Was ist ein Endbenutzer-Computing (EUC)-Risiko?

Ein Gastbeitrag von Sam Lee, Leiter der Abteilung Operational Risk, EMEA, SMBC, Torchlight Services

End User Computing ist ein System, in dem Benutzer in der Lage sind, funktionierende Anwendungen zu erstellen, abgesehen von dem geteilten Entwicklungsprozess von Entwurf, Erstellung, Test und Freigabe, der normalerweise von Softwareingenieuren befolgt wird. Microsoft Excel ist vielleicht eines der bekanntesten Beispiele für eine EUC-Plattform.

In diesem Sinne ist das EUC-Risiko das Potenzial für Fehler in wichtigen EUC-Geschäftsdokumenten wie Tabellenkalkulationen. Die Flexibilität von EUCs kann dazu führen Fehler, die gemacht werden in diesen wichtigen Unternehmensdokumenten. Da die von den EUCs erstellten Daten von der Geschäftsleitung und anderen Endnutzern allgemein akzeptiert werden und diese sich auf sie verlassen, kann dies schnell zu falschen Daten führen, was wiederum das Risiko von finanziellen und Reputationsverlusten erhöht.

Warum ist das EUC-Risiko wichtig?

Obwohl das EUC-Risiko universell ist, ist es nicht so bekannt oder vielleicht nicht einmal anerkannt wie andere Unternehmensrisiken, z. B. betriebliche, finanzielle und regulatorische Risiken (oder deren Unterkategorien). "Warum muss ich mich um das EUC-Risiko kümmern?" wird oft gefragt. Dafür gibt es zwei Gründe.

Das EUC-Risiko besteht in erster Linie in jedem Unternehmen, das sich auf Tabellenkalkulationen, Datenbanken und andere von Menschenhand geschaffene Datenverarbeitungstools verlässt, die außerhalb des IT-Anwendungszyklus liegen. Das Ausmaß des Risikos wird bestimmt durch die Rahmen für das Risikomanagement in der Organisation, aber es ist unwahrscheinlich, dass ein Unternehmen die oben genannten Anwendungen nicht verwendet.

Webinar zur betrieblichen Widerstandsfähigkeit

Zweitens trägt das EUC-Risiko zu einer ganzen Reihe anderer operativer, regulatorischer und verhaltensbezogener Risiken bei. Zwischen EUC und anderen Risiken gibt es eine Vielzahl von Wechselbeziehungen - die alle zusammen zum Unternehmensrisiko beitragen. Das nachstehende Diagramm zeigt dies sehr deutlich.

Daher sollte man jede Organisation herausfordern die behauptet, dass EUC-Risiken für sie nicht in irgendeiner Form relevant sind. Die Unternehmen müssen sich unbedingt mit der Bedeutung des EUC-Risikos auseinandersetzen.

Die gute Nachricht ist, dass es möglich ist, die Situation zu steuern und zu kontrollieren. Endbenutzer-Computing-Risiko, auch wenn sie grundsätzlich im gesamten Unternehmen vorhanden ist. Wo ist also der logische Ort, um anzufangen?

Das Risiko des Endbenutzer-Computings ist eine oft unterschätzte Bedrohung, da die Daten von EUCs die Grundlage für wichtige Geschäftsentscheidungen und Berichte bilden. Hier sind einige Top-Tipps für das Management Ihres EUC-Risikos:

Verstehen Sie die EUC-Population in Ihrem Unternehmen - die Arten von EUC-Anwendungen, die verwendet werden; wie viele es von jedem Typ gibt; und wie hoch die Komplexität oder das inhärente Risiko der verschiedenen Dateien ist - d. h. welche stark kodiert sind, Makros verwenden, auf Verbindungen zu anderen Tabellenkalkulationen, Datenbanken usw. angewiesen sind.

Bestimmen Sie die "Kritikalität" der EUCs für das Unternehmen. Die Kritikalität muss auf der Grundlage der quantitativen (Dollarverlust) und qualitativen (Reputationsrisiko, Kundengefährdung, behördliche Sanktionen, Verlust von Geschäftsfunktionen) Auswirkungen auf das Unternehmen bewertet werden, wenn diese Dateien verloren gehen oder auf andere Weise unwissentlich beschädigt oder verändert werden. Wie hoch wären beispielsweise die Kosten für das Unternehmen, wenn der Ersteller einer wichtigen Tabellenkalkulationsanwendung das Unternehmen verlassen würde? Wäre ein anderes Teammitglied in der Lage, die Funktionsweise der Anwendung zu verstehen und sie zu warten? Wäre es in der Lage, die Integrität der Anwendung zu testen, falls versehentlich oder böswillig Änderungen an Codes oder Makros in der Anwendung vorgenommen werden?

Eine Politik entwerfen für die Erstellung eines EUC-Inventars, einschließlich Definitionen für die verschiedenen Risikostufen und die damit verbundenen Kontrollen, die auf der Grundlage der Kritikalität der Dateien eingeführt werden müssen. Darüber hinaus muss die Richtlinie auch Regeln für die Dokumentation, Prüfung und Pflege des EUC-Inventars auf der Grundlage ihrer Kritikalitätseinstufung enthalten. Es liegt auf der Hand, dass die Regeln umso strenger sind, je höher die Kritikalität ist, und dass die Richtlinien umso strenger sind.

Erstellen Sie eine Heatmap der kritischen EUCs und zeigen Sie anhand von Schlüssel-Risiko-Indikatoren, wo die säumigen EUCs liegen. Diese Darstellung wird der Organisation helfen, Korrekturmaßnahmen zu ergreifen.

Konzentrieren Sie sich auf die kritischsten EUCs, verstehen Sie ihre Verwendung und ordnen Sie sie den potenziellen weitergehenden Risiken zu, die in der Risikobibliothek des Unternehmens ermittelt wurden. Beurteilen Sie beispielsweise, ob eine der Tabellenkalkulationsanwendungen Auswirkungen auf andere Risiken wie internen Betrug oder Finanzberichterstattung hat, Datenverwaltung und so weiter.

Diese Art von End-to-End- und granularem Ansatz manuell ist fast unmöglichAufgrund des Umfangs der Verwendung von Tabellenkalkulationen und EUCs in den meisten Unternehmen. Es ist nicht nur schwierig, die EUCs ganzheitlich zu identifizieren und zu inventarisieren, sondern auch die Zusammenhänge und die entsprechenden Auswirkungen kritischer Tabellenkalkulationen auf andere Unternehmensrisiken zu bestimmen.

Sie ist auch Es ist fast unmöglich, Änderungen an Code, Makros usw. manuell nachzuvollziehen, unabhängig davon, ob die Änderungen absichtlich vorgenommen wurden und gutgläubigoder anderweitig. Die Einführung von Technologie, die automatisiert Erkennung, Inventarisierung, Richtliniendurchsetzung, Kontrolle und Gesamtverwaltung der EUC-Landschaft ist der kosteneffizienteste und ausfallsicherste Weg nach vorn.

PolicyHub entdecken

Es ist die benutzerfreundliche Lösung für die Verwaltung von Richtlinien, mit der Sie die Einhaltung von Vorschriften verbessern können.

Mehr erfahren