch als End-User Computing (EUC) bezeichnet – umfasst alle Werkzeuge, die von Fachabteilungen selbst entwickelt oder gepflegt werden, wie z. B. Excel-Tabellen, Access-Datenbanken mit VBA oder Skripte in Python oder R. Diese Tools sind im Bankalltag unverzichtbar, bergen aber inhärente Risiken. Studien zeigen, dass 94 % aller Excel-Dateien, die für Geschäftsentscheidungen verwendet werden, Fehler enthalten, was zu Fehlentscheidungen und finanziellen Verlusten führen kann. Gleichzeitig fordern Aufsichtsbehörden wie die BaFin zunehmend Kontrolle über diese sogenannte „Schatten-IT“.

Dieser Artikel zeigt, wie Banken weiterhin Excel, Access, Python oder eine Kombination daraus nutzen können, um leistungsstarke IDV-Lösungen zu entwickeln – und wie IT-Abteilungen Fachbereiche dabei unterstützen können, effizient und regelkonform zu arbeiten.

Excel/Access vs. Python: Stärken und Schwächen

Excel und Access (mit VBA) sind seit Langem die bevorzugten Werkzeuge von Fachanwendern in Banken. Ihre wichtigsten Stärken sind: einfache Bedienung, Vertrautheit und Flexibilität. Nutzer können Ad-hoc-Analysen oder Rechner eigenständig erstellen – ganz ohne zentrale IT. Excel eignet sich hervorragend für interaktive Berechnungen und Pivot-Analysen, während Access leichtgewichtiges Datenmanagement ermöglicht. Makros mit VBA erlauben Automatisierung direkt in der Anwendung. Der große Vorteil: schnelle, eigenständige Umsetzung von Lösungen.

Die Schwächen sind jedoch nicht zu übersehen: Komplexe Excel-Modelle werden schnell unübersichtlich, schwer prüfbar und fehleranfällig. Access-Datenbanken entwickeln sich oft zu nicht wartbaren Silos. Vor allem fehlen Kontrollmechanismen wie Versionierung, Änderungsverfolgung und Dokumentation – für IT oder Prüfer sind diese Lösungen schwer nachvollziehbar.

Gerade bei kritischen Prozessen – etwa in der regulatorischen Berichterstattung oder bei umfangreichen Finanzberechnungen – ist der Mangel an Governance ein aufsichtsrechtliches Risiko.

Python (und Tools wie R oder MATLAB) bieten einen moderneren, skalierbaren Ansatz. Python eignet sich hervorragend für Datenverarbeitung, Automatisierung und komplexe Berechnungen – dank Bibliotheken wie Pandas und NumPy. Es unterstützt sauberen Code, Tests sowie die Anbindung an Datenbanken und APIs. Auch wenn nicht jeder Fachanwender Programmierer ist, bietet Python bessere Wiederverwendbarkeit, Skalierbarkeit und einfachere Übergänge in IT-gestützte Systeme.

Aber auch von Fachbereichen entwickelte Python-Skripte gelten als IDV/EUC – und unterliegen denselben regulatorischen Anforderungen wie Excel-Modelle. Risiken entstehen durch uneinheitliche Umgebungen, fehlende Dokumentation und keine Nachvollziehbarkeit – vor allem bei lokaler Ausführung ohne IT-Begleitung.

Hybride Ansätze

In vielen Fällen ist die beste Lösung nicht „Excel oder Python“, sondern beides. Excel kann als Benutzeroberfläche dienen, während Python im Hintergrund komplexe Datenverarbeitung übernimmt. Python kann Excel-Dateien lesen und schreiben, sodass die Integration nahtlos gelingt. Neue Funktionen wie „Python in Excel“ in Microsoft 365 unterstreichen diese Synergie.

Kurz gesagt:

  • ✅ Excel/Access: für schnelles Prototyping, interaktive Nutzung, einmalige Analysen
  • ✅ Python: für wiederkehrende Prozesse, komplexe Logik, große Datenmengen
  • ✅ Kombination: für maximale Flexibilität mit Kontrolle

Regulatorischer Rahmen: Was DORA, MaRisk & Co. verlangen

EU-weit rückt der regulatorische Fokus verstärkt auf IDV-Lösungen. Mit dem Inkrafttreten der Digital Operational Resilience Act (DORA) ab 2025 müssen alle IT-Systeme – auch solche aus Fachbereichen – hohen Anforderungen an Betriebssicherheit und Schutz genügen.

In Deutschland wird dies konkretisiert durch:

  • MaRisk (Mindestanforderungen an das Risikomanagement): fordert verlässliche Datenaggregation und klare Kontrollstrukturen
  • BAIT (Bankaufsichtliche Anforderungen an die IT): bezieht Fachbereichs-Tools explizit ein – mit Anforderungen an Inventar, Codestandards, Tests und Risikobewertungen – auch für Excel oder Access
  • BCBS 239: fordert starke Datenqualität und Governance in der Risikoaggregation
  • SOX (für börsennotierte Unternehmen): bringt IDV-Tools in den Geltungsbereich interner Kontrollprüfungen
  • DSGVO: gilt für alle IDVs, die personenbezogene Daten verarbeiten

Fazit: Excel-Dateien oder Python-Skripte aus Fachbereichen stehen nicht mehr außerhalb des Regelwerks. Sie müssen dokumentiert, getestet, bewertet und geschützt sein – wie jede andere Anwendung auch.

