Wie bereits im ersten Teil dieser dreiteiligen Blogserie zur Versteckten Individuellen Datenverarbeitung (IDV) als Schatten-IT-Ausprägung angekündigt, werden in diesem Beitrag die Herausforderungen beim Management der Schatten-IT mit IDV-Ausprägungen diskutiert.
Vorteile von IDV-Anwendungen
IDV-Anwendungen wie MS Excel und Access sind in der Praxis weit verbreitet und bieten Vorteile für das Unternehmen. Viele Mitarbeiter haben einige Erfahrung im Umgang mit diesen Tools gesammelt und können diese flexibel und auf pass-genau auf ihren Prozess einsetzen. Zusätzlich können mit Hilfe dieser Tools Informationen schnell, knapp, einfach zu lesen, akkurat und einfach abrufbar dargestellt werden. Die Frage lautet daher nicht wie Schatten-IT-IDV bekämpft werden kann, sondern wie sie bestmöglich in das IT-Service-Management integriert werden kann, ohne diese Vorteile zu verlieren.
Unterstützung des IDV-Managements durch ein Tool
Bevor IDV gemanaged werden kann, muss sie erhoben werden. Zur Vereinfachung der Erhebung von Schatten-IT-IDV kann ein Tool eingesetzt werden, das in den Fachbereichen eingeführt wird. An dieser Stelle werden die Anforderungen an ein solches Tool erläutert.
Die erste Anforderung an ein IDV-Erhebungs-Tool ist, dass die Mitarbeiter der Fachbereiche in ihrer Arbeit mit der eingesetzten IDV nicht übermäßig gestört werden. Das würde sonst dafür sorgen, dass Mitarbeiter selbstentwickelte IT wieder verbergen möchten, um damit ungestört und effizient arbeiten zu können.
Dennoch müssen Qualität und Relevanz der IDV-Anwendung erhoben werden. Hierbei können insbesondere technische Daten im Hintergrund abgerufen werden, z.B. Dateiname, Speicherort, letzter speichernder Benutzer der Datei, Speicherdatum und Indikatoren für die formale Kompliziertheit der Berechnungen, wie z.B. die Menge eingesetzten VBA-Codes, die Anzahl öffnender Klammern oder die Anzahl verknüpfter Dateien. Anhand dieser Daten kann eine Liste der eingesetzten IDV erstellt, Verantwortlichkeiten zugeordnet, eine technische Komplexitätsklasse errechnet und gezielt nach Tests zur Verifizierung der Anwendungen gefragt werden.
Der Benutzer muss dann noch einmalig nach Informationen zum fachlichen Risiko abgefragt werden, z.B. Prozesszuordnung, Rechnungslegungsrelevanz und Relevanz für die unmittelbare Ausführung des Prozesses. Aus dieser Abfrage kann automatisch eine Risikoklasse zum fachlichen Risiko berechnet werden. Mittels technischer und fachlicher Risikoklassen kann das Schatten-IT-Portfolio zusammengestellt werden
Darüber hinaus kann das IDV-Management durch ein Tool von vornherein vereinfacht und die Qualität von IDV-Anwendungen verbessert werden. Die Qualität einer IDV-Anwendung kann durch eine leicht erreichbare Dokumentation bezüglich der Anwendung und deren Entwicklungsstand verbessert werden. Das Versions-Management kann durch die nachvollziehbare Speicherung der unterschiedlichen Versionen einer IDV-Anwendung vereinfacht werden. Aktuelle Versionen einer IDV-Anwendungen können als geprüft gekennzeichnet werden. Somit werden nicht nur die vorhandenen Anwendungen und deren Qualität sowie Relevanz erhoben, sondern gleichzeitig deren Qualität und Handhabbarkeit erhöht.
Im letzten Teil dieser dreiteiligen Blogreihe, wird ein bereits in der Praxis erprobtes Tool konkret vorgestellt, das diesen Herausforderungen bereits begegnet.