OCC verschärft Prüfung von EUCs bei Finanzinstituten

Ein gefährlicher Mangel an Transparenz

Diese Anwendungen bieten den Endnutzern zwar eine große Flexibilität, aber aufgrund der fehlenden Kontrollen, die in der Regel bei IT-Unternehmensanwendungen zu finden sind, fehlt ihnen die Transparenz und Überprüfbarkeit, die von den Aufsichtsbehörden (und damit auch von den Kunden und der Geschäftsleitung) für eine wirksame Risikobeherrschung gefordert wird.

Bei der Verwendung einer Tabellenkalkulation ist unklar, wer eine Formel oder eine Zelleingabe geändert, wer sie überprüft und wer sie genehmigt hat. Bei Banken ist es nicht ungewöhnlich, dass sie Milliarden von Investitionen in Milliardenhöhe mit hochkomplexen Tabellenkalkulationen zu verwalten. Sie enthalten Millionen von Zellen, die aus verschiedenen Datenquellen gespeist werden. Die manuelle Erfassung, Genehmigung und Meldung von Änderungen an diesen Kalkulationstabellen zu Zwecken des Risikomanagements und der Rechnungsprüfung übersteigt die Möglichkeiten der Endbenutzer, Risikomanager und Compliance-Teams.

Die Verwaltung, Durchsetzung und Berichterstattung von Richtlinien stellt eine zusätzliche Herausforderung für Compliance-Teams dar, deren Mitarbeiter EUCs verwenden. Zwar gibt es zweifellos Richtlinien für die Verwendung, Aktualisierung und Stilllegung von EUCs, doch ist es eine enorme Herausforderung zu ermitteln, wer EUCs verwendet, und sicherzustellen, dass die Mitarbeiter die EUC-Richtlinien kennen und sie anwenden.

Abwägung einer enormen Herausforderung

Die Verwaltung, Durchsetzung und Berichterstattung von Richtlinien stellt eine zusätzliche Herausforderung für Compliance-Teams dar, deren Mitarbeiter EUCs verwenden. Zwar gibt es zweifellos Richtlinien für die Verwendung, Aktualisierung und Stilllegung von EUCs, doch ist es eine enorme Herausforderung zu ermitteln, wer EUCs verwendet, und sicherzustellen, dass die Mitarbeiter die EUC-Richtlinien kennen und sie anwenden.

Aus meiner Sicht ist die Verwaltung von EUCs nicht neu; wir sind seit über 15 Jahren an Projekten beteiligt. Alle Institutionen, mit denen wir zusammenarbeiten, verstehen die Notwendigkeit, ihre EUCs zu verwalten. Die Herausforderung besteht darin, den Überblick darüber zu behalten, wo sie eingesetzt werden, und proaktiv mit den Nutzern zusammenzuarbeiten, um den Wert der EUCs und die Risiken zu verstehen, die sie für das Unternehmen darstellen. Dann kann man mit den Endbenutzern zusammenarbeiten, um sie richtig zu verwalten und sicherzustellen, dass sie "in der Richtlinie" sind.

Ian Cleaver, VP Professional Services bei Mitratech, skizziert den Ansatz, den er Kunden bei der Implementierung der EUC-Managementlösung von Mitratech empfiehlt. "Der erste Schritt besteht darin, die wichtigsten EUCs zu identifizieren und dann ein Inventar zu erstellen, um sie proaktiv überwachen zu können. Sie können auch von einer Warnfunktion profitieren, die aufzeigt, wann Änderungen vorgenommen werden und wo Probleme mit fehlenden Daten, Berechnungsfehlern oder andere Probleme auftreten, die für eine Institution problematisch sein könnten.

"Die Ergebnisse dieser Aktivitäten können in einen konsolidierten Governance-, Risiko- und Compliance-Rahmen (GRC) integriert werden, um die Transparenz des EUC-Risikos für das Unternehmen zu gewährleisten", erklärt er. "Als ich die Plattform bei einer globalen Bank einsetzte, sorgten wir dafür, dass die EUC-Management-Berichte in der monatlichen Vorstandssitzung vorgestellt wurden - das war zwar ein ziemlicher Kraftakt, aber es funktionierte. Wir hatten keine Probleme."

[bctt tweet="Die Herausforderung besteht darin, im Auge zu behalten, wo sie (EUCs) eingesetzt werden, und proaktiv mit den Benutzern zusammenzuarbeiten, um den Wert der EUCs und die Risiken, die sie für das Unternehmen darstellen, zu verstehen." via="yes"]