Office Process Manager
Effiziente Umsetzung der MaRisk und BAIT für IDV-Anwendungen zur Minimierung von IT-Risiken
Bei Finanzdienstleistern wie Privatbanken, Sparkassen und VR-Banken werden Daten in der Unternehmenssteuerung und für Entscheidungsprozesse nach wie vor verstärkt in Eigenentwicklungen unter Nutzung sog. Trägersysteme, wie Microsoft Excel, Access oder OpenOffice/LibreOffice Calc aufbereitet. Die Einhaltung der MaRisk und der BAIT zugrundeliegenden IT-Grundschutzanforderungen (Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit) in den Tabellenkalkulationsprogrammen ist ohne einen systematischen Verarbeitungsprozess sowie entsprechende technische Schutzmaßnahmen nicht hinreichend sichergestellt. Das beinhaltet z.B. den Strukturschutz für die Datei- und Formellogik sowie das automatisierte Erfassen und Mitteilen von Veränderungen in den Berechnungsgrundlagen nach dem Wesentlichkeitsprinzip. Das Verwenden dieser Programme auf Basis von Trägersystemen stellt für Banken ein sehr hohes operationelles Risiko dar.
Mit dem Office Process Manager (OPM) bieten wir Finanzdienstleistungsunternehmen zur Vervollständigung ihres IT-Risikomanagements bei den IDVen eine vollumfängliche Softwarelösung an. Diese ermöglicht eine revisions- und prüfungssichere MaRisk- und BAIT-konforme Bewertung und Dokumentation der Programme mit Test- und Formeldokumentation der vorhandenen Tabellenkalkulationsdateien in einem digitalen softwaregestützten Prozess im elektronischen 4- oder 6-Augen-Prinzip.
Die MaRisk, als die „Mindestanforderung an das Risikomanagement“ der BaFin, fordert von den Kreditinstituten die Einrichtung angemessener Leitungs-, Steuerungs- und Kontrollprozesse. Hierzu müssen die entsprechenden IT-Prozesse in Eigenverantwortung geschaffen werden. Finanzdienstleister stehen daher vor der Aufgabe, die Anforderungen an die IDV-Anwendungen (individuelle Datenverarbeitung) mit den Schutzbedarfs- und Risikoklassifizierungen nach BSI IT-Grundschutz zu realisieren.
Leistungsmerkmale des Office Process Manager
- Inventarisierung aller Programme (laufwerks- und verzeichnisspezifisch konfigurierbar) durch automatisierte Registrierung aller Dateien
- Fachlicher Prozess mit Risikobewertung der MaRisk-relevanten Dateien unter Berücksichtigung der Schutzbedarfsklassifizierungen
- Lückenlose Dokumentation der IDV-Programme und Protokollierung der Änderungen
- Freigabeprozesse zur Kontrolle der Dokumentationen
- Automatischer Schutz der Formel- und Makrocodelogik
- Versionierung, Dateiabgleich (SOLL/IST), Versionsvergleiche
- Wiederherstellung der Metadaten (freigegebene OPM-Rahmendaten)
- Überwachung von Dateiänderungen (real-time)
- Vielfältige Auswertungsmöglichkeiten auf Knopfdruck
- Steuerung durch integriertes Rechte- und Rollensystem
- Automatischer Benutzerimport
- Anbindung an E-Mail-System
Projektphasen zur Einführung des OPM
Wir begleiten Sie professionell und erfahren in allen nachfolgend aufgeführten Projektphasen
Gemeinsam stellen wir sicher, dass der Office Process Manager technisch in der IT optimal implementiert und in den Fachabteilungen der qualifizierten Anwender erfolgreich in die Tagespraxis eingeführt wird.
Benefits des Office Process Manager
Steigerung der Revisionssicherheit und Transparenz durch das Portal
Durch eine lückenlose Inventarisierung aller MaRisk-relevanten und nicht-relevanten Dateien sowie die Dokumentation aller Veränderungen in der Formel- und Makrocodelogik ist die Revision jederzeit auf Knopfdruck auskunftsbereit. Der Freigabeprozess und die Versionierung der freigegebenen Dateien stellt sicher, dass die notwendigen Daten im Prüfungsfall vorhanden und richtig aufbereitet abrufbar sind.
Einhaltung von IT-Standards und nahtlose Prozessintegration
Der Office Process Manager unterstützt die Aufgaben der fachlichen und technischen Anforderungen, welche in der MaRisk BA (Bankenaufsicht) und VA (Versicherungsunternehmen) sowie durch ihre Konkretisierung in der BAIT beschrieben werden. Dies erfolgt, indem der ganze Softwareprozess ohne Medienbruch in die tagesgeschäftliche IT-Praxis integriert wird.
