Liebe Leserinnen und Leser, - BankPraktiker

Weitere Magazine

Empfehlungen

Info

294 Beitrag 06 / 2009 BankPraktiker Vorstand Kredit Konto Anlage Recht Handel Controlling Revision IT OpRisk individuelle Datenverarbeitung Management der operationellen Risiken aus dem Einsatz individueller Datenverarbeitung (IDV). Autor: Jörg Bretz, Prüfungsleiter im Rahmen bankgeschäftlicher Prüfungen bei Finanzinstituten, Deutsche Bundesbank. I. Einleitung w Sämtliche Finanzinstitute setzen individuelle Datenverarbeitung (IDV), d. h. durch Fachbereiche entwickelte Tabellenkalkulations und Datenbankanwendungen, zur Unterstützung von Prozessen ein. Die Qualität des Managements der operationellen Risiken aus dem Einsatz der IDV schwankt zwischen den Instituten allerdings erheblich. Der folgende Beitrag stellt wesentliche Elemente der Steuerung operationeller Risiken aus dem Einsatz der IDV dar. II. Risiken aus dem Einsatz von IDV Wenn das Management operationeller Risiken aus IDV thematisiert wird, sind in fast allen Finanzinstituten vergleichbare Diskussionen zu beobachten. Die IT als Kompetenzzentrum für Entwicklung und Betrieb von Anwendungen lehnt IDV als dilettantisch ab. Die Fachbereiche ihrerseits betrachten regelmäßig die Anforderungen der IT z. B. nach Fachkonzepten und dokumentierten Programmtests als überdimensionierte administrative Hürden, die nur Kosten verursachen. Die oftmals benötigte Flexibilität des Fachbereichs sei nicht gewährleistet. Im Zusammenhang mit diesem eisernen „IDVVorhang“ zwischen Fachbereich und IT werden dann Thesen wie „Sind aufgezeichnete ExcelMakros schon Anwendungsentwicklung?“ oder „Reines Summenziehen ist ja wohl noch keine Programmierung?“ oder „Soll ich jetzt jede eilige adhocAuswertung für den Vorstand erst durch IT entwickeln und testen lassen?“ diskutiert. Die Analyse der schadensfälle aus dem unsachgemäßen Einsatz von IDVAnwendungen rückt Fragestellungen in den Vordergrund, die in den Fachbereichen eher selten diskutiert werden. Die beiden nachstehenden Beispiele dokumentieren die Problematik. IDVAnwendungen analysieren meist auf Kopien von Produktivdatenbeständen, die auf einem Fachbereichslaufwerk gespeichert wurden. Wer stellt sicher, dass der verwendete Datentopf aktuell und vollständig ist? Wer verantwortet die Datenextraktionsprozedur inhaltlich? Wie ist die Datenkopie generell gegen bewusste oder unbewusste Veränderungen durch den Fachbereich geschützt? Durch das gezielte Löschen eines Datensatzes in der Fachbereichskopie könnte ein problematisches Kreditengagement aus dem Vorstandsbericht verschwinden. Rechnet die IDVAnwendung richtig? Wie werden Formeln und Funktionen qualitätsgesichert? Gibt es Schutzmaßnahmen gegen eine versehentliche Veränderung von Formeln und Funktionen? Wie ist sichergestellt, dass auch die aktuell getestete Version der Anwendung eingesetzt wird, und nicht eine fehlerbehaftete aus der Vorwoche? Z. B. können fehlerhaft ermittelte Konditionstableaus für den Vertrieb die Ursache für erhebliche Verluste sein. III. Management operationeller Risiken aus IDV-Anwendungen 1. Zentrale Vorgaben begrenzen die operationellen Risiken aus IDV-Anwendungen Das Kreditwesengesetz macht in § 25 a die Geschäftsleitung für ein angemessen ausgestaltetes Risikomanagement verantwortlich. Dies schließt das Management der operationellen Risiken und damit auch die aus IDVAnwendungen resultierenden ein.
Üblicherweise wird die Geschäftsleitung dieser Verantwortung im ersten Schritt durch die Veröffentlichung einer Arbeitsanweisung zur IDV gerecht. Diese wird oftmals durch die Abteilung Organisation oder IT fachlich erstellt und verantwortet. Damit ist präzise festgelegt, in welchem Umfang und nach welchen Regeln Fachbereiche Anwendungsentwicklung selbst betreiben dürfen. Die Einhaltung dieser Regeln/Kontrollen wird dann prozessunabhängig durch die Interne Revision geprüft. Die Prüfungspraxis zeigt, dass in den meisten Instituten eine IDVArbeitsanweisung vorhanden ist, die den Anwendungsentwicklungsprozess im Fachbereich skizziert. Der Inhalt dieser IDVArbeitsanweisungen wird üblicherweise den in AT 7.2 der MaRisk referenzierten gängigen Standards gerecht und führt kaum zu Beanstandungen der Bankenaufsicht. Die Verantwortung für ein angemessenes Management der operationellen Risiken aus IDVAnwendungen liegt damit in der Hand der Fachbereiche. 