QA audit in banking apps what you need to know about the procedure in EU
Prüfbarkeit
9 min lesen
Dezember 11, 2023

QS-Audit bei Banking-Apps: Was Sie über das Verfahren in der EU wissen müssen

Bankanwendungen gehören zu den kompliziertesten Anwendungen, sodass ihre Entwicklung und ihr Testen anspruchsvolle Prozesse darstellen. Eines davon ist das QS-Audit, das die Banken in der EU gemäß den von der EU festgelegten Standards durchführen.

photo
Martin Koch

QS-Audits sind wesentliche Bestandteile für die korrekte Durchführung von Tests. Diese Funktionen tragen dazu bei, die Qualität der entwickelten Software zu sichern und Wege zur Verbesserung zu finden.

In Anerkennung der Vorteile eines besser koordinierten grenzüberschreitenden Ansatzes bei der Bankenaufsicht haben die europäischen Staats- und Regierungschefs 2012 die Europäische Bankenunion unter dem Dach der Europäischen Zentralbank (EZB) beschlossen.

Welche Standards gelten für Bankanwendungen in der EU?

Seit November 2014 ist die EZB (Europäische Zentralbank) mit der Beaufsichtigung der QS-Prüfungsfunktionen im gesamten europäischen Raum betraut. Das war ein Wendepunkt in der europäischen Bankenaufsicht. Die Banken können nun mit einer einzigen Aufsichtsbehörde Risiken schnell und ganzheitlich analysieren, was ihnen hilft, Vergleiche mit anderen Banken anzustellen.

Die EZB arbeitet nicht allein – die zuständigen nationalen Behörden (NCAs) unterstützen jeden Mitgliedsstaat.

Dieser Rahmen für die Zusammenarbeit wird Single Supervisory Mechanism (SSM) genannt: Die EZB kontrolliert die alltägliche Aufsicht über bedeutende Banken, während die NCAs Prüfungen für weniger mächtige Banken unter der Aufsicht der EZB durchführen.

Die direkte Aufsicht der EZB umfasst nicht nur Mitarbeiter der EZB, sondern auch gemeinsame Aufsichtsteams der EZB und der NCAs. Dieses Vorgehen führt zu einer gemeinsamen Anstrengung, die sowohl von europäischen als auch von nationalen Bankbeamten der einzelnen Länder geleitet wird.

Die Abteilung für aufsichtliche Qualitätssicherung (Supervisory Quality Assurance, SQA) und die internen Revisoren der EZB haben jeweils einen wichtigen Beitrag zur Anpassung der Standardmethoden geleistet und gleichzeitig dazu beigetragen, die Konsistenz und Qualität der Aufsichtstätigkeit bei der EZB zu gewährleisten.

Die Abteilung hat das SQA-Netzwerk geschaffen, um mit den Kollegen zusammenzuarbeiten. Sie haben dessen Methodik entwickelt und damit den Weg für die Partnerbanken geebnet, um eine angemessene Qualität der europäischen Bankenaufsicht zu gewährleisten. Infolgedessen wurden fast alle kritischen Aufsichtsprozesse qualitätsgesichert, und die EZB hat wertvolle Erkenntnisse über die Verbesserung ihrer Prozesse und Ergebnisse gewonnen.

Diese Praxis hat Verbesserungen sowohl bei der Planung als auch bei der praktischen Umsetzung der Aufsicht ermöglicht.

Auf der Grundlage der ersten Qualitätssicherungsprüfungen hat die EZB den einheitlichen Ausbildungslehrplan für das europäische Bankwesen eingeführt. Dieser neue Lehrplan wird von der SQA-Abteilung aller Partnerbanken in der EU in Auftrag gegeben. Dieser Lehrplan bietet über 100 verschiedene Kurse, die nach vier verschiedenen Berufsprofilen gegliedert sind. Diese Kurse haben sich bei der Sicherung der Softwarequalität sowohl bei den Mitarbeitern der EZB als auch der NCA als sehr erfolgreich erwiesen.

Aspekte der Datensicherheit, die eine Bank bei der Beantragung eines QS-Audits in der EU nicht außer Acht lassen darf

Die EBA-Richtlinien (Europäische Bankenaufsichtsbehörde, englisch European Banking Authority) verlangen von den EU-Banken, dass sie verschiedene Sicherheitsmaßnahmen prüfen, durchführen und überwachen.

