EUCs sind Anwendungen, die von „Endbenutzern“ in Excel oder Access entwickelt werden, aber nicht unbedingt Codierungsstandards verwenden oder über eine formale IT-Schulung verfügen. Die EUCs werden vom Betriebs-/BAU-Personal entwickelt und nicht von der IT-Abteilung. Endbenutzer-Computeranwendungen werden auch in Datenbanken, Abfragen, Skripten oder Ausgaben von Berichtstools verwendet. Finanzunternehmen haben eine hohe Anzahl komplexer EUCs. Nicht verwaltete EUCs stellen ein großes Risiko für Unternehmen dar, insbesondere für solche im Finanzsektor wie Banken und Versicherungsunternehmen. In diesem Beitrag geht es darum, wie Reduzieren sie das Geschäftsrisiko durch eine EUC-Richtlinie reduzieren lässt und wie diese umgesetzt wird.
Zentralbanken untersuchen Modellrisiken und EUCs
Die Bank of England hat nun die Aufsichtserklärung SS1/23 – Modell-Risikomanagementgrundsätze für Banken herausgegeben, in der die Erwartungen der PRA/Regulierungsbehörde an das Management von Modellrisiken durch Banken dargelegt werden. Zentralbanken weltweit sollten nun die Banken, Versicherer und anderen Finanzinstitute ihres Landes im Auge behalten, um sicherzustellen, dass die EUC-Standards hoch genug sind, um Finanzfehler, Reputationsschäden und Berichtsfehler der Zentralbanken zu begrenzen.
Es umfasst eine Vielzahl quantitativer Berechnungsmethoden, Systeme, Ansätze, End-User-Computing-Anwendungen (EUCs) und Rechner, die im täglichen Betrieb von Unternehmen verwendet werden, d. h. die Ergebnisse unterstützen Entscheidungen in Bezug auf die allgemeinen Geschäftsaktivitäten, strategische Entscheidungen, Preisgestaltung, Finanz-, Risiko-, Kapital- und Liquiditätsmanagement oder -berichte und andere operative Bankaktivitäten. Die Frist zur Erfüllung dieser Standards war der 17. Mai 2024. Dies ist ein Weckruf für Unternehmen, das Geschäftsrisiko durch eine EUC-Richtlinie zu reduzieren.
Riesige Excel-Tabellen sind ein großes Risiko für Ihr Unternehmen
Excel-Tabellen werden heutzutage in den meisten Banken- und Versicherungsunternehmen verwendet. Komplexe Anwendungen können relativ schnell entwickelt werden. Allerdings können viele Benutzer, die sich selbst überlassen sind, Tabellen zu Excel-„Monstern“ entwickeln. Dies geschieht normalerweise, wenn es keine EUC-Richtlinie gibt und die Benutzer „ihr eigenes Ding machen“. Diese Tools können enorme Risiken bergen, da sie große Auswirkungen auf die operative und finanzielle Belastung des betreffenden Unternehmens haben können. Wenn etwas schief geht, können diese Tools auch den Ruf schädigen. In meinem Artikel wird erläutert, wie Sie das Geschäftsrisiko durch eine EUC-Richtlinie verringern und wie Sie dies tun können.
Excel-Tabellen, die zu komplex für das Verständnis sind, bergen ein hohes Risiko und erfordern eine EUC-Sanierung (siehe unten). Einige Merkmale von EUCs sind:
Mangelnde Unternehmenstransparenz
- Unzureichende Dokumentation
- Schlechtes Design und fehlende Kodierungsstandards
- Schlechte oder nicht vorhandene Prüfspur
- Nicht vollständig getestet / nicht validiert
- Finanzanwendungen erfordern äußerste Sorgfalt / haben große Auswirkungen auf das Unternehmen
- Mangelnde Unternehmenstransparenz
Fragen zum Nachdenken:
- Wie können Sie komplexe EUCs prüfen?
- Wie kann ein BAU-Benutzer es für alltägliche Aufgaben verwenden, wenn er es nicht versteht?
- Warum verwirren uns große, unhandliche Tabellenkalkulationen?
Wissen Sie, wo sich in Ihrem Unternehmen die Monster-Tabellen befinden?
Fallstudie 1
Ein führendes Fondsmanagementunternehmen beauftragte mich mit der Sanierung und Verwaltung eines wichtigen EUC-Fondsmanagement-Excel-Modells mit eingebetteten Derivaten, das niemand außer der Person, die es entwickelt hatte, verstand. Es war völlig überentwickelt und instabil. Große Excel-Modelle können jederzeit beschädigt werden, und dann ist es weg.
