Office Process Manager (OPM)

Effizientes Risikomanagement in Banken

Office Process Manager (OPM)

Die Softwarelösung für MaRisk-und BAIT-konformes Risikomanagement

Bei Finanzdienstleistern wie Privatbanken, Sparkassen und VR-Banken werden Daten in der Unternehmenssteuerung oder für Entscheidungsprozesse nach wie vor verstärkt in Eigenentwicklungen unter Nutzung sog. Trägersysteme, wie Microsoft Excel, Access oder OpenOffice Calc aufbereitet. Die Einhaltung der MaRisk und OPDV (Ordnungsmäßigkeit und Prüfung der Datenverarbeitung) zugrundeliegenden IT-Grundschutzanforderungen (Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit) in den Tabellenkalkulationsprogrammen ist ohne einen systematischen Verarbeitungsprozess sowie entsprechende technische Schutzmaßnahmen nicht hinreichend sichergestellt. Das beinhaltet z.B. den Strukturschutz für die Datei- und Formellogik und das automatisierte Erfassen und Mitteilen von Veränderungen in den Berechnungsgrundlagen nach dem Wesentlichkeitsprinzip. Das Verwenden dieser Programme auf Basis von Trägersystemen stellt für Banken somit ein sehr hohes operationelles Risiko dar.

Mit dem Office Process Manager (OPM) bieten wir Finanzdienstleistungsunternehmen zur Vervollständigung ihres Risikomanagements eine vollumfängliche Softwarelösung, die eine MaRisk-konforme Bewertung und Dokumentation der vorhandenen Tabellenkalkulationsdateien aus MS Excel oder OpenOffice Calc ermöglicht.

Die MaRisk, als die „Mindestanforderung an das Risikomanagement“ der BaFin, fordert von den Kreditinstituten die Einrichtung angemessener Leitungs-, Steuerungs- und Kontrollprozesse. Hierzu müssen die entsprechenden IT-Prozesse in Eigenverantwortung geschaffen werden. Finanzdienstleister stehen daher vor der Aufgabe, die Anforderungen an die IDV-Anwendungen (individuelle Datenverarbeitung) mit den Schutzbedarfs- und Risikoklassifizierungen nach BSI IT-Grundschutz – analog Schutzbedarfsfeststellungen in der OPDV 1/2015 für Sparkassen – zu realisieren.

 

Leistungsmerkmale des OPM

  • Inventarisierung aller Programme (laufwerksspezifisch)
  • Registrierung der MaRisk-relevanten Dateien
  • Fachliche Risikobewertung unter Berücksichtigung der Schutzbedarfsklassifizierungen
  • Lückenlose Dokumentation der Programme
  • Freigabeprozesse
  • Technischer Schutz der Formel- und Makrocodelogik
  • Versionierung, Dateiabgleich und Wiederherstellung der Metadaten
  • Überwachung von Dateiänderungen (real-time)
  • Auswertung und Reporting auf Knopfdruck
  • Rechte und Rollensystem integriert

Projektphasen zur Einführung des OPM

PASS begleitet Sie professionell und erfahren in allen nachfolgend aufgeführten Projektphasen

Gemeinsam stellen wir sicher, dass der Office Process Manager in der IT optimal implementiert und in den Fachabteilungen der quailifizierten Anwender erfolgreich in die Tagespraxis integriert wird.    


Benefits

Steigerung der Revisionssicherheit und Transparenz durch das Portal

Steigerung der Revisionssicherheit und Transparenz durch das Portal

Durch eine lückenlose Inventarisierung aller MaRisk-relevanten Dateien und die Dokumentation aller Veränderungen in der Formel- und Makrocodelogik ist die Revision jederzeit auf Knopfdruck auskunftsbereit. Der Freigabeprozess und die Versionierung der freigegebenen Dateien stellt sicher, dass die notwendigen Daten im Prüfungsfall vorhanden und richtig aufbereitet abrufbar sind.