2. Mängel in der dezentralen Umsetzung der Vorgaben durch die Fachbereiche Die Erfahrungen aus bankgeschäftlichen Prüfungen zeigen, dass die Fachbereiche den zentralen Vorgaben zum Management der operationellen Risiken aus IDVAnwendungen häufig nicht gerecht werden. Die beobachteten Mängel münden dann häufig in Prüfungsfeststellungen zum jeweiligen Fachbereich. Häufen sich die Mängel in der Steuerung der operationellen Risiken aus IDV allerdings fachbereichübergreifend, ist die Ursache vielfach unmittelbar auf Ebene der Geschäftsleitung zu suchen. Was macht es den Fachbereichen so schwer, die zentralen Vorgaben zu erfüllen? Die Fachbereichsleiter sind mangels ITVorbildung oft unsensibel gegenüber den operationellen risiken aus IDV-Anwendungen. Die Fachbereichsmitarbeiter lernen auf den angebotenen Fortbildungen die technische Bedienung der Anwendungen wie z. B. Formeln und Funktionen in Excel und das Aufzeichnen von Makros. Kenntnisse zu den prozessen der sicheren Anwendungsentwicklung mit Fachkonzept, Architektur, Qualitätssicherung, Dokumentation sowie zum sicheren Anwendungsbetrieb werden den Fachbereichsmitarbeitern häufig nicht vermittelt. Mangelndes Risikomanagement bei IDVAnwendungen ist also primär auf unzureichende Qualifikation der Fachbereiche zurückzuführen. Ein zweiter Kernpunkt ist, dass Kontrollen im rahmen von Anwendungsentwicklung und -betrieb Zeit und damit Geld kosten. Wenn der Fachbereich sämtliche Prozessschritte in der Hand hat, ist es für ihn leicht, durch Aufweichen von Kontrollen höhere operationelle risiken einzugehen und damit – kurzfristig – Geld zu sparen. Diese operationellen Risiken werden oftmals nicht transparent gemacht. Erst wenn ein mit der Anwendungsentwicklung betrauter Beschäftigter den Fachbereich wechselt, fallen die Kosten der Neuentwicklung aufgrund unzureichender Dokumentation und Architektur an. Diese werden natürlich nicht als Schadensfall aus operationellem Risiko transparent gemacht, sondern bleiben in den allgemeinen Personalkosten verschleiert. Mit der Einbindung der IT wird automatisch ein Vier-Augen-prinzip eingeführt. IT als eine mit dem Management operationeller Risiken aus IDV vertraute Organisationseinheit fordert vom Fachbereich ein Mitwirken ein. Dies hebt das Risikomanagement üblicherweise auf ein professionelles Niveau, da dem Fachbereich viele Möglichkeiten des Aufweichens von Kontrollen genommen werden. Und selbst wenn die Qualität der fachlichen Tests nichts taugen sollte, ist zumindest der Verantwortliche für die Tests durch sein Freigabetestat nachvollziehbar dokumentiert. 3. Wesentliche Anwendungen identifizieren Ein wichtiger Punkt im Management operationeller Risiken ist das Abwägen von risiken gegenüber den durch Kontrollen entstehenden Kosten. Natürlich schießt man mit Kanonen auf Spatzen, wenn jede einzelne Excel Tabelle die Anforderungen an professionelles IDVAnwendungsmanagement erfüllen muss; dem Fachbereich wäre jede Flexibilität für adhocAuswertungen entzogen. 06 / 2009 BankPraktiker Beitrag » Die Fachbereichsleiter sind mangels ITVorbildung oft unsensibel gegenüber den operationellen Risiken aus IDV Anwendungen. « 295
Seite 1 und 2: HerauSgeber Werner Böhnke, Vorstan
Seite 3 und 4: 274-307 300 Strategisches Managemen
Seite 5 und 6: ungen der nicht identifizierten Kun
Seite 7 und 8: Die erforderlichen Gegensteuerungsm
Seite 9 und 10: Neuerdings kommt es jedoch nicht me
Seite 11 und 12: 2. Verfahren zur Ermittlung der pau
Seite 13 und 14: PRAXISSEMINAR: 25.-26.06.2009 IN FR
Seite 15 und 16: noch entstehen. Inzwischen kann der
Seite 17 und 18: Becker / Berndt / Klein (Hrsg.) Bea
Seite 19 und 20: Unterschiede im Tilgungsverlauf wer
Seite 21 und 22: prAXIsTIpps • • • • • Sam
Seite 23 und 24: im Umgang miteinander vereinbart. W
Seite 25 und 26: Tabelle 1: Aufnahmeantrag mit allge
Seite 27 und 28: Vorstand Kredit Konto Anlage Recht
Seite 29: allgemeinen Rechtsatz auf, dass aus
Seite 33 und 34: Programmierer und Qualitätssichere
Seite 35 und 36: ��
Seite 37 und 38: Hausbank auch einfache und standard
Seite 39 und 40: 3. Wenn’s ums Geld geht, Sparkass
Seite 41 und 42: Gesetzgeber privilegiert werden. Da
Seite 43 und 44: ten auszugehen ist. Es wird deshalb
Seite 45 und 46: Rubrik Firma Kontakt Profil I T - D
Seite 47 und 48: IT Busenbach, Dirk Sparkasse Gummer

Liebe Leserinnen und Leser, - BankPraktiker

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?