BLOG HOME

  • AssurX NERC CIP-Verstöße sind eine Lektion in Management und Modernisierung

6. Oktober 2020

Dieser Artikel ist der letzte einer dreiteiligen Serie: „Auswahl einer automatisierten Compliance-Management-Softwareplattform.“  

Teil I , Teil II Diese Artikel dieser Reihe bieten Best-Practice-Anleitungen für die Vorbereitung und Auswahl Ihres Compliance-Management-Systemanbieters. Sobald Sie einen Vertrag mit Ihrem Anbieter abgeschlossen haben, beginnt der finale Planungs- und Implementierungsprozess. Dieser Artikel führt Sie durch einige wichtige Vorgehensweisen und zeigt Ihnen, wie Sie Hindernisse vermeiden können.

Während der Implementierung Ihres Systems tragen viele Menschen zum Ergebnis bei. Sie führen eine abschließende Überprüfung des Projektumfangs durch und arbeiten mit Ihrem Anbieter an Zeitplänen, Systemintegration und Prozessabläufen. Sie optimieren Ihr System und schulen die Organisation. Der Erfolg des Projekts hängt von der Stärke der Teams, der Festlegung realistischer Fristen, kontinuierlicher Kommunikation und der Bereitschaft zu Veränderungen ab.

Bestimmen Sie das Kernimplementierungsteam

Das Kernimplementierungsteam besteht aus einer Gruppe von Personen, die für die tägliche Planung, Tests und praktische Implementierungsaktivitäten verantwortlich sind. Dieses Team benötigt zusätzliche Zeit und Ressourcen für die Projektarbeit sowie die Befugnis, projektbezogene Entscheidungen zu treffen oder zu koordinieren.

Eine einzelne Person sollte als Leiter des Implementierungsteams benannt werden, mit einer zweiten Person als Ersatz. Diese Person ist der Projektmanager; die Kommunikation zwischen Kunde und Anbietern sollte direkt über den Teamleiter als zentrale Anlaufstelle laufen.

Alle Anbieter, die zum System beitragen – einschließlich des primären Plattformanbieters und der Anbieter weiterer Systeme – sollten jeweils über ein eigenes Implementierungsteam verfügen. Dazu gehören ein Teamleiter für jeden Anbieter sowie ein sekundäres Backup.

Das Implementierungsteam muss mit Unterstützung der wichtigsten Stakeholder den Glauben und das Vertrauen in das Projekt stärken. Stakeholder sollten regelmäßig eingebunden werden und unternehmensweit kommunizieren und Updates bereitstellen. Ihr neues System wird bahnbrechend sein. Sie möchten sicherstellen, dass das resultierende Projekt den Anforderungen der Stakeholder entspricht und ein Gefühl der Eigenverantwortung im Unternehmen fördert.

Leider gibt es in vielen Projekten Zyniker. Sie könnten auf Widerstand von Leuten stoßen, die Veränderungen einfach nicht mögen und Fortschritt und Moral behindern können. Identifizieren Sie diese diskret und nutzen Sie Strategien, um ihre Unterstützung zu gewinnen. Fragen Sie beispielsweise nach Meinungen zu Funktionen, die ihre Arbeit effizienter machen. Geben Sie ihren Vorschlägen und Beiträgen Anerkennung. Lassen Sie sich auf keinen Fall von Ihren Kernanforderungen abbringen!

Ihr Projektumfang mit den festgelegten Prioritäten ermöglicht eine schrittweise Implementierung mit klaren Meilensteinen. Versuchen Sie nicht, alles auf einmal zu erledigen. Die Implementierung sollte zweistufig erfolgen: Die Funktionalität sollte schrittweise eingeführt werden, und die Einführung in verschiedene Bereiche sollte schrittweise erfolgen. Definieren Sie die Rollen und Verantwortlichkeiten der Teammitglieder klar.

Optimieren Sie Ihre Systemprozesse

Obwohl Sie Ihre Anforderungen dokumentiert und möglicherweise eine erste Prozessabbildung basierend auf Ihren Erwartungen erstellt haben, kommt es häufig vor, dass Sie mit Ihrem Anbieter wesentliche Änderungen vornehmen. Der Anbieter hat ähnliche Implementierungen durchgeführt (da keine zwei gleich sind) und weiß genau, was am besten funktioniert und warum. Nach der Überprüfung der Prozesse können effizientere Wege zur Fertigstellung helfen, das System weiter zu optimieren. Dies beginnt mit Workflow-Überprüfungen, um sicherzustellen, dass Sie wesentliche Schritte erfasst und unnötige Schritte minimiert haben.

Bestehende Prozesse/Workflows: Dokumentieren Sie die vorhandenen Prozesse/Arbeitsabläufe klar und deutlich und dokumentieren Sie alle Änderungen, die sich durch die Migration auf das neue System ergeben:

  • Dokumentieren Sie den normalen Ablauf sowie alle Ausnahmen.
  • Fügen Sie Rollen und Genehmigungen hinzu (Zuständiger, Prüfer, Genehmiger usw.). Fügen Sie gewünschte Eskalationen und Benachrichtigungen hinzu. Fügen Sie alle Berechtigungen hinzu.
  • Achten Sie auf „versteckte“ Prozessschritte – die Aktivitäten der Benutzer, die in keiner vorhandenen Prozessdokumentation erfasst sind. Erstellen Sie einen formalen Prozessschritt.