Einhaltung von IT-Standards und nahtlose Prozessintegration

Einhaltung von IT-Standards und nahtlose Prozessintegration

OPM unterstützt die Aufgaben der fachlichen und technischen Anforderungen, welche in der MaRisk BA (Bankenaufsicht) und VA (Versicherungsunternehmen) sowie BAIT beschrieben werden. Dies erfolgt, indem der Softwareprozess ohne Medienbruch in die tagesgeschäftliche IT-Praxis integriert wird.

Entlastung der Mitarbeiter im Tagesgeschäft

Entlastung der Mitarbeiter im Tagesgeschäft

Durch den schlanken, komprimierten Workflow-Prozess werden die Mitarbeiter bei Einhaltung der Anforderungen aus der MaRisk für Eigenentwicklungen in Trägersystemen nicht von ihren Hauptaufgaben abgehalten. Vielmehr können sie sich auf ihr originäres Tagesgeschäft konzentrieren und selbst steuern, wie sie mit OPM arbeiten.


Screenshots


MaRisk als Vorgabe der BaFin

In der MaRisk finden sich compliance-relevante Regelungen, mit denen u.a. die Sicherstellung der Verfügbarkeit, Integrität, Authentizität sowie der Vertraulichkeit von Daten nach BSI IT-Grundschutz Rechnung getragen wird. Die BaFin hat im Jahr 2017 zusätzlich neue bankaufsichtsrechtliche Konsultationspapiere veröffentlicht, welche die MaRisk (insbesondere die Richtlinien AT 7.2. und AT 3.1) und die Umsetzungspflichten (angelehnt an § 25a sowie § 25b KWG) präzisieren  –  diese gelten unverzüglich, ohne weitere Umsetzungsfristen:

 

Interne Kontrollverfahren

  • Regelungen zur Aufbau- und Ablauforganisation
  • Risikomanagementprozesses zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und Controlling-Prozesse)
  • Risikocontrolling- und Compliance-Funktion

MaRisk (AT 7.2 / AT 4.3.1)

  • Daten, die Unternehmensentscheidungen beeinflussen, sind zu dokumentieren
  • Formeln sind zu dokumentieren, wenn sie für Dritte nicht mehr nachvollziehbar sind
  • Formeln sind vor unabsichtlichen Veränderung zu schützen
  • Gezielte IT-Berechtigungen möglich (Prinzip der minimalen Rechtevergabe)
  • Dateien/Programme sind einem Freigabeprozess zu unterziehen
  • Dateizugriffe und Veränderungen werden kontrolliert und protokolliert
  • Anforderungen an IT-Systeme und -Prozesse hinsichtlich Integrität, Verfügbarkeit, Authentizität sowie der Vertraulichkeit der Daten (AT 7.2)

IDV (individuelle Datenverarbeitung)

  • Inventurmöglichkeit der Eigenanwendungen
  • Konsistente und sichere Datenhaltung sowie Reportmöglichkeit
  • Einordnung der Daten/Programme nach Datenschutzrelevanz
  • Verantwortung für die Datei trägt die Fachabteilung

Warum PASS der richtige Partner für Sie ist

PASS schließt mit dieser neuen IDV-Suite im Gesamtportfolio weitere Basisanforderungen für alle Privatbanken, Volksbanken und Sparkassen sowie für alle anderen Unternehmen, die im Risikocontrolling den zuvor beschriebenen Auflagen unterliegen oder aus Risiko- und Datenschutzgründen eine tool-gestützte Kontrolle und Nachhaltigkeit im Umgang mit IDV-Anwendungen sicherstellen möchten.

Die Besonderheit bei PASS ist, dass Sie von der strategischen Beratung über die technische Umsetzung neuer digitaler Prozesse bis hin zum Betrieb der Lösungen begleitet und vollumfänglich unterstützt werden. Damit haben Sie mit PASS einen der wenigen Anbieter in diesem Segment, der für alle Projektphasen die richtigen Lösungsangebote bereitstellt sowie die erfolgreiche Einführung einer neuen Software verbindlich steuern und zusichern kann.

OPM ist die einzige Softwarelösung am Markt, die in allen IT-Umgebungen der Rechenzentren technisch integrierbar ist und außerdem eine Einsatzfreigabe im Sparkassen- und VR-Bankensektor sowie eine IDW PS 880 Zertifizierung für den zugrundeliegenden Software-Entwicklungs- und Bereitstellungsprozess besitzt.

