Auswahl und Einführung einer Softwarelösung zur Unterstützung eines integrierten Governance-, Risk- und Compliance-Managementsystems
Ein zentrales Vorhaben einer Förderbank bestand in der Auswahl und Implementierung eines Governance-Risk-Compliance (GRC)-Tools. Dieses sollte die integrierte Unterstützung von Informationssicherheitsmanagement (ISMS), Notfallmanagement (BCM), Datenschutz (DSM), Auslagerungsmanagement sowie das IT-Risiko- und operationelle Risikomanagement (OpRisk) gewährleisten. Die Zielsetzung war die gemeinsame Nutzung von Daten und Klassifizierungen, Entlastung der Fachbereiche von Assessments durch Abstimmung und Zusammenfassung von Fragebögen, Entlastung der zentralen Funktionen durch dezentrale Assessments und automatische Aufbereitung, Verbesserter Datenhaushalt und Transparenz über alle Verfahrensschritte, Nachvollziehbare Dokumentation und Sicherstellung der erforderlichen Freigaben.
Zu Projektbeginn wurden mit der Bank die funktionalen Anforderungen sowie die prioritäre Reihenfolge der zu implementierende Module definiert. Anschließend wurde eine umfassende Longlist potenzieller Anbieter erarbeitet, die im weiteren Verlauf auf Basis klarer Kriterien zu einer Shortlist verdichtet wurde. Auf Grundlage eines strukturierten Anforderungskatalogs und ergänzender Ausschreibungsunterlagen wurde eine beschränkte Ausschreibung durchgeführt. Die eingehenden Angebote wurden systematisch bewertet und in Gesprächen konkretisiert und verhandelt. Im Anschluss bereitete das Projektteam die Entscheidungs- und Vertragsunterlagen vor. Das Umsetzungsprojekt wurde gemeinsam mit dem Kunden geplant und anschließend eng begleitet, um eine hohe Integrationstiefe aller relevanten Komponenten sicherzustellen.
Das GRC-Tool wurde erfolgreich implementiert und erfüllt die Anforderungen der BAIT. Es steigert die Transparenz und Effizienz in sämtlichen Governance-Prozessen. Im ISMS unterstützt das Tool alle wesentlichen Aufgaben – von der Schutzbedarfsanalyse bis hin zu Soll-Ist-Vergleichen. Auch die Anforderungen des BCM wurden berücksichtigt, etwa durch die Integration der Business Impact Analyse. Im Datenschutz stellt das Tool Funktionen zur Verfügung, mit denen unter anderem das VVT oder die TOMs systematisch gepflegt und verwaltet werden können. Für das Auslagerungsmanagement wurde eine Lösung eingeführt, die alle relevanten Aspekte abbildet. Ein weiterer Erfolg war die Einführung eines Registers zur Erfassung von Schadensfällen und Beinahe-Schäden, welches eine verbesserte Risikobewertung und -überwachung stärkt. Das Tool unterstützt zudem die Erhebung und Bewertung aller IT-Risiken in einem Risikoinventar.
„Mit dem neuen GRC-Tool haben wir eine zentrale Plattform geschaffen, die alle Governance-Bereiche verbindet. Die Transparenz, Effizienz und Nachvollziehbarkeit unserer Prozesse haben sich spürbar verbessert."
- Projektmitarbeiter
