Was ist das Endbenutzer-Computerrisiko und sollten Sie sich darum kümmern?

Ein Gastbeitrag von Sam Lee, der die Bedeutung des EUC-Risikomanagements erläutert.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juli 27, 2016 4 min gelesen
Decorative image

Ein Gastbeitrag von Sam Lee, Leiter des Bereichs Operational Risk, EMEA, SMBC, Torchlight Services

Ob Sie es glauben oder nicht, ob es Ihnen gefällt oder nicht: Das Risiko von Endbenutzer-Computing-Anwendungen (EUC) hat sich seit dem Aufkommen von Tools wie Access-Datenbanken, Excel-Tabellen und anderen Anwendungen, die die Gestaltung von systembasierten Prozessen in die Hände des "durchschnittlichen" Benutzers legen, durchgesetzt.

 

Im Laufe der Zeit sind diese Tools für viele Finanzoperationen von entscheidender Bedeutung geworden, und einige ihrer Vorteile (Flexibilität, einfache Änderung usw.) stellen inzwischen sogar ein Risiko für die Unternehmen dar, die sich so stark auf sie verlassen. Was also ist das Risiko des Endbenutzer-Computings?

Das Risiko lässt sich grob in zwei Bereiche unterteilen

  • Risiken, die uns aufgrund eines Ereignisses, durch die Erfahrungen des Marktes, durch unsere Geschäftstätigkeit, durch individuelle Anregungen, durch aufsichtsrechtliche Anregungen oder durch Leitlinien bewusst werden. Diese sind mit der Risikoreife, der Einsicht und dem Grad des Risikobewusstseins einer Organisation verbunden.
  • Risiken, die sich im Laufe der Zeit langsam entwickeln und von deren Existenz wir erst nach einiger Zeit Kenntnis erlangen. Das Risiko des Endbenutzer-Computings fällt in diesen Bereich.

In dem Maße, wie die Komplexität der Endbenutzeranwendungen zunimmt (z. B. bei der Verwendung für Modellierung, Bewertung, Tabellenkalkulationen zur Speicherung geschäftskritischer oder vertraulicher Daten) und ihre Allgegenwart zunimmt, werden wir gegenüber den mit solchen Tools verbundenen Risiken desensibilisiert.

Benutzerfreundliches eBook Grafik-Banner

Na und?", könnte man fragen. Genau hier liegt das Problem: Wenn Sie eine Tabelle oder Datenbank haben, die:

  • Hat viele Tausend Codezeilen;
  • Verwendet mehrere Makros;
  • Wird von anderen Tabellenkalkulationen oder Datenbanken (oder sogar Systemen) gespeist;
  • Definitionsgemäß unterliegen sie keinen robusten Änderungs- oder Sicherheitskontrollen oder werden nicht getestet;
  • Fast ebenso definitionsgemäß wird ihr Zweck nicht förmlich dokumentiert oder einem Überprüfungszyklus unterworfen sein;
  • Oder eine beliebige Kombination der oben genannten Möglichkeiten;

...dann kann man nicht wissen, ob eine Änderung stattgefunden hat (ob gutgläubig, versehentlich oder böswillig) und welche Auswirkungen sie hat.

Bei einem guten operativen Risikomanagement geht es nicht darum, auf ein Ereignis zu warten, das das Vorhandensein eines Risikos bestätigt. Es sollte darum gehen, zu verstehen, ob ein Risiko besteht, es zu bewerten und zu entscheiden, was mit diesen Informationen auf der Grundlage ihrer Auswirkungen zu tun ist - sei es in finanzieller, kundenbezogener, reputationsbezogener, regulatorischer oder operativer Hinsicht.

Ein weiteres Problem, mit dem viele Unternehmen konfrontiert sind, ist die Frage, wer für dieses EUC-Risiko verantwortlich sein soll. Es ist nicht ungewöhnlich, dass dieses Risiko von einer Säule zur anderen geschoben wird, sobald es verstanden ist. Es wird fälschlicherweise als "IT" eingestuft, nur weil es "IT"-Lösungen einsetzt.

Die Realität sieht jedoch so aus, dass das EUC-Risiko, wie die meisten operationellen Risiken, vom Unternehmen selbst getragen wird. Bei der Fülle von Unternehmensrisiken, die auf der Tagesordnung von Vorständen, Führungskräften und Risikoausschüssen stehen, ist dies ein weiteres.

Ein Rahmen für das Risikomanagement ist unabdingbar

Das ist notwendig, um:

  • Definieren Sie, was das EUC-Risiko für das Unternehmen ist.
  • Definieren Sie, was EUCs mit hohem Risiko sind.
  • Definieren Sie die zusätzlichen Kontrollen, die für die Verwaltung von Anwendungen mit hohem Risiko erforderlich sind.
  • Erstellung geeigneter Berichts- und Überwachungsprotokolle für die Aufsicht.
  • Erstellung von Protokollen für Maßnahmen im Falle einer Verschlechterung des Risikoniveaus bzw. der Aufdeckung von Ausnahmen durch die Überwachung.
  • Legen Sie eine angemessene Eskalation fest.

All dies muss mit dem übergeordneten Rahmen für das Management des operationellen Risikos kongruent sein und in diesen einfließen.

Der sicherste Weg, die Risiken von EUC-Anwendungen auszuführen und zu mindern, ist vielleicht ein systembasierter Ansatz zur Unterstützung des Kontrollrahmens. Ein manueller Ansatz ist unter Kosten-Nutzen- und Risiko-Aspekten unerschwinglich und aufwändig.

Die Zukunft

Die EUCs werden bleiben und unsere Abhängigkeit von ihnen wird wahrscheinlich nicht abnehmen, was bedeutet, dass die Risiken, die sie darstellen, verstanden und bewertet werden müssen. Die Wahrheit ist jedoch, dass dies nur möglich ist, wenn das Risiko die Aufmerksamkeit der Unternehmensleitung erregt.

Dies erweist sich an sich schon als Herausforderung, was angesichts des Potenzials für erhebliche finanzielle und rufschädigende Verluste, die EUC-Risiken für Unternehmen darstellen, sehr überraschend ist. Erst kürzlich schätzte der Forschungsdienstleister Chartis den EUC-Risikowert für die 50 größten Finanzinstitute auf über 12 Milliarden Dollar. Es wäre ziemlich unvorsichtig, dies weiterhin zu ignorieren.

.vc_custom_1588816529952{margin-right: 0px !important;margin-left: 0px !important;background-image: url(https://mitratech.com/wp-content/uploads/Blue-Vertical-Gradient-Blogroll-Header-Background.png?id=28140) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

PolicyHub entdecken

Es handelt sich um eine benutzerfreundliche Lösung für das Richtlinienmanagement, mit der Sie eine stärkere Compliance aufbauen können.

Mehr erfahren

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.