Die Sicherheitsprüfung ist eine der wichtigsten Phasen im gesamten Zyklus der Anwendungsprüfung, da in dieser Phase sichergestellt wird, dass die Anwendung mit den definierten EU-Bankenstandards übereinstimmt.

Bankanwendungen sind sensibel und aufgrund der Art der übertragenen Daten ein Hauptziel für Hacker und betrügerische Aktivitäten.

Ein Unternehmen sollte die vom Open Web Application Security Project (OWASP) und der Europäischen Zentralbank (EZB) definierten Sicherheitsrichtlinien nicht außer Acht lassen.

Berichte über Sicherheitsüberprüfungen sollten nach ihrer Fertigstellung den relevanten Interessengruppen zur Verfügung gestellt werden. Vor einem QS-Audit in der EU sollte das Entwicklungsteam die Behebung der festgestellten Schwachstellen vorlegen.

Auch Penetrationstests können Teil dieses Schritts sein, um die Ausbreitung von Fehlern festzustellen.

Various platforms, networks, and OS must be checked through rigorous security testing techniques.

Verfahren für Bankensoftware, um mit der EU-Bankenprüfung konform zu gehen

Die EU-Bankenrevision verfolgt seit der Gründung der EZB-Bankenaufsicht einen risikobasierten Ansatz zur Bewertung kritischer Aufsichtsaufgaben und -aktivitäten. Bereichen, darunter das Informationsmanagement, die Art und Weise, wie die Banken die Umsetzung aufsichtsrechtlicher Maßnahmen überwachen, sowie den Aufsichtliche Überprüfungs- und Evaluierungsprozess oder auch SREP genannt (Supervisory Review and Evaluation Process).

Eine Bank muss ihren SREP überprüfen, bevor sie ihre Prüfung anwendet. Überdies kommt den Banken die Kontrolle durch den internen Revisionsausschuss, auch Internal Audit Committee (IAC) genannt, der EZB bei Prozessen zugute, die eine intensive Zusammenarbeit zwischen der EZB und nationalen Behörden erfordern.

Die von der internen Revision herausgegebenen Richtlinien helfen der EZB-Bankenaufsicht, Bereiche mit Verbesserungsbedarf zu identifizieren.

Sobald die Ergebnisse der internen Revision vorliegen, unterstützt die SQA-Abteilung die Mitarbeiter der Bankenaufsicht bei der Erstellung von Aktionsplänen, um angemessene Folgemaßnahmen und Risikominderung zu gewährleisten. Anschließend koordiniert und überwacht sie die zeitnahe und konsequente Umsetzung der Aktionspläne und berichtet dem aufsichtsrechtlichen Prüfungsausschuss jährlich über die erzielten Fortschritte.

Häufige Kommunikation zwischen den SQA-Teams und dem Ausschuss für interne Revision ist ein wesentlicher Bestandteil des Prozesses.

So sollten die Experten der SQA-Abteilung vor dem QS-Audit gut vorbereitet sein. Diese beiden Teams arbeiten ständig und fließend zusammen, um die gemeinsamen Ziele zu erreichen.

Die Effizienz der Kommunikation hängt dabei von einer guten Prüfstrategie ab. Wenn Sie die QS richtig organisieren und berichten, haben Sie wenig Mühe und verbringen wenig Zeit damit, dem Auditteam Ihre Daten zu präsentieren.

image
3zbdcc601729bfa1d4e33335cfb5176b61c737a68bafd4b4a38a8ef653a7771392
testing strategy template

Holen Sie sich eine Vorlage für eine konforme und effiziente Teststrategie

Was sind die Tendenzen in diesem Bereich?

In den vergangenen Jahren hat das Interesse der Finanzinstitute am Outsourcing von Geschäftsaktivitäten zugenommen. Ihr Hauptziel ist es, die Kosten zu senken und die Flexibilität und Effizienz ihrer Arbeit zu verbessern. Die Bankinstitute passen ihre Geschäftsmodelle an, um solche Technologien im Rahmen der Digitalisierung zu übernehmen, und übertragen die Bedeutung der neuen Finanztechnologie dann auf andere Fintech-Anbieter. Das Testen von Finanzsoftware ist für jedes Finanzinstitut von entscheidender Bedeutung.

