8 wichtige Schritte für ein erfolgreiches EUC-Kontrollprojekt
Es gibt kaum ein Unternehmen, das nicht auf wichtige End User Computing (EUC)-Anwendungen und -Technologien zurückgreift, die den IT-Abteilungen unbekannt sind.
Diese Anwendungen werden oft auch als "Schatten-IT" bezeichnet.Sie existieren, weil Geschäftsanwender beschließen, ihre eigenen Widgets zu erstellen, und zwar aus einer Vielzahl von Gründen, wie z. B. schnelles Prototyping, Ergreifen einer Marktchance und Beibehaltung der Kontrolle, d. h., dass sie ihr eigenes Wissen nicht preisgeben, usw.
So schätzen Sie das Risiko Schritt Nr. 1 ist also die Einschätzung des Risikos, das diese vom Endnutzer entwickelten Anwendungen tatsächlich darstellen. Und ganz ehrlich? Oft braucht es eine Aufsichtsbehörde oder einen Wirtschaftsprüfer, um das Management darauf aufmerksam zu machen.
Aber wo soll man anfangen? Nur wenige Unternehmen haben sich bisher mit diesem Thema befasst, so dass ihnen das Wissen oder die Erfahrung fehlt, um überhaupt die richtigen Fragen zu stellen, geschweige denn eine Lösung zu implementieren.
Infografik: Richtlinien für effektives Vendor Onboarding
Risikominimierung bei gleichzeitigem Aufbau starker Lieferantenbeziehungen.
Die wichtigsten Schritte der EUC-Kontrolle
Auf der Grundlage unserer eigenen zwei Jahrzehnte langen Erfahrung in der Unterstützung von Unternehmen bei der Konzeption und Implementierung nachhaltiger Risiko- und Kontrolllösungen für Endbenutzeranwendungen können wir mit Sicherheit sagen, dass dies die grundlegenden Schritte sind, die bei der Implementierung eines EUC-Kontrollprojekts zu befolgen sind:
Klären Sie, was die Organisation zu erreichen versucht
Dies könnte so allgemein sein wie "jeder Mitarbeiter, der eine Anwendung entwickelt, die mindestens einmal im Jahr verwendet wird". Es könnte aber auch ganz spezifisch sein, wie z. B. "jede Tabellenkalkulation, die für die Finanz- und Aufsichtsberichte verwendet wird".
Aufbau eines nachhaltigen Inventars
In dieser Phase überlegen die Unternehmen, ob sie die Benutzer um eine Selbstauskunft bitten oder ob sie die wichtigsten Anwendungen durch Scannen ermitteln sollen. Die Erfahrung zeigt, dass Selbstauskünfte die bessere Ausgangsbasis sind. Die Benutzer kennen ihre wichtigen Anwendungen und wissen, warum sie diese überhaupt entwickelt haben. Durch technisches Scannen lässt sich jedoch überprüfen, ob nichts übersehen wurde. Automatisierte Arbeitsabläufe können dann die Benutzer dazu auffordern, erneut zu bestätigen, dass sich seit ihrer letzten Bestätigung nichts geändert hat. Und auch hier kann eine gezielte Überprüfung helfen, etwas zu entdecken, was übersehen wurde.
Risikobewertung von Dateien hinsichtlich ihrer relativen Bedeutung
In diesem Stadium kann der Bestand leicht mehrere Hundert, wenn nicht Tausende von Anwendungen umfassen. Sie alle gleich zu behandeln, könnte zu einem unnötigen Ressourcenverbrauch führen, da nicht alle gleich wichtige Aufgaben erfüllen. Daher ist es hilfreich, sie zu staffeln. Als Beispiele: Tier 1 muss genau überwacht werden, Tier 3 muss nur gelegentlich überprüft werden.
Sicherstellen, dass Ihre risikoreichen Anwendungen wie vorgesehen funktionieren
Bewährte Verfahren legen nahe, dass sich Unternehmen auf ihre Tier-1-Anwendungen konzentrieren und prüfen, ob diese wie vorgesehen funktionieren. Wenn man bedenkt, dass diese Anwendungen von Endbenutzern entwickelt werden, mag es überraschen, dass viele von ihnen im Unternehmen herumgereicht und von Personen verwendet werden, die keine Ahnung haben, wie die Tabellenkalkulation oder die Anwendung tatsächlich funktioniert. So können selbst von den gutwilligsten Mitarbeitern leicht Fehler hinzugefügt werden.
Nach Prüfung und Genehmigung wesentliche Änderungen aufzeichnen
Sobald eine Anwendung geprüft wurde, ist es wirklich sinnvoll, zu überwachen, dass niemand sie geändert hat, nachdem sie an das Unternehmen zurückgegeben wurde. Jede wesentliche Änderung muss also aufgezeichnet, erklärt und genehmigt werden, da sonst unbekannte Risiken wieder in das Unternehmen eingebracht werden.
Sichern Sie diese Schlüsseldateien, die auch als Versionen bezeichnet werden
Diese sind wichtig, wenn man zurückverfolgen und feststellen will, warum eine Änderung vorgenommen wurde oder welche Daten die Grundlage für eine Analyse bildeten.
Aufzeichnung aller wichtigen Probleme und deren Lösung
Obwohl sichergestellt ist, dass eine Anwendung korrekt funktioniert, können dennoch Fehler gemacht werden, z. B. die Eingabe falscher Daten oder die Verwendung einer Annahme, die sich nicht bewahrheitet hat. Es ist ideal, diese "Probleme" zusammen mit der Lösung, die sich herausstellt, aufzuzeichnen.
Außerbetriebnahme und Ersatz durch Kernsysteme
Und schließlich sollte jede EUC-Anwendung ein geplantes Lebensende haben. Wenn die Anwendung nichts allzu Wichtiges tut, wird ihr Wert mit der Zeit wahrscheinlich abnehmen und verblassen. Und alles, was ständig genutzt wird, sollte durch ein geeignetes Kernsystem ersetzt werden. So oder so, EUCs sollten eine begrenzte Lebensdauer haben und durch geeignete Kernsysteme ersetzt werden.
Obwohl vieles davon offensichtlich erscheint, tun sich viele Organisationen schwer, diese sinnvollen Kontrollen durchzuführen. Vielleicht ist es die Angst vor dem Unbekannten, oder das Ausmaß des Problems ist einfach unbekannt, oder beides.
Glücklicherweise können Sie mit ClusterSeven sowohl auf eine Softwarelösung als auch auf den Client-Support zurückgreifen, um den gesamten Lebenszyklus eines EUC zu verwalten. Bitte kontaktieren Sie uns für weitere Details und eine Demonstration.
[bctt tweet="EUCs sollten eine begrenzte Lebensdauer haben und durch geeignete Kernsysteme ersetzt werden." via="yes"]