81268265_Integrierte Risiko-, Audit- und Vorfalls-Management-Software Referenznummer der Bekanntmachung: 81268265
Auftragsbekanntmachung
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Eschborn
NUTS-Code: DE71A Main-Taunus-Kreis
Postleitzahl: 65760
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Fax: [removed]
Internet-Adresse(n):
Hauptadresse: https://www.giz.de
Abschnitt II: Gegenstand
81268265_Integrierte Risiko-, Audit- und Vorfalls-Management-Software
Die Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH plant, eine modular aufgebaute, Integrierte Risikomanagement-Software (IRM-Software, international üblicherweise auch bezeichnet als Governance, Risk and Controlling (GRC) — Software), als Software-as-a-Service (SaaS)-Lösung zu beschaffen.
Die Software soll zur Erfassung und zum Management von
(1) Unternehmensrisiken,
(2) Informationssicherheitsrisiken,
(3) internen und externen Prüfungen und Kontrollen sowie
(4) Vorfällen unterschiedlichster Art eingesetzt werden.
Die vorgenannten Funktionalitäten sollten idealerweise als eigenständige Module auf einer gemeinsamen und einheitlichen Plattform integriert betrieben werden. Die initiale Vertragslaufzeit sollte 46 Monate plus 12 Monate optionale Verlängerung betragen. Neben den Kernleistungen sollen optionale Nebenleistungen, wie zum Beispiel Trainings angeboten werden. Die Software muss allgemeine IT-Sicherheits-, Informationssicherheits- und Datenschutzanforderungen erfüllen (u.a. EU-DSGVO, ISO 27001) und auch fachlich in der Lage sein, internationale Standards im Risikomanagement (insbesondere COSO 2017) abbilden zu können.
Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH
Dag-Hammarskjöld-Weg 1 - 5
65760 Eschborn
Neben der Erfüllung der vorgenannten allgemeinen IT-Sicherheits-, Informationssicherheits- und Datenschutzanforderungen (u. a. EU-DSGVO, ISO 27001) muss die Software in der Lage sein, ein Unternehmensrisikomanagement-System und Unternehmensrisikomanagement-Prozesse abzubilden, die an nationalen und internationalen Standards (COSO 2017, IDW PS 340, IDW PS 981) ausgerichtet sind. Weiterhin muss die Software die Möglichkeit bieten, die grundlegenden Strukturen und Prozesse gemäß der in den nationalen und internationalen Rahmenwerken (BSI-IT-Grundschutz Standard 200-3, ISO/IEC 27001:2013) geforderten Mindestanforderungen an das Management von Informationssicherheitsrisiken abzubilden.
Neben der Berücksichtigung dieser Standards soll die Software einfach konfigurierbar sein und flexibel an Unternehmensrisikomanagement-, Informationssicherheitsrisikomanagement- Audit Management- und Vorfallsmanagement-Prozesse der GIZ angepasst werden können. Die Softwarelösung soll modular aufgebaut sein und die nachstehenden Teilfunktionalitäten beinhalten, die auf idealerweise einer einheitlichen Systemplattform durch Schnittstellen miteinander verbunden sind:
1. Risikomanagement-Modul (inkl. Informationssicherheitsrisiken, alternativ auch als eigenständiges Modul),
2. Audit Management-Modul,
3. Incident-Management-Modul.
Kern der Software ist das Risikomanagement-Modul, das sowohl zum Management der unternehmensrelevanten Risiken wie auch dem Management von Informationssicherheitsrisiken genutzt werden soll und Risikomanagement-Prozesse sowohl bottom-up als auch top-down abbilden kann. Einzelrisiken können standardisiert erfasst, beschrieben, klassifiziert und mit Risikosteuerungsmaßnahmen unterlegt werden. Bei Bedarf können Risiken gleichzeitig oder sukzessiv an mehrere Führungshierarchien zur Information oder Befassung weitergeleitet werden. Die Software unterstützt mit geeigneten Methodiken die Risikoaggregation und die Ermittlung des Gesamtrisikos. Die integrierte Risikoberichterstattung liefert inhaltlich und optisch ansprechende Berichte für Risikoverantwortliche und Führungskräfte. Sollte der Anbieter für Unternehmensrisikomanagement und Informationssicherheitsmanagement unterschiedliche Module anbieten, sollte die Überleitung von Risiken zwischen diesen Modulen möglich sein.
Das Audit-Modul muss in der Lage sein, prozessual sehr unterschiedliche interne und externe, fachlich-inhaltliche und finanz-administrative Prüfungen erfassen zu können. Das Prozessdesign soll eine bedarfsgerechte Anpassung ermöglichen, um alle Phasen von der Prüfungsplanung bis zum Abschluss und Nachbereitung einer Prüfung individuell pro Prüfungsart konfigurieren zu können. Berechtigte Prüfbeteiligte können Fragebögen anlegen, ändern und löschen und diese auch als Kernelement in die Prozessabläufe insbesondere interner Prüfungen einbetten. Darüber hinaus soll das Audit Management-Modul die Möglichkeit bieten, prüfungsrelevante Dokumente mit ausgewählten Beteiligten zu teilen und NutzerInnen unterstützen, aus den verschiedenen Phasen und Elementen einer Prüfung mit geringem Aufwand einen strukturierten Prüfbericht zu erstellen. Auswertungen zur Quantität und den qualitativen Ergebnissen von Prüfungen können in optisch und inhaltlich angemessener Form effizient erstellt werden. Die Auswertungsfunktionalität erlaubt es darüber hinaus, die einzelnen Felder von Fragebögen auszuwerten und die Ergebnisse ansprechend aufzubereiten.
