Ausgangslage
Aus vielen Prüfungsberichten der Aufsicht im Rahmen der § 44 KWG Prüfungen zum IT-Manangement geht eindeutig der Ruf nach einer zentralen Geschäftsprozesslandkarte (GPL) hervor, die im Unternehmen künftig für viele Fachbereiche und Themen in der first, second and third Line ein zentrales Element für die Bereitstellung eindeutiger Informationen darstellen soll.
Dabei stellt sich oftmals die Frage nach der „richtigen“ Granularität der GPL und ihrer Prozesse sowie dem Umfang der hinterlegten Informationen in und an den einzelnen Prozessen.
Vorgehen
In einem ersten Schritt wurde mit allen Beteiligten ein gemeinsames Verständnis für den Aufbau der GPL entwickelt. Dabei wurden die Stufen für die Struktur der GPL definiert und die Detailtiefe der Prozesse sowie der am Prozess hintrelegten Informationen (Attribute) auf ein sinnvolles und handelbares Maß begrenzt und verbindlich in einem Konventionenhandbuch festgelegt.
In dem konkreten Fall waren folgende Einheiten eingebunden:
- Fachbereiche zur Abbildung der Prozesse zur Dokumentation der Ablauforganisation
- Revision bezüglich der Informationen für ein Internes Kontrollsystem (IKS): Hierzu wurden die wesentlichen Kontrollhandlungen in den Prozessen mit den definierten Mindestinhalten abgebildet
- IT-Sicherheitsmanagement (ISM) wegen des Schutzbedarfs: Über diverse Schnittstellen wurden Informationen zu den IT-Systemen angeliefert und im Gegenzug die Schutzbedarfe zu den jeweiligen IT-Systemen zugeliefert
- Business-Continuity-Management (BCM) bezüglich der end-to-end Betrachtung bei den Prozessketten sowie der eindeutigen Identifikation der im Prozess beteiligten Ressourcen (z.B. Organisationseinheiten, Rollen, IT-Systeme (inkl. IDV) sowie Dienstleister und Partner)
- Auslagerungsmanagement und Dienstleitersteuerung bzgl. der Prozessinformationen zu den Schutzbedarfen: Diese Informationen wurden z.B. bei der Risikoanalyse des Vorhabens sowie der Vertragsgestaltung benötigt
Fazit
Die Erstellung einer GPL sollte von Anfang an gemäß fest definierter Leitplanken erfolgen. Die Zuliefernden und abnehmenden Fachbereiche sollten von Beginn an in die Überlegungen eingebunden sein. Dabei gilt es, über die einzelnen Ebenen der GPL (von grob bis sehr detailliert) die Regelungstiefe zu definieren und somit den jeweilig abnehmenden Fachbereichen nur die notwendigen Informationen zuzuliefern. Ein zu viel überfordert die Organisation; zu wenig kann sich deutlich auf die Akzeptanz der GPL im Unternehmen insbeondere auf der operativen Ebene auswirken.
Die Implementierung / Ersterstellung einer „guten“ GPL in einem Unternehmen bedarf Ressourcen, Routinen und letztendlich auch Zeit. Sie muss als fester Bestandteil in der Organisation verankert werden; ihre Pflege muss zur Selbstverständlichkeit werden. Oftmals werden erst bei der ersten Überarbeitung oder der Aktualitätsbestätigung der Prozesse nach einem Jahr die letzten Feinheiten mit aufgenommen. Davon profitieren in der Folge auch die nachgelagerten Themen wie BCM sowie ISM und Auslagerungsmanagement. Sobald die GPL in der Organisation als Instrument angekommen ist, kann sie auch als Basis für weitere Themen wie z.B. eine Risikolandkarte im Risikomanagement oder für die Prozess- und Produktkalkulation im Controlling fungieren.