Die Sanierungsarbeiten für EUC umfassten die Neugestaltung, um weniger Registerkarten und Formeln zu verwenden und die Größe der Excel-Tabelle von etwa 100 MB auf etwa 25 MB zu reduzieren. Damit war es „außer Gefahr“. Dann automatisierte ich einige der manuellen Schritte mit VBA. Eine der kritischen Erkenntnisse, die ich erlangte, war, dass die Ergebnisse des Modells „falsch“ waren, mit schwerwiegenden Folgen für das Unternehmen, das wegen falscher Berichterstattung Ärger mit der PRA/Aufsichtsbehörde hätte bekommen können. Nach der Neugestaltung und dem Hinzufügen stärkerer Berechnungen waren die Ergebnisse dann richtig. Das Problem war, dass Excel die Berechnung „aufgab“, da es zu viele Abhängigkeiten gab.
Fallstudie 2
Ein führendes Rückversicherungsunternehmen beauftragte mich mit der Sanierung und Neuentwicklung eines Excel-Tabellenkalkulationstools für die PRA-Berichterstattung. Nach einiger Analyse kam ich zu dem Schluss, dass es nicht „zweckdienlich“ war. Warum? Es verwendete unhandliche Dateilinks, mehrere schlecht geschriebene VBA-Codevarianten (einige davon wurden aufgezeichnet) und stürzte ständig ab. Außerdem waren die Ergebnisse manchmal falsch/nicht zuverlässig (was eigentlich nicht überraschend ist). Meine Lösung bestand darin, ein sauberes, datenvalidiertes, auf Parameterdaten basierendes Tool zu entwickeln, das die erforderlichen PRA-Berichte mit wenigen Mausklicks effizient und genau erstellte. Das ist es, was die EUC-Sanierung für Ihr Unternehmen leisten kann.
Fallstudie 3
Eine führende Versicherungsgesellschaft beauftragte mich mit der Sanierung und Neuentwicklung eines Excel-basierten Bilanzabgleichtools. Es war ein 100 MB großes „Monster“ mit mehreren Registerkarten, mit 100.000 Datensätzen auf jeder Registerkarte (mit 100.000 Formelzeilen), PivotTable-Berichten mit über 50.000 Zeilen Länge und sie beschwerten sich, dass es ständig abstürzte und der Speicher knapp wurde. Da es fast keine Anforderungen gab, konvertierte ich die Formelzeilen in Werte und teilte sie in zwei Modelle auf. Die Pivot-Tabellen wurden zusammen mit einer fest codierten Version der erforderlichen Daten in ein separates Modell ausgegliedert. Zu den EUC-Korrekturen gehört die Automatisierung der manuellen Prozesse mithilfe von Visual Basic-Anwendungen mit erheblichen Speicher- und Dateigrößenreduzierungen sowie einer Geschwindigkeitssteigerung. Ohne Beaufsichtigung wäre es sicher beschädigt worden und das Modell wäre nicht wiederherstellbar gewesen.
Wie sich Fehler einschleichen
Die Qualität der regulatorischen Berichterstattung wird durch schlechte Kontrollen auf der Ebene der Quelldaten und mangelnde Bereitschaft auf Managementebene, etwas dagegen zu unternehmen, beeinträchtigt. Unternehmen müssen erkennen, wie wichtig gute Qualitätskontrollen auf der untersten Ebene sind. In den Quelldaten eingeführte Fehler werden an das übergeordnete Management und die Berichterstattung der Zentralbank weitergeleitet.
Tipp: Erfassen Sie Fehler auf der niedrigstmöglichen Ebene
Ein Beispiel: In einem Annahmenmanagementsystem, an dem ich gearbeitet habe, traten aufgrund von Quelldatenfehlern Fehler im SQL Server-System weiter oben in der Kette auf. Um dies zu beheben, habe ich eine Datenvalidierung für EUC-Quelldateien geschrieben, um Fehler zu erkennen und zu beheben. Ein weiteres Beispiel für ein Solvency-II-System war die Einführung von Kontrollen, die sicherstellten, dass die Zuteilung zwischen den Anlageklassen 100 % betrug, und die Meldung von Ausnahmen.
Wenn eine halbe Million Datensätze verarbeitet werden, sind diese Kontrollen von entscheidender Bedeutung.
Wenn die Ergebnisse fehleranfälliger EUCs an die Zentralbank/Aufsichtsbehörde übermittelt werden, ist es eine ernste Angelegenheit, wenn bei der Meldung Fehler auftreten.
Speichern Sie das Modell im Binärformat (komprimiert die Datei in ein XML-Format)
- Behalten Sie bei großen Datensatzregisterkarten mit eingebetteten Formeln die Formel der obersten Zeile bei, kopieren Sie sie nach unten und fügen Sie sie als Werte ein (vergessen Sie nicht, vorher neu zu berechnen!)
