Freitag, 25. Juni 2021

Releasebegleitung durch die Interne Revision

Wie lassen sich Informationen aus den Kernbank-Releasen für die IR nutzen? In Anlehnung an die Projektbegleitung kann ein Konzept zur Releasebegleitung erstellt werden.

Valentin Zeiher,CISA, Teamleiter/Stv. Abteilungsleiter, Interne Revision, Kreissparkasse Tübingen

Bei den Sparkassen ist das Kernbanksystem OSPlus des IT-Dienstleisters Finanz Informatik (FI) im Einsatz. Das Kernbanksystem bildet den überwiegenden Teil der bankfachlichen und unterstützenden Prozesse ab. Die Weiterentwicklung, Fehlerbehebung und Einführung neuer Funktionalitäten erfolgt im Rahmen periodischer (halbjährlich) und gebündelter Changes, welche in der Sparkassen Finanzgruppe (SFG) als OSPlus-Release bezeichnet werden.

Mit neuen bzw. geänderten Funktionalitäten und Modulen kommen auch neue und geänderte Kontrollelemente wie beispielsweise Berechtigungen, Tätigkeiten, Ereignisse und Kontrollkennzeichen zum Einsatz. Mit den Releasen werden Release-Anlagen veröffentlicht, welche die Dokumentation der Neuerungen enthalten und als (Administrations-)Leitfaden fungieren.

Mit den Release-Anlagen werden also Informationen veröffentlicht, die einen tiefen Einblick in die Funktionen der technischen Abbildung des Kontrollsystems im Kernbanksystem erlauben und die für die Interne Revision sehr interessant sein können, um den risikoorientierten Prüfungsansatz zu unterstützen. Die Herausforderung besteht jedoch darin, die relevanten Informationen zu ermitteln und für die Prüfungsobjekte der Mehrjahresplanung einen Mehrwert zu generieren, denn die mit dem Release veröffentlichten Informationen sind sehr umfangreich und erfordern fundierte Kenntnisse über die betroffenen Prozesse und Abläufe.


Identifikation relevanter Releaseinformationen

Das Change- und Releasemanagement wird von der IT-Revision mit einem separaten Prüfungsobjekt im Rahmen der Mehrjahresplanung gewürdigt. Das Ziel der unterjährigen Releasebegleitung ist demnach nicht die Prüfung der Prozesse zum Releasemanagement, sondern die Gewinnung von Informationen zur Unterstützung der Fachprüfungen. 

Um eine einheitliche Begleitung durch die Interne Revision zu erreichen, empfiehlt sich die Erstellung eines Konzepts, welches die Zielsetzung und die konkrete Vorgehensweise skizziert. Zur Erarbeitung der Konzeption kann auf die Vorgehensweise bei der Begleitung von Projekten zurückgegriffen werden, denn auch dabei steht die Gewinnung von Informationen im Vordergrund. Eine Hilfestellung bietet der DIIR Revisionsstandard Nr. 04 „Prüfung von Projekten durch die Interne Revision“. 

So beschreibt das Kapitel 10.2 „Risikoorientierte Auswahl der zu prüfenden oder zu begleitenden Projekte“ Fragestellungen für die Auswahl von relevanten Projekten. Diese Fragestellungen können, in vereinfachter Form, auch für die Identifikation von Änderungen innerhalb des jeweiligen Releaseeinsatzes herangezogen werden. So können in einem ersten Schritt die folgenden Fragestellungen eine Hilfestellung zur Bewertung der Relevanz unterstützen:

  • Werden mit dem Release Inhalte zur Verfügung gestellt, die gesetzlichen Vorgaben umsetzen?
  • Werden wesentliche Änderungen im Kontrollgefüge vorgenommen bzw. bereitgestellt?
  • Werden mit dem Release neue Prozesse oder Funktionalitäten zur Verfügung gestellt?
  • Ergibt sich eine hohe Komplexität aus den Veränderungen?

