Unter „Excel & Co.„ sind in diesem Artikel Programme gemeint, welche sehr unspezifisch entwickelt worden sind und daher über fast alle Branchen hinweg für eine Vielzahl von Aufgaben gebraucht werden können. Die bekannteste Vertreterin dieser Softwaregattung dürfte Excel sein. Aber auch Access und die Pendans von anderen Office-Suiten wie OpenOffice.org gehören dazu.
Die meisten Unternehmen haben irgend eine Branchenlösung im Einsatz, mit welcher ein grösserer oder kleinerer Teil der Aufgaben aus dem Kerngeschäft erledigt werden kann. Nebenbei gibt es meist zahlreiche Um- und Nebensysteme. Und nicht selten kommen von konstruktiven Mitarbeitern einige „Lösungen“ von Excel & Co. dazu. Excel-Sheets für das, eine kleine Lotus-Datenbank für jenes, ein Makro da und eines dort. Alles, um die Arbeit effizienter zu machen und die Fehlerquellen aus manuellen Eingaben und Berechnungen zu reduzieren.
In diesem Artikel möchte ich der Frage nach gehen, wie gut geeignet denn solche Programme sind, um solche kleinere oder grössere Aufgaben in Unternehmensprozessen auszuführen. Und dies nicht unter dem Aspekt der direkten Funktionen, sondern unter dem Aspekt von allgemeinen Compliance-Anforderungen an eine Software, welche in Unternehmensprozessen (oder Teilen davon) eingesetzt wird.
Es gibt sehr viele mögliche Sichten, bei der Betrachtung von Anforderungen an eine Software und auch viele und unterschiedliche nationale und internationale Gesetzte, Verordnungen und Standards dazu. Eine Auslegung von diesen und eine Betrachtung von Sinn und Unsinn von diesen wäre an dieser Stelle wünschenswert – es würde aber den Rahmen in der zeitlichen und räumlichen Dimension sprengen. Und deshalb messen wir Excel & Co. an dieser Stelle an der Maxime des CAVR-Frameworks. CAVR ist die Abkürzung für Completeness, Accuracy, Validity und Restricted access. Ganz allgemein geht es um den Schutz und die Gewährleistung der Nachvollziehbarkeit. Untersuchen wir nun Excel & Co. mit ein paar Fragen dazu.
Zugriffsbeschränkung und Protokollierung
Bieten diese Programm eine Authentisierung mit genügendem Zugriffsschutz und einer Protokollierung der wichtigen Aktivitäten? Mit Hilfe des Betriebs- resp. Filesystems lassen sich Zugriffsbeschränkung meist realisieren. Eine andere Frage ist, ob dies in der Praxis auch genügend stark durch- und umgesetzt wird. Mit der Protokollierung sieht es aber meist schlecht aus. Eine solche gibt es bei den betroffenen Systemen nicht von Haus aus. Es lässt sich somit nicht nachvollziehen, wer der möglichen Mitarbeitern wann das Excel-Sheet angepasst hat, oder wer eine Funktion zuletzt ausgeführt hat (Letzter File-Zugriff vom Filesystem ist nicht zwingend letzter Makro-Funktionsaufruf etc.). Der Modus zur Änderungsnachverfolgung solcher Produkte ist in der Praxis meist nicht geeignet – solche Funktionen wurden auch zu anderen Zwecken entwickelt (bspw. sind die Makros nicht enthalten).
Vollständigkeit
Ob die Daten vollständig (alle Daten) sind oder dass alle notwendigen Prüfungen/Checks in diesem Schritt gemacht werden, die gemacht werden müssen – dafür kann das entsprechende Programm nichts. Die Frage ist hier viel mehr, ob die Mitarbeiter, welche solche Anwendungen definieren, in jedem Fall wissen was sie tun und was alles zur Vollständigkeit gehört. Hier ist eher der Mitarbeiter das Risiko, als die Software das Problem. Und das Risiko sollte auf keinen Fall unterschätzt werden. Folglich auch nächster Punkt.
Richtigkeit
Werden die Berechnungen richtig gemacht? Wird die richtige Formel mit den richtigen Konstanten verwendet? Auch hier liegt das Problem eigentlich nicht bei den Programmen selber. Aber dennoch bieten sie von Haus aus keine global steuerbaren Prozesse für die Freigabe von Definitionen. Und nur durch Ansätze wie ein Vier-Augenprinzip kann dieses Risiko reduziert werden. Insofern unterstützen diese Programme die Definitionen nicht und werden eher zum Risiko für ein Unternehmen.
