Back to frontpage

Unter den Ersten

GRC bei der Deutschen Börse

Unter den Ersten blaupause 1-24
Eugen Soydas
Gruppenleiter des Teams Group Compliance, Risk & Audit IT bei der Deutschen Börse
Eugen Soydas Gruppenleiter des Teams Group Compliance, Risk & Audit IT bei der Deutschen Börse

Das Lieblingsargument der Cloud-Befürworter – Kostenersparnis – trifft für Eugen Soydas den Nagel nicht wirklich auf den Kopf. Der Gruppenleiter des Teams Group Compliance, Risk & Audit IT bei der Deutschen Börse hält den Cloud-Weg definitiv für richtig, „die Skalierbarkeit und Reaktionsgeschwindigkeit, die es ermöglichen, schnell und kosteneffizient auf den Markt zu reagieren“, sind für ihn jedoch die Hauptargumente.

Unterstützung vom Hyperscaler

Die Herausforderungen in punkto Transformation und Innovation sind in der Finanzbranche oft dieselben wie überall sonst: Schwere und komplexe interne IT-Landschaften machen es vielen Unternehmen schwer, Hard- und Software zu erweitern oder zu modernisieren. „Via Cloud, bei Bedarf noch mit externen Partnern und mit internem Know-how, lassen sich derartige Anforderungen viel schneller und besser lösen“, sagt Eugen Soydas, „insbesondere bei einem Greenfield-Ansatz.“ Dafür nutzt die Deutsche Börse die sichere Infrastruktur und die führenden Daten- und Analysefunktionen von Google Cloud. Positive Effekte sind zudem die schnellere Entwicklung der digitalen Wertpapierplattform D7, erneuerte Marktabläufe für digitale Vermögenswerte, eine optimierte Datenverteilung sowie verbesserte Datenanwendungsfälle in der Cloud.

Vertrauen ist gut, Risikokontrolle besser

Foto von Innen vom The Cube - „The Cube“, der Konzernzentrale der Gruppe Deutsche Börse in Eschborn
„The Cube“ ist die Konzernzentrale der Gruppe Deutsche Börse und befindet sich in Eschborn.

Aufgrund des Bedarfs nach einer stärkeren, zentralen Prozesskontrolle und einem zentralen Risiko-Management, wurde – auch, um den Wunsch nach einer möglichst hohen Standardisierung und Integration in die existierende SAP-Landschaft erfüllen zu können – bereits 2019 die Lösung SAP Governance, Risk & Compliance (GRC) eingeführt. Seither hat sich die Lösung zu der Single Source of Truth für das prozessorientierte Interne Kontrollsystem (IKS) und das Risikomanagement entwickelt. „Die bi-direktionalen Schnittstellen integrieren sowohl interne Audit-Informationen aus SAP Audit Management als auch Human Resources (HR)-, Data Protection-, Business Continuity-, Outsourcing-, Risk Inventory- und Operational Risk-Informationen“, erklärt Eugen Soydas und ergänzt: „Weitere Informationen anderer Kontrollfunktionen werden aktuell im Sinne einer möglichst umfassenden Risk Governance eingebunden.“

Den Standard verstehen

Herausfordernd war zu Beginn vor allem der Wissensaufbau bezüglich SAP GRC: sowohl hinsichtlich der fachlichen Transferleistung als auch des technischen Systemaufbaus. Dazu zwei Beispiele: „Um die Prozess- und Risikoobjekte im GRC umfangreich zu erweitern – es handelte sich nicht um eine einfache Custom Defined Fields-Erweiterung –, mussten wir erst ein Framework implementieren. Nur so konnten wir sicherstellen, dass wir die Daten korrekt, wie es die SAP-Standard-Implementierung vorsieht, bereithalten“, erklärt Eugen Soydas. Dabei bestand die größte Herausforderung für die IT und alle anderen Fachbereiche, die bis dato noch nicht mit SAP-Lösungen gearbeitet hatten, darin, den SAP-Standard zu verstehen. „Der Vorteil ist, dass wir nun effizient Erweiterungen durchführen können. Vor allem für die Integrationsthemen erweist sich das als großer Mehrwert“, fasst Eugen Soydas zusammen.