Entlastung der Mitarbeiter im Tagesgeschäft
Durch den schlanken, hoch-komprimierten Workflow-Prozess werden die Mitarbeiter bei Einhaltung der Anforderungen aus der MaRisk für Eigenentwicklungen in Trägersystemen maßgeblich und von ihren geschäftlichen Hauptaufgaben nicht abgehalten. Vielmehr können sie sich auf ihr originäres Tagesgeschäft besser konzentrieren sowie die Umsetzung der notwendigen, aufsichtsrechtlichen Aufgaben parallel selbst steuern und erfüllen, wenn sie mit dem Office Process Manager arbeiten.
Screenshots unserer Software OPM
MaRisk als Vorgabe der BaFin
In der MaRisk finden sich compliance-relevante Regelungen, mit denen u.a. die Sicherstellung der Verfügbarkeit, Integrität, Authentizität sowie der Vertraulichkeit von Daten nach BSI IT-Grundschutz Rechnung getragen wird. Die BaFin hat im Jahr 2017 zusätzlich neue bankaufsichtsrechtliche Konsultationspapiere veröffentlicht, welche die MaRisk (insbesondere die Richtlinien AT 7.2. und AT 3.1) und die Umsetzungspflichten (angelehnt an § 25a sowie § 25b KWG) präzisieren – diese gelten unverzüglich, ohne weitere Umsetzungsfristen:
Interne Kontrollverfahren
- Regelungen zur Aufbau- und Ablauforganisation
- Risikomanagementprozess zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und Controlling-Prozesse)
- Risikocontrolling- und Compliance-Funktion
MaRisk (AT 7.2 / AT 4.3.1)
- Daten, die Unternehmensentscheidungen beeinflussen, sind zu dokumentieren
- Formeln sind zu dokumentieren, wenn sie für Dritte nicht mehr nachvollziehbar sind
- Formeln sind vor unabsichtlichen Veränderung zu schützen
- Gezielte IT-Berechtigungen möglich (Prinzip der minimalen Rechtevergabe)
- Dateien/Programme sind einem Freigabeprozess zu unterziehen
- Dateizugriffe und Veränderungen werden kontrolliert und protokolliert
- Anforderungen an IT-Systeme und -Prozesse hinsichtlich Integrität, Verfügbarkeit, Authentizität sowie der Vertraulichkeit der Daten (AT 7.2)
IDV (individuelle Datenverarbeitung)
- Inventurmöglichkeit der Eigenanwendungen
- Konsistente und sichere Datenhaltung sowie Reportmöglichkeit
- Einordnung der Daten/Programme nach Datenschutzrelevanz
- Verantwortung für die Datei trägt die Fachabteilung
Warum PASS der richtige Partner für Sie ist
PASS schließt mit dieser neuen IDV-Suite im Gesamtportfolio weitere Basisanforderungen für alle Privatbanken, Volksbanken und Sparkassen sowie für alle anderen Unternehmen, die im Risikocontrolling den zuvor beschriebenen Auflagen unterliegen oder aus Risiko- und Datenschutzgründen eine tool-gestützte Kontrolle und Nachhaltigkeit im Umgang mit IDV-Anwendungen sicherstellen möchten.
Die Besonderheit ist, dass Sie von der strategischen Beratung über die technische Umsetzung neuer digitaler Prozesse bis hin zum Betrieb der Lösungen begleitet und vollumfänglich unterstützt werden. Damit haben Sie mit PASS einen der wenigen Anbieter in diesem Segment, der für alle Projektphasen die richtigen Lösungsangebote bereitstellt sowie die erfolgreiche Einführung einer neuen Software verbindlich steuern und zusichern kann.
Der Office Process Manager ist die einzige Software für Risikomanagement am Markt, die in allen IT-Umgebungen der Rechenzentren technisch integrierbar ist und außerdem eine Einsatzfreigabe im Sparkassen- und VR-Bankensektor sowie eine IDW PS 880 Zertifizierung für den zugrundeliegenden Software-Entwicklungs- und Bereitstellungsprozess besitzt.
Bestandteile des Office Process Manager
OPM-Dateiservice (Watcher-Dienst) für Excel- und OpenOffice-Calc-Dateien
Die OPM-Watcher-Komponente wird bei der Anlage von neuen Programmen und Formel- oder Makrocodeänderungen aktiv und trägt die Informationen in die OPM-Datenbank ein. Eine weitere OPM-Komponente analysiert diese im Nachgang und versorgt sie mit einer eindeutigen OPM-Kennung (FileID) sowie mit den OPM-Schutzmechanismen.
