Was sind EUC/IDV Lösungen ?
EUC Lösungen sind Programme, die durch den Endbenutzer selbst erstellt werden, also nicht als internes oder externes Produkt bereitgestellt werden.
Das können z.B. Lösungen sein, die
– auf Basis bekannter Office Produkte erstellt werden
– auf sogenannten LowCode oder NoCode Platformen basieren
– zur Automatisierung von Abläufen auf Basis von Scripting Lösungen wie Powershell oder Python
– auf Basis von Datenanalyseplatformen wie SAS, PowerBI, Cognos, etc.
erstellt werden.
Entscheidend ist aber nicht die technische Basis, sondern die Erstellung durch Personen, die dem Personenkreis der Endbenutzer zuzuordnen sind, also in der Regel Mitarbeiter des Fachbereichs.
Welche Probleme kann es speziell mit EUC/IDV Lösungen geben ?
Die Probleme lassen sich in die üblichen Themenfelder einteilen:
– Qualität
Bietet die Lösung eine angemessene Qualität in Bezug auf die Anforderungen, sowohl bei der Ersterstellung als auch bei späteren Änderungen ?
– Sicherheit
Ist sichergestellt, dass nur Personen Zugriff auf Daten und Ergebnisse der EUC haben, die diese auch für ihre Aufgaben benötigen ?
– Verfügbarkeit
Welche Auswirkungen hat es, wenn die EUC nicht nutzbar ist ? Wie wird sichergestellt, dass die EUC in ausreichendem Maße verfügbar ist.
Diese Themenfelder sind auch unter dem Gesichtspunkt zu betrachten, inwieweit die Einhaltung jeweils auch nachvollziehbar ist, z.B. setzt eine angemessene Qualität voraus, dass
- Die Anforderungen dokumentiert sind
- Testfälle auf Basis dieser Anforderungen definiert sind und deren Durchführung dokumentiert wird
Welche Probleme stellen EUC Anwendungen für das Unternehmen dar ?
EUC Anwendungen entstehen häufig als kostengünstige, schnelle Lösung für ein konkretes Problem, für dessen Lösung der normale Softwareauswahl und/oder -entwicklungsprozess der IT Abteilung zu langsam oder zu teuer erscheint. Diese Lösungen werden häufig jedoch schnell zu einem wichtigen Bestandteil der von ihnen unterstützten Geschäftsprozesse. Oft ist den Unternehmen nicht bewusst, in welchem Maße sie bei kritischen Prozessen dann von diesen Lösungen abhängig sind. Diese Prozesse können dann durch den Ausfall der EUC gravierend beeinträchtigt werden. Ebenso können aber auch durch Abfluss von Daten aus der EUC oder falsche Ergebnisse sowohl direkte Vermögensschäden als auch Imageschäden für das Unternehmen entstehen. So kann z.B. eine EUC, die in der Bilanzerstellung eine Rolle spielt, durch fehlerhafte Ergebnisse und damit einer falschen Bilanz sowohl zu Imageschäden als auch zu direkten Strafen durch die Börsenaufsicht führen.
Welche Probleme stellen EUC Anwendungen speziell für das Architekturmanagement dar ?
Darüberhinaus nutzen diese EUC Anwendungen Daten aus anderen Systemen und/oder stellen Daten bereit, die andere Systeme verwenden. Im Lebenszyklus der Systeme können dann keine qualifizierten Entscheidungen über Umstellungen, Aktualisierungen oder Abschaltung dieser Systeme getroffen werden. Analog stellen sich die Probleme für die den EUC Anwendungen zugrundeliegenden Platformen dar.
Beispielsweise kann bei einer Bank durch eine EUC Lösung, über die Zahlungsvorgänge einem Darlehen zugeordnet werden, eine Abhängigkeit in Form einer Schnittstelle erzeugt werden, die in der Architekturdokumentation nicht ersichtlich ist und weder dem Applikationsmanagement noch der Architektur bekannt ist. Eine Anpassung an einem der beiden Systeme kann nun dazu führen, dass dieser Prozess nicht mehr funktioniert. Umgekehrt können solche Lösungen dazu führen, dass Anpassungen nicht mehr vorgenommen werden können, weil die Auswirkungen unklar sind.
Welche Vorschriften sind für EUC Anwendungen relevant ?
In der Vergangenheit wurden oft keine speziellen Vorschriften für EUC Anwendungen formuliert. Vielmehr wurde davon ausgegangen, dass sich die Vorschriften, die sich beispielsweise aus dem HGB ergeben und die sich dann entsprechend auch auf IT Systeme übertragen lassen, auch für EUC Anwendungen gelten.
Gerade in der Risikobetrachtung haben jedoch die Aufsichtsbehörden in verschiedenen Ländern durch die immense Bedeutung der Informationstechnologie für praktische alle Unternehmen schon vor Jahren begonnen, konkretere Regelungen für IT Systeme zu formulieren und diese auch ganz explizit auf EUC Anwendungen auszudehnen.
So lassen sich Anforderungen an die Governance von EUC Anwendungen im Sarbanes Oxley Act finden.
Speziell für den Finanzsektor finden sich in der BAIT und analog auch in VAIT, KAIT, ZAIT explizite Passagen, die konkret auf EUC/IDV Anwendungen hinweisen. Mit DORA ist zu erwarten, dass hier noch einmal eine Überarbeitung aber keine grundsätzliche Änderung der Vorschriften durch die Aufsicht erfolgen wird.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.