IDV Migration

IDV -Anwendungen, kurz für Individuelle Datenverarbeitung, sind von Fachbereichen eigenständig erstellte Anwendungen zur Datenverarbeitung ohne dabei Dienste der IT-Abteilung in Anspruch zu nehmen. Für Ad-hoc Berichte ohne das Merkmal der Regelmäßigkeit sind solche Anwendungen kein Problem. Sobald diese Applikationen jedoch für ein regelmäßiges Reporting verwendet werden, müssen gewisse Merkmale erfüllt sein, um in einer Prüfung nicht negativ bewertet zu werden. Dies sind unter anderem Merkmale zu den Aspekten: Risiken und Schutzbedarf der verarbeiteten Daten (z.B. Datenqualität, Datenmanipulation, Zugriffsberechtigungen, Nachvollziehbarkeit, Versionierung). Eine Trennung von verarbeitendem Programm und den Daten wird meist nicht eingehalten. Sobald die Funktionalität einer Anwendung nicht mehr nachvollzogen werden kann, kann dies in einer Prüfung sogar als mittelschwerer Mangel interpretiert werden. Generell werden alle Prozess- und Dokumentationsmängel solcher Anwendungen dem operationellen Risiko zugeordnet, wenn wesentliche Prozesse durch die IDV-Anwendung unterstützt werden. Durch eine Migration der bisherigen IDV-Anwendung in eine revisionssichere Web-Anwendung können diese Mängel beseitigt werden. Zusätzlich ist die Wartung oder eine Modifikation der Anwendung nach einer Migration problemloser möglich.

Im Folgenden stellen wir Ihnen ein Referenzprojekt für das Thema IDV-Migration im Bereich Adressrisiko vor.

Das Projekt zum Thema Adressrisiko wurde in einer Bank in Deutschland erfolgreich durchgeführt. Um aufsichtsrechtliche Anforderungen für Validierungshandlungen in unterschiedlichen Bereichen (z.B. Kredit, Risikosteuerung) zu erfüllen, mussten die bestehenden Systemlösungen ersetzt werden. In dem Rahmen wurde eine performante Datenbank-Lösung mit einer übersichtlichen Webanwendung für den Kunden entwickelt.

Referenzprojekt der Enrion GmbH
Durchführungszeitraum: 2015
Kunde: Bank

Ausgangssituation

Veraltete Analyseformen für die Kalkulation des Adressrisikos im Kundengeschäft sollen abgelöst und für aufsichtsrechtlich benötigte Validierungshandlungen (z.B. Sicherheitenwertentwicklung, Rating-Migration, Default-Analyse) auf eine moderne und stabile IT-Lösung gewechselt werden.

Aufgaben und Anforderungen

Die entwickelte Applikation muss Bestandsdaten und Risikokennziffern einer Fremdsoftware importieren und einzelne Datenvalidierungen durchführen. Auswertungen durch vordefinierte Reports können von den Anwendern über das gesamte Jahr Ad-hoc angefordert werden. Die Reaktionszeit der Anwendung hat performant und stabil zu erfolgen. Die monatlich vorliegenden Importdaten müssen für mindestens 3 Jahre in auswertbarer Form gesichert werden und jederzeit abrufbar sein. Der Zugriff auf diese Daten ist durch ein Rollen- und Rechtekonzept nur auf bestimmte Nutzergruppen beschränkt.

Umsetzung von Enrion

Die Enrion Gmbh betreute erfolgreich das Release der Anwendung beim Kunden. Die Enrion-Mitarbeiter erstellten das IT- Konzept basierend auf den Kundenspezifikationen. Während der Entwicklungsphase entstanden die Feinkonfigurationen der Funktionalitäten, um neue Workflows und Datensicherungsroutinen zu implementieren. Die Web-Anwendung nutzt aktuelle Technologien (MS-SQL, Java). Importdateien können monatlich mittels einer entsprechenden Schnittstelle in die Datenbank transferiert werden. Während des Importes werden die Daten auf Authentizität und Integrität geprüft. Anschließend ist es mittels der Web-Anwendung möglich, die Mitarbeiter vordefinierte Reports erstellen zu lassen und diese für die Weiterverarbeitung zu nutzen.

Projektfazit

Auf Grund des technischen Know-hows und des Expertenwissens der Enrionmitarbeiter im Bereich Risikomanagement ist die Projektumsetzung erfolgreich abgeschlossen worden. 

Es entstand eine valide Datengrundlage zur Unterstützung der Validierungshandlungen im Institut. Neben der Sicherstellung der Datenintegrität bei den Auswertungen für unterschiedliche Zeiträume ist ein revisionssicherer Umgang mit sensiblen Kundendaten sichergestellt. Mit der Implementierung eines Rollen- und Rechtekonzepts mit dem Anschluss an das institutseigene Active-Directory ist eine separate Useradministration nicht notwendig.