Stellt der Dateiservice bei Dateien auf definierten Laufwerken Änderungen fest, wird der Datei Owner zu wesentlichen Änderungen in der Dateilogik befragt. Hierbei wird ein sich nachgelagerter systematischer Versionierungspfad mit Kommentarfunktion anfügt. Der Datei Owner erhält per E-Mail einen Link zur Bearbeitung des Vorgangs in seiner Aufgabenübersicht im WebPortal.
Dort kann der Datei Owner den Workflow sofort oder zu einem selbstgewählten Zeitpunkt starten. Wird dieser Zeitpunkt nicht eingehalten, erhält der Autor eine Erinnerungsmail, dass die Aufgabe von ihm noch zu bearbeiten ist.
OPM-WebPortal mit Datenbank
Das WebPortal verfügt über eine einfach zu bedienende Weboberfläche. Der Aufruf erfolgt über den vorhandenen Webbrowser. Alle Funktionen, die für Bewertung, Dokumentation, Freigabe, Versionierung, Formal- und Makrocode-Dokumentationen erforderlich sind, werden zentral im WebPortal bereitgestellt. Es dient dem Datei Owner zur Bearbeitung seiner MaRisk-relevanten Dateien und auch zur Einrichtung und Konfiguration des Office Process Manager für den Administrator.
- Auskunftssystem über alle vorhandenen und registrierten Excel-Dokumente für Mitarbeiter, externe Prüfer (Wirtschafts-/Bundesbankprüfer), Revisionsmitarbeiter, Abteilungs-/Bereichsleiter, Administration
- Zentrale Dokumentationsdatenbank
- OPM-Administrationsumgebung
- Auswertungen (PDF/CSV)
- Basis für kleine „Ist-Daten-Analysen“ auf Abteilungsebene
Zentrale Funktionen für Tabellenkalkulationsprogramme
4-Augen- bzw. 6-Augen-Freigabeverfahren
Mit Hilfe des Mehr-Augen-Prinzips unterstützt der Office Process Manager den Freigabeprozess von Eigenprogrammierungen in Trägersystemen: Überprüfung der freigaberelevanten Änderungen zum einen durch eine fachliche Überprüfung und im Weiteren durch eine technische Überprüfung der Datei.
Fachliche Bewertung von selbsterstellten Tabellenkalkulationsdateien
Automatisiert für MS Excel oder OpenOffice: Ermittlung und Abbildung der MaRisk-Relevanz einer Datei mit Fragebaum, Hilfskommentaren und dokumentierten Entscheidungen durch den Datei Owner.
Dokumentation der Datei
Dokumentation zu Kernthemen der Datei wie Kurzbeschreibungen, Verwendung von Datenquellen, Schnittstellen zu anderen Systemen und ihre Verwendung im Institut.
Versionierung und Dateivergleich
Unterstützung bei der Sicherung der einzelnen Dateiversionen im Rahmen der Entwicklung und bei der Freigabe für den produktiven Einsatz. Möglichkeit zur Wiederherstellung und zum Dateiabgleich der Versionen: Im Prüfungsfall auf Knopfdruck auskunftsbereit.
Auswertungen
Auswertungen im WebPortal aller Bearbeitungs-, Bewertungs- und Freigabevorgänge, protokollierten Datei-Informationen (Metadaten) mit Ausgabe als CSV- oder PDF-Dateien.
Automatischer Blatt- und Zellschutz
Automatischer Schutz der Datei vor Veränderung durch nicht autorisierte Personen.
Optionale Features
OPM-Dateiarchivierung
MaRisk-relevante Dateien können gesammelt und unter Beibehaltung der Verzeichnisstruktur auf einem anderen Laufwerk gesichert werden („manuelle Ausführung“ analog Dateiabgleich oder „zyklische Ausführung“). Auswählbar sind Datumsintervalle, Dateistatus, Dateitypen und Zielverzeichnis.
Technische Freigabe
Zusätzliche Erfassungsmöglichkeit einer Freigabe durch: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte und Betriebsrat inkl. Mail-Benachrichtigungsfunktion.
OPM-Dateiabgleich „Light“
Einträge der Datenbank (bis auf verschobene) werden überprüft, ob Dateien auf dem Filesystem zu finden sind. Die Ergebnisse können in die Datenbank übernommen werden. Nicht übereinstimmende Einträge werden in der Datenbank deaktiviert (Datenbereinigung).
Forum ISM (Informationssicherheit)
Aus dem OPM-WebPortal werden Rahmendaten der „freigegebenen“ Dateien als Importdatei an externe Anwendungen bereitgestellt.
OPM Individueller Vor-Filter-SETUP
Integration der Bewertungsmatrix in den Prozess zur Feststellung der Dokumentationspflicht (Datenfilterung der zu überwachenden Dateien).
