Umgang mit dem Change-Management
Das Change-Management dient der Protokollierung von Änderungen an Schutzobjekten und Prozessen.
Zur Abbildung von Test- und Freigabeverfahren gemäß MaRisk AT 7.2 sowie betrieblicher Anpassungsprozesse gemäß MaRisk AT 8.2 wurde ForumISM um den Bereich Change-Management erweitert. Die Verwendung ist optional und kann in den Einstellungen aktiviert werden.
Die Funktionalität zur Erfassung von Änderungsdokumenten steht an Geschäftsprozessen, Anwendungen, Systemen und Infrastrukturobjekten zur Verfügung. Zur Auswertung stehen verschiedene Ansichten zur Verfügung.
Das Change-Management ist nur in ForumISM verfügbar.
Aktivierung
Die Verwendung ist optional und kann in den Einstellungen aktiviert werden. Um das Change-Management nutzen zu können, ist die Aktivierung in der Einstellungen von ForumISM notwendig.
Die Funktionalität zur Erfassung von Änderungsdokumenten steht an Geschäftsprozessen, Anwendungen, Systemen und Infrastrukturobjekten zur Verfügung. Zur Auswertung stehen verschiedene Ansichten zur Verfügung, welche in unserem Handbuch beschrieben werden.
Die Aktivierung kann nur von einem Benutzer der Anwendung ForumISM mit dem Recht Administrator vorgenommen werden.
Anlegen eines Änderungsdokumentes
Ein Änderungsdokument wird direkt aus einem Geschäftsprozess oder einem Schutzobjekt unter dem Reiter Change-Management heraus angelegt. Sie haben die Möglichkeit ein neues Dokument anzulegen(1) oder die Inhalte aus einem bestehenden Dokument zu kopieren(2)(3).
Mit der Schaltfläche kopieren... ist es möglich, Änderungsdokumente nur aus dem aktuellen Objekt zu duplizieren. Hierdurch werden Aufrufzeiten der zur Auswahl stehenden Objekte deutlich verringert. Über die Schaltfläche aus Allen kopieren... werden Ihnen alle Änderungsdokumente zur Auswahl für das Kopieren aufgerufen. Dieser Vorgang kann bei einer großen Anzahl von Änderungsdokumenten Wartezeiten verursachen.
Beachten Sie bitte, dass beim Kopieren von Änderungsdokumenten eventuell vorhandene Kenntnisnahmen oder Zustimmungen über Workflows und Informationen zu Abnahmen und Tests entfernt werden.
Um ein neues Änderungsdokument anlegen zu können, muss ein Verantwortlicher für das Objekt eingetragen sein und mindestens mit der Rolle Bearbeiter in der Anwendung arbeiten.
Im Feld „Version“ können Sie z.B. für eine Anwendung die aktuelle Programmversion für die aktive Änderung hinterlegen.
Bei der Neuanlage eines Changedokumentes wird der Status des Objektes automatisch auf in Planung gesetzt.
Für die Änderung von Anwendungen können zusätzlich verfügbare sicherheitstechnische Freigaben der Rechenzentrale sowie Softwarebescheinigungen nach IDW PS880 hinterlegt werden. Für Systeme sowie Infrastrukturobjekte können in diesem Bereich eine sicherheitstechnische Freigabe der Rechenzentrale sowie Zertifikate hinterlegt werden.
Auswirkungsanalyse
Im Abschnitt Vorabbewertung können Sie nicht wesentliche Änderungen mit einer entsprechenden Begründung als solche kennzeichnen, ohne weitergehende Analysen durchzuführen.
Zur Unterstützung der Bewertung der Änderung stehen Ihnen im Tab Auswirkungsanalyse entsprechende Checklisten für die Auswirkungsanalyse(1) und die Risikoeinschätzung(3) zur Verfügung. Eine automatisierte Einschätzung anhand der Checklisten kann jedoch nicht erfolgen – das Endergebnis der Wesentlichkeitsprüfung muss daher manuell festgelegt werden.
Das Ergebnis der Auswirkungsanalyse und/oder Risikoanalyse soll Sie bei der Festlegung der Wesentlichkeit(2) der Änderung unterstützen.
Gibt es mehr rote und orange als grüne Ergebnisse, kann man von einer wesentlichen Änderung ausgehen.
Im Abschnitt Vorabbewertung können Sie nicht wesentliche Änderungen mit einer entsprechenden Begründung als solche kennzeichnen, ohne weitergehende Analysen durchzuführen.
Legen Sie für sich eine Bewertungsgewichtung an, um an Hand dieser das Endergebnis der Wesentlichkeitsprüfung gemäß den Richtlinien ihres Unternehmens festlegen zu können.