Gültigkeit/Zulässigkeit
Wurde eine Transaktion, die durchgeführt wird, überhaupt bewilligt? Wurde eine Limite überschritten? Darf ein Mitarbeiter diesen Schritt für dieses Produkt ausführen? Darf diese Transaktion für jenen Kunden ausgeführt werden? Von Haus aus gibt es bei Excel & Co. keine Unterstützung für solche Prüfungen. Zumal auch die Datenanbindung nicht immer einfach ist. Entsprechend fehlt diese Komponente bei den meisten Anwendungen von Excel & Co.
Konklusion
Excel & Co. sind in vielen Branchen in vielen Unternehmen nicht mehr wegzudenken. Sie leisten häufig einen nicht zu unterschätzenden Beitrag zu den Prozessen – nicht zuletzt auch in sensiblen Bereichen wie Reporting und Risikomanagement. Aber aus Sicht Compliance sind solche selber entwickelten Anwendungen von Excel & Co. ein operationelles Risiko (Stichwort: ORM). Sie genügen einer internen Kontrolle in den meisten Fällen nicht. Wer wann was wie berechnet und vervollständigt oder überwacht, ist nicht sicher von Haus aus nachvollziehbar. Ein ebenfalls grosses Problem von Excel & Co. ist deren dezentrale Haltung. Zentral verlässliche Verzeichnisse/Inventare mit den wichtigsten Metadaten gibt es es meist nicht. Eine genauere Risikoeinschätzung dürfte deshalb in konkreten Fällen ein nicht leichtes Unterfangen sein.
Freitag, 27. August 2010
Mittwoch, 25. August 2010
Anonymes Surfen als Pflicht?
Das Research-Projekt Panoptclick der Electronic Frontier Foundation (EFF), eine Cyberspace-Bürgerrechtsorganisation aus den USA, brachte zu Tage, dass 8 von 10 Browsern eindeutig identifiziert werden können (84 %). Bei Browsern mit Flash und JavaScript waren es gar deren 94 %. Im angelegten Research-Projekt standen 470.000 Datensätze zur Auswertung zur Verfügung.
Das bedeutet, dass fast jeder Browser wiedererkannt werden kann. Dadurch lassen sich gesammelte Daten einem Browser-Profil zuordnen. Mit aktivem JavaScript ist es nach wie vor möglich in Erfahrung zu bringen, ob jemand schon einmal auf einer bestimmten Seite war oder nicht. Um eine Zuordnung zu einer bestimmten Firma machen zu können, reicht es demnach aus, beispielsweise die Adresse der Intranetseite dieser Firma zu kennen. Insbesondere Suchanfragen wie bei Google sind gefährlich, da Google die Suchparameter an die Seiten weitergibt, welche der Benutzer in der Resultatenliste anklickt. So kann festgestellt werden, dass eine Firma A, die Firma oder Person B gesucht hat.
Es ist in der heutigen Zeit praktisch unumgänglich, dass sich Firmen über bestehende oder potentielle Kunden Informationen im Internet beschaffen. Wie war die Telefonnummer? Was haben sie für Produkte? Dann braucht es noch den Handelsregisterauszug etc.
Insbesondere für Personen und Unternehmen, welche einem spezielles Berufsgeheimnis unterliegen (Banken, Rechtsanwälte u.a.), stellt sich die Frage, ob es aus der Sicht von Compliance erforderlich ist, dass solche Firmen im Internet anonym Informationen beschaffen können.
Technisch ist dies ein gar nicht so leichtes Unterfangen. Die wahre Herkunft auf der IP-Ebene zu verstecken ist das eine. Ein ganz anderes Problem ist die Gesprächsbereitschaft der meisten Browser und die Risiken, welche von Browser-PlugIns und JavaScript ausgehen. Dazu kommen Fragen wie Performance-Einbussen, Netzlast und vor allem die Kosten für ein solches Projekt und den späteren Betrieb. Bei den technischen Möglichkeiten gibt es verschiedene Stufen der Anonymität – mit unterschiedlichen Kosten und Auswirkungen auf den Betrieb.
