Die Deutsche Börse geht den Weg der Cloud-Transformation stetig voran, zu den ersten Schritten zählten die Einführung einer zentralen Prozesskontrolle und eines Risiko-Managements. Besonders dabei: Das Unternehmen gehört ebenfalls zu den ersten Organisationen im Finanzsektor, die eine Multi-Vendor-Cloud-Strategie verfolgen.
Deutsche Börse Group
Als internationale Börsenorganisation und innovativer Marktinfrastrukturanbieter sorgt die Gruppe Deutsche Börse für transparente, verlässliche und stabile Kapitalmärkte. Ihre Geschäftsfelder decken die gesamte Prozesskette von Finanzmarkttransaktionen ab. Das Unternehmen hat seine Zentrale am Finanzplatz Frankfurt/Rhein-Main und ist mit 13.000 Mitarbeitenden weltweit präsent, u. a. in Luxemburg, Prag, Cork, London, New York und Chicago, Hongkong, Singapur, Peking, Tokio und Sydney.
Das Lieblingsargument der Cloud-Befürworter – Kostenersparnis – trifft für Eugen Soydas den Nagel nicht wirklich auf den Kopf. Der Gruppenleiter des Teams Group Compliance, Risk & Audit IT bei der Deutschen Börse hält den Cloud-Weg definitiv für richtig, „die Skalierbarkeit und Reaktionsgeschwindigkeit, die es ermöglichen, schnell und kosteneffizient auf den Markt zu reagieren“, sind für ihn jedoch die Hauptargumente.
Unterstützung vom Hyperscaler
Die Herausforderungen in punkto Transformation und Innovation sind in der Finanzbranche oft dieselben wie überall sonst: Schwere und komplexe interne IT-Landschaften machen es vielen Unternehmen schwer, Hard- und Software zu erweitern oder zu modernisieren. „Via Cloud, bei Bedarf noch mit externen Partnern und mit internem Know-how, lassen sich derartige Anforderungen viel schneller und besser lösen“, sagt Eugen Soydas, „insbesondere bei einem Greenfield-Ansatz.“ Dafür nutzt die Deutsche Börse die sichere Infrastruktur und die führenden Daten- und Analysefunktionen von Google Cloud. Positive Effekte sind zudem die schnellere Entwicklung der digitalen Wertpapierplattform D7 (siehe Glossar), erneuerte Marktabläufe für digitale Vermögenswerte, eine optimierte Datenverteilung sowie verbesserte Datenanwendungsfälle in der Cloud.
Vertrauen ist gut, Risikokontrolle besser
Aufgrund des Bedarfs nach einer stärkeren, zentralen Prozesskontrolle und einem zentralen Risiko-Management, wurde – auch, um den Wunsch nach einer möglichst hohen Standardisierung und Integration in die existierende SAP-Landschaft erfüllen zu können – bereits 2019 die Lösung SAP Governance, Risk & Compliance (GRC) eingeführt. Seither hat sich die Lösung zu der Single Source of Truth für das prozessorientierte Interne Kontrollsystem (IKS) und das Risikomanagement entwickelt. „Die bi-direktionalen Schnittstellen integrieren sowohl interne Audit-Informationen aus SAP Audit Management als auch Human Resources (HR)-, Data Protection-, Business Continuity-, Outsourcing-, Risk Inventory- und Operational Risk-Informationen“, erklärt Eugen Soydas und ergänzt: „Weitere Informationen anderer Kontrollfunktionen werden aktuell im Sinne einer möglichst umfassenden Risk Governance eingebunden.“
Den Standard verstehen
Herausfordernd war zu Beginn vor allem der Wissensaufbau bezüglich SAP GRC: sowohl hinsichtlich der fachlichen Transferleistung als auch des technischen Systemaufbaus. Dazu zwei Beispiele: „Um die Prozess- und Risikoobjekte im GRC umfangreich zu erweitern – es handelte sich nicht um eine einfache Custom Defined Fields-Erweiterung –, mussten wir erst ein Framework implementieren. Nur so konnten wir sicherstellen, dass wir die Daten korrekt, wie es die SAP-Standard-Implementierung vorsieht, bereithalten“, erklärt Eugen Soydas. Dabei bestand die größte Herausforderung für die IT und alle anderen Fachbereiche, die bis dato noch nicht mit SAP-Lösungen gearbeitet hatten, darin, den SAP-Standard zu verstehen. „Der Vorteil ist, dass wir nun effizient Erweiterungen durchführen können. Vor allem für die Integrationsthemen erweist sich das als großer Mehrwert“, fasst Eugen Soydas zusammen.