- Leeren Sie bei Pivot-Tabellen den Datencache (kann sehr viel Speicher beanspruchen)
- Teilen Sie in zwei oder mehr Modelle auf (trennen Sie Daten von Berechnungen)
- Aktualisieren Sie auf Excel/Office 365 64 Bit (kann bis zu 8 Terabyte (TB) Speicher adressieren)
- Kopieren Sie bei beschädigten Modellen die Blätter in eine leere Arbeitsmappe und erstellen Sie sie von Grund auf neu (nichts für schwache Nerven)
- Entfernen Sie redundante Registerkarten, Namensbereiche, verwaiste Dateilinks und Datenverbindungen
- Löschen Sie den verwendeten Bereich für jede Registerkarte (erfolgt über das Registerkartenklassenmodul und das Debugfenster)
- Entfernen oder ersetzen Sie „flüchtige“ Excel-Formeln wie now(), rand() usw.
- Überprüfen Sie alle benutzerdefinierten Arbeitsblattfunktionen
- Überprüfen Sie, welche VBA-Bibliotheken verwendet warden
Office 365 und 32-Bit bis 64-Bit usw
Excel 365 enthält eine Reihe nützlicher neuer Funktionen wie concat, textjoin, ifs und xlookup, die die Index-/Match-Funktionalität ersetzen können (kann auf der linken Seite eine Suche durchführen). Worauf Sie in Excel 365 achten müssen, sind die API-Aufrufe, die jetzt die prtsafe-/longptr-Syntax erfordern, um 32 und 64 Bit zu verwalten. Mir ist auch aufgefallen, dass sich das Verhalten von workbook_open geändert hat, also musste ich einen Workaround dafür finden. Ich werde einen weiteren Artikel zu Excel 365 schreiben, der ausführlicher darauf eingeht.
EUC-Richtlinie
Banken neigen dazu, in Bezug auf die EUC-Richtlinie einen disziplinierteren Ansatz zu verfolgen als Versicherungsunternehmen, aber die Versicherungsunternehmen verbessern sich langsam. Banken wie die Lloyds Banking Group reduzieren das Geschäftsrisiko durch eine EUC-Richtlinie – und verfügen nun über eine gut entwickelte und robuste EUC-Richtlinie. Zu den Merkmalen einer guten EUC-Richtlinie gehören:
Eine Bestandsaufnahme aller geschäftskritischen Excel-Tabellen und Access-Datenbanken
- Eine Analyse/Einstufung der Komplexität
- Eine Analyse/Einstufung des Geschäftsrisikos
- Der EUC-Geschäftsinhaber
- Der EUC-technische Inhaber
- Vollständige Dokumentation, einschließlich Änderungsprotokoll, Benutzerhandbuch, Systemhandbuch, technisches Handbuch
- System zum Ein-/Auschecken von Änderungen, z. B. von Sharepoint
•
Was ist ein kritischer EUC? - Ist er in Bezug auf VBA-Code, Add-Ins, Formeln und andere Funktionen ausreichend komplex?
- Ist er betrieblich wichtig und/oder hat er große Auswirkungen auf die Finanzberichterstattung?
Wenn die Antwort Ja lautet, handelt es sich um einen kritischen EUC und er muss EUC-konform sein. EUC-Richtlinie – So erhalten Sie ein „Bestanden“
Ich wurde bei der Versicherungsfirma, bei der ich derzeit arbeite, beauftragt, die EUC-Governance-Richtlinie für eine Gruppe von EUCs zu implementieren und die zusätzlichen Kontrollen, VBA-Automatisierung und Dokumentation für EUCs zu implementieren, damit sie ein „Bestanden“ erhalten. Außerdem soll ich andere EUC-Benutzer überprüfen und beraten, was sie tun müssen, um ein „Bestanden“ zu erhalten. Ein EUC-Inventarregister kritischer EUCs ist eine Schlüsselkomponente der EUC-Richtlinie. Die richtigen Abhilfemaßnahmen sind die Methode, um für jeden EUC ein „Bestanden“ zu erhalten. Es muss ein Mindestmaß an EUC-Abhilfemaßnahmen geben, um Kontrollen und Dokumentation hinzuzufügen und ein „Bestanden“ zu erreichen. Entwickler und BAU-Mitarbeiter müssen zusammenarbeiten, um Anforderungen zu ermitteln, Lösungen zu entwickeln, zu testen und zu implementieren. Manchmal ist eine Änderung der Geschäftsprozesse erforderlich, weil ein Risikoproblem aufgetreten ist.