Einer der Bereiche ist das Testen, das viele Banken durch Outsourcing durchführen. Das Testen von Bankanwendungen erfordert eine durchgängige Testmethodik, die mehrere Softwaretesttechniken umfasst. Diese verschiedenen Testverfahren gewährleisten die Einhaltung des Funktionsablaufs gemäß den zentralen Geschäftsanforderungen, die Sicherheitsaspekte, die Datenintegrität, die Gleichzeitigkeit und die Benutzerfreundlichkeit. Der Bereich Testen ist neben anderen funktionalen Vorgängen, die für Banking-Software benötigt werden, sehr dominant. Verschiedene Testverfahren für Bankanwendungen sind sehr gefragt, und viele Outsourcing-Unternehmen suchen nach Experten auf diesem Gebiet.

Wie kann der Prozess der QS-Prüfung im Bankwesen optimiert werden?

Die Europäische Bankenaufsichtsbehörde (EBA, englisch European Banking Authority) hat einige Richtlinien veröffentlicht, die alle Bankinstitute durch das Outsourcing und der Nutzung von Cloud-Technologien befolgen müssen.

Die Aktivitäten der internen Revision sollten gemäß den von der EBA definierten Richtlinien einem risikobasierten Ansatz folgen, der die unabhängige Überprüfung der ausgelagerten Aktivitäten beinhaltet. Daher umfassen der Prüfungsplan und das Prüfungsprogramm die Auslagerungsvereinbarungen für kritische Funktionen. Die interne Revision prüft die Auslagerung, um sicherzustellen, dass der Rahmen des Zahlungsinstituts korrekt und effizient umgesetzt wird und mit den einschlägigen Gesetzen und Vorschriften übereinstimmt.

Hierzu gehören die Analyse der Risikostrategie und der Managemententscheidungen, die Glaubwürdigkeit, Qualität und Effektivität der wesentlichen Funktionen, die Effizienz der Outsourcing-Ansätze, die angemessene Einbeziehung der Kontrollorgane sowie die angemessene Überwachung und Verwaltung der Outsourcing-Vereinbarungen.

Welche Rolle spielt die Europäische Bankaufsichtsbehörde (EBA) bei der QS von Software?

Die Europäische Bankenaufsichtsbehörde (EBA) führt regelmäßig Tests in der gesamten Europäischen Union durch. Zu den wichtigsten gehören Stresstests, Sicherheitstests und Kompatibilitätstests.

Der EBA zufolge besteht das Ziel darin, die Flexibilität der EU-Banken im Hinblick auf einen Standardsatz ungünstiger wirtschaftlicher Entwicklungen zu bewerten, um die potenziellen Risiken zu ermitteln und Aufsichtsentscheidungen zu treffen sowie die Marktdisziplin zu erhöhen. Die Europäische Zentralbank (EZB) und andere zuständige europäische Behörden unterstützen diese QS-Prüfungen und nutzen sie, um Aufsichtsentscheidungen zu treffen.

Die Verwendung eines soliden QS-Tools ist eine gute Möglichkeit, sich auf aufsichtsrechtliche Prüfungen vorzubereiten. Lernen Sie aqua kennen, ein KI-gestütztes Testmanagementsystem, das Banken und Behörden bereits seit über 10 Jahren nutzen. aqua hilft Ihnen, Tests schnell zu erstellen und sie für reibungslose Audits konform zu verwalten.

Holen Sie sich ein 100 % gesetzeskonformes und 200 % effizientes Testmanagementsystem

Try aqua
Auf dieser Seite:
Sehen Sie mehr
Beschleunigen Sie Ihre Releases x2 mit aqua
Gratis starten
step
FAQ
Was ist ein QS-Audit bei Bankanwendungen?

Beim QS-Audit von Bankanwendungen wird überprüft, ob die Software die QS-Prüfungen besteht, während der Testprozess selbst den erwarteten Standards entspricht.

Warum ist ein QS-Audit bei Bankanwendungen wichtig?

Der Bankensektor unterliegt strengen und obligatorischen QS-Audits, da es sich um ein sensibles Geschäft und ein finanzielles Risiko handelt. Regierungen (und letztlich die Bürger) versichern Bankeinlagen in der Regel bis zu einem bestimmten Betrag. Dieses Geld ist für Clearing-Banken gedacht und nicht für Banken, die das Geld ihrer Kunden nicht vor den Sicherheitslücken in mobilen Apps schützen konnten.

Was sind die Schritte bei einem QS-Audit für Anwendungen von Banken?

Die Schritte eines QS-Audits sind in der Regel Benachrichtigung, Vorbereitung, Eröffnungssitzung, das eigentliche Audit, Abschlussbesprechung, Berichtsvorlage und Nachbereitung. Was bei diesen Schritten geschieht, hängt davon ab, wer die Prüfung in Auftrag gegeben hat.

closed icon