Liebe Leserinnen und Leser, - BankPraktiker

Weitere Magazine

Empfehlungen

Info

296 Beitrag » Der erste Schritt professionellen IDVAnwendungs managements besteht darin, die wesentlichen IDV Anwendungen anhand der poten ziellen Auswirkung fehlerhafter Pro grammqualität zu identifizieren. « 06 / 2009 BankPraktiker Der erste Schritt professionellen IDVAnwendungsmanagements besteht darin, die wesent lichen IDVAnwendungen anhand der potenziellen Auswirkung fehlerhafter Programmqualität zu identifizieren. In der Praxis immer wieder vorgefundene Kriterien wie die Komplexität der Programmierung gehen am Ziel eines angemessenen Risikomanagements vorbei. Eine simple Addition von 30 Zahlen ist zwar technisch trivial, doch wenn die Geschäftsleitung auf Basis dieser Zahlen die Risiken eines Portfolios steuert, muss sichergestellt sein, dass die Summenformel alle relevanten Summanden einschließt. Gängige Kriterien zur Identifizierung wesentlicher Anwendungen sind: ß ß ß Werden die Ergebnisse der IDV in bestandsführende Anwendungen übernommen? Werden auf Basis der IDVAnwendung Entscheidungen erheblicher Tragweite getroffen (z. B. Fondspreisermittlung, Positionsmanagement, Kontrollfunktionen im RisikoControlling, Ergebnisermittlung)? Stellt die IDVAnwendung die Datenqualität wesentlicher Anwendungen sicher (z. B. Abstimmungsanwendungen) Der Fachbereich hat die wesentlichen IDV Anwendungen angemessen zu verwalten. In der Praxis haben sich einfache Listen bewährt, die für jede dieser Anwendungen die eingesetzte Version, Zweck und Zuständigkeiten (Programmierung, Qualitätssicherung, Test, Abnahme, Produktiveinsatz) dokumentieren. Die funktionale Trennung zwischen der Anwendungsentwicklung und den Qualitätssicherungstests wird leider in der Praxis regelmäßig vernachlässigt. Die Analyse zu den wesentlichen Anwendungen ist im Rahmen der jährlichen Risikoinventur gem. BTR 4 der MaRisk zu überprüfen. IV. Die häufigsten Fehler beim Einsatz von IDV-Anwendungen und daraus resultierende Anforderungen 1. Versionierung von IDV-Anwendungen Die Nachvollziehbarkeit des Programmcodes und seiner Versionen ist regelmäßig nicht sichergestellt. In der Prüfungspraxis ist oft zu beobachten, dass es nur eine IDVAnwendungsdatei gibt, an der immer weiter gebastelt und die immer wieder überschrieben wird. Eine preiswerte Abhilfe kann die Nutzung eines professionellen Versionierungstools (z. B. CVS) für die Programmdateien und die zugehörige Dokumentation sein. Auf keinen Fall darf die Dokumentation älterer Programmversionen änderbar sein. 2. Trennung von Programm und Daten IDVAnwendungen vermischen regelmäßig Code und Daten. Damit sind die Programmversionen fix an Datenversionen gekoppelt und erschweren Kontrolltätigkeiten. Einfach umzusetzen sind separate Tabellen bzw. Datenbanken für Datenhaltung, Parametrisierung sowie für die Funktionalität und Rechenlogik. 3. Wartung von IDV-Anwendungen Oft sind IDVAnwendungen hochindividuell programmiert und damit schwer oder gar nicht wartbar (SpaghettiCodeRisiko). Dies verhindert eine Entwicklung im Team, die Nachvollziehbarkeit durch Dritte (Interne Revision und externe Prüfer) sowie die Unterstützung durch Spezialisten im Notfall. Eine wirtschaftliche Weiterentwicklung der Anwendung anstelle einer Neuentwicklung wird damit verhindert. Ursächlich ist hier meist die unzureichende Qualifikation des Programmierers hinsichtlich professioneller Anwendungsentwicklung. Auch bei IDVAnwendungen müssen Standards zu Anwendungsarchitektur, Bezeichnung und Nutzung von Variablen, Objekten und Makros eingehalten werden. Dokumentationen sind anzufertigen. Die Einhaltung dieser Standards ist durch den Fachbereich sicherzustellen. 4. Qualitätssicherung von IDV-Anwendungen Vielfach werden IDVAnwendungen nur durch den Programmierer selbst getestet bzw. plausibilisiert. Eine Selbstkontrolle führt regelmäßig zu keiner angemessenen Anwendungsqualität. Unabdingbar ist die Kontrolle durch eine weitere Person, die nicht in die Programmierung eingebunden war.
