Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
296<br />
Beitrag<br />
» Der erste Schritt<br />
professionellen<br />
IDVAnwendungs<br />
managements<br />
besteht darin, die<br />
wesentlichen IDV<br />
Anwendungen<br />
anhand der poten<br />
ziellen Auswirkung<br />
fehlerhafter Pro<br />
grammqualität zu<br />
identifizieren. «<br />
06 / 2009 <strong>BankPraktiker</strong><br />
Der erste Schritt professionellen IDVAnwendungsmanagements<br />
besteht darin, die wesent<br />
lichen IDVAnwendungen anhand der potenziellen<br />
Auswirkung fehlerhafter Programmqualität<br />
zu identifizieren. In der Praxis immer wieder<br />
vorgef<strong>und</strong>ene Kriterien wie die Komplexität der<br />
Programmierung gehen am Ziel eines angemessenen<br />
Risikomanagements vorbei. Eine simple<br />
Addition von 30 Zahlen ist zwar technisch trivial,<br />
doch wenn die Geschäftsleitung auf Basis dieser<br />
Zahlen die Risiken eines Portfolios steuert, muss<br />
sichergestellt sein, dass die Summenformel alle<br />
relevanten Summanden einschließt.<br />
Gängige Kriterien zur Identifizierung wesentlicher<br />
Anwendungen sind:<br />
ß<br />
ß<br />
ß<br />
Werden die Ergebnisse der IDV in bestandsführende<br />
Anwendungen übernommen?<br />
Werden auf Basis der IDVAnwendung Entscheidungen<br />
erheblicher Tragweite getroffen<br />
(z. B. Fondspreisermittlung, Positionsmanagement,<br />
Kontrollfunktionen im<br />
RisikoControlling, Ergebnisermittlung)?<br />
Stellt die IDVAnwendung die Datenqualität<br />
wesentlicher Anwendungen sicher (z. B.<br />
Abstimmungsanwendungen)<br />
Der Fachbereich hat die wesentlichen IDV<br />
Anwendungen angemessen zu verwalten. In der<br />
Praxis haben sich einfache Listen bewährt, die<br />
für jede dieser Anwendungen die eingesetzte<br />
Version, Zweck <strong>und</strong> Zuständigkeiten (Programmierung,<br />
Qualitätssicherung, Test, Abnahme,<br />
Produktiveinsatz) dokumentieren. Die funktionale<br />
Trennung zwischen der Anwendungsentwicklung<br />
<strong>und</strong> den Qualitätssicherungstests<br />
wird leider in der Praxis regelmäßig vernachlässigt.<br />
Die Analyse zu den wesentlichen Anwendungen<br />
ist im Rahmen der jährlichen Risikoinventur<br />
gem. BTR 4 der MaRisk zu überprüfen.<br />
IV. Die häufigsten Fehler beim<br />
Einsatz von IDV-Anwendungen<br />
<strong>und</strong> daraus resultierende<br />
Anforderungen<br />
1. Versionierung von<br />
IDV-Anwendungen<br />
Die Nachvollziehbarkeit des Programmcodes<br />
<strong>und</strong> seiner Versionen ist regelmäßig nicht<br />
sichergestellt. In der Prüfungspraxis ist oft<br />
zu beobachten, dass es nur eine IDVAnwendungsdatei<br />
gibt, an der immer weiter gebastelt<br />
<strong>und</strong> die immer wieder überschrieben wird.<br />
Eine preiswerte Abhilfe kann die Nutzung<br />
eines professionellen Versionierungstools (z. B.<br />
CVS) für die Programmdateien <strong>und</strong> die zugehörige<br />
Dokumentation sein. Auf keinen Fall<br />
darf die Dokumentation älterer Programmversionen<br />
änderbar sein.<br />
2. Trennung von Programm <strong>und</strong> Daten<br />
IDVAnwendungen vermischen regelmäßig<br />
Code <strong>und</strong> Daten. Damit sind die Programmversionen<br />
fix an Datenversionen gekoppelt<br />
<strong>und</strong> erschweren Kontrolltätigkeiten. Einfach<br />
umzusetzen sind separate Tabellen bzw.<br />
Datenbanken für Datenhaltung, Parametrisierung<br />
sowie für die Funktionalität <strong>und</strong><br />
Rechenlogik.<br />
3. Wartung von IDV-Anwendungen<br />
Oft sind IDVAnwendungen hochindividuell<br />
programmiert <strong>und</strong> damit schwer oder<br />
gar nicht wartbar (SpaghettiCodeRisiko).<br />
Dies verhindert eine Entwicklung im Team,<br />
die Nachvollziehbarkeit durch Dritte (Interne<br />
Revision <strong>und</strong> externe Prüfer) sowie die Unterstützung<br />
durch Spezialisten im Notfall.<br />
Eine wirtschaftliche Weiterentwicklung der<br />
Anwendung anstelle einer Neuentwicklung<br />
wird damit verhindert. Ursächlich ist hier<br />
meist die unzureichende Qualifikation des<br />
Programmierers hinsichtlich professioneller<br />
Anwendungsentwicklung.<br />
Auch bei IDVAnwendungen müssen Standards<br />
zu Anwendungsarchitektur, Bezeichnung <strong>und</strong><br />
Nutzung von Variablen, Objekten <strong>und</strong> Makros<br />
eingehalten werden. Dokumentationen sind<br />
anzufertigen. Die Einhaltung dieser Standards<br />
ist durch den Fachbereich sicherzustellen.<br />
4. Qualitätssicherung von<br />
IDV-Anwendungen<br />
Vielfach werden IDVAnwendungen nur durch<br />
den Programmierer selbst getestet bzw. plausibilisiert.<br />
Eine Selbstkontrolle führt regelmäßig<br />
zu keiner angemessenen Anwendungsqualität.<br />
Unabdingbar ist die Kontrolle durch eine weitere<br />
Person, die nicht in die Programmierung<br />
eingeb<strong>und</strong>en war.