Do’s and Don’ts
Do’s:
- Implementierung auf Basis der SCRUM-Methode (Agiles Model) ermöglicht eine enge Zusammenarbeit zwischen dem IT-Team (Scrum-Team) und dem Fachbereich (Product Owner).
- Die SCRUM-Methode erkennt falsche Abzweigungen nach spätestens zwei bis drei Wochen, sodass während der Implementierung noch kostengünstig angepasst werden kann.
- Dank konsequenter Durchführung der Retrospektive konnte die Implementierung stetig verbessert und zielgerecht umgesetzt werden.
- Zusätzlich nahm die Qualität der Zusammenarbeit zwischen IT und Fachbereichen weiter zu.
Don’ts:
- Erst das fachliche Problem und das System verstehen: SAP GRC kann nicht ohne dieses Verständnis implementiert werden: In die falsche Richtung abzubiegen, kostet sehr viel Aufwand.
Ein sauberer Cut
Unterstützung für diese speziellen Themen holte sich das Team von einem externen GRC-Experten – eine Maßnahme, die Eugen Soydas nur empfehlen kann, insbesondere um Expertenwissen auf- und auszubauen: „Fachliche Beratung, etwa, wie die Anforderungen des Fachbereichs an die IT übersetzt werden können, kann hier viel Zeit und Kosten sparen. Ziel ist immer, dass die Fachbereiche die Systeme am Ende aus ihrer Perspektive beherrschen und wir die dazugehörigen User-Stories schreiben können.“
Dass es trotz Greenfield-Ansatz und externem Experten-Know-how zu Problemen im Projektverlauf kommen kann, war dem SAP-Applikationsexperten dabei bewusst. „Ungefähr Ende 2020 haben wir erkannt, dass unsere ursprüngliche Einschätzung der technischen Gegebenheiten nicht zutreffend war und haben deshalb einen ‚Code Freeze‘ ausgerufen, um innerhalb von zwei Sprints eine konsistente Grundlage zu schaffen, so dass der Ausbau auf einem gesunden Fundament fortgeführt werden konnte“, sagt Eugen Soydas. „Denn wenn die zusätzlichen kundenspezifischen Daten nicht korrekt gespeichert werden, kann das Ziel einer Single Source of Truth nicht erfüllt werden.“
DSAG-Austausch hilft immens
Seit Herbst 2022 ist Eugen Soydas stellvertretender Sprecher der Arbeitsgruppe GRC und profitiert immens vom geballten Know-how innerhalb der DSAG-Arbeitsgruppe mit anderen SAP-Kunden und -Partnern: „Ich habe viele neue Kolleg:innen mit ähnlichen Herausforderungen kennengelernt, konnte unsere Journey vorstellen und Drittmeinungen einholen. Interessant war auch, dass der Fokus innerhalb der Arbeitsgruppe der Anwendervereinigung stark auf dem Thema Access Control lag. Hier haben wir mittlerweile den Weg hin zu den Modulen Prozesskontrolle und Risk Management geschafft und diskutieren über Möglichkeiten, wie SAP GRC für SAP-Cloud-Systeme wirksam sein kann.“
Arbeitsgruppe Governance, Risk & Compliance (GRC)
Beschäftigt sich mit SAP-Lösungen rund um die Themen GRC. Der Fokus liegt auf dem Erfahrungsaustausch zum Produkt SAP GRC mit seinen Modulen Access Control, Process Control und Risk Management sowie den Möglichkeiten, wie ein GRC für SAP-Cloud-Systeme wirksam sein kann. Ein ständiger Austausch mit SAP-Ansprechpartner:innen vermittelt die Kundensicht auf die Produkte.
2022 stand für den SAP-Entwickler zudem einiges an Programmierarbeit auf dem Arbeitsplan, z. B. die Integration zwischen SAP Audit Management und SAP GRC. Als studierter Informatiker mit Schwerpunkt Software-Entwicklung findet er die Arbeit immer noch spannend und sagt: „Da man die Grundtechnik kennt, kann man als SAP-Entwickler:in eigentlich in alle SAP-Bereiche einsteigen, denn die technologische Basis ist dieselbe. Da sich die SAP-Welt jedoch rasant weiterentwickelt, müssen auch wir SAP-Expert:innen kontinuierlich unseren Wissensstand optimieren.“
Glossar
Digitale Wertpapierplattform D7
D7 ist eine regulatorisch konforme, vollständig digitale Nachhandelsinfrastruktur für Emittenten zur Ausgabe elektronischer Wertpapiere. Diese neue Plattform ermöglicht es, Wertpapiere über ihren gesamten Lebenszyklus hinweg digital zu prozessieren.
Bildnachweis: Shutterstock + Daniella Winkler, Deutsche Börse Group
Download PDF
Autorin: Sarah Meixner
blaupause-Redaktion
blaupause@dsag.de