Zoran Jovanovic

Konzeption, Autorenschaft und Finalisierung des IT PROD SEC Service-Katalogs mit acht standardisierten Security-Services (S-ID001–S-ID008).

Ausarbeitung konsistenter Service Components & Deliverables, RACI-Zuweisungen sowie SLA- und KPI-Definitionen je Service.

Integration der BaFin-Dokumentenanforderungen nach DORA in die Servicebeschreibungen.

Abstimmung mit IT, Compliance, Risk und Operations zur fachlichen Validierung aller Servicebeschreibungen.

Speziell für Governance & Monitoring: Festlegung des Governance-Takts, Evidenz-Lieferprozesse, Audit-Unterstützung sowie Definition messbarer KPIs und der Messmethodik.

Sicherstellung, dass alle Services standardisiert, messbar und auditfest dokumentiert sind.

Ergebnis: Abgenommener Service-Katalog mit acht Services als verbindliche Grundlage für Delivery, Governance und Audits; transparente SLAs/KPIs je Service und DORA/BAIT/MaRisk-konforme Dokumentation mit klaren Verantwortlichkeiten und Nachweisführung.

Technologien und Tools: Confluence, Jira, ServiceNow, Microsoft PowerPoint, Microsoft Visio, Office 365.

Analyse bestehender Business Continuity Management (BCM)-Prozesse im Hinblick auf DORA RTS 86 Artikel 26.

Identifikation von Lücken gegenüber den regulatorischen Anforderungen und Entwicklung eines maßgeschneiderten Maßnahmenkatalogs zur Schließung dieser Lücken.

Überarbeitung aller bestehenden Business Continuity Pläne (BCPs) unter Einbeziehung aller neun relevanten Szenarien mit Fokus auf Drittanbieterabhängigkeiten.

Definition von Teststrategien zur Wirksamkeitsprüfung der BCPs und Durchführung regelmäßiger Abstimmungen mit IT, Risikomanagement und Compliance.

Anpassung der BCPs an die technischen und organisatorischen Besonderheiten der Lloyds Bank Deutschland.

Ergebnis: Vollständig überarbeitete, DORA-konforme Business Continuity Pläne; gestärkte operative und digitale Resilienz, implementierter regelmäßiger Testplan inklusive RTO/RPO-Definitionen und Notfallkommunikationswegen sowie Vorbereitung auf Aufsichtsprüfungen.

Technologien und Tools: Office 365, Confluence, Jira.

Unterstützung bei der Umsetzung der Vorgaben des Digital Operational Resilience Act (DORA) sowie der regulatorischen Anforderungen aus BAIT und MaRisk.

Prüfung, Neugestaltung und Verhandlung von Verträgen mit Drittparteien zur Sicherstellung der Konformität mit BAIT, MaRisk und DORA.

Entwicklung eines umfassenden SLA- und Control-Frameworks, das sämtliche Anforderungen aus DORA/RTS abdeckt.

Überarbeitung und Neugestaltung von Richtlinien für IT-Governance, ICT-Risikomanagement, Informationssicherheitsmanagement, Monitoring, Auslagerung und Beschaffung.

Sicherstellung der Erfüllung der BaFin-Dokumentenanforderungen nach DORA.

Anpassung der Auslagerungsstrategie an die Vorgaben von DORA und MaRisk.

Konzeption der Digital Operational Resilience (DOR)-Strategie zur Stärkung der operativen Widerstandsfähigkeit der IT-Infrastruktur.

Gestaltung der IT-Asset-Management-Strategie und Unterstützung bei der Umsetzung des Informationsverbunds nach DORA.

Entwicklung einer risikobasierten Methodik (Tool) zur Bewertung von PS 951, ISAE 3402, SOC 1, SOC 2, SOX, PCI DSS und KRITIS-Prüfberichten.

Schulung von Mitarbeitenden im Third-Party Risk Management und Erstellung einer Prozedur für Prüfungen.

Begleitung der Durchführung und Bewertung von Auditberichten wesentlicher Service Provider und Lieferanten.

Verantwortung für die Erstellung des Informationsregisters.

Ergebnis: Erfolgreiche Anpassung der IT- und Sicherheitsprozesse an BAIT, MaRisk und DORA/RTS; Einführung eines SLA- und Control-Frameworks und einer risikobasierten Prüfberichtsauswertung zur Erhöhung der organisatorischen Widerstandsfähigkeit.

Technologien und Tools: Confluence, Jira, Microsoft PowerPoint, Microsoft Visio, Office 365.

Mitarbeit in einem gruppenweiten Projekt im Rahmen des Programms zur Modernisierung der Kreditrisiko-Architektur (Credit Risk Architecture Modernisation Program) der Erste Bank Group in Österreich und CEE.

Zielgerichtete Konsolidierung und Modernisierung des gesamten Risikoportfolios, inklusive Ablösung der mainframe-lastigen Verarbeitung in Österreich und Harmonisierung der Systeme in den CEE-Ländern.

Integration neuer Anforderungen (Basel IV-konforme Rating-Modelle, Frühwarnsysteme, Neubewertungen von Immobilien) in die Zielarchitektur.

Sicherstellung von Kompatibilität und Performance der neuen Umgebung für Batchverarbeitungen und Online-Prozesse sowie für die Anbindung interner und externer Datenquellen (z. B. KSV, CRIF).

Prüfung von Verträgen, Steuerung von Dienstleistern und Nachverhandlungen zu Konditionen für die neugestaltete Zielumgebung.

Zusammenführung von Enabler- und Business-Epics in einem Machbarkeitsnachweis (Proof of Concept) zur Funktionsvalidierung.

Implementierung einer OpenShift-Umgebung für das Computing sowie Einsatz von DB2 auf zOS und von PostgreSQL auf RHEL für das Datenmanagement.

Vorbereitung der langfristigen Ablösung der zentralen ADABAS-Datenbank für das Risikomanagement durch Datenreplikation und Streaming.

Anwendung von PMI, SAFe Lean Portfolio Management, IT-GRC-Assessments, KPIs und Lean Guardrails.

Ergebnis: Leistungsfähige, zukunftssichere Zielarchitektur mit verbesserter Performance, höherer regulatorischer Konformität und vereinheitlichten Risikosystemen in Österreich und CEE.

Technologien und Tools: Experian, FICO, SAS, Confluence, Jira, ITSM, ITAM, zentrale Berechtigungsanwendung, plattformübergreifende Bankenanwendungen, zOS, ADABAS, DB2, PostgreSQL, Google Cloud, Red Hat OpenShift Container Platform, Kafka.

Unterstützung bei der Umsetzung regulatorischer Anforderungen von BaFin und EBA sowie Sicherstellung der vertraglichen Verpflichtungen von IBM.

Schwerpunkt auf verschlüsselte Datenübertragung in einer komplexen IT-Umgebung mit IBM z Systems und AIX Power Systems.

Analyse der Umgebung mit rund 1.500 AIX Power Systems und einer der größten DB2-Installationen in Europa.

Identifikation von Defiziten bei der Einhaltung der Anforderungen zur verschlüsselten Datenübertragung in einem Umfeld mit über 70 Sparkassenverbünden.

Erstellung eines Abschlussberichts mit detailliertem Konzept zur Behebung der Mängel und Ableitung notwendiger Maßnahmen.

Definition technischer Eingriffe in Anwendungen, Datenbanken, Web-Application-Server und Arbeitsstationen in Filialen.

Erstellung einer Management-Zusammenfassung zur Priorisierung des Programms und des Team-Backlogs für einen Enabler Agile Release Train (ART).

Dokumentation des Ist-Zustands und Erstellung von Enabler-Epics.

Evaluierung des IBM Global Security Kits (GSkit) in der DevOps-Umgebung.

Erstellung eines Pflichtenhefts mit User Stories (Anwendergeschichten) für alle acht Netzwerksstrecken im ART.

Planung und Koordination der internen Prozesse mit der Zertifizierungsstelle (Certification Authority, CA) und Ressourcenplanung für Enabler PI-Planungen im ART.

Definition of Done und Review-Prozesse für Systemtest, Abnahme und Wartung.

Dokumentation der Audit- und Investigationsfähigkeit sowie der Testverfahren für den Einsatz durch die interne IT-Compliance.

Regulatorik und Methodik: Umsetzung der Vorgaben aus dem BaFin-Rundschreiben vom 16.08.2021, BAIT, MaRisk, BIS; Einsatz von PMI, SAFe (Product Owner/Product Manager), KPIs und Lean Guardrails.

Technologien und Tools: Confluence, Jira, ITSM, ITAM, zentrale Berechtigungsanwendung, plattformübergreifende Bankenanwendungen, zOS, AIX, DB2, RACF, GSkit, WebSphere, Apache.

Durchführung einer Vorstudie und Erstellung eines stufenweisen Umsetzungsplans zur Zusammenführung und Harmonisierung von Zulieferverträgen und Daten externer Partner.

Ziel: Beseitigung von Intransparenz in der Zusammenarbeit zwischen öffentlicher Verwaltung und externen Partnern infolge mangelnden Change-Managements während der agilen Transformation der IT-Anwendungsentwicklung.

Analyse der Auswirkungen des Fehlens eines LACE-Teams (Lean-Agile Center of Excellence) und eines APMO (Agile Program Management Office).

Auswertung von Prüfberichten des österreichischen Rechnungshofs und der internen Revision.

Nutzung von Prüfberichten und Stakeholder-Interviews zur Erstellung von Epics zur Ermittlung rechtlicher Anforderungen und wirtschaftlicher Bedürfnisse.

Datenauswertung aus den Development Value Streams zur Einschätzung von Komplexität, Kosten und Aufwänden.

Einsatz von SAFe for Government (Business Agility Assessment, Kanban auf EPIC-, Solution-, Program- und Team-Ebene, Lean Budget Guardrails, Participatory Budgeting, MVPs, Agile Contracting).

Erstellung einer ca. 100-seitigen Vorstudie inkl. Management Summary, Phasenbeschreibung von der EPIC-Dokumentation bis zur User Story, Ursachenermittlung mit 13 Ursachenbestandteilen sowie priorisierten Maßnahmenkatalogen.

Definition organisatorischer (9) und technologischer (5) Maßnahmen, inkl. Tool-Konsolidierung und Feature-Implementierung.

Erstellung von Pflichten- und Lastenheften für Program Increments (PIs) und Definition der Zielarchitektur für eine End-to-End-Lösung mit API-Anbindung.

Planung von 3 PIs (9–12 Sprints), Ressourcen- und Budgetfreigabe nach Agile Contracting.

Definition von Systemtest, Abnahme- und Wartungsprozessen (Definition of Done, Reviews, Retrospectives, Inspect & Adapt).

Sicherstellung der Audit- und Investigationsfähigkeit via Standardanwendungen und bidirektionaler Einfluss auf die langfristige IT-Strategie und Strategic Themes.

Technologien und Tools: Confluence, Jira, API-Integrationen, plattformübergreifende Verwaltungstools.