ARCHIV4. August 2016

Anwenderbericht MLP: 100% IT‑Outsourcing – 2.000 bis 3.000 funktionale Änderungen pro Jahr

Oliver Wildenstein, Fachreferent IT-Governance und IT-Prozessmanagement, MLPMLP
Oliver Wildenstein, Fachreferent IT-Governance und IT-Prozessmanagement, MLPMLP

Ein radikaler Schritt: Um sich besser auf das Kerngeschäft konzentrieren zu können, hat MLP die IT komplett an Dienstleister ausgelagert. Damit der MLP aber nicht die Kontrolle entgleitet, setzten sie auf Process Mining und den SystemProfiler von Virtual Forge. Wie das funktioniert, erläuterte uns Oliver Wildenstein von MLP.

Oliver Wildenstein, Dipl.-Ing. Informationstechnik, Fachref. IT-Governance & -Prozessmanagement, MLP

Outsourcing an sich ist nicht unumstritten – was die MLP macht, kann man aber durchaus als radikal bezeichnen: vollständiges Outsourcing. Das fängt beim Rechenzentrumsbetrieb an, geht über den Einsatz und die Entwicklung von Applikationen bis hin zu Helpdesk und der IT-Ausstattung von Geschäftsstellen und Zentrale. Also schlicht – alles.

MLP-Zentrale in WieslochMLP
MLP-Zentrale in WieslochMLP

Der Grund: In der Finanzdienstleistungsbranche hat sich der Trend zur Industrialisierung und Reduktion der Fertigungstiefe deutlich verstärkt. Daher nimmt MLP für alle Aktivitäten, die nicht zur direkten Wertschöpfung beitragen, die Unterstützung externer Partner in Anspruch. Dies umfasst in der IT sowohl die branchenspezifische Standardsoftware, allen voran SAP, die MLP strategisch nutzt, als auch geschäftsspezifische Eigenentwicklungen, die vorwiegend bei der Kundenberatung zum Einsatz kommen.

BaFin: Mindestanforderungen an das Risikomanagement (MaRISK)

Als Institut mit Banklizenz unterliegt MLP auch im Bereich der ausgelagerten IT-Prozesse und IT-Systeme den Mindestanforderungen der BaFin an das Risikomanagement (MaRisk). Um diesen Vorschriften zu genügen und die organisatorischen, strukturellen und prozessualen Risiken des IT-Outsourcings wirksam steuern zu können, wendet der Finanzdienstleister „eine IT-Governance auf Basis des weltweit führenden COBIT-Standards” an.

Im IT-Bereich sind vor allem der Software-Betrieb und -Einsatz von den MaRisk betroffen.”

Ein wichtiges Thema stellt dabei das Risikomanagement bei der Freigabe von Änderungen, bei Neueinführungen und der Abnahme von Applikationen dar. Daher muss MLP gerade bei diesen Prozessen dafür sorgen, dass die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten jederzeit gewährleistet sind.

Change Management für tausende funktionale Änderungen pro Jahr

Im Bereich des Change Managements muss MLP die ordnungsgemäße Abwicklung von jährlich 2.000 bis 3.000 funktionalen Änderungen an Applikationen sicherstellen, die von den Fachabteilungen beantragt werden. Sämtliche Änderungen werden zentral über den SAP Solution Manager gesteuert, der dazu die geeigneten Werkzeuge, Inhalte und Services bereitstellt: angefangen bei der Idee, Prüfung und Genehmigung einer Änderung über Entwicklung, Test und Abnahme bis zur Einführung in die Produktion. Dabei werden die Änderungen in den Applikationen in Form von Customizing oder Eigenentwicklungen durchgeführt. Um eine ordnungsgemäße Umsetzung sicherzustellen, müssen die Abläufe auf organisatorischer, prozessualer und informationstechnischer Ebene überprüft werden. Dazu setzt MLP neben Process-Mining-Technologien auch den Virtual Forge SystemProfiler ein.

