DORA-konformer Umgang mit Eigen-Anwendungen & IDV am 02.03.2026

Zunehmend wesentliche Feststellungen bei Aufsichts-Prüfungen haben dazu geführt, dass verschärfte Anforderungen an Eigen-Anwendungen und IDV Einzug in die Aufsichts-Praxis erhalten haben. Hinzu kommen weitere Anforderungen durch DORA.

Excel, IDV und »Schatten-IT« sind aber ein fester Bestandteil in nahezu allen Prozessen geworden. Ob selbst programmiert oder extern eingekauft, zunehmend werden IDV-Anwendungen in den Fachabteilungen implementiert und teilweise selbst administriert, deren Nutzung im Laufe der Zeit selbstverständlich und komplexer wird. Dies führt oft zu (operationellen) Risiken, die aber mangels Erfassung nicht im Risikomanagement abgebildet und gesteuert werden können! KI-Anwendungen (z. B. ChatGPT) sind vor dem Hintergrund von IT-Auslagerungen ebenfalls zu beurteilen!

Hier gilt es, aufsichtskonforme IDVRichtlinien zu erstellen und prüfungssicher in den Arbeitsanweisungen zu implementieren. Alle bestehenden und genutzten IDV- und Excel- Anwendungen im Institut müssen identifiziert, getestet und genehmigt werden vor der weiteren Verwendung. Risikoanalyse und Schutzbedarfsklassifizierung sind sauber aufzusetzen und zu dokumentieren.

Die Referenten geben ausschließlich ihre persönliche Auffassung und nicht die eines bestimmten Instituts, der Deutschen Bundesbank, der BaFin oder einer anderen Aufsichtsbehörde wieder. Die Referenten nehmen auch keine offizielle aufsichtliche Auslegung regulatorischer Sachverhalte vor.