Case Study: Effiziente Ordnungsgemäße Anwendungsentwicklung

11 Februar, 2022

Unser Kunde entwickelt und vertreibt Software zur Unterstützung rechnungslegungsrelevanter Geschäftsprozesse, die naturgemäß gewisse regulatorische Anforderungen erfüllen muss. Im Rahmen einer Evaluierung führten wir eine Erhebung der vorhandenen Prozesse und Kontrollen durch, um zu ermitteln, ob die relevanten Anforderungen ausreichend abgedeckt sind. Für aufgedeckte Abweichungen definierten wir geeignete Maßnahmen, deren Umsetzung die Anforderungen nachhaltig abdeckt.

Die Evaluierung wurde nach folgendem Schema durchgeführt:

  1. Bestimmung der spezifischen Anforderungen und Kriterien
  2. Aufnahme der Vorgaben, Prozesse und Kontrollen im Bereich Software-Entwicklung im Rahmen von Dokumentenreviews und Interviews
  3. GAP-Analyse zur Ermittlung von Abweichungen
  4. Validierung der Erkenntnisse und Maßnahmendefinition
  5. Berichterstellung und Closing 

Die Situation

Unser Kunde tritt als Software-Dienstleister auf und entwickelt unter anderem Anwendungen zur Erfassung und Verarbeitung rechnungslegungsrelevanter Geschäftsvorfälle. Die Software wird den User:innen entweder als Cloud-Service bereitgestellt (Software-as-a-Service) oder von den Nutzer:innen auf eigenen Servern On-Premise betrieben. Viele der Anwender:innen stammen aus dem Bankensektor, was ein stark reguliertes Umfeld darstellt. Die regulatorischen Anforderungen, die an Banken gestellt werden, müssen daher auch von unserem Kunden beachtet werden. Um die Softwareentwicklungsprozesse auf mögliche Schwächen im Design oder in der Umsetzung untersuchen zu lassen, wurde PwC Deutschland als externe, sachverständige Partei vom Aufsichtsrat mit einer Evaluierung beauftragt.

Ziel war es, die Vorgaben, Prozesse und Kontrollen im Bereich Anwendungsentwicklung durch Umsetzung geeigneter Maßnahmen noch weiter den regulatorischen Anforderungen anzupassen und somit möglichen Feststellungen aus einer tatsächlichen Prüfungssituation vorzubeugen. Insbesondere der Aspekt der Sicherheit in den Entwicklungsprozessen sollte intensiv betrachtet werden, um Anfälligkeiten für Fehler oder vorsätzliche schädliche Handlungen möglichst auszuschließen.

Unser Vorgehen

Das Projekt wurde in mehrere Phasen unterteilt:

1. Bestimmung der Anforderungen

Im ersten Schritt wurden die relevanten Standards identifiziert, in denen Anforderungen an die Softwareentwicklung aufgestellt wurden und die für die Situation unseres Kunden zu berücksichtigen waren. Da es sich um rechnungslegungsrelevante Software für Banken handelte, wurden neben Standards des Instituts der Wirtschaftsprüfer in Deutschland (IDW) auch solche der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder der European Banking Authority (EBA) analysiert. Die Anforderungen wurden konsolidiert und als Ausgangspunkt für die weitere Evaluierung verwendet.

2. Dokumentenreview

Im zweiten Schritt wurden die vorhandenen Dokumente dahingehend überprüft, ob sie zu den identifizierten Anforderungen ausreichende Informationen, Anweisungen und Vorgaben enthielten sowie ob Kontrollen angemessen entworfen wurden, um die Umsetzung der Vorgaben per Design vollständig sicherzustellen. Unser Kunde hatte die Softwareentwicklung nach der DevOps-Methodik ausgerichtet, in welcher der enge Zusammenschluss der Entwickler:innen (Developer) und des IT-Betriebs (Operations) sowie der Einsatz von automatisierten Tests und Deployment-Pipelines vorgesehen sind und wodurch die schnelle Bereitstellung von kleinen, iterativen Änderungen am System ermöglicht werden soll.

Abweichungen zwischen den regulatorischen Anforderungen und den Dokumenteninhalten wurden vermerkt und an den Kunden kommuniziert.

3. Interviews & Walkthroughs

Im nächsten Schritt wurden Interviews mit den Fachexpert:innen durchgeführt, um die Prozesse und Kontrollen zur Softwareentwicklung zu besprechen, die in den verschiedenen Phasen wie

  • Projektannahme, 
  • Projektplanung, 
  • Spezifikation der fachlichen Anforderungen,
  • Spezifikation der technischen Umsetzung, 
  • Entwicklung, 
  • Entwurf und Durchführung der Testfälle, 
  • Freigabe der Entwicklung sowie 
  • der Transport in die Produktivumgebung 

relevant sind. Da diese Phasen aufgrund der DevOps-Methodik teilweise integriert waren und parallel abliefen, waren diese Gespräche unverzichtbar, um die komplexe Prozesslandschaft vollständig und transparent zu erheben und zu verstehen.

Im Rahmen der Validierung unserer Erkenntnisse wurden die im Dokumentenreview und den Interviews identifizierten Lücken zu den regulatorischen Anforderungen besprochen. Um die identifizierten Abweichungen nachhaltig zu schließen, wurden entsprechende Maßnahmen diskutiert und vereinbart.

4. Abschlussbericht

Unsere Erkenntnisse aus der Evaluierung stellten wir auf geeignete Weise in einem Abschlussbericht zusammen. In diesem führten wir zunächst die vorgefundene Situation und etwaige Abweichungen zu den regulatorischen Standards auf, stellten daraus abgeleitete Risiken und mögliche Maßnahmen dar, um die Lücke zu schließen. Nach einem abschließenden Kundenworkshop zur Bestätigung und Abnahme der Ergebnisse wurde der Bericht finalisiert und übermittelt.

Das Projektergebnis

Unser Kunde erhielt eine detaillierte Übersicht über die regulatorischen Anforderungen, die an die Entwicklungsprozesse für rechnungslegungsrelevante Software gestellt werden. Weiterhin erhielt er durch die Evaluierung eine Expert:innenmeinung, wie gut diese Anforderungen bereits durch bestehende Prozesse und Kontrollen umgesetzt sind.

Im Nachgang zu unserem Projekt wurde der Bericht dem Aufsichtsrat präsentiert. Unser Kunde evaluierte intern, was die aufgedeckten Risiken für den Unternehmenserfolg bedeuten, welche Risiken man zu akzeptieren bereit ist und für welche anderen Gefährdungen geeignete Maßnahmen getroffen werden sollten. Es wurde eine weitere Projektphase aufgesetzt, um diese zusätzlichen Maßnahmen zu entwickeln und umzusetzen. Auch in diese Phase wurde PwC Deutschland eingebunden, um die Umsetzung der Maßnahmen zu begleiten und eine kontinuierliche Qualitätssicherung durchzuführen.

„Bereits die Art, wie Sie in den Gesprächen Fragen gestellt haben, hat uns an vielen Stellen die Augen geöffnet und unsere Mitarbeiter:innen animiert, die eigenen Prozesse und Kontrollen mit anderem Blick zu betrachten.“

Abteilungsleiterin Privacy & Security Information, Projektleiterin auf Mandantenseite
Follow us

Contact us

Jörg Botsch

Jörg Botsch

Partner, IT Reliability, Risk & Compliance, PwC Germany

Tel.: +49 160 5363994

Christoph Wendt

Christoph Wendt

Manager, Risk Assurance Solutions, PwC Germany

Tel.: +49 221 2084-178

Hide