EUCs - End User Computing-Anwendungen - sind erneut in die Schlagzeilen geraten, nachdem das US Office of the Comptroller of the Currency (OCC) eine Geldstrafe in Höhe von 400 Millionen Dollar gegen eine amerikanische Bank verhängt hat. Es wurden Probleme im Risikomanagement und in der aufsichtsrechtlichen Berichterstattung des Instituts festgestellt, bei denen EUCs eine wichtige Rolle spielten.
EUCs - Anwendungen, die von den Endnutzern und nicht von der IT-Abteilung des Unternehmens entwickelt und unterstützt werden - sind enorm leistungsfähig und sehr beliebt, da sie oft die erste Wahl sind, um eine Vielzahl von Geschäftsproblemen schnell zu lösen. Excel-Tabellen sind bei weitem die beliebtesten EUC-Anwendungen, aber auch andere Anwendungen, die SAS, Python oder MATLAB verwenden, können auf die gleiche Weise betrachtet werden.
Ein gefährlicher Mangel an Transparenz
Diese Anwendungen bieten den Endnutzern zwar eine große Flexibilität, aber aufgrund der fehlenden Kontrollen, die in der Regel bei IT-Unternehmensanwendungen zu finden sind, fehlt ihnen die Transparenz und Überprüfbarkeit, die von den Aufsichtsbehörden (und damit auch von den Kunden und der Geschäftsleitung) für eine wirksame Risikobeherrschung gefordert wird.
Bei der Verwendung einer Tabellenkalkulation ist unklar, wer eine Formel oder eine Zelleingabe geändert, wer sie überprüft und wer sie genehmigt hat. Bei Banken ist es nicht ungewöhnlich, dass sie Milliarden von Investitionen in Milliardenhöhe mit hochkomplexen Tabellenkalkulationen zu verwalten. Sie enthalten Millionen von Zellen, die aus verschiedenen Datenquellen gespeist werden. Die manuelle Erfassung, Genehmigung und Meldung von Änderungen an diesen Kalkulationstabellen zu Zwecken des Risikomanagements und der Rechnungsprüfung übersteigt die Möglichkeiten der Endbenutzer, Risikomanager und Compliance-Teams.
Die Verwaltung, Durchsetzung und Berichterstattung von Richtlinien stellt eine zusätzliche Herausforderung für Compliance-Teams dar, deren Mitarbeiter EUCs verwenden. Zwar gibt es zweifellos Richtlinien für die Verwendung, Aktualisierung und Stilllegung von EUCs, doch ist es eine enorme Herausforderung zu ermitteln, wer EUCs verwendet, und sicherzustellen, dass die Mitarbeiter die EUC-Richtlinien kennen und sie anwenden.
Abwägung einer enormen Herausforderung
Die Verwaltung, Durchsetzung und Berichterstattung von Richtlinien stellt eine zusätzliche Herausforderung für Compliance-Teams dar, deren Mitarbeiter EUCs verwenden. Zwar gibt es zweifellos Richtlinien für die Verwendung, Aktualisierung und Stilllegung von EUCs, doch ist es eine enorme Herausforderung zu ermitteln, wer EUCs verwendet, und sicherzustellen, dass die Mitarbeiter die EUC-Richtlinien kennen und sie anwenden.
Aus meiner Sicht ist die Verwaltung von EUCs nicht neu; wir sind seit über 15 Jahren an Projekten beteiligt. Alle Institutionen, mit denen wir zusammenarbeiten, verstehen die Notwendigkeit, ihre EUCs zu verwalten. Die Herausforderung besteht darin, den Überblick darüber zu behalten, wo sie eingesetzt werden, und proaktiv mit den Nutzern zusammenzuarbeiten, um den Wert der EUCs und die Risiken zu verstehen, die sie für das Unternehmen darstellen. Dann kann man mit den Endbenutzern zusammenarbeiten, um sie richtig zu verwalten und sicherzustellen, dass sie "in der Richtlinie" sind.
Ian Cleaver, VP Professional Services bei Mitratech, skizziert den Ansatz, den er Kunden bei der Implementierung der EUC-Managementlösung von Mitratech empfiehlt. "Der erste Schritt besteht darin, die wichtigsten EUCs zu identifizieren und dann ein Inventar zu erstellen, um sie proaktiv überwachen zu können. Sie können auch von einer Warnfunktion profitieren, die aufzeigt, wann Änderungen vorgenommen werden und wo Probleme mit fehlenden Daten, Berechnungsfehlern oder andere Probleme auftreten, die für eine Institution problematisch sein könnten.
"Die Ergebnisse dieser Aktivitäten können in einen konsolidierten Governance-, Risiko- und Compliance-Rahmen (GRC) integriert werden, um die Transparenz des EUC-Risikos für das Unternehmen zu gewährleisten", erklärt er. "Als ich die Plattform bei einer globalen Bank einsetzte, sorgten wir dafür, dass die EUC-Management-Berichte in der monatlichen Vorstandssitzung vorgestellt wurden - das war zwar ein ziemlicher Kraftakt, aber es funktionierte. Wir hatten keine Probleme."
[bctt tweet="Die Herausforderung besteht darin, im Auge zu behalten, wo sie (EUCs) eingesetzt werden, und proaktiv mit den Benutzern zusammenzuarbeiten, um den Wert der EUCs und die Risiken, die sie für das Unternehmen darstellen, zu verstehen." via="yes"]
Verwalten Sie Ihre Schatten-IT-Tabellenkalkulationen
Mit ClusterSeven übernehmen Sie die Kontrolle über die in Ihrem Unternehmen versteckten End User Computing-Assets, die ein verstecktes Risiko darstellen können.