Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Liebe Leserinnen und Leser, - BankPraktiker
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Programmierer <strong>und</strong> Qualitätssicherer müssen<br />
ihre Tätigkeit nachvollziehbar dokumentieren.<br />
Die Nachvollziehbarkeit erhöht den Qualitätsdruck,<br />
da der für Fehler Verantwortliche<br />
im Nachhinein identifiziert werden kann. Zum<br />
Ende der Qualitätssicherungstests ist die fachlichfunktionale<br />
Abnahme der IDVAnwendung<br />
durch den Fachbereich zu dokumentieren.<br />
Die Interne Revision sollte in inhaltliche Fragen<br />
nicht eingeb<strong>und</strong>en sein. Immer wieder ist zu<br />
beobachten, dass die Interne Revision IDV<br />
Anwendungen inhaltlich freigeben muss.<br />
Solche prozessualen Einbindungen gefährden<br />
die Unabhängigkeit der Revision <strong>und</strong> werden<br />
den Anforderungen des BT 2.2 Rdn. 2 der MaRisk<br />
nicht gerecht. Die Interne Revision muss die<br />
IDVAnwendung im Rahmen ihrer Tätigkeiten<br />
prozessunabhängig überprüfen können. Wie<br />
könnte sie dies tun, wenn sie zuvor deren Richtigkeit<br />
unterschriftlich bescheinigt hat?<br />
Im Rahmen der technischen Funktionstrennung<br />
ist sicherzustellen, dass der Programmierer<br />
die Qualitätssicherung technisch nicht<br />
beeinflussen kann. Sonst könnte er während<br />
der Tests am Programmcode manipulieren<br />
<strong>und</strong> damit die Testergebnisse verfälschen. So<br />
könnten fehlerhafte Programme in den regulären<br />
IDVAnwendungsbetrieb gelangen.<br />
5. Sicherer Produktivbetrieb<br />
von IDV-Anwendungen<br />
Oft gelangen Fehlerkorrekturen <strong>und</strong> Updates<br />
des Programmierers unkontrolliert in den Produktivbetrieb,<br />
weil sämtliche Beschäftigte<br />
des Fachbereichs schreibenden Zugriff auf<br />
IDVAnwendungen haben. Dies gefährdet die<br />
Qualität der IDVAnwendung <strong>und</strong> auch die<br />
Sicherheit der verarbeiteten Daten durch Vertuschung<br />
<strong>und</strong> Manipulation. Ein bewährtes<br />
Verfahren hierzu ist die Programmsiegelung.<br />
Preiswerte Abhilfe ist die Einschränkung der<br />
Benutzerrechte auf die produktive Programmversion.<br />
Hierbei ist sicherzustellen, dass der<br />
Programmierer die qualitätsgesicherten Version<br />
nicht produktiv stellen kann.<br />
6. Zugriffsrechte innerhalb<br />
von IDV-Anwendungen<br />
Ist die Rechenlogik gegen Veränderungen<br />
durch Anwender geschützt?<br />
Wird ein fachlich gebotenes VierAugenPrinzip<br />
auch technisch implementiert oder zumindest<br />
organisatorisch abgefangen?<br />
Sind Datenänderungen hinsichtlich Verursacher,<br />
Datum <strong>und</strong> Uhrzeit nachvollziehbar?<br />
Häufig ist keine Benutzerberechtigungssteuerung<br />
in IDVAnwendungen implementiert.<br />
Obwohl entsprechende Mechanismen in IDV<br />
Plattformen nicht immer gegen Hacker tauglich<br />
sind, reduzieren sie immerhin das Risiko<br />
versehentlicher Veränderungen. Standard sollte<br />
zumindest die Nutzung des Zellschutzes in Excel<br />
für sämtliche berechnete Werte sein. Ebenso<br />
wichtig ist ein Schreibschutz für Makros. Meist<br />
lassen sich VierAugenPrinzip <strong>und</strong> Nachvollziehbarkeit<br />
nur implementieren, indem der Anwender<br />
nicht mehr direkt in der Tabelle, sondern in<br />
einer Erfassungsmaske arbeitet.<br />
7. Backup der Daten von<br />
IDV-Anwendungen<br />
I. d. R. sind die IDVAnwendungsdaten in die<br />
Datensicherung der Dateiserver integriert <strong>und</strong><br />
stellen hinsichtlich des Backup damit kein<br />
Problem dar.<br />
8. Integrität der Daten von<br />
IDV-Anwendungen<br />
Häufig werden die Quelldaten der IDVAnwendung<br />
auf unsicheren Wegen aus den bestandsführenden<br />
Anwendungen exportiert. Risiko ist<br />
hierbei die Manipulation der Quelldaten. Eine<br />
preiswerte Problemlösung ist die automatisierte<br />
Extraktion der Quelldaten <strong>und</strong> Speicherung in<br />
ein schreibgeschütztes Dateiverzeichnis.<br />
Wichtig sind hierbei die Qualitätssicherung<br />
der Extraktionsprozedur <strong>und</strong> die regelmäßige<br />
Abstimmung, ob der Datenextrakt auch alle<br />
Daten enthält. Wie wird der Fachbereich zu<br />
Änderungen der bestandsführenden Anwendung<br />
informiert, die Auswirkungen auf die IDV<br />
Anwendung haben könnten (z. B. Migration von<br />
Feldinhalten, Umwidmung von Werten)?<br />
9. Dokumentation von<br />
IDV-Anwendungen<br />
Oft verzichtet der Programmierer des Fachbereichs<br />
auf die Dokumentation der Anwen<br />
06 / 2009 <strong>BankPraktiker</strong><br />
Beitrag<br />
297