Die Rolle der IT: Governance als Enabler

Wie kann die IT Fachbereiche unterstützen und gleichzeitig die Regulatorik einhalten? Der Schlüssel liegt in strukturierter Governance, die Flexibilität nicht behindert, sondern absichert. Ein smartes IDV-Governance-Framework umfasst:

1. Klare IDV-Richtlinie & Schulung

Banken sollten eine formelle IDV/EUC-Policy definieren:

  • Was zählt als IDV-Tool?
  • Wer hat welche Verantwortung?
  • Wie erfolgt Lifecycle-Management und Change Control?
  • Wie erfolgt die Risikoklassifizierung?

Schulungen und Sensibilisierung sind unerlässlich. Fachanwender müssen wissen, was erlaubt ist, wann IT einzubeziehen ist und wie Risiken reduziert werden (z. B. Peer Review, Vermeidung komplexer Formeln).

2. Inventarisierung & Risikoklassifizierung

Alle bestehenden und neuen IDV-Tools sollten:

  • Registriert werden (mit Zweck, Eigentümer, Ein-/Ausgabe)
  • Nach Kritikalität klassifiziert werden (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Regelmäßig überprüft werden – je risikoreicher, desto stärker die Kontrolle

3. IT-gestützte Befähigung

Statt Kontrolle durch Blockade sollte die IT unterstützende Werkzeuge anbieten:

  • Excel-/Python-Vorlagen mit integrierter Validierung
  • Excel-Add-Ins für Fehlerprüfung oder Compliance-Tagging
  • Zentrale Versionskontrolle (z. B. Git für Skripte oder SharePoint für Office-Anwendungen)
  • Sichere Ausführungsumgebungen (z. B. VMs, Container, Cloud-Workspaces)
  • Standardisierte Umgebungen (z. B. geprüfte Python-Pakete, kontrollierte Excel-Versionen)

4. Betriebssupport & Resilienz

Kritische IDV-Tools sollten:

  • Zentral gehostet werden (z. B. SharePoint)
  • Zugriffskontrolle und Backups enthalten
  • In Notfall- und Wiederherstellungspläne eingebunden sein

Dies entspricht DORAs Fokus auf operative Resilienz – auch für User-Tools.

5. Monitoring & Audit

Governance muss laufende Überwachung beinhalten:

  • Regelmäßige Prüfungen durch interne Revision oder Risikomanagement
  • Dashboard-Berichte über kritische IDV-Nutzung
  • GRC-Integration zur Verknüpfung von IDV-Risiken mit dem operativen Gesamtrisikomanagement

So bleiben Fachbereiche handlungsfähig – und IT sichert Compliance und Sicherheit.

Mehrwert für Fachbereiche

Trotz strengerer Governance bleiben IDV-Tools hochwertige Werkzeuge für Fachanwender. Sie ermöglichen:

  • Schnellere Problemlösung ohne große IT-Projekte
  • Maßgeschneiderte Lösungen auf Basis von Fachwissen
  • Innovation – insbesondere mit IT-Unterstützung

Richtig eingesetzt, können IDV-Tools als Prototypen oder Brückenlösungen für spätere IT-Systeme dienen. Fachanwender lernen, smartere Tools zu bauen – und die IT erhält Einblicke in neue Business-Anforderungen.

Das regulatorische Framework ist kein Hemmnis, sondern eine Orientierungshilfe. Mit den richtigen Kontrollen ermöglichen Banken Innovation und Compliance gleichzeitig.

Fazit

Excel oder Python? Für IDV in Banken lautet die Antwort: beides – mit Governance.

Excel und Access eignen sich ideal für schnelle, benutzergetriebene Analysen. Python bringt Skalierbarkeit und professionelle Struktur. Zusammen – und unter einem klaren Rahmen aus Richtlinien, Inventar, Tests und IT-Unterstützung – ermöglichen sie Fachbereichen sichere Innovation, auch unter DORA, MaRisk und BAIT.

Banken, die diesen Spagat meistern, stärken ihre Teams, erfüllen regulatorische Anforderungen – und schaffen nachhaltigen Mehrwert durch flexible, regelkonforme Datenprozesse.

Kategorien: Talente & Transformation

Ähnliche Beiträge

Talente & Transformation

Anpassung der Softwareentwicklung für KI-generierten Code in Finanz- und Versicherungsbranchen

Dieser Bericht beleuchtet, wie durch KI gesteuerte Code-Generierung die Art und Weise beeinflusst, wie wir Software entwickeln. Er beginnt mit Lehren aus der Ära der Assembler-Programmierung – als Entwickler auf minimaler Hardware Außergewöhnliches leisteten – Weiterlesen

Talente & Transformation

KI-Blase oder Produktivitätssprung? Warum Zukunftsfähigkeit mehr braucht als nur künstliche Intelligenz

In den letzten Monaten habe ich einen interessanten Trend beobachtet: Auf Plattformen wie SourceForge, ehemals ein pulsierender Marktplatz für Open-Source-Innovation, ist die Aktivität merklich zurückgegangen. Gleichzeitig lesen wir täglich von neuen KI-Anwendungen – von automatisierten Weiterlesen

Talente & Transformation

Von Banken zu Energiehändlern – Warum Finanz-Quants die Branche wechseln

In den letzten Jahren ist ein klarer Trend im europäischen Finanzsektor zu beobachten: Immer mehr Business-Analysten, quantitative Modellierer und Experten für Handelssysteme kehren Banken den Rücken und wechseln zu Energieunternehmen oder Rohstoffhandelsfirmen. Was zunächst vereinzelt Weiterlesen