Bei der Ableitung der Fragestellungen sollte darauf geachtet werden, dass diese anhand der vorliegenden Unterlagen und mit überschaubarem Aufwand beantwortet werden können. Für die OSPlus-Release kann beispielsweise die Releasebroschüre herangezogen werden. Diese enthält für die jeweiligen OSPlus-Lösungen beispielsweise eine Kurzbeschreibung zum Inhalt, Vorteile, Verfügbarkeit und eine Verknüpfung zu den betroffenen Release-Anlagen. Auf Basis der Releasebroschüre, welche sich auf die „wesentlichen Neuerungen und Entwicklungen“ konzentriert, können sich die Fachprüfer einen Überblick über die Releaseinhalte verschaffen, ohne die vertiefenden Release-Anlagen auswerten zu müssen.

 

Intensität der Informationsbeschaffung

Auch bei der Intensität der Informationsbeschaffung kann auf den Revisionsstandard 04 „Prüfung von Projekten durch die Interne Revision“ zurückgegriffen werden. Unter den „Formen der Projektbegleitung“ sind verschiedene Intensitätsstufen der Informationsbeschaffung dargestellt, welche auch bei der Begleitung von Releasen angewendet werden können.

  • Auswertung von Projektunterlagen
  • Durchführung von Interviews
  • Einbindung in Projektgremien
  • Durchführung von Reviews

Die Auswertung von Projektunterlagen kann anhand der Releasebroschüre und der Release-Anlagen erfolgen, sofern wesentliche Neuerungen und Entwicklungen dargestellt werden. Weiterhin ist die Teilnahme an Release-Webinaren denkbar, wenn entsprechende Änderungen kommuniziert werden. Auch die Durchführung von Interviews kann als weiterer Vertiefungsschritt gewählt werden, wenn beispielsweise die Auswirkungen auf das eigene Institut oder mögliche Schnittstellen identifiziert werden sollen. Eine Einbindung in Projektgremien kann bei der Releasebegleitung z. B. über Managementsitzungen oder fachbereichsübergreifende Besprechungen erfolgen. 

Die Durchführung von Reviews wird im Revisionsstandard 04 als „Analyse einzelner Projektmanagementprozesse“ beschrieben. Hier bietet sich beispielswiese die Auswertung von Dokumentationen zu den einzelnen Releaseinhalten an. Die Dokumentation der Administrationstätigkeiten erfolgt in der Regel in einer Anwendung. Diese Informationen können für spätere Prüfungshandlungen z. B. im Rahmen der Fachprüfungen herangezogen werden. 

Die Berichterstattung, wie sie vom Revisionsstandard Nr. 04 vorgesehen ist, kann bei der Releasebegleitung entfallen. Die gewonnenen Informationen sollten jedoch bei den Fachprüfungen berücksichtigt werden können, daher bietet sich die Dokumentation in der jeweiligen Prüfungsobjektbeschreibung oder in der Dauerakte an.

 

PRAXISTIPPS

  • Verschaffen Sie sich eine konkrete Vorstellung von der Zielsetzung der Releasebegleitung.
  • Tasten Sie sich von einer „hohen Flughöhe“ und risikoorientiert an die Auswertung der Releaseinformationen heran. 
  • Nutzen Sie den Austausch der Revisoren z. B. in Abteilungsbesprechungen, um die Vorgehensweise zu verbessern und neue Ansätze zu identifizieren.
  • Berücksichtigen Sie die gewonnenen Informationen im Rahmen der Fachprüfungen, um die Auswirkungen auf die Prozesse prüfen zu können.

Beitragsnummer: 17104

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Beitragsicon
Datenqualität(sprüfungen) im AWV-/AWG-Meldewesen

Datenqualität(-sprüfungen) im AWV-/AWG-Meldewesen und die verzahnte Betrachtung von Datenqualitäts- und Meldeprozessen

28.02.2024

Beitragsicon
Kein Widerruf nach vollständiger Erfüllung eines Kreditvertrags

Ein Verbraucher kann sich nach vollständiger Erfüllung aller vertraglichen Verpflichtungen aus einem Kreditvertrag nicht mehr auf sein Widerrufsrecht berufen.

17.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.