Grundsätzlich dürfen Angaben über Personen nicht an Dritte weitergegeben werden, wenn die Person dies nicht erlaubt hat und es sich nicht explizit aus einem Auftrag ergibt, dass diese Informationen Zwecks ordentlicher Ausführung an diesen Dritten weitergegeben werden müssen. Gewisse Berufsgruppen wie die die Banker, haben noch viel strengere Auflagen – dürfen diese nicht einmal preisgeben, dass jemand Kunde ist.
Fazit:
Damit dem gesetzlichen Schutz der Kunden durch die Nutzung von Internet in Firmen genügend Rechnung getragen wird, braucht es im Umgang mit dem Internet interne Richtlinien. Diese sollen festlegen, welche Informationen über Kunden wie und wo im Internet preisgegeben werden dürfen und welche nicht. Für Unternehmen mit Berufsgeheimnis und hohem Informationsbedarf wie Banken, stellt sich aber die Frage, ob dies organisatorisch überhaupt sinnvoll und sicher umgesetzt werden kann. Hier habe ich ein wenig meine Zweifel und vertrete die Meinung, dass solche Berufsgruppen aus Sicht Compliance technisch mehr für den Kundenschutz im Internet durch eigene Recherchen tun müssten.
Das bedeutet, dass fast jeder Browser wiedererkannt werden kann. Dadurch lassen sich gesammelte Daten einem Browser-Profil zuordnen. Mit aktivem JavaScript ist es nach wie vor möglich in Erfahrung zu bringen, ob jemand schon einmal auf einer bestimmten Seite war oder nicht. Um eine Zuordnung zu einer bestimmten Firma machen zu können, reicht es demnach aus, beispielsweise die Adresse der Intranetseite dieser Firma zu kennen. Insbesondere Suchanfragen wie bei Google sind gefährlich, da Google die Suchparameter an die Seiten weitergibt, welche der Benutzer in der Resultatenliste anklickt. So kann festgestellt werden, dass eine Firma A, die Firma oder Person B gesucht hat.
Es ist in der heutigen Zeit praktisch unumgänglich, dass sich Firmen über bestehende oder potentielle Kunden Informationen im Internet beschaffen. Wie war die Telefonnummer? Was haben sie für Produkte? Dann braucht es noch den Handelsregisterauszug etc.
Insbesondere für Personen und Unternehmen, welche einem spezielles Berufsgeheimnis unterliegen (Banken, Rechtsanwälte u.a.), stellt sich die Frage, ob es aus der Sicht von Compliance erforderlich ist, dass solche Firmen im Internet anonym Informationen beschaffen können.
Technisch ist dies ein gar nicht so leichtes Unterfangen. Die wahre Herkunft auf der IP-Ebene zu verstecken ist das eine. Ein ganz anderes Problem ist die Gesprächsbereitschaft der meisten Browser und die Risiken, welche von Browser-PlugIns und JavaScript ausgehen. Dazu kommen Fragen wie Performance-Einbussen, Netzlast und vor allem die Kosten für ein solches Projekt und den späteren Betrieb. Bei den technischen Möglichkeiten gibt es verschiedene Stufen der Anonymität – mit unterschiedlichen Kosten und Auswirkungen auf den Betrieb.
Grundsätzlich dürfen Angaben über Personen nicht an Dritte weitergegeben werden, wenn die Person dies nicht erlaubt hat und es sich nicht explizit aus einem Auftrag ergibt, dass diese Informationen Zwecks ordentlicher Ausführung an diesen Dritten weitergegeben werden müssen. Gewisse Berufsgruppen wie die die Banker, haben noch viel strengere Auflagen – dürfen diese nicht einmal preisgeben, dass jemand Kunde ist.
Fazit:
Damit dem gesetzlichen Schutz der Kunden durch die Nutzung von Internet in Firmen genügend Rechnung getragen wird, braucht es im Umgang mit dem Internet interne Richtlinien. Diese sollen festlegen, welche Informationen über Kunden wie und wo im Internet preisgegeben werden dürfen und welche nicht. Für Unternehmen mit Berufsgeheimnis und hohem Informationsbedarf wie Banken, stellt sich aber die Frage, ob dies organisatorisch überhaupt sinnvoll und sicher umgesetzt werden kann. Hier habe ich ein wenig meine Zweifel und vertrete die Meinung, dass solche Berufsgruppen aus Sicht Compliance technisch mehr für den Kundenschutz im Internet durch eigene Recherchen tun müssten.