Neue Prozesse/Workflows: Dokumentieren Sie mit demselben Ansatz:

  • Neue Arbeitsabläufe und Ausnahmen.
  • Eckdaten und deren Entstehung.
  • Rollen und Genehmigungen.
  • Sicherheit/Berechtigungen (wer kann den Datensatz hinzufügen/bearbeiten/anzeigen/löschen).
  • Der zeitliche Ablauf der Prozesse (Fälligkeitstermine, Meilensteine ​​etc.).
  • Gewünschte Benachrichtigungen und Eskalationen.

Nutzen Sie die umfassende Erfahrung Ihres Anbieters als Bereicherung für Ihre Arbeit, nicht als Kritik. Er kennt sich mit Best Practices aus und hat ein persönliches Interesse am Erfolg Ihres Compliance-Management-Systems.

Umfang der Integration und Datenmigration

Eine erfolgreiche Integration erfordert ein Verständnis der Rolle jedes Systems, der benötigten Daten und des erforderlichen Nachrichtenaustauschs zwischen ihnen. Ihr Anbieter unterstützt Sie bei Bedarf bei der ganzheitlichen Visualisierung und Dokumentation der Anforderungen für den gesamten Datenaustausch. Unterschätzen Sie niemals den Aufwand für die Übertragung großer Datenmengen.

Zu den Anforderungen, die für die Migration (und den laufenden Betrieb) berücksichtigt werden müssen, gehören:

  • Eindirektionale vs. bidirektionale Kommunikation
  • Welche Kommunikationsprotokolle werden von jedem System unterstützt?
  • Protokolle, die Sie für die Integration verwenden
  • Identifizieren, wer für die Interaktion mit jedem System verantwortlich ist
  • Erforderliche Anpassungen, um die richtigen Ein-/Ausgaben zu erreichen
  • Wer ist für die Erfassung und Vorbereitung der Daten für den Import verantwortlich?

Implementierung: Umfangskontrolle und Änderungsmanagement

Während des gesamten Implementierungsprozesses ist es wichtig, innerhalb Ihres Umfangs zu bleiben. Sie haben Ihren Projektstrukturplan im Produkt- und Projektumfang festgelegt. Konzentrieren Sie sich zu Beginn der Implementierung auf diese Parameter, um eine Ausweitung des Umfangs zu vermeiden.

Scope Creep bedeutet, Funktionen, Features oder Arbeiten hinzuzufügen, die über den vereinbarten Umfang hinausgehen. Scope Creep kann viele Gründe haben, darunter:

  • Unkontrollierten Kontakt zwischen nicht benannten Teamleitern zulassen
  • Der Versuch, Funktionen einzubauen, die „nice to have“ sind
  • Beginnen Sie mit dem Entwurf und der Entwicklung, bevor Sie eine gründliche Risikobewertung, Anforderungsanalyse und Kosten-Nutzen-Analyse durchführen.
  • „DIY“-Programmierung nicht im Geltungsbereich zugelassen
  • Zusätzliche Anfragen von Aktionären, die die Komplexität der Umsetzung möglicherweise nicht verstehen

Es ist nahezu unmöglich, eine Ausweitung des Umfangs zu verhindern. Änderungen des Umfangs oder der Funktionen wirken sich auf den Zeitplan aus. Konzentrieren Sie sich in diesem Fall auf die wichtigsten Punkte, die im Hinblick auf die aktuellen Aufgaben am sinnvollsten sind. Legen Sie weitere nützliche Ideen oder zukünftige Anforderungen für ein Folgeprojekt zurück, sonst riskieren Sie, weit vom Zeitplan und Budget abzuweichen.

Am wichtigsten ist die Implementierung eines Änderungsmanagementprozesses, um signifikante Abweichungen von der geplanten Lösung zu dokumentieren. Die Formalisierung von Änderungen stellt sicher, dass dokumentiert wird, warum etwas geändert wurde und wer an der Entscheidung beteiligt war. Manche Kunden nutzen ein formalisierteres Change Board, bei dem alle Beteiligten signifikanten Änderungen zustimmen müssen, bevor diese umgesetzt werden. Die Genehmigungen des Change Boards können über eine automatisierte Änderungsmanagementlösung erfolgen.

Testmanagement

Der erste Schritt beim Testen ist die Erstellung von Testplänen. Idealerweise werden Testpläne erstellt, bevor Teile des Systems implementiert werden. Ziel ist es, einzelne Funktionen des Systems zu testen, um sicherzustellen, dass die gewünschten Ergebnisse erzielt werden. Die Testpläne sollten verschiedene Testarten umfassen, darunter:

  • Unit-Tests: Stellen Sie sicher, dass sich jedes Element wie erwartet verhält. Klicken Sie auf jede Schaltfläche, jeden Link, jede Menüoption, jedes Feld usw.
  • Zuordnungen: Stellen Sie sicher, dass Datensätze der richtigen Person zugewiesen und Genehmigungen von den richtigen Personen angefordert werden.
  • Berechtigungen: Stellen Sie sicher, dass Benutzer daran gehindert werden, Dinge zu tun, die sie nicht tun dürfen, und dass sie über die erforderlichen Berechtigungen verfügen, um das zu tun, was sie tun müssen.
  • Hinweise: Testen Sie, ob die Nachrichten korrekt sind und an die richtigen Empfänger zugestellt werden. Achten Sie darauf, wie viele Benachrichtigungen im Laufe der Prozesse zugestellt werden – passen Sie dies an, wenn zu viele oder zu wenige Benachrichtigungen eingehen.
  • End-to-End-Tests: Führen Sie einfache bis komplexe Situationstests durch, um sicherzustellen, dass jeder Prozess von Anfang bis Ende wie erwartet funktioniert.

Erwägen Sie Tests mit verschiedenen Zielgruppen. Das Kernteam wird sich mit dem System vertraut machen und weiß, wie es damit interagieren kann. Tests mit Beispielzielgruppen, die mit dem System nicht vertraut sind, geben Aufschluss darüber, was funktioniert, welche Bildschirmanweisungen fehlen, welche Tests ausbleiben oder warum das System nicht funktioniert.

Arbeitsumfeld

Alle Arbeiten sollten in einer Entwicklungsumgebung durchgeführt und anschließend in eine Test- oder QS-Umgebung übertragen werden. Erst wenn die Funktionen gründlich getestet und für betriebsbereit erklärt wurden, sollten sie in die Produktionsumgebung übertragen werden.

Die Entwicklungs- und Testumgebungen sollten so nah wie möglich zur Produktionsumgebung. Jede Umgebung sollte regelmäßig gesichert werden.

Training

Sollten Sie jetzt aufgefordert werden, ein Trainingsmanagementsystem Wurde noch keine Integration in das Compliance-Management-System erworben, ist es noch nicht zu spät. Erstens können Schulungsaufgaben automatisch basierend auf Ereignissen in anderen Softwaresystemen gestartet werden. Zweitens werden zugehörige Schulungsaktivitäten systematisch verwaltet und aufgezeichnet und können in Dashboards verfolgt werden, die Fortschritt, Trends und überfällige Aufgaben anzeigen. Drittens und schließlich sorgen Kontrolle und Transparenz dafür, dass Ihr Unternehmen effizient arbeitet und die gesetzlichen Anforderungen erfüllt.

Der Schulungsbedarf variiert je nach Rolle. Daher sollten Schulungskurse und -materialien auf die jeweilige Rollengruppe zugeschnitten sein. Überlegen Sie, wer frühzeitig geschult werden muss, um das System gründlich zu testen, und wer erst nach Abschluss der Entwicklung geschult werden muss.

Um unternehmensweite Schulungsinhalte zu erstellen, befragen Sie frühzeitig Testbenutzer. Diese können dann eruieren, welche Inhalte für die jeweilige Benutzergruppe am besten geeignet sind. Ein häufiger Fehler ist jedoch, dass die Schulung zu früh beginnt. Lassen Sie keine zu große Lücke zwischen Schulung und Inbetriebnahme. Zu viel Zeit kann Ihre Supportressourcen später belasten. Ohne die Möglichkeit, das Wissen sofort anzuwenden, entsteht häufig eine Wissenslücke. Um diese Lücken zu schließen, erstellen und aktualisieren Sie die Schulungsdokumentation während des gesamten Prozesses.

System-Rollout

Es mag offensichtlich erscheinen, aber stellen Sie sicher, dass Sie alles testen und alle schulen bevor Versuchen Sie, mit einem beliebigen Teil des Systems live zu gehen.

Begrenzen Sie die Anzahl der Benutzer zunächst, wenn möglich, um von ihnen zu erfahren, welche Lücken in Bezug auf Funktionalität, Berechtigungen, Benachrichtigungen, Dokumentation und/oder Schulung bestehen. Erwägen Sie beispielsweise, die Einführung zunächst an einem Standort durchzuführen und mit den Hauptbenutzern einer Abteilung zu beginnen. Ein kontrollierterer Rollout mit klar definierten Kontrollpunkten gewährleistet die Abstimmung mit Ihrem Team, Ihrem Lieferanten, Ihren Stakeholdern und den Systembenutzern.

Fazit

Eine erfolgreiche Softwareimplementierung ist eine Kunst – nicht nur müssen die technischen Komponenten vorhanden und gründlich getestet, Benutzer geschult usw. sein, sondern auch Begeisterung für das neue System wecken, um die Akzeptanz zu fördern. Auch bei sorgfältiger Planung sollten Sie sich auf Veränderungen einstellen. Das Management von Änderungen ist von Projektbeginn an und während der gesamten Lebensdauer Ihres Compliance-Management-Systems entscheidend. Eine Implementierung dieser Größe und dieses Umfangs kann eine Herausforderung sein, doch die Vorteile eines automatisierten Compliance-Ökosystems machen sich bezahlt.