Beschreibung der Beschaffung
Hintergrund:
„Prozessorientiertes IKS“ bedeutet für die IB.SH:
— Eine bankweite Prozesslandkarte liegt vor,
— End2End-Geschäftsprozesse liegen bankweit in modellierter Form in einem BPMN-Format vor,
— Die schriftlich fixierte Ordnung (sfO =Anweisungswesen) ist in die modellierten Prozesse als strukturierte Information integriert,
— Prozessinhärente Risiken und Kontrollen sind an den Prozessen verknüpft,
— Informationen mit ihrem Schutzbedarf und Informationsträgern (i. W. Applikationen) sind an den Prozessen verknüpft,
— Das Informationssicherheitsmanagement (ISMS) ist mit dem Prozessmanagement verzahnt (z.B. Nutzen einheitlicher Datenbasis, keine Doppelterfassungen etc.),
— Das Notfallmanagement ist mit dem Prozessmanagement verzahnt,
— Die prozessinhärenten Risiken, die Risiken des ISMS und des Notfallmanagements werden an das OpRisk-Management zur bankweiten Risikosteuerung der operationellen Risiken übertragen,
— Ein Control-Risk-Self-Assessment (CRSA: Verfahren zur Prüfung der Angemessenheit und Wirksamkeit der Kontrollen) ist prozessorientiert etabliert.
Die IB.SH ist aktuell kurz davor, die im Rahmen eines Projektes (Grundlagenprojektes) vorgenommene Erarbeitung eines methodischen und technischen Rahmens für ein prozessorientiertes IKS abzuschließen.
Aufgabe des Folgeprojektes 1 wird es sein,
—— ein detailliertes CRSA-Verfahren zu entwickeln,
—— eine Toolunterstützung für das CRSA zu beschaffen und zu implementieren,
—— alle Kreditprozesse vollumfänglich ausrollen,
— Modellierung der Prozesse inkl. Integration der sfO, Identifikation von Informationen, Informationsträgern, Risiken und Kontrollen,
— Gleichartige Prozesse einer ersten Harmonisierung unterziehen (z.B. gleiche Begrifflichkeiten für gleiche Sachverhalte oder gleiche Arbeitsfolgen für gleiche Abläufe),
— Schulung des Prozessverantwortlichen bzgl. folgender Tätigkeiten: Schutzbedarfsfeststellung der identifizierten Informationen, Risikobewertung und Kontrollbeschreibung, CRSA,
— Umsetzung der geschulten Inhalte durch die Prozessverantwortlichen,
— Anschließende Qualitätssicherung der Prozesse, Freigabe und Ablösung der bisherigen sfO,
—— alle anderen Prozesse der Bank partiell auszurollen
Im Gegensatz zum „vollständigen Ausrollen“ werden dabei
— Prozesse nicht ausmodelliert auf Arbeitsschrittebene,
— nur die aller wichtigsten Informationen/Informationsträger, Risiken und Kontrollen am Prozess verortet und der Steuerung übergeben.
Tätigkeitsbeschreibung:
Der Dienstleister soll die Auftraggeberin während der Laufzeit des Folgeprojektes 1 in der Projektarbeit vielfältig unterstützen.
Die Auftraggeberin wird dabei Unterstützungsleistungen primär für
—— die Entwicklung einer CRSA-Methodik und
—— die Erhebung von Risiken in den Prozessen, in Zusammenarbeit mit dem Risikocontrolling der Auftraggeberin abfordern.
Weiter wird der Dienstleister
—— die Leitung und Begleitung von Workshops zu Prozessaufnahmen (inkl. methodenkonformer BPMN-Modellierung in BIC, unter Anwendung des bereits erarbeiteten Verfahrens),
—— die Angleichung der sfO an das Prozessmodell,
—— die Durchführung von Schulungen für Mitarbeiter der Auftraggeberin,
—— die Erstellung von Leitfäden,
—— Unterstützung im Changemanagement (Kulturwechsel) sowie
—— die Durchführung der Qualitätssicherung der im Projekt erarbeiteten Ergebnisse
zu erbringen haben.
Weitere Information finden Sie in der Leistungsbeschreibung.