DE

Toolunterstützung Risikomanagement

 —  GRC

IDV-basiertes Risiko- und Informationssicherheitsmanagement erfordert Anpassung interner Prozesse und Richtlinien an neue aufsichtsrechtliche Vorgaben. Tool-Unterstützung bei einem der größten Versicherungskonzerne Deutschlands.

 

Der Kunde: Ist einer der größten Versicherungskonzerne Deutschlands. Aufgrund verschiedener Tochterunternehmen deutschlandweit bedarf es einer einheitlichen, konzernweiten Adressierung von Risiken.

Der Fall: IDV-basiertes, uneinheitliches Risikomanagement und Informationssicherheitsmanagementsystem. Anpassungsbedarf der internen Prozesse und Richtlinien an neue aufsichtsrechtliche Vorgaben.

Das Ziel: Technische Unterstützung des Risikomanagements auf Basis der GRC-Plattform Archer mit besonderem Fokus auf ISM-Themen, sowie Erfüllung sämtlicher aufsichtsrechtlicher Vorgaben.

Die Lösung: Durchführung einer Machbarkeitsstudie, mit anschließender Umsetzung der technischen Unterstützung des Risikomanagements. Darüber hinaus weitere Betreuung durch Linientätigkeiten und Instandhaltungen.
 

Die Ausgangssituation

Der Kunde arbeitete im Bereich der risikobasierten Prozesse bis zur Umsetzung des Projektes mit individuellen Datenverarbeitungen (IDV). Diese Vorgehensweise ist wesentlich teurer, zeitaufwendiger und fehleranfälliger als die Verwendung eines toolunterstützten, automatisierten Prozesses. Weiterhin besteht bei IDV-Lösungen keine Möglichkeit zur Berechtigungs- und Zugriffsteuerung. Zusätzlich mussten neue aufsichtsrechtliche Vorgaben, die bislang nicht adressiert worden waren, in die Prozesse eingearbeitet werden.
 

Das Ziel

Das Ziel des Projekts war es somit, konzerneinheitliche Standards, die die geltenden regulatorischen Anforderungen erfüllen, im Bereich des Risikomanagements zu schaffen. Insbesondere sollten die Informationssicherheit, das IT-Auslagerungsmanagement und das unternehmensweite Risikomanagement Beachtung finden. Weiterhin galt es für die Prozesse eine effiziente Toolunterstützung zu entwickeln.
 

Unser Weg

Als erster Schritt wurde eine Machbarkeitsstudie auf Grundlage der Anforderungen des Kunden durchgeführt. Dabei sollte dem Kunden zunächst ein Vergleich zwischen seiner aktuellen Ausgangssituation und einem potenziellen Zielbild ermöglicht werden. Diese Gap-Analyse wurde in einem abgestimmten Vorgehensmodell mit den Fachabteilungen des Kunden durchgeführt. Dabei wurden ebenfalls mehrere Varianten einer Toolunterstützung verglichen, um eine möglichst effiziente Umsetzung der funktionalen Anforderungen zu gewährleisten. Weiterhin wurde dem Kunden für ein Maximum an Planungssicherheit eine Roadmap, sowie eine Kostenschätzung zur Verfügung gestellt.

Im Anschluss an die Beauftragung der Umsetzung entwickelte syracom in enger Absprache mit dem Kunden die technische Lösung. Daneben umfasste die Aufgabe unserer Berater unter anderem die Beratung und Unterstützung der Fachbereiche bei der Definition der Anforderungen und der Ausarbeitung der Fachkonzepte unter Berücksichtigung der regulatorischen Anforderungen.

Weiterhin wurde das Customizing der GRC-Plattform Archer vollständig durch syracom durchgeführt und während der Einführung begleitet. Durch die Integration mehrerer Module in Archer konnten manuelle Prozesse durch einen systemisch integrierten, automatisierten Workflow ersetzt werden. Neue Anforderungen des Kunden und Vorgaben der Aufsicht sorgen dafür, dass die technische Lösung seitdem stetig durch syracom weiterentwickelt und optimiert wird. Daneben stellt syracom die Instandhaltung der Plattform durch einen etablierten Support, Wartungs- und Release-Tätigkeiten und eine zentrale technische Governance sicher.
 

Projektablauf: Die Leistungen von syracom in vier Phasen

  1. Machtbarkeitsstudie

    Im Rahmen der Machbarkeitsstudie wurde zunächst eine vergleichende Gap-Analyse des bestehenden ISMS der Versicherung durchgeführt, wobei das Referenzsystem des Mutterkonzerns einschließlich der eingesetzten IDV-Lösungen berücksichtigt wurde. Ergänzend erfolgte eine Analyse der aktuellen Risikomanagementlandschaft mit dem Ziel, die Möglichkeiten einer Implementierung in eine digitalisierte Lösung zu bewerten.

    Darauf aufbauend wurde ein Zielbild in Form eines Target Operating Models für die Versicherung entwickelt. Dieses berücksichtigt sowohl die aufsichtsrechtlichen Vorgaben der VAIT für Versicherungsunternehmen als auch die Konzernleitlinien. Zudem wurde ein übergreifendes Prozessmodell für die Informationssicherheit sowie das Risikomanagement erarbeitet, das eine klare Abgrenzung der Rollen und Verantwortlichkeiten zwischen der 2nd und der 1st Line of Defence definiert.

    Ein weiterer Bestandteil der Analyse war die Beschreibung der Schnittstellen zu bestehenden operativen Systemen, insbesondere zu Lieferanten- und Vertragsdaten in SAP, die in die zukünftige Lösung integriert werden müssen. Auf Basis dieser Erkenntnisse wurden die funktionalen Anforderungen an das angestrebte GRC-Zielsystem abgeleitet.