Status des Changes
Jede Änderung kann verschiedene Status-Zustände annehmen:
Vorab muss das Dokument über die Schaltfläche Editieren in den Zustand der Verarbeitung versetzt werden. Der jeweilig gewählte Status wird im oberen rechten Rand unter der Titelleiste angezeigt.
Workflow für die Dokumentation
Für die Dokumentation, also das „Unterschreiben“ eines Änderungsdokumentes, nutzen Sie bitte die Workflows in der ForumSuite. Informationen finden Sie hier in unserm Handbuch unter Umgang mit Workflows.
Wenn ein Änderungsdokument im Ergebnis der Auswirkungsanalyse als „wesentlich“ eingestuft wurde, ist eine Kenntnisnahme durch Revision, Risikocontrolling und Compliance in jedem Fall erforderlich.
Test- und Freigabeverfahren
Im Reiter Test- und Freigabeverfahren können Tests die Änderung betreffend dokumentiert werden (falls erforderlich). Ob Tests erforderlich sind legt der Verantwortliche/Ersteller des Änderungsdokumentes fest.
Für Geschäftsprozesse kann in diesem Bereich hinterlegt werden, ob eine Pilotphase und eine fachliche Abnahme der Änderungen notwendig ist.
Für Anwendungen, Systeme und Infrastrukturobjekte können entsprechende fachliche und technische Tests hinterlegt werden.
Bei einer wesentlichen Änderung ist ein Test- und Freigabeverfahren sinnvoll.
Der Verantwortliche/Ersteller des Änderungsdokumentes erstellt, je nach Bedarf, entsprechende Test-/Freigabedokumente, weist diese einem Verantwortlichen zu und erstellt eine Aufgabe mit Fälligkeitsdatum und kurzer Beschreibung.
Die Testfallbeschreibung sollte hierbei in enger Zusammenarbeit mit dem Verantwortlichen des Geschäftsprozesses/der Anwendung erfolgen.
Die Verantwortlichen erhalten eine Mail über anstehende Aufgaben und können die Dokumente über die in der Mail enthaltenen Links direkt öffnen und bearbeiten.
Die Fachlichen und Technischen Tests, als auch die Fachlichen und Technischen Abnahmen am Änderungsdokument besitzen eine Bezeichnung, welche sich aus der Definition des Test und dem Namen des Änderungsdokumentes zusammensetzt.
Die Bezeichnung der Fachlichen und Technischen Abnahmen wird automatisch erstellt und ist nicht anpassbar.
In allen Tests und auch den Abnahmen ist außerdem das Änderungsdokument ersichtlich, woran eben diese verknüpft sind. Das Feld mit dem Änderungsdokument ist hier nicht anpassbar, aber es verlinkt direkt zum Änderungsdokument
Durch das Anzeigendes Freigegeben-Hakens wird ersichtlich, welcher Tests bereits freigegeben ist. Das Testergebnis wird farblich hervorgehoben, um eine bessere Auffassung zu gewährleisten.
Maßnahmen
Änderungen an einem Geschäftsprozess oder Schutzobjekt können weitere Maßnahmen (z.Bsp. Anpassung der Kompetenz-Profile, Änderungen an Einstellungsparametern o.ä.) erforderlich machen.
Erstellen Sie hierzu eine Maßnahme am Änderungsdokument, weisen Sie dieser Maßnahme einen Verantwortlichen zu und erstellen Sie eine entsprechende Aufgabe für den Verantwortlichen.
Sofern unter Umsetzungstermin ein Datum hinterlegt wird, betrachtet ForumISM die Maßnahme wie eine offene Aufgabe.
Falls Sie an einer Stelle eine Genehmigung und/oder Kenntnisnahme benötigen, können Sie zu jedem Zeitpunkt und an jedem Dokumententyp einen Workflow initiieren. Am Workflow-Dokument selbst gibt es die Option Bearbeitung blockieren.
Wenn Sie diese Option nutzen, kann die Änderung / Maßnahme erst nach erfolgter Genehmigung / Kenntnisnahme weiter bearbeitet werden.
Ein als Abgeschlossen markiertes Änderungsdokument kann, falls notwendig, zurückgesetzt werden, um eine weitere Bearbeitung zu ermöglichen. Sie werden zu jeder Zeit gefragt, ob Sie den Status des Changedokumentes ändern wollen.
Risikomanagement
Die im Zuge der BAIT-Neuerungen vom 16.08.2021 eingeführte Funktion, Risiken an einem Änderungsdokument erfassen zu können, wird in ForumISM wie folgt abgebildet:
- Risiken am Änderungsdokument werden im Risiko-Cockpit und im Risiko-Excelbericht nicht ausgewiesen
- Ausnahme ist das Deckblatt des Excel-Risikoberichts. Hier wird in den Statistikdaten die Anzahl der Risiken am Änderungsdokument mit ausgegeben.