Warenkorb

Es befinden sich keine Positionen in Ihrem Warenkorb

Projektbericht

Governance, Risk, Compliance

Electronic Communication Historical Review

Ausgangssituation

Aufgrund regulatorischer Anforderungen und einer Auditfeststellung, wurde ein international tätiger Finanzdienstleister dazu verpflichtet, seine aktuellen und in der Vergangenheit betriebenen Applikationen hinsichtlich ihrer Kommunikationsfähigkeit zu analysieren und dokumentieren. Gegenwärtig wurde intern ein spezieller, umfangreicher Prozess mit diversen Assessments für neu einzuführende Applikationen entwickelt. Diesen müssen seit Beginn dieses Jahres alle Applikationen durchlaufen, um letztendlich in Betrieb genommen zu werden.

Zielsetzung

Zur Erfüllung der regulatorischen Anforderungen müssen auch alle in der Vergangenheit betriebenen Applikationen des international operierenden Finanzdienstleiters, die eine oder mehrere Funktionalitäten zur elektronischen Kommunikation beinhalten, identifiziert und erfasst werden. Der Scope dieses Projekts lag in der rückwirkenden Betrachtung aller in den letzten 10 Jahren aktiven Applikationen. Dabei handelte es sich um ca. 13 500 Applikationen aus den verschiedensten Bereichen, die vorbereitend zum zuvor genannten Prozess analysiert bzw. kategorisiert werden mussten.

Lösungsansatz

Zur Identifikation von potentiellen Applikationen, die gegebenenfalls eine Kommunikationsfunktionalität beinhalten, wurden zunächst Auszüge aus verschiedensten Datenbanken (Assets) des Finanzdienstleisters herangezogen. Diese Auszüge beinhalteten einen Datensatz je Applikation, der wiederum aus verschiedenen Attributen bestand, wie etwa einer Applikationsbeschreibung und/oder -bezeichnung, Verantwortlichen, deren Vertreter oder IDs. Aufgrund der Fülle von Datensätzen wurde sich zunächst auf eines der Assets konzentriert. Des Weiteren wurde mit Absprache des Auftragsgebers und Auditoren ein Set an Keywords (z.B. send, message etc.) definiert, welche auf eine mögliche Kommunikationsfähigkeit hindeuten. Mit Hilfe dieser konnten nun die Attribute „Applikationsbeschreibung“ und „-bezeichnung“ durchsucht und letztendlich diese Datensätze aussortiert werden, die keines dieser vordefinierten Keywords beinhalteten. Durch diese Filterung und der zuvor festgelegte Fokus auf ein Asset, konnte die Anzahl der zu analysierenden Applikationen auf ca. 2500 reduziert werden.

Bevor allerdings mit der Analyse gestartet werden konnte, die durch Befragung der einzelnen Applikationsverantwortlichen mittels zweier unterschiedlicher Fragebögen durchgeführt wurde, fehlten noch entsprechende Medien zur Dokumentation dieser Aktivitäten. Es wurde sich für eine selbst entwickelte Access-Datenbank und MS Sharepoint entschieden. Die Anforderungen an beide Applikationen waren, dass bei der Analyse jede Interaktion zwischen den Applikationsverantwortlichen historisch chronologisch durch ein mögliches Audit nachvollziehbar und eine Speicherung der auszuwertenden Fragebögen gewährleistet ist.

Im Folgenden wurden ca. 1000 Applikationsverantwortlichen und deren Vertretern ein Vorabfragebogen per Email zugesandt, der 3 Ja/Nein Fragen zur möglichen Kommunikationsfähigkeit der jeweiligen Applikation beinhaltete. An Hand dieses Fragenbogens konnte mit Hilfe der Verantwortlichen eine Vorkategorisierung der Applikationen vorgenommen werden, ob eine Applikation sich weiter im Scope befindet oder nicht. Danach reduzierte sich noch einmal die Anzahl der relevanten Applikationen auf ca. 500 Stück. Des Weiteren wurde iterativ und parallel zum Rücklauf des ersten Fragebogens, ein umfangreicher Bewertungsbogen aus dem oben erwähnten Prozess an die Verantwortlichen der zuvor ermittelten relevanten Applikationen versendet. Abschließend wurden diese wiederum eingesammelt, einer Qualitätsprüfung unterzogen und inklusive der Dokumentationsmedien an den nachfolgenden Prozess übergeben.

Dr. Stefan Zickenheiner

Dr. Stefan Zickenheiner
Managing Director b-pi
stefan.zickenheiner@b-pi.com
+49 221 964 34 63-2