EUC-Abhilfemaßnahmen
Sie fragen sich vielleicht, welche Abhilfemaßnahmen erforderlich sind, damit ein EUC einen guten EUC-Richtlinienstandard erfüllt? Normalerweise müsste bei einem kritisch wichtigen Excel-EUC überprüft werden, ob die Quelldaten mit denen identisch sind, die tatsächlich geladen werden. Überprüfungen, um sicherzustellen, dass sich die Daten (Feldüberschriften) in den Eingabedateien nicht geändert haben – eine große rote Flagge, Datentypprüfungen, ein Änderungs-/Versionskontrollprotokoll, Schutz, Registerkartendesign zur Vereinfachung und ein Benutzerhandbuch sowie System-/technische Dokumentation. Dies wäre das erforderliche Minimum. Generell gilt: Je komplexer eine Tabelle ist, desto mehr EUC-Sanierung ist erforderlich, um sie „robust“ genug zu machen, um eine Prüfung zu bestehen. Die Checkliste, die ich im Audit-Modell eingeführt habe, identifiziert Schwächen und Lücken, die einer EUC-Sanierung bedürfen.
EUC-Richtlinien-Audit-Modell und Checkliste
Ich habe ein Excel-Modell entwickelt, um die EUC-Komplexität und „Geschäftskritikalität“ zu bestimmen, mit anderen Worten: „Ist es im Rahmen eines kritischen EUC?“ Das Modell bestimmt den Umfang der Sanierung, der erforderlich ist, um es auf den EUC-Richtlinienstandard zu bringen, und identifiziert vor allem Schwächen. Das Tool richtet sich an mittel- bis hochkomplexe EUCs, die erhebliche betriebliche, funktionale oder externe/regulatorische Auswirkungen haben und in das EUC-Register aufgenommen werden müssen. Es handelt sich um eine sehr nützliche Checkliste, die ich nach geeigneten Abhilfemaßnahmen durchsuche, um ein EUC robust und verständlich zu machen und gute Kontrollen mit Dokumentation zu haben. Dadurch ist es für BAU sicher zu verwenden.
Umsetzung der EUC-Richtlinie auf der Ebene der leitenden Manager
Selbst wenn eine offizielle EUC-Richtlinie existiert, fehlt manchmal die Bereitschaft, diese Kontrollen tatsächlich umzusetzen. Einige Manager nehmen die EUC-Richtlinie sehr ernst, andere nicht. Diejenigen, die sie ernst nehmen, sind normalerweise diejenigen, die Erfahrung/Angst vor „unzuverlässigen“ Tabellenkalkulationen haben, z. B. einen Anruf von der Regulierungsabteilung der Zentralbank aufgrund eines Berichtsfehlers erhalten haben und „motiviert“ sind, denselben Fehler nicht zweimal zu machen.
Ich zeige den Managern auf, welche EUC-Kontrollen erforderlich sind, z. B. Validierung von Daten, VBA-Kontrollen, Benutzerhandbuch und Systemhandbuch, Änderungsprotokoll/Versionskontrolle usw., und es ist wichtig, dass die Manager in ihren Plänen Zeit für diese Arbeit einplanen.
Audit der Zentralbank
Finanzunternehmen müssen über eine „robuste“ EUC-Richtlinie verfügen, um SS1/23 in Großbritannien einzuhalten, und den Vorstand dafür verantwortlich machen. Dies ist etwas, das die Bank of England und andere Zentralbanken sehr genau beobachten. Wenn Sie also noch keine haben, ist es an der Zeit, eine EUC-Richtlinie in Ihrem Unternehmen umzusetzen, bevor Ihre Zentralbank eine Prüfung durchführt. Machen Sie Ihre EUCs bombensicher und stellen Sie Ihren Vorstand, Ihre Aktionäre und Ihre Aufsichtsbehörden zufrieden. Lassen Sie Ihre kritischen EUCs jetzt von uns prüfen, sanieren und aktualisieren.
Richard G. Mann FMAAT, MIAP, MBCS ist ein EUC-Entwickler, Experte für EUC-Sanierung und EUC-Richtlinien und arbeitet seit über 25 Jahren im Finanzdienstleistungssektor im Bereich Regulierung und Risiko. Er ist auf EUC-Entwicklung spezialisiert, hauptsächlich Excel VBA, Access-Datenbankentwicklung und SQL Server. Er ist ein professionell ausgebildeter Buchhalter und Mitglied der British Computer Society und des Institute of Analysts and Programmers.
Nehmen Sie jetzt Kontakt auf, um Hilfe bei der Reduzierung des Geschäftsrisikos durch eine EUC-Richtlinie zu erhalten.
Kontakt EUC Solutions Kontakt – euc-solutions.com
EUC Solutions Contact
Heim
EUC Remediation in Financial Services
#EUC-Sanierung, #Excel-Horrorgeschichten, #Excel-Sanierung, #EUC-Sanierung mit geringerem Risiko,
#EUC-Sanierungskosten, #EUC-Sanierungssoftware, #EUC-Sanierungsbeispiele, #EUC-Sanierung pdf,
