Aufrufe
vor 5 Jahren

die bank 02 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG SCHWERPUNKT DATENMANAGEMENT Eine Bestandsaufnahme von kritischen Datenelementen (CDEs = Critical Data Elements) hilft dabei, die Bewertungsmaßnahmen zu definieren und die Liste der zu überprüfenden Datenbestände zu beschränken. Ein Beispiel: Um die Nutzung von Services durch Kunden zu analysieren, ist es wichtig, statistische Daten aufgeschlüsselt nach den jeweiligen Kanälen zu erhalten – wie Schalter in der Filiale, Internet Banking, Mobile Banking, SB-Terminal. In der Regel werden Schnittstellen zu den nachgelagerten Systemen von mehreren Kanälen genutzt. Wichtig ist in diesem Fall, dass die APIs ein sogenanntes „Vertriebswegekennzeichen pro Transaktion“ erwarten und dass dieses eindeutig definiert ist. So sollte etwa eine Banking-App für Privatkunden eine andere Kennung nutzen als die Gewerbekunden-App. Wird der Touch-Point nicht eindeutig oder falsch übermittelt, werden falsche Nutzungsdaten pro Kunde ausgegeben – aber auch für die Kanäle als Ganzes. Qualitäts-Profiling Techniken zum Datenqualitäts-Profiling helfen dabei, wichtige Charakteristiken und Attribute der Datenbestände zu erkennen und zu beschreiben. Das Qualitäts-Profiling bietet durch die Anwendung statistischer Methoden einen Überblick über Datenarchitektur, Datenstrukturen, Inhalte, Regeln und Beziehungen. Die Methodik beinhaltet eine Bottom-up- Überprüfung der Datensätze, um Anomalien zu erkennen, die echte Datenfehler darstellen. Alle offensichtlichen Ausreißer sollten dann in Zusammenarbeit mit der Nutzergruppe einer weiteren Prüfung unterzogen werden. So ist es beispielsweise sinnvoll zu prüfen, ob Postadressen konsistent sind. Eine Adresse „DE, 08335 München“ weist eindeutig auf eine fehlerhafte Postleitzahl hin – 80335 wäre korrekt. Bei Personendaten unter 18 Jahren sollte zwingend ein gesetzlicher Vertreter in den Daten hinterlegt sein. Fehlt dieser, sind die Personendaten unvollständig und müssen ergänzt werden. Aufgrund von Bounce Messages können Data-Manager feststellen, dass E-Mail-Adressen ungültig sind. Außerdem können bei geschäftlichen Mailadressen Domain-Namen wie etwa @gmail.com, @yahoo.de und @web.de ein Hinweis darauf sein, dass keine geschäftliche Adresse hinterlegt ist. Allerdings weisen nicht alle Anomalien auf Datendefekte hin – sie können aber ein Signal dafür sein. Sie sind meist die Folge valider Daten in schlecht strukturierten Prozessen oder der Nutzung in einem anderen Kontext als vorhergesehen. Während des Review-Prozesses überprüfen Analysten diese Anomalien, um die kausalen Beziehungen zwischen Datenfehlern und Geschäftsprozessen zu verstehen. Durch das Eliminieren dieser Fehler, die materielle Auswirkungen haben, können eine Priorisierung der Probleme erfolgen und Strategien entwickelt und umgesetzt werden. Das Reporting der Qualitätsbewertung sollte sich immer an alle relevanten Stakeholder richten. Der Bericht gibt Auskunft über die wichtigsten Qualitätsmerkmale, sodass die Nutzer den Report leicht verstehen, Einblicke in die Datenqualität bekommen und deren Eignung für bestimmte Zwecke überprüfen können. FAZIT Daten sind nutzlos ohne den Kontext, in dem sie operieren – deshalb sollten Geschäftsziele zukünftige Datenerhebungsinitiativen und Programme zur Qualitätsverbesserung anstoßen. Sie bieten genau diesen Kontext, der für das Verständnis der Datennutzung von entscheidender Bedeutung ist. Ohne die geschäftlichen Implikationen oder Prozesse zu verstehen, sind Maßnahmen wie Datenbereinigung, Validierung und Anreicherung sinnlos. Wenn Verantwortliche etwa vorgelagerte datengesteuerte Geschäftsprozesse nicht berücksichtigen, belasten die gleichen Prozesse, die die Qualitätsprobleme erst verursachten, die nachträglich durchgeführten Verbesserungsmaßnahmen. Autoren Mithun Sridharan ist Manager bei Sapient Consulting. Er leitet das Datenmanagement und die Analyseprogramme für große Finanzdienstleistungsinstitute in ganz Europa. Klaus Schilling ist Direktor bei Sapient Consulting. Er leitet das Digital Practice für große Finanzdienstleistungsinstitute in ganz Europa. 50 02 // 2018