Dienstag, 24. August 2010
Name-Matching-Systeme für Compliance-Anforderungen
Eine Hauptaufgabe von Compliance-Officern bei Finanzintermediären ist die Umsetzung und Kontrolle von Massnahmen zur Bekämpfung der Geldwäscherei und Terrorismusfinanzierung. Dazu gehört es unter anderem zu prüfen, ob (potenzielle) Kunden als politisch exponierte Personen, sogenannte PEP, bekannt sind, ob es sich um einen Terroristen, eine terroristische Organisation oder um ein Mitglieder einer solchen handelt, oder ob es Sanktionen gegen diesen (potenziellen) Kunden gibt. Und dies sowohl bei, respektive vor, der Eröffnung einer Kundenbeziehung wie auch während der Dauer der Kundenbeziehung.
Diese drei Prüfungen lassen sich nur mit externen Daten realisieren. Dazu ist es praktisch unumgänglich, dass ein Finanzintermediär dazu Software verwendet, welche
a) die externen Daten laufend aktualisiert;
b) den Abgleich der Kundendaten mit den externen Daten vornimmt;
c) bei der Dokumentation so unterstützt, dass der ganze Abarbeitungsprozess compliance konform ist.
Um solche Lösungen zu entwickeln und zu betreiben braucht es interdisziplinäre Kompetenzen. Ich habe im Mai 2010 zusammen mit Peter Schäuble ein umfassendes Sachbuch zu diesem Thema veröffentlicht. Es dient interessierten Kreisen wie Compliance Officer, CEO, System-Betreiber und Revisoren als leichter Einstieg in die komplexe Thematik.
Hier finden Sie eine Medienmitteilung:
http://www.openpr.de/news/430511/Eurospider-publiziert-neues-Sachbuch-ueber-Name-Matching-Systeme-bei-Banken.html
Und hier eine unabhängige Buchrezension:
http://www.bankingclub.de/news/Name-Matching-Systeme/
Das Buch trägt den Titel "Name-Matching-Systeme: Im Einsatz gegen Geldwäscherei und Terrorismusfinanzierung".
Es ist unter der ISBN: 978-3-8391-1641-8 im Handel erhältlich.
Diese drei Prüfungen lassen sich nur mit externen Daten realisieren. Dazu ist es praktisch unumgänglich, dass ein Finanzintermediär dazu Software verwendet, welche
a) die externen Daten laufend aktualisiert;
b) den Abgleich der Kundendaten mit den externen Daten vornimmt;
c) bei der Dokumentation so unterstützt, dass der ganze Abarbeitungsprozess compliance konform ist.
Um solche Lösungen zu entwickeln und zu betreiben braucht es interdisziplinäre Kompetenzen. Ich habe im Mai 2010 zusammen mit Peter Schäuble ein umfassendes Sachbuch zu diesem Thema veröffentlicht. Es dient interessierten Kreisen wie Compliance Officer, CEO, System-Betreiber und Revisoren als leichter Einstieg in die komplexe Thematik.
Hier finden Sie eine Medienmitteilung:http://www.openpr.de/news/430511/Eurospider-publiziert-neues-Sachbuch-ueber-Name-Matching-Systeme-bei-Banken.html
Und hier eine unabhängige Buchrezension:
http://www.bankingclub.de/news/Name-Matching-Systeme/
Das Buch trägt den Titel "Name-Matching-Systeme: Im Einsatz gegen Geldwäscherei und Terrorismusfinanzierung".
Es ist unter der ISBN: 978-3-8391-1641-8 im Handel erhältlich.
Start!
Compliance und IT wird meiner Erfahrung nach in der Praxis oft zu stark getrennt behandelt. Dies ist nicht zu letzt deshalb oftmals so, weil Compliance-Verantwortliche mehrheitlich aus dem juristischen Ecken kommen, während IT-Verantwortliche und Softwareentwickler häufig "nur" einen technischen Hintergrund haben. Aber beide Aspekte haben doch einige Gemeinsamkeiten und können viel voneinander profitieren. In diesem Blog möchte ich deshalb meine Meinung und Erfahrung zum Zusammenspiel dieser beiden Disziplinen publizieren.