Das Vorfallsmanagement-Modul („Incident Management“ oder „Issue Management“) soll idealerweise ein autarkes Systemmodul und keine Zusatzfunktionalität des Risikomanagement- oder des Audit-Moduls sein. Das Modul soll es ermöglichen, unterschiedliche Vorfallsarten, d. h personenbezogene Vorfälle, Compliance- und Integritäts-Vorfälle, datenschutzrelevante Vorfälle und Vorfälle aus dem Bereich IT- und Informationssicherheit zu erfassen, zu bearbeiten und an zuständige Einheiten weiterzuleiten. Wiederkehrende Meldungen können über eine (teil-)automatisierte First-Level-Response bearbeitet werden. Ein stringentes Rollenkonzept oder abgetrennte Datenräume sorgen für die strikte Vertraulichkeit der Meldungen in den unterschiedlichen Themenfeldern. Berichte und Statistiken zu Vorfällen, Vorfalls-Status und eventuellen Schäden können im System durch berechtigte Nutzer*innen mit geringem zeitlichem Aufwand erstellt werden.
Die Software muss relevante gesetzliche Vorgaben, Normen und Standards, wie die Europäische Datenschutz-Grundverordnung und ISO 27001, erfüllen. Das Anonymisieren oder Maskieren personenbezogener Daten soll in allen Systemmodulen möglich sein. Das System muss über Konnektoren oder API-Schnittstellen mit den von der GIZ eingesetzten SAP-Basissystemen (zunächst ERP, später S/4) kompatibel sein. Darüber hinaus soll die Software weltweit einsatzfähig sein und auch in Büros in Entwicklungsländern mit einer schwach oder instabil ausgebauten IT-Infrastruktur effizient bedienbar sein. Offline-Funktionalitäten sollten das Bearbeiten von Risiken, Audits und Incidents ermöglichen und den anschließenden Re-Import des Vorgangs in die Software unterstützen.
Die Möglichkeit der modularen Erweiterbarkeit der Softwarelösung um Module zur Abbildung des „Internen Kontrollsystems" (IKS), des „Business Continuity Managements" (BCM), der Geschäftspartnerprüfung oder des Projektrisikomanagements (PRM) ist von Vorteil; die Beschaffung solcher Module liegt aber außerhalb des Scopes der hier beschriebenen Beschaffung.
Die Vertragslaufzeit von 46 Monaten kann optional um 12 Monate verlängert werden.
Die Auftraggeberin behält sich optional vor, Vertragsverlängerungen und/oder -aufstockungen auf Basis der in den Vergabeunterlagen genannten Kriterien an das in diesem Verfahren erfolgreiche Unternehmen zu vergeben; i. Ü. siehe ausführliche Leistungsbeschreibung.
Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben
1. Eigenerklärung zur Eintragung ins Handelsregister oder gleichwertigem Register nach den Rechtsvorschriften des Herkunftslands und Einreichung des Auszuges.
2. Eigenerklärung, dass keine Ausschlussgründe nach § 123, § 124 GWB vorliegen.
3. Eigenerklärung Nachunternehmer/Bewerbergemeinschaften.
4. Erklärung der Bewerbergemeinschaft (falls zutreffend).
1. Durchschnittlicher Jahresumsatz in den letzten 3 Geschäftsjahren in EUR (Bei Ausschreibungen, die innerhalb von 6 Monaten nach dem Ende des letzten Geschäftsjahres von der GIZ veröffentlicht werden, kann das viertletzte Geschäftsjahr herangezogen werden.)
2. Anzahl der Beschäftigten und Führungslräfte zum 31.12. des letzten Kalenderjahres.
1. Durchschnittlicher Jahresumsatz in den letzten 3 Geschäftsjahren in EUR (Bei Ausschreibungen, die innerhalb von sechs Monaten nach dem Ende des letzten Geschäftsjahres von der GIZ veröffentlicht werden, kann das viertletzte Geschäftsjahr herangezogen werden.), mindestens: [Betrag gelöscht] EUR.
2. Anzahl der Beschäftigten und Führungslräfte zum 31.12. des letzten Kalenderjahres, mindestens 40 Personen.
1. Vorlage geeigneter Referenzprojekte aus den letzten 3 Jahren.
1. Grundlage der fachlichen Bewertung sind nur Referenzprojekte mit einem Mindestauftragsvolumen von [Betrag gelöscht] EUR.
2. Mindestens 5 Referenzprojekte im Fachgebiete GRC-Software (Governance, Risk and Controlling), wobei die Module Unternehmensrisiko-Management und Informationssicherheitsrisikomanagement innerhalb dieser Projekte mindestens je 3 Mal, das Audit Modul mindestens 2 Mal und das Incident Modul mindestens 1-mal abgedeck sein müssen.
3. Mindestens 2 Referenzprojekte im in der Region Welt ohne Europa und Nordamerika (dazu zählen auch Installationen für Unternehmen mit ihrem Hauptsitz in Europa oder Nordamerika, bei denen die Software in Ländern außerhalb von Europa oder Nordamerika eingesetzt wird).
Abschnitt IV: Verfahren
Abschnitt VI: Weitere Angaben
Die Kommunikation findet ausschließlich über den Projektbereich des Portals statt.
Bekanntmachungs-ID: CXTRYY6Y9XJ
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Fax: [removed]
Internet-Adresse: https://www.bundeskartellamt.de
Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von 10 Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.