Von der Software Auswahl bis zur erfolgreichen Implementierung bei Ihren Kunden. Teil 2: Zusammenarbeit während der Phase der Softwareauswahl

Wir haben die GRC advisor Webinar Reihe ins Leben gerufen, um die erfolgreiche bestehende Zusammenarbeit mit Beratungsunternehmen zu vertiefen und weiter auszubauen. Beide Seiten profitieren voneinander, verfügen sie doch über jeweils ergänzende Erfahrungsschätze, die äußerst hilfreich sein können. In diesem Blogbeitrag fassen wir die Inhalte des zweiten Teils der GRC advisor Webinar Reihe kurz zusammen. Die folgende Grafik zeigt die aus unserer Sicht häufigsten Hürden und Stolpersteine sowie mögliche Lösungsansätze. Einige Punkte wollen wir in diesem Blogbeitrag genauer hervorheben.

 

 

 

Analyse der Anforderungen:

In der Regel verändern sich die Prozesse und Vorgehensweisen, während man die Anforderungen zusammenträgt, noch weiter. Das liegt daran, dass die fachlichen Projekte noch nicht ganz abgeschlossen sind und man dennoch schon mit der Tool-Auswahl startet. Das ist aus unserer Sicht normal, man sollte nur darauf achten, dass man die verschiedenen Versionsstände sauber versioniert erhält und auch Möglichkeiten schafft, die Veränderungen einfach erkennen zu können - sowohl intern beim Kunden als auch beim Übergang nach Außen und im Kontakt mit Anbietern wie avedos.


Weiters ist es wichtig, die sehr unterschiedlichen Beschreibungen der Anforderungen der verschiedenen Beteiligten in eine einheitliche Struktur und auf ein vergleichbares Level an Detailtiefe zu bringen. Hier empfiehlt es sich, aus den einzelnen Kategorien im Anforderungskatalog jeweils ein paar Beispiele zu beschreiben, damit alle Beteiligten wissen, was von ihnen erwartet wird und schließlich eine einheitliche Übersicht zu den Anforderungen vorliegt.

 
In der frühen Phase geben wir gerne Anregungen zu den üblichen Kategorisierungen und Anforderungen, die es aktuell im Markt gibt. Diese Anforderungen und Ausschreibungen zu bearbeiten gehört zu unserem täglichen Geschäft, weswegen wir einen guten Überblick haben, was sich aktuell verändert. Vor einigen Jahren z.B. war das Thema Künstliche Intelligenz (KI) bzw. Machine Learning noch sehr weit entfernt, mittlerweile begegnet es uns regelmäßig in Ausschreibungen.


Ein weiteres Beispiel betrifft den Betrieb der Software – sie kann entweder klassisch, nach Kauf, von der IT betrieben oder als Cloud-Variante bei uns gehostet werden.

Ausschreibung:

Sobald die Ausschreibung bei uns eingelangt ist sollten wir möglichst frühzeitig informiert werden, falls sich Timelines verschieben. Das hat zum einen Implikationen auf unsere Ressourcenplanung, die wir dann entsprechend anpassen; zum anderen hat es sich bewährt, zu besprechen, was eine geänderte Timeline für Umsetzung und GoLive bedeutet. Wir erleben oft, dass sich die Ausschreibung und die Entscheidung verzögern, der GoLive jedoch nicht. In dem Fall ist es aus unserer Sicht sinnvoll zu überlegen, bis wann eine Entscheidung getroffen werden muss, ohne den GoLive zu beeinflussen.
Häufig stehen auch sog. Prüfaufträge an kurz bevor die Entscheidung getroffen wird. Hier stehen wir gerne zur Seite und helfen mit Regelwerken, Einblicken, Argumenten etc., die anderen Kunden bereits geholfen haben. Bspw. stellt sich oft die Frage zwischen dem Kauf einer spezialisierten Software und der Option, eine GRC-Software selbst In-House zu entwickeln. Hier stehen wir gerne mit unserem reichen Erfahrungsschatz zur Verfügung. 

Bewertung und Auswahl:

Ein wesentlicher Punkt in der Bewertung und Auswahl der Anbieter ist schließlich die Angebotspräsentation. Hier gilt es eine Vergleichbarkeit zwischen den Anbietern zu schaffen, also möglichst konkrete Use Cases vorzugeben. Es empfiehlt sich, die jeweiligen Teilnehmer der Angebotspräsentation vorher kurz zu briefen, um den Fokus auf die wichtigsten Entscheidungskriterien zu legen. Für uns ist es auch sehr wichtig die Schwerpunkte zu kennen, damit wir unsere Präsentation danach ausrichten können und wir helfen, sofern gewünscht, auch gerne dabei, die Agenda mitzugestalten. Wir erleben sehr viele Angebotspräsentationen und wohin sich die Diskussionsschwerpunkte verschieben können. Das bereits von Anfang an zu berücksichtigen ist empfehlenswert um Überraschungen zu vermeiden.

 

 

Die obere Grafik fasst zusammen, weswegen besonders präzise beschriebene Anforderungen so wichtig für uns sind. Zum einen gestalten wir das maßgeschneiderte Angebot und entwickeln die Schwerpunkte der Angebotspräsentation dazu. Wir bereiten immer eine angepasste Demo vor, in der wir die Geschichte des Kunden erzählen wollen. Sollte es schon Mockups oder Screenshots geben, oder bereits feststehen, welche Felder es geben soll, hilft uns das besonders, die Pflichtanforderungen gut zu erklären.


Der wichtigste Block ist der der Kalkulation der Dienstleistungen. Das ist oft ein wesentlicher Entscheidungsfaktor, der in den Scoringmodellen hoch gewichtet ist. Wir gehen die Anforderungen detailliert durch, um möglichst viel über Vorgehen, Abläufe, Schnittstellen, Abhängigkeiten, Rollenkonzepte usw. in Erfahrung zu bringen. Darauf aufbauend entwickeln wir unsere Kalkulationen, aus denen wesentliche Entscheidungen adressiert werden, z.B. ob Code entwickelt werden muss oder Anforderungen konfigurativ umgesetzt werden können.

Beispiel zum Thema der GRC Integration mit Fokus auf Schnittstellen zwischen den einzelnen Prozessen:

 


Unser Kunde hat mit der Ausschreibung eine wichtige Entscheidung getroffen, nämlich dass risk2value die führende Plattform für sämtliche GRC-Themen im Unternehmen werden soll. Zu Beginn des Projekts haben wir uns zunächst mit Enterprise Risk Management auseinandergesetzt, danach das Interne Kontrollsystem aufgebaut und zuletzt die Themen Informationssicherheit und Datenschutz abgebildet. Im Rahmen des ERM, wo die Risiken und Maßnahmen erfasst werden, erfolgt die erste Schnittstelle zu Informationssicherheit, in dem bei jenen Risiken, bei denen eine Relevanz gekennzeichnet wird, eine sehr kompakte Business Impact Analyse hinterlegt werden muss. Beim IKS gibt es auch eine Verzahnung zum ERM: Denn die Effekte aus den Kontrollen werden über die Prozessrisiken zurück in die Unternehmensrisiken gemapped und die jeweils mildernden Effekte werden auf die Risikobewertung angerechnet. Interne Revision und Compliance sind in den nächsten Monaten angedacht und wir halten Sie gerne diesbezüglich auf dem Laufenden.