SCHWERPUNKT DATENMANAGEMENT END USER COMPUTING / IDV-MANAGEMENT IN BANKEN Compliance individueller Datenverarbeitung Die gesetzlichen und regulatorischen Anforderungen an die Datenverarbeitung in Banken sind umfangreich. Die Aufsicht unterscheidet dabei jedoch nicht zwischen organisatorisch verbindlich geregelter Datenverarbeitung (ODV) und individueller Datenverarbeitung (IDV). Zur Vermeidung von Feststellungen aus internen und externen Prüfungen empfiehlt sich daher der unterstützende Einsatz von IT-Lösungen beim IDV-Management in den Fachbereichen. Unter IDV (oder dem englischen Begriff End User Computing, EUC) wird im Allgemeinen die Entwicklung und Pflege von aufgabenspezifischen Anwendungen durch Mitarbeiter in den Fachbereichen ohne Beteiligung des IT-Bereichs verstanden. In den meisten Fällen handelt es sich dabei um Exceloder Access-basierte Anwendungen. Anwendungsdokumentation, Zugriffs-, Eingabe- und Änderungskontrollen, Tests, Datensicherung und Archivierung sind nur einige der Punkte, die somit auch IDV-Verantwortliche bei der Entwicklung ihrer Anwendungen berücksichtigen müssen. Leider führt mangelnde Kenntnis der Anforderungen oder schlicht fehlende Zeit dazu, dass Mitarbeiter den Compliance-konformen Umgang mit ihren Anwendungen häufig vernachlässigen. Die Folge sind zunehmende Feststellungen aus internen und externen Prüfungen. Das Management von IDV-Anwendungen kann durch IT-Lösungen unterstützt werden. Zu den Kernfunktionen gängiger IDV- Management-Lösungen gehört die Unterstützung bei der Identifizierung geschäftskritischer IDV-Anwendungen, ihrer Inventarisierung, Dokumentation, Versionierung und Freigabe. In der Regel überwachen sie zudem Veränderungen und stellen die gewonnenen Informationen den zuständigen Zielgruppen – IDV-Koordinatoren, Führungskräften oder Revision – in Form von Berichten bereit. Geschäftskritische IDV-Anwendungen zeichnen sich durch ihre regelmäßige Nutzung sowie die Erfüllung bestimmter Kriterien aus. Wird die Datei beispielsweise zur Erfüllung regulatorischer Anforderungen, als Grundlage wichtiger Entscheidungen, zur Erstellung verbindlicher Ergebnisse gegenüber dem Kunden oder als Bestandteil von Notfallplänen verwendet, so deutet dies auf eine Registrierungspflicht hin. Eine einheitliche Definition gibt es bis dato nicht. Für Banken ist daher bereits die erste Herausforderung, die Mehrzahl der für ihren Geschäftsbetrieb nicht kritischen Anwendungen aus dem Geltungsbereich einer IDV- Richtlinie herauszuhalten. Dazu zählen beispielsweise das funktional angereicherte Urlaubs-Excel oder selbsterstellte Tools zur effizienteren Abwicklung von Vorgängen in der Poststelle. Während aufwendige Dokumentationen für solche Anwendungen nicht erforderlich sind, gelten für das registrierungspflichtige Pricing Sheet im Wertpapierhandel andere Regeln. Die erforderlichen Maßnahmen zur Sicherstellung von Compliance sind dabei jeweils abhängig vom Schutzbedarf der jeweiligen IDV-Anwendung. Eine Minimalmaßnahme könnte die Erstellung einer Dokumentation sein. Im Extremfall wäre aber auch eine Abschaffung denkbar – beispielsweise, wenn die Funktionalität bereits im Standardbebauungsplan (d. h. als ODV-Anwendung) vorhanden ist oder dieser mit verhältnismäßig geringem Aufwand erweitert werden kann. Das Institut könnte mit der Besinnung auf Kernkompetenzen aber auch eine ersatzlose Abschaffung beschließen. Unterstützung der Mitarbeiter durch IDV-Lösungen Am Markt verfügbare IDV-Lösungen erfüllen in der Regel zumindest für Excel- und Access- Dateien wesentliche Anforderungen oder unterstützen und kontrollieren den Mitarbeiter bei der Erfüllung. IT-Unterstützung kann aber auch durch das IDV-Trägersystem (z. B. Excel) oder andere Systeme erfolgen. Bei Vorgaben, die nicht durch IT abgedeckt werden können, bleibt der IDV-Verantwortliche in der Erfüllungspflicht. Der Funktionsumfang verfügbarer IDV- Lösungen kann sehr unterschiedlich sein. Typische Unterstützungsaufgaben betreffen jedoch in der Regel entweder den Informationssicherheits-Managementprozess (ISM-Prozess) oder den IDV-Entwicklungsprozess. Der ISM-Prozess durchläuft verschiedene Schritte von der Identifizierung und Registrierung der IDV-Anwendung über deren Schutzbedarfsfeststellung und Compliance- Bewertung bis hin zur Maßnahmenfeststellung und -überwachung. Kernfunktion einer IDV-Lösung ist meistens bereits das Aufspüren bzw. Identifizieren von noch nicht überwachten Anwendungen sowie deren Registrierung im System. IDV-Lösungen bieten Unterstützung in praktisch jedem Prozessschritt durch die Erfüllung verschiedener Schutzbedarfsanforderungen und die Bereitstellung sinnvoller Zusatzfunktionen, etwa Dokumentationsunterstützung bei Definition und Lösungsdesign, Bereitstellung von Entwicklungs- und Quali- 02 // 2018 51

die bank