Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Üblicherweise wird die Geschäftsleitung dieser<br />
Verantwortung im ersten Schritt durch die Veröffentlichung<br />
einer Arbeitsanweisung zur IDV<br />
gerecht. Diese wird oftmals durch die Abteilung<br />
Organisation oder IT fachlich erstellt<br />
<strong>und</strong> verantwortet. Damit ist präzise festgelegt,<br />
in welchem Umfang <strong>und</strong> nach welchen<br />
Regeln Fachbereiche Anwendungsentwicklung<br />
selbst betreiben dürfen. Die Einhaltung dieser<br />
Regeln/Kontrollen wird dann prozessunabhängig<br />
durch die Interne Revision geprüft.<br />
Die Prüfungspraxis zeigt, dass in den meisten<br />
Instituten eine IDVArbeitsanweisung vorhanden<br />
ist, die den Anwendungsentwicklungsprozess<br />
im Fachbereich skizziert. Der Inhalt dieser<br />
IDVArbeitsanweisungen wird üblicherweise<br />
den in AT 7.2 der MaRisk referenzierten gängigen<br />
Standards gerecht <strong>und</strong> führt kaum zu<br />
Beanstandungen der Bankenaufsicht.<br />
Die Verantwortung für ein angemessenes<br />
Management der operationellen Risiken aus<br />
IDVAnwendungen liegt damit in der Hand<br />
der Fachbereiche.<br />
2. Mängel in der dezentralen<br />
Umsetzung der Vorgaben<br />
durch die Fachbereiche<br />
Die Erfahrungen aus bankgeschäftlichen Prüfungen<br />
zeigen, dass die Fachbereiche den zentralen<br />
Vorgaben zum Management der operationellen<br />
Risiken aus IDVAnwendungen<br />
häufig nicht gerecht werden. Die beobachteten<br />
Mängel münden dann häufig in Prüfungsfeststellungen<br />
zum jeweiligen Fachbereich.<br />
Häufen sich die Mängel in der Steuerung der<br />
operationellen Risiken aus IDV allerdings fachbereichübergreifend,<br />
ist die Ursache vielfach<br />
unmittelbar auf Ebene der Geschäftsleitung<br />
zu suchen.<br />
Was macht es den Fachbereichen so schwer,<br />
die zentralen Vorgaben zu erfüllen? Die Fachbereichsleiter<br />
sind mangels ITVorbildung<br />
oft unsensibel gegenüber den operationellen<br />
risiken aus IDV-Anwendungen.<br />
Die Fachbereichsmitarbeiter lernen auf den<br />
angebotenen Fortbildungen die technische<br />
Bedienung der Anwendungen wie z. B. Formeln<br />
<strong>und</strong> Funktionen in Excel <strong>und</strong> das Aufzeichnen<br />
von Makros. Kenntnisse zu den<br />
prozessen der sicheren Anwendungsentwicklung<br />
mit Fachkonzept, Architektur, Qualitätssicherung,<br />
Dokumentation sowie zum<br />
sicheren Anwendungsbetrieb werden den<br />
Fachbereichsmitarbeitern häufig nicht vermittelt.<br />
Mangelndes Risikomanagement bei<br />
IDVAnwendungen ist also primär auf unzureichende<br />
Qualifikation der Fachbereiche<br />
zurückzuführen.<br />
Ein zweiter Kernpunkt ist, dass Kontrollen im<br />
rahmen von Anwendungsentwicklung <strong>und</strong><br />
-betrieb Zeit <strong>und</strong> damit Geld kosten. Wenn<br />
der Fachbereich sämtliche Prozessschritte in<br />
der Hand hat, ist es für ihn leicht, durch Aufweichen<br />
von Kontrollen höhere operationelle<br />
risiken einzugehen <strong>und</strong> damit – kurzfristig –<br />
Geld zu sparen. Diese operationellen Risiken<br />
werden oftmals nicht transparent gemacht.<br />
Erst wenn ein mit der Anwendungsentwicklung<br />
betrauter Beschäftigter den Fachbereich<br />
wechselt, fallen die Kosten der Neuentwicklung<br />
aufgr<strong>und</strong> unzureichender Dokumentation <strong>und</strong><br />
Architektur an. Diese werden natürlich nicht als<br />
Schadensfall aus operationellem Risiko transparent<br />
gemacht, sondern bleiben in den allgemeinen<br />
Personalkosten verschleiert.<br />
Mit der Einbindung der IT wird automatisch<br />
ein Vier-Augen-prinzip eingeführt. IT als eine<br />
mit dem Management operationeller Risiken<br />
aus IDV vertraute Organisationseinheit fordert<br />
vom Fachbereich ein Mitwirken ein. Dies hebt<br />
das Risikomanagement üblicherweise auf ein<br />
professionelles Niveau, da dem Fachbereich<br />
viele Möglichkeiten des Aufweichens von Kontrollen<br />
genommen werden. Und selbst wenn<br />
die Qualität der fachlichen Tests nichts taugen<br />
sollte, ist zumindest der Verantwortliche für die<br />
Tests durch sein Freigabetestat nachvollziehbar<br />
dokumentiert.<br />
3. Wesentliche Anwendungen<br />
identifizieren<br />
Ein wichtiger Punkt im Management operationeller<br />
Risiken ist das Abwägen von risiken<br />
gegenüber den durch Kontrollen entstehenden<br />
Kosten. Natürlich schießt man mit Kanonen<br />
auf Spatzen, wenn jede einzelne Excel<br />
Tabelle die Anforderungen an professionelles<br />
IDVAnwendungsmanagement erfüllen muss;<br />
dem Fachbereich wäre jede Flexibilität für<br />
adhocAuswertungen entzogen.<br />
06 / 2009 <strong>BankPraktiker</strong><br />
Beitrag<br />
» Die Fachbereichsleiter<br />
sind mangels<br />
ITVorbildung oft<br />
unsensibel gegenüber<br />
den operationellen<br />
Risiken aus IDV<br />
Anwendungen. «<br />
295