Sonstige Anwendungen
Registrierung von anderen risikorelevanten IDV-Anwendungen/-Auswertungen (SQL) zur Erweiterung der Funktionalität.
Zusätzliche Leistungen
- Voranalyse der Anforderungen
- Nahtlose Einbindung der Software in alle IT-Umgebungen und in vorhandene Geschäftsprozesse
- Implementierung der Software mit Installation und Konfiguration
- Administrator- und Anwenderschulungen
- Individualentwicklung für zusätzliche Funktionen
- Prozessberatung
- Vorbereitung für IT-Prüfungen: "Best practice"
- Ergebnisaufbereitung und -dokumentation
- Projektleitung und -koordination
Häufige Fragen unserer Kunden
Allgemein
Hauptsächlich sind die Dateien zu dokumentieren, die Formel- und Macrocodelogik enthalten und Unternehmensentscheidungen beeinflussen. Des Weiteren sind Formeln dann zu dokumentieren, wenn sie nicht mehr für Dritte nachvollziehbar sind.
Durch einen individuell gestaltbaren Fragendialog können bereits vorhandene Prozesse ebenso eingebunden werden, wie auch neugestaltete Bewertungen.
Der Office Process Manager unterstützt die Rollen folgender Personengruppen:
- Fachgruppen (Bewertung/Dokumentation)
- Bereichs-/Abteilungsleitung (Überwachung)
- Revision (Prüfung)
- IT-Sicherheit (technische Sicherheit der IDV Anwnedungen)
- Datenschutz (Kundendaten)
- Betriebsrat (Mitarbeiterdaten)
Die OPM-Watcher-Komponente (Datei-Service) registriert sich über eine Windows-Schnittstelle, die auch vom Windows-Datei-Explorer für Änderungen in Datei-Bäumen benutzt wird. Bei Änderungen wird der OPM-Watcher aktiv und trägt diese in die OPM-Datenbank ein. Eine weitere OPM-Komponente analysiert im Nachgang geänderte Dateien und versorgt sie ggf. mit einer eindeutigen OPM-Kennung (FileID) und den OPM-Schutzmechanismen. Zum Betrieb ist ein technischer Benutzer erforderlich, der Lese- und Schreibzugriff auf alle Dateien in den registrierten Teilbäumen hat. Außerdem wird auf dem OPM-Server eine Excel- und ggf. eine Open-/Libre-Office-Installation benötigt.
Die technische Integration erfolgt in der jeweiligen IT-Umgebung des Rechenzentrums (PaaS- oder SIA-Memberserver, individuelle/virtuelle Server-Umgebung). Eine Programmeinsatzfreigabe ist von den Rechenzentren erteilt, so dass deren Primärinstitute die Anwendung offiziell nutzen können. Bei den Privatbanken wird der Office Process Mamager zentral in der bankeigenen IT-Infrastruktur installiert oder dezentral bei ihren IT-Dienstleister gehosted.
Nutzungsmodelle
Unternehmenslizenz
Für wen eignet sich das Modell?
Für alle Privatbanken, VR-Banken und Sparkassen, die dem Regularium der MaRisk, BAIT sowie BCB239 unterliegen und die entsprechenden Maßnahmen ergreifen möchten sowie ein technisches System für eine stringente Prozessunterstützung einführen möchten.
Was leistet PASS?
Lokale Installation in der Infrastruktur der Kunden oder auf den virtuellen PaaS-Server der Sparkassen/VR-Banken. Zudem besteht die Möglichkeit, die Anwendung in externen Rechenzentren zu hosten. Der technische Support und die Beratungsleistungen werden vollumfänglich aus einer Hand erbracht und in steter Abstimmung mit dem Kunden gesteuert (vgl. Projektphasenmodell).
Ist eine Softwarepflege und Wartung nötig?
Ja
Wie hoch sind die Kosten dafür?
18 % vom Lizenzpreis / p.a.
Ist eine Installation nötig?
Ja, die remote oder auf Wunsch vor Ort in der Bank erbracht wird.
Was sind die Besonderheiten des Modells?
- Vorhandene Datenbanken können alle für den Office Process Manager verwendet werden – keine Zusatzkosten
- Anwendungskomponenten bestehen aus Open-Source – keine Zusatzlizenzen notwendig
- Einmalkosten für Lizenz, User-Anzahl unabhängig – keine Nachlizensierung erforderlich
Wie hoch sind die Kosten?
Kostenauskunft auf Anfrage. Der Lizenzpreis ist gestaffelt nach der Bilanzsumme, woran sich auch die Modulepreise anlehnen.