Process Mining statt manueller Stichproben

Der DispatcherMLP
Der DispatcherMLP

Um prozessseitig zu überprüfen, ob die Abläufe nach erfolgter Änderung funktionieren, musste sich der Finanzdienstleister früher auf 20 bis 30 Stichproben pro Jahr beschränken, um den manuellen Aufwand in vertretbarem Rahmen zu halten. Damit jedoch wurde lediglich 1 Prozent der Änderungsanträge abgedeckt, bei den anderen 99 Prozent blieb eine große Intransparenz und damit Unsicherheit bestehen. Mit dem Einsatz von Process Mining konnte dieses Defizit beseitigt werden, da es diese Technologie ermöglicht, Geschäftsprozesse auf Basis digitaler Spuren in den IT-Systemen zu rekonstruieren und auszuwerten. Im Ergebnis erzielt MLP mit Process Mining eine 100-prozentige Transparenz über die Änderungen. Darüber hinaus profitiert das Unternehmen davon, dass die manuellen Aufwände für die Prüfungen enorm reduziert werden.

SystemProfiler für IT-seitige Überprüfung

IT-seitig muss im Bereich des Change Managements gewährleistet sein, dass alle Schritte im Prozess nachvollziehbar sind und die Beteiligten jederzeit einsehen können, wer wann welche Änderungen an den SAP-Systemen vorgenommen und genehmigt hat. Bisher führte MLP dazu regelmäßig manuelle Kontrollen durch und überprüfte den Early-Watch-Bericht im SAP Solution Manager sowie die Anforderungen aus dem DSAG-Leitfaden Datenschutz und dem DSAG-Prüfleitfaden ERP. Auch diese Aufwände gehören der Vergangenheit an, da mit dem SystemProfiler heute ein Werkzeug zur Verfügung steht, das eine vollständige Automatisierung der IT-seitigen Überprüfung möglich macht.

Der SystemProfiler im Einsatz bei MLPMLP
Der SystemProfiler im Einsatz bei MLPMLP

Das Werkzeug, das vom SAP-Sicherheitsanbieter Virtual Forge entwickelt wurde, stellt über 400 Testfälle zur Verfügung: unter anderem im Bereich SAP-Systemprofilparameter, Systemintegrität, Systemperformance, Protokollierung, Passwort-Richtlinie und Berechtigungen. Damit kann MLP händische Kontrollen und Auswertungen des Early-Watch-Berichts nach und nach ersetzen und erhält eine zentrale Übersicht über alle SAP-Systeme. Der SystemProfiler bietet in einem Report einen Überblick über sämtliche SAP-Systeme, der bisher nur durch manuelle Auswertungen jedes einzelnen Systems erzielt werden konnte. Damit sind die IT-Governance und Sicherheit der SAP-Umgebung jederzeit  gewährleistet.

MLP
MLP

„Kennen Sie den Early-Watch-Bericht Ihres SAP-Systems und welche Risiken sich dahinter verbergen?“ lautet die berechtigte Frage an andere SAP-Anwenderunternehmen. Daher empfiehlt es sich, die SAP-Systeme mit dem SystemProfiler zu überprüfen, um dann risikoorientiert zu entscheiden, ob eine gefundene Schwachstelle beseitigt werden muss.

Hohe Transparenz über IT-Prozesse und IT-Systeme

Die Bilanz der Projektverantwortlichen bei MLP ist eindeutig: Verantwortung kann nicht an IT-Dienstleister delegiert werden. Unternehmen sollten ihre Outsourcingpartner über Process Mining und den SystemProfiler steuern, um eine hohe Transparenz über ihre IT-Prozesse und IT-Systeme zu erhalten.aj

Autor Oliver Wildenstein
Oliver-WildensteinFachreferent-MLP-516Oliver Wildenstein ist Dipl.-Ing. In­formati­ons­tech­nik und seit 1998 bei MLP tätig. Nach Ent­wick­ler­tätigkei­ten, Lei­tung meh­re­rer Groß­projekte sowie Führungs­positionen (u.a. J2EE, SAP) ist er seit 2006 Exper­te für IT-Governance und IT-Pro­zessmanagement. Er ist mehrfach zertifiziert (u.a. CGEIT und SixSigma Greenbelt) und hat zahlrei­che Aus­zeich­nun­gen für sein IT-En­gagement erhal­ten. Seit 2013 begeis­tert ihn pro­cess mi­ning.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert