Due Diligence: Lösung bringen, Klarheit schaffen, Risiken identifizieren
Viktoria König
Beurteilung zur Gewährleistung der Business Continuity bei der SWICA
Ausgangslage
Für die SWICA entwickelte die Esurance AG im Kundensegment Start-up/KMU eine Lösung für den Vertrieb von Versicherungsprodukten – dabei handelt es sich um eine Webanwendung für die Vertriebsunterstützung. Die Entwicklung erfolgte im Jahr 2014 in PHP – gegenwärtig erfährt die Lösung ein Rebuild in .NET-Technologie. Um an der Zusammenarbeit mit der Esurance AG festzuhalten, wurde eine Zwischenbeurteilung bezüglich der betrieblichen Sicherheit zur Gewährleistung der Business Continuity priorisiert sowie veranlasst. Weiter wurde geprüft, ob sich sowohl die Entwicklungsprozesse als auch die Software aus dem bisherigen Entwicklungszentrum in ein neues transferieren lassen.
Projektbestreben
Der Auftrag an sieber&partners hatte zum Ziel, das Business Continuity Management der besagten Lösung zu stärken, Klarheit über die Entwicklungsfelder zu erlangen und anschliessend die Risiken bezüglich der IP-Rechte zu identifizieren. Ausserdem klärte sieber&partners, wie gut sich die Entwicklung und der Betrieb auf ein neues Team übertragen lässt, ob die verwendeten Entwicklungsprozesse zwischen der Esurance AG und der Entwicklungsabteilung der SWICA übereinstimmen und welche Vorkehrungen bezüglich des Entwicklungsprozesses und/oder der Software zu treffen sind, damit eine gute Transferierbarkeit bzw. Übertragbarkeit gewährleistet werden kann.
Projektvorgehen
Erste Interviews beabsichtigten, ein (besseres) Verständnis über die verschiedenen Aspekte der IT-Landschaft zu ermöglichen. Anschliessend wurden die Ergebnisse mit den relevanten Interessengruppen validiert sowie mit allen Stakeholdern besprochen. Final wurde eine Dokumentation des IT Due-Diligence-Berichts erstellt.
Im Projekt stellten sowohl Source Code, Dokumentationen, Interviews als auch Verträge die primären Untersuchungsgegenstände dar. Die Übertragbarkeit wurde mittels Transferability Assessment Model ermittelt. Das Modell zur Bewertung der Übertragbarkeit hat dabei die aktuelle Instandhaltungssituation mit einem idealen, auf der Norm NPR-5325 basierenden Referenzszenario für die Übertragung verglichen. Im Allgemeinen listete das Modell Best Practices zu verschiedenen Themen auf und prüfte, ob diese vorhanden sind. Es wurde ebenfalls erweitert, damit die Bewertung der Abläufe mit einbezogen werden konnte.
Key Findings
Der SWICA wurden Ergebnisse und Empfehlungen unterbreitet: Durch die Analyse sowie abgeleiteten Handlungsempfehlungen von sieber&partners kann die SWICA mögliche Hürden sowie Probleme – z.B. in Zusammenhang mit einer Einschränkung des "Freedom to Operate" (FTO) – überwinden. Zudem wurden der SWICA mögliche Risiken, beispielsweise bezüglich der IP-Rechte sowie Übertragbarkeit, vorgestellt.
Weiter konnte durch sieber&partners die Frage beantwortet werden, ob ein Wechsel in die interne Entwicklungsorganisation der SWICA möglich ist. Dafür wurden insgesamt neun Vorkehrungen bezüglich des Entwicklungsprozesses oder der Software ausgearbeitet sowie der SWICA präsentiert.