Advertorial: Dokumentation von Tabellenkalkulationen, revisionssicher

Interview mit Stephan Dawo, Leiter Business Unit München agentes AG Dem Risikomanagement kommt gerade bei Finanzdienstleistern eine immer größere Bedeutung zu. Neben internen Anforderungen gibt es auch Regelungen des Staates, die erfüllt werden müssen. Dabei greift das Risikomanagement auch in die IT-Systeme und –prozesse eines Unternehmens ein. Betroffen ist dabei auch eine der meist genutzten…


Interview mit Stephan Dawo, Leiter Business Unit München agentes AG

Dem Risikomanagement kommt gerade bei Finanzdienstleistern eine immer größere Bedeutung zu. Neben internen Anforderungen gibt es auch Regelungen des Staates, die erfüllt werden müssen. Dabei greift das Risikomanagement auch in die IT-Systeme und –prozesse eines Unternehmens ein. Betroffen ist dabei auch eine der meist genutzten Anwendungen: das Tabellenkalkulationsprogramm Excel.

Stephan Dawo erläutert im Interview die Hintergründe und wie Finanzinstitute mit dem Office Property Manager von agentes den Anforderungen an das Risikomanagement gerecht werden können.

Welchen Herausforderungen müssen sich Finanzdienstleister heute beim Thema Risikomanagement stellen?
In ihrer Richtlinie MaRisk (Mindestanforderungen an das Risikomanagement) hat die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) Rahmenbedingungen für die Gestaltung des Risikomanagements bei Finanzdienstleistern, also Banken und Versicherungen, festgelegt. Unter anderem müssen die IT-Systeme und –prozesse MaRisk-konform dokumentiert werden, dazu zählen auch Eigenanwendungen wie beispielsweise in Excel. Gerade hier stehen Finanzdienstleister vor der Herausforderung, die Flut an Excel-Tabellen in ihren Unternehmen zu analysieren und richtlinienkonform zu dokumentieren.

Der Office Property Manager bietet eine Antwort auf die Problemstellungen von Banken und Versicherungen im Risikomanagement. Sind damit alle IT-Risiken abgedeckt oder nur bestimmte?
Mit dem Office Property Manager (OPM) werden bestimmte Teilrichtlinien von MaRisk unterstützt (AT 6, 7.1 und 7.2). Grundsätzlich minimiert das Produkt die Risiken für Unternehmen und hilft bei der Risikoeinstufung. Entscheidend für das Risiko ist beispielsweise auch der Zweck einer Tabellenkalkulation. Wird es für Zwecke des Reisemanagements in Form von Reiseplänen verwendet, so ist dies nicht MaRisk-relevant. Wenn allerdings die Daten zum Zwecke der nternehmenssteuerung erstellt werden, müssen diese nach MaRisk dokumentiert werden.

Wie funktioniert der Office Property Manager?
Damit wir auch bestehende Excel-Sheets schnell und einfach für das Risikomanagement erfassen können, haben wir den Prozess in drei Schritte aufgeteilt:

1. Ist-Daten-Analyse:
Zunächst erfassen wir, wie viele und welche Excel-Sheets vorhanden sind, analysieren und katalogisieren diese. Die Ergebnisse werden in Form von Reports zur Verfügung gestellt.

2. Webportal / Aufbau Dokumentationsdatenbank:
Im Webportal können Informationen zu den vorhandenen Excel-Dokumenten eingesehen, abgerufen und ausgedruckt werden. Zudem können Einstellungen zum Rollen- und Rechtesystem des OPM sowie zu abteilungsspezifischen Fragen für das Add-in vorgenommen werden.

3. Office Add-in:
Das Add-in wird auf allen relevanten Arbeitsplatzrechnern installiert. Sobald eine Excel-Datei gespeichert wird, meldet sich das Add-in und zwingt den Nutzer, bestimmte Fragen zu beantworten. Das Add-in speichert die eingegebenen Daten dann in der Dokumentationsdatenbank, so dass die Informationen über das Webportal abgerufen werden können. Bei sehr komplexen Excel-Sheets kann eine Freigabeschleife vor Veröffentlichung eingebaut werden. Es werden nur die Excel-Sheets erfasst, die vom Ersteller als MaRisk-relevant eingestuft wurden.

Welchen Vorteil haben Banken und Versicherungen dadurch?
Grundsätzlich können Banken und Versicherungen mit dem OPM einfach und schnell risikorelevante Excel-Sheets dokumentieren. In Summe ist das Finanzdienstleistungsinstitut oder die Versicherung für eine entsprechende Prüfung der Bank gerüstet.

Inwieweit ist diese Lösung auf andere Branchen übertragbar?
Zunächst war es so, dass die MaRisk nur für Banken galt. Mittlerweile hat die Anforderungen bereits auf Versicherungen ausgedehnt.

Wie wird sich das Risikomanagement bei Finanzdienstleistern in Zukunft verändern?
Sicherlich kann niemand im Moment vorhersagen, welche Änderungen im Einzelnen auf die Finanzdienstleistungsbranche zukommen. Sicher ist jedoch, dass die Anforderungen immer härter werden und wir mit entsprechenden Updates den OPM stets auf dem Laufenden halten.
Da wir bei der Entwicklung des OPM auf unsere Entwicklungsmethode aISP setzen, können wir solche Änderungen auch kurzfristig berücksichtigen und das Produkt schnell dem neuen Bedarf anpassen.