Programmierer und Qualitätssicherer müssen ihre Tätigkeit nachvollziehbar dokumentieren. Die Nachvollziehbarkeit erhöht den Qualitätsdruck, da der für Fehler Verantwortliche im Nachhinein identifiziert werden kann. Zum Ende der Qualitätssicherungstests ist die fachlichfunktionale Abnahme der IDVAnwendung durch den Fachbereich zu dokumentieren. Die Interne Revision sollte in inhaltliche Fragen nicht eingebunden sein. Immer wieder ist zu beobachten, dass die Interne Revision IDV Anwendungen inhaltlich freigeben muss. Solche prozessualen Einbindungen gefährden die Unabhängigkeit der Revision und werden den Anforderungen des BT 2.2 Rdn. 2 der MaRisk nicht gerecht. Die Interne Revision muss die IDVAnwendung im Rahmen ihrer Tätigkeiten prozessunabhängig überprüfen können. Wie könnte sie dies tun, wenn sie zuvor deren Richtigkeit unterschriftlich bescheinigt hat? Im Rahmen der technischen Funktionstrennung ist sicherzustellen, dass der Programmierer die Qualitätssicherung technisch nicht beeinflussen kann. Sonst könnte er während der Tests am Programmcode manipulieren und damit die Testergebnisse verfälschen. So könnten fehlerhafte Programme in den regulären IDVAnwendungsbetrieb gelangen. 5. Sicherer Produktivbetrieb von IDV-Anwendungen Oft gelangen Fehlerkorrekturen und Updates des Programmierers unkontrolliert in den Produktivbetrieb, weil sämtliche Beschäftigte des Fachbereichs schreibenden Zugriff auf IDVAnwendungen haben. Dies gefährdet die Qualität der IDVAnwendung und auch die Sicherheit der verarbeiteten Daten durch Vertuschung und Manipulation. Ein bewährtes Verfahren hierzu ist die Programmsiegelung. Preiswerte Abhilfe ist die Einschränkung der Benutzerrechte auf die produktive Programmversion. Hierbei ist sicherzustellen, dass der Programmierer die qualitätsgesicherten Version nicht produktiv stellen kann. 6. Zugriffsrechte innerhalb von IDV-Anwendungen Ist die Rechenlogik gegen Veränderungen durch Anwender geschützt? Wird ein fachlich gebotenes VierAugenPrinzip auch technisch implementiert oder zumindest organisatorisch abgefangen? Sind Datenänderungen hinsichtlich Verursacher, Datum und Uhrzeit nachvollziehbar? Häufig ist keine Benutzerberechtigungssteuerung in IDVAnwendungen implementiert. Obwohl entsprechende Mechanismen in IDV Plattformen nicht immer gegen Hacker tauglich sind, reduzieren sie immerhin das Risiko versehentlicher Veränderungen. Standard sollte zumindest die Nutzung des Zellschutzes in Excel für sämtliche berechnete Werte sein. Ebenso wichtig ist ein Schreibschutz für Makros. Meist lassen sich VierAugenPrinzip und Nachvollziehbarkeit nur implementieren, indem der Anwender nicht mehr direkt in der Tabelle, sondern in einer Erfassungsmaske arbeitet. 7. Backup der Daten von IDV-Anwendungen I. d. R. sind die IDVAnwendungsdaten in die Datensicherung der Dateiserver integriert und stellen hinsichtlich des Backup damit kein Problem dar. 8. Integrität der Daten von IDV-Anwendungen Häufig werden die Quelldaten der IDVAnwendung auf unsicheren Wegen aus den bestandsführenden Anwendungen exportiert. Risiko ist hierbei die Manipulation der Quelldaten. Eine preiswerte Problemlösung ist die automatisierte Extraktion der Quelldaten und Speicherung in ein schreibgeschütztes Dateiverzeichnis. Wichtig sind hierbei die Qualitätssicherung der Extraktionsprozedur und die regelmäßige Abstimmung, ob der Datenextrakt auch alle Daten enthält. Wie wird der Fachbereich zu Änderungen der bestandsführenden Anwendung informiert, die Auswirkungen auf die IDV Anwendung haben könnten (z. B. Migration von Feldinhalten, Umwidmung von Werten)? 9. Dokumentation von IDV-Anwendungen Oft verzichtet der Programmierer des Fachbereichs auf die Dokumentation der Anwen 06 / 2009 BankPraktiker Beitrag 297
Seite 1 und 2: HerauSgeber Werner Böhnke, Vorstan
Seite 3 und 4: 274-307 300 Strategisches Managemen
Seite 5 und 6: ungen der nicht identifizierten Kun
Seite 7 und 8: Die erforderlichen Gegensteuerungsm
Seite 9 und 10: Neuerdings kommt es jedoch nicht me
Seite 11 und 12: 2. Verfahren zur Ermittlung der pau
Seite 13 und 14: PRAXISSEMINAR: 25.-26.06.2009 IN FR
Seite 15 und 16: noch entstehen. Inzwischen kann der
Seite 17 und 18: Becker / Berndt / Klein (Hrsg.) Bea
Seite 19 und 20: Unterschiede im Tilgungsverlauf wer
Seite 21 und 22: prAXIsTIpps • • • • • Sam
Seite 23 und 24: im Umgang miteinander vereinbart. W
Seite 25 und 26: Tabelle 1: Aufnahmeantrag mit allge
Seite 27 und 28: Vorstand Kredit Konto Anlage Recht
Seite 29 und 30: allgemeinen Rechtsatz auf, dass aus
Seite 31: Üblicherweise wird die Geschäftsl
Seite 35 und 36: ��
Seite 37 und 38: Hausbank auch einfache und standard
Seite 39 und 40: 3. Wenn’s ums Geld geht, Sparkass
Seite 41 und 42: Gesetzgeber privilegiert werden. Da
Seite 43 und 44: ten auszugehen ist. Es wird deshalb
Seite 45 und 46: Rubrik Firma Kontakt Profil I T - D
Seite 47 und 48: IT Busenbach, Dirk Sparkasse Gummer

Liebe Leserinnen und Leser, - BankPraktiker

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?