    Im Anschluss erfolgte eine Bewertung der funktionalen Abdeckung unter Berücksichtigung unterschiedlicher Archer-Lizenzierungsmodelle. Darauf aufbauend wurde eine Kostenschätzung für die erforderlichen Lizenzen sowie für das Customizing der Zielplattform Archer erstellt. Abschließend wurde eine initiale Projektplanung für das anschließende Umsetzungsprojekt erarbeitet.

    Auftragszeitraum: 6 Monate
    Projektrollen: Teamlead, Business Analyst und PMO

  2. Technische Unterstützung bei der Umsetzung des Risikomanagements

    Im Rahmen der technischen Umsetzung wurde zunächst eine Umsetzungsroadmap erstellt, die sowohl die fachlichen Anforderungen im Sinne des Requirements Engineerings als auch die Unterstützung bei der Erfassung kundenseitiger Fachkonzepte im Rahmen der Business Analyse umfasst. Die erarbeiteten Fachkonzepte wurden anschließend in eine Archer-spezifische-Lösung überführt und durch entsprechendes Customizing in der Zielplattform umgesetzt.

    Ein Schwerpunkt lag dabei auf der technischen Unterstützung zentraler GRC-Funktionen, darunter das Informationsrisikomanagement, die Einrichtung eines Informationsrisikoregisters, das IT-Auslagerungsmanagement sowie die Durchführung von OpRisk-Szenarioanalysen. Ergänzend wurde eine Lösung zur Überwachung der Risikosituation anhand definierter Frühwarnindikatoren implementiert.

    Ebenso wurde ein technisches Berechtigungskonzept entwickelt, das auf kundenseitigen sowie fachlichen Vorgaben basiert. Parallel erfolgte eine modulübergreifende Abstimmung und Harmonisierung der fachlichen und technischen Anforderungen, um eine konsistente Systemarchitektur sicherzustellen. Zur strukturierten Darstellung der Abläufe wurden Geschäftsprozesse auf Basis von BPMN modelliert.

    Zusätzlich erfolgte eine Beratung zum passenden Lizenzmodell des GRC-Tools Archer. Auf dieser Grundlage wurde ein erster Entwurf der GRC-Plattform Archer erstellt und ein entsprechendes Instanzmodell mit den Umgebungen Development, Test, Production und Education aufgebaut.

    Auftragszeitraum: 20 Monate
    Projektrollen: Business Analyst, Solution Engineer, Solution Architect, Testdesigner, Trainer

  3. Linientätigkeit

    Im Rahmen der Linientätigkeit erfolgte eine kontinuierliche Beratung und Bewertung fachlicher Anforderungen. Dabei wurden die Fachbereiche bei der Auswahl geeigneter Umsetzungsvarianten unterstützt und hinsichtlich möglicher Lösungsansätze beraten. Auf dieser Grundlage wurden die fachlichen Anforderungen technisch umgesetzt und in die bestehende Systemlandschaft integriert.

    Darüber hinaus wurde die Weiterentwicklung der Lösung strukturiert aufgebaut und über Jira koordiniert. Dies umfasste insbesondere die Planung und Steuerung von Weiterentwicklungen sowie die Abstimmung mit den beteiligten Fachbereichen. Ergänzend wurden Tests durchgeführt und begleitet, um die Qualität und Funktionsfähigkeit der umgesetzten Anforderungen sicherzustellen. Abschließend erfolgte die Begleitung der produktiven Einführung der Lösung.

    Auftragszeitraum: Januar 2021 bis heute
    Projektrollen: Business Analyst, Solution Engineer, Solution Architect, Tester, Technische Governance

  4. Wartung und Support

    Wartungsarbeiten wurden in enger Abstimmung mit dem Projektauftraggeber und/oder der Projektleitung durchgeführt. Dazu gehörte insbesondere die Begleitung und Durchführung technischer Freigaben für herstellergetriebene Patch-, Wartungs- und Major-Releases der eingesetzten Software.

    Weiterhin erfolgte eine strukturierte Fehler- und Lösungsdokumentation über Jira. Zur Sicherstellung der Produktionsreife wurden Tests durchgeführt sowie Fehler behoben oder Änderungsanforderungen freigegeben, nachdem die entsprechenden Abnahmebescheinigungen des zuständigen Fachbereichs vorlagen.

    Ein weiterer Bestandteil der Tätigkeit war die kontinuierliche Weiterentwicklung der GRC-Plattform Archer unter Berücksichtigung bestehender Standards, beispielsweise IT-Sicherheitsstandards, sowohl im Rahmen des regulären Betriebs als auch in Incident-Situationen. Zudem wurde die Einhaltung der Betriebsprozesse sichergestellt, einschließlich der Berücksichtigung des Ticketverfahrens.

    Ergänzend wurden schriftliche Dokumentationen zu inhaltlichen Änderungen erstellt. Diese umfassten sowohl fachliche Anforderungen als auch die dazugehörige technische Änderungsdokumentation sowie Dokumentationen zu herstellergetriebenen Updates und Patches im Rahmen der jeweiligen Freigaben.

    Auftragszeitraum: Januar 2021 bis heute
    Projektrollen: Business Analyst, Solution Engineer, Service Manager

Case Study als PDF herunterladen

Ergebnisse und Insights auf einen Blick – als PDF. 

JETZT DOWNLOADEN

News teilen

Zurück zu Newsarchiv