Bestandteile des OPM

OPM-Dateiservice (Watcher-Dienst) für Excel- und OpenOffice-Calc-Dateien

Die OPM-Watcher-Komponente wird bei der Anlage von neuen Programmen und Formel- oder Makrocodeänderungen aktiv und trägt die Informationen in die OPM-Datenbank ein. Eine weitere OPM-Komponente analysiert diese im Nachgang und versorgt sie mit einer eindeutigen OPM-Kennung (FileID) sowie mit den OPM-Schutzmechanismen.

Stellt der Dateiservice bei Dateien auf definierten Laufwerken Änderungen fest, wird der Datei Owner zu wesentlichen Änderungen in der Dateilogik befragt. Hierbei wird ein sich nachgelagerter systematischer Versionierungspfad mit Kommentarfunktion anfügt. Der Datei Owner erhält per E-Mail einen Link zur Bearbeitung des Vorgangs in seiner Aufgabenübersicht im WebPortal.

Dort kann der Datei Owner den Workflow sofort oder zu einem selbstgewählten Zeitpunkt starten. Wird dieser Zeitpunkt nicht eingehalten, erhält der Autor eine Erinnerungsmail, dass die Aufgabe von ihm noch zu bearbeiten ist.


OPM-WebPortal mit Datenbank

Das WebPortal verfügt über eine einfach zu bedienende Weboberfläche. Der Aufruf erfolgt über den vorhandenen Webbrowser. Alle Funktionen, die für Bewertung, Dokumentation, Freigabe, Versionierung, Formal- und Makrocode-Dokumentationen erforderlich sind, werden zentral im WebPortal bereitgestellt. Es dient dem Datei Owner zur Bearbeitung seiner MaRisk-relevanten Dateien und auch zur Einrichtung und Konfiguration von OPM für den Administrator.

  • Auskunftssystem über alle vorhandenen und registrierten Excel-Dokumente für Mitarbeiter, externe Prüfer (Wirtschafts-/Bundesbankprüfer), Revisionsmitarbeiter, Abteilungs-/Bereichsleiter, Administration
  • Zentrale Dokumentationsdatenbank
  • OPM-Administrationsumgebung
  • Auswertungen (PDF/CSV)
  • Basis für kleine „Ist-Daten-Analysen“ auf Abteilungsebene

Zentrale Funktionen für Tabellenkalkulationsprogramme

4-Augen- bzw. 6-Augen-Freigabeverfahren

Mit Hilfe des Mehr-Augen-Prinzips unterstützt OPM den Freigabeprozess von Eigenprogrammierungen in Trägersystemen: Überprüfung der freigaberelevanten Änderungen zum einen durch eine fachliche Überprüfung und im Weiteren durch eine technische Überprüfung der Datei.

Fachliche Bewertung von selbsterstellten Tabellenkalkulationsdateien

Automatisiert für MS Excel oder OpenOffice: Ermittlung und Abbildung der MaRisk-Relevanz einer Datei mit Fragebaum, Hilfskommentaren und dokumentierten Entscheidungen durch den Datei Owner.

Dokumentation der Datei

Dokumentation zu Kernthemen der Datei wie Kurzbeschreibungen, Verwendung von Datenquellen, Schnittstellen zu anderen Systemen und ihre Verwendung im Institut.

 

 

Versionierung und Dateivergleich

Unterstützung bei der Sicherung der einzelnen Dateiversionen im Rahmen der Entwicklung und bei der Freigabe für den produktiven Einsatz. Möglichkeit zur Wiederherstellung und zum Dateiabgleich der Versionen: Im Prüfungsfall auf Knopfdruck auskunftsbereit.

Auswertungen

Auswertungen im WebPortal aller Bearbeitungs-, Bewertungs- und Freigabevorgänge, protokollierten Datei-Informationen (Metadaten) mit Ausgabe als CSV- oder PDF-Dateien.