Ein sauberer Cut

Unterstützung für diese speziellen Themen holte sich das Team von einem externen GRC-Experten – eine Maßnahme, die Eugen Soydas nur empfehlen kann, insbesondere um Expertenwissen auf- und auszubauen: „Fachliche Beratung, etwa, wie die Anforderungen des Fachbereichs an die IT übersetzt werden können, kann hier viel Zeit und Kosten sparen. Ziel ist immer, dass die Fachbereiche die Systeme am Ende aus ihrer Perspektive beherrschen und wir die dazugehörigen User-Stories schreiben können.“

Dass es trotz Greenfield-Ansatz und externem Experten-Know-how zu Problemen im Projektverlauf kommen kann, war dem SAP-Applikationsexperten dabei bewusst. „Ungefähr Ende 2020 haben wir erkannt, dass unsere ursprüngliche Einschätzung der technischen Gegebenheiten nicht zutreffend war und haben deshalb einen ‚Code Freeze‘ ausgerufen, um innerhalb von zwei Sprints eine konsistente Grundlage zu schaffen, so dass der Ausbau auf einem gesunden Fundament fortgeführt werden konnte“, sagt Eugen Soydas. „Denn wenn die zusätzlichen kundenspezifischen Daten nicht korrekt gespeichert werden, kann das Ziel einer Single Source of Truth nicht erfüllt werden.“

Ziel ist immer, dass die Fachbereiche die Systeme am Ende aus ihrer Perspektive beherrschen und wir die dazugehörigen User-Stories schreiben können.
Eugen Soydas, bp Online
Eugen Soydas
Gruppenleiter des Teams Group Compliance, Risk & Audit IT bei der Deutschen Börse

DSAG-Austausch hilft immens

Seit Herbst 2022 ist Eugen Soydas stellvertretender Sprecher der Arbeitsgruppe GRC und profitiert immens vom geballten Know-how innerhalb der DSAG-Arbeitsgruppe mit anderen SAP-Kunden und -Partnern: „Ich habe viele neue Kolleg:innen mit ähnlichen Herausforderungen kennengelernt, konnte unsere Journey vorstellen und Drittmeinungen einholen. Interessant war auch, dass der Fokus innerhalb der Arbeitsgruppe der Anwendervereinigung stark auf dem Thema Access Control lag. Hier haben wir mittlerweile den Weg hin zu den Modulen Prozesskontrolle und Risk Management geschafft und diskutieren über Möglichkeiten, wie SAP GRC für SAP-Cloud-Systeme wirksam sein kann.“

2022 stand für den SAP-Entwickler zudem einiges an Programmierarbeit auf dem Arbeitsplan, z. B. die Integration zwischen SAP Audit Management und SAP GRC. Als studierter Informatiker mit Schwerpunkt Software-Entwicklung findet er die Arbeit immer noch spannend und sagt: „Da man die Grundtechnik kennt, kann man als SAP-Entwickler:in eigentlich in alle SAP-Bereiche einsteigen, denn die technologische Basis ist dieselbe. Da sich die SAP-Welt jedoch rasant weiterentwickelt, müssen auch wir SAP-Expert:innen kontinuierlich unseren Wissensstand optimieren.“

Bildnachweis: Shutterstock + Daniella Winkler, Deutsche Börse Group

Gremien

💡 Lust, mehr zu erfahren? Im DSAGNet finden Sie unter diesem Gremium/ diesen Gremien nicht nur weitere Infos zum Thema. Sie können es auch selbst mitgestalten. Jetzt aktiv werden!

Mehr zu diesem Tag

Mehr in dieser Kategorie

Mehr von diesem Format