Automatischer Blatt- und Zellschutz

Automatischer Schutz der Datei vor Veränderung durch nicht autorisierte Personen.

 


Optionale Features

OPM-Dateiarchivierung

OPM-Dateiarchivierung

MaRisk-relevante Dateien können gesammelt und unter Beibehaltung der Verzeichnisstruktur auf einem anderen Laufwerk gesichert werden („manuelle Ausführung“ analog Dateiabgleich oder „zyklische Ausführung“). Auswählbar sind Datumsintervalle, Dateistatus, Dateitypen und Zielverzeichnis.

Technische Freigabe

Technische Freigabe

Zusätzliche Erfassungsmöglichkeit einer Freigabe durch: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte und Betriebsrat inkl. Mail-Benachrichtigungsfunktion.

OPM-Dateiabgleich „Light“

OPM-Dateiabgleich „Light“

Einträge der Datenbank (bis auf verschobene) werden überprüft, ob Dateien auf dem Filesystem zu finden sind. Die Ergebnisse können in die Datenbank übernommen werden. Nicht übereinstimmende Einträge werden in der Datenbank deaktiviert (Datenbereinigung).

Forum ISM (Informationssicherheit)

Forum ISM (Informationssicherheit)

Aus dem OPM-WebPortal werden Rahmendaten der „freigegebenen“ Dateien als Importdatei an externe Anwendungen bereitgestellt.

OPM Individueller Vor-Filter-SETUP

OPM Individueller Vor-Filter-SETUP

Integration der Bewertungsmatrix in den Prozess zur Feststellung der Dokumentationspflicht (Datenfilterung der zu überwachenden Dateien).

Sonstige Anwendungen

Sonstige Anwendungen

Registrierung von anderen risikorelevanten IDV-Anwendungen/-Auswertungen (SQL) zur Erweiterung der Funktionalität.

Zusätzliche Leistungen

  • Voranalyse der Anforderungen
  • Nahtlose Einbindung der Software in alle IT-Umgebungen und in vorhandene Geschäftsprozesse
  • Implementierung der Software mit Installation und Konfiguration
  • Administrator- und Anwenderschulungen
  • Individualentwicklung für zusätzliche Funktionen
  • Prozessberatung
  • Vorbereitung für IT-Prüfungen: "Best practice"
  • Ergebnisaufbereitung  und -dokumentation
  • Projektleitung und -koordination

 

Nutzungsmodell der Lösung

 OPM Nutzungmodell Unternehmenslizenz
 Unternehmenslizenz

Für wen eignet sich das Modell?

Für alle Privatbanken, VR-Banken und Sparkassen, die dem Regularium der MaRisk, BAIT sowie BCB239 unterliegen und die entsprechenden Maßnahmen ergreifen möchten sowie ein technisches System für eine stringente Prozessunterstützung einführen möchten.

Was leistet PASS?

Lokale Installation in der Infrastruktur der Kunden oder auf den virtuellen PaaS-Server der Sparkassen/VR-Banken. Zudem besteht die Möglichkeit, die Anwendung in externen Rechenzentren zu hosten. Der technische Support und die Beratungsleistungen werden vollumfänglich aus einer Hand erbracht und in steter Abstimmung mit dem Kunden gesteuert (vgl. Projektphasenmodell).

Ist eine Softwarepflege und Wartung nötig?

Ja

Wie hoch sind die Kosten dafür?

18 % vom Lizenzpreis / p.a.

Ist eine Installation nötig?

Ja, die remote oder auf Wunsch vor Ort in der Bank erbracht wird.

Was sind die Besonderheiten des Modells? 
  • Vorhandene Datenbanken können alle für OPM verwendet werden – keine Zusatzkosten
  • Anwendungskomponenten bestehen aus Open-Source – keine Zusatzlizenzen notwendig 
  • Einmalkosten für Lizenz, User-Anzahl unabhängig – keine Nachlizensierung erforderlich
 
Wie hoch sind die Kosten?

Kostenauskunft auf Anfrage. Der Lizenzpreis ist gestaffelt nach der Bilanzsumme, woran sich auch die Modulepreise anlehnen.

 

Häufige Fragen unserer Kunden