Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Eschborn
NUTS-Code: DE71A Main-Taunus-Kreis
Postleitzahl: 65760
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse(n):
Hauptadresse: https://www.giz.de

Andere: Juristische Person des privaten Rechts (gemeinnützige GmbH) finanziert durch die Bundesrepublik Deutschland

Andere Tätigkeit: Internationale Zusammenarbeit

81268265_Integrierte Risiko-, Audit- und Vorfalls-Management-Software

Referenznummer der Bekanntmachung: 81268265

Dienstleistungen

Die Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH plant, eine modular aufgebaute, Integrierte Risikomanagement-Software (IRM-Software, international üblicherweise auch bezeichnet als Governance, Risk and Controlling (GRC) - Software), als Software-as-a-Service (SaaS)-Lösung zu beschaffen.

Die Software soll zur Erfassung und zum Management von

(1) Unternehmensrisiken,

(2) Informationssicherheitsrisiken,

(3) internen und externen Prüfungen und Kontrollen sowie

(4) Vorfällen unterschiedlichster Art eingesetzt werden.

Die vorgenannten Funktionalitäten sollten idealerweise als eigenständige Module auf einer gemeinsamen und einheitlichen Plattform integriert betrieben werden. Die initiale Vertragslaufzeit sollte 46 Monate plus 12 Monate optionale Verlängerung betragen. Neben den Kernleistungen sollen optionale Nebenleistungen, wie zum Beispiel Trainings angeboten werden. Die Software muss allgemeine IT-Sicherheits-, Informationssicherheits- und Datenschutzanforderungen erfüllen (u.a. EU-DSGVO, ISO 27001) und auch fachlich in der Lage sein, internationale Standards im Risikomanagement (insbesondere COSO 2017) abbilden zu können.

Aufteilung des Auftrags in Lose: nein

Wert ohne MwSt.: [Betrag gelöscht] EUR

NUTS-Code: DE71A Main-Taunus-Kreis

Hauptort der Ausführung:

Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH Dag-Hammarskjöld-Weg 1 - 5 65760 Eschborn

Neben der Erfüllung der vorgenannten allgemeinen IT-Sicherheits-, Informationssicherheits- und Datenschutzanforderungen (u.a. EU-DSGVO, ISO 27001) muss die Software in der Lage sein, ein Unternehmensrisikomanagement-System und Unternehmensrisikomanagement-Prozesse abzubilden, die an nationalen und internationalen Standards (COSO 2017, IDW PS 340, IDW PS 981) ausgerichtet sind. Weiterhin muss die Software die Möglichkeit bieten, die grundlegenden Strukturen und Prozesse gemäß der in den nationalen und internationalen Rahmenwerken (BSI-IT-Grundschutz Standard 200-3, ISO/IEC 27001:2013) geforderten Mindestanforderungen an das Management von Informationssicherheitsrisiken abzubilden.

Neben der Berücksichtigung dieser Standards soll die Software einfach konfigurierbar sein und flexibel an Unternehmensrisikomanagement-, Informationssicherheitsrisikomanagement- Audit Management- und Vorfallsmanagement-Prozesse der GIZ angepasst werden können. Die Softwarelösung soll modular aufgebaut sein und die nachstehenden Teilfunktionalitäten beinhalten, die auf idealerweise einer einheitlichen Systemplattform durch Schnittstellen miteinander verbunden sind:

1. Risikomanagement-Modul (inkl. Informationssicherheitsrisiken, alternativ auch als eigenständiges Modul)

2. Audit Management-Modul,

3. Incident-Management-Modul.

Kern der Software ist das Risikomanagement-Modul, das sowohl zum Management der unternehmensrelevanten Risiken wie auch dem Management von Informationssicherheitsrisiken genutzt werden soll und Risikomanagement-Prozesse sowohl bottom-up als auch top-down abbilden kann. Einzelrisiken können standardisiert erfasst, beschrieben, klassifiziert und mit Risikosteuerungsmaßnahmen unterlegt werden. Bei Bedarf können Risiken gleichzeitig oder sukzessiv an mehrere Führungshierarchien zur Information oder Befassung weitergeleitet werden. Die Software unterstützt mit geeigneten Methodiken die Risikoaggregation und die Ermittlung des Gesamtrisikos. Die integrierte Risikoberichterstattung liefert inhaltlich und optisch ansprechende Berichte für Risikoverantwortliche und Führungskräfte. Sollte der Anbieter für Unternehmensrisikomanagement und Informationssicherheitsmanagement unterschiedliche Module anbieten, sollte die Überleitung von Risiken zwischen diesen Modulen möglich sein.

Das Audit-Modul muss in der Lage sein, prozessual sehr unterschiedliche interne und externe, fachlich-inhaltliche und finanz-administrative Prüfungen erfassen zu können. Das Prozessdesign soll eine bedarfsgerechte Anpassung ermöglichen, um alle Phasen von der Prüfungsplanung bis zum Abschluss und Nachbereitung einer Prüfung individuell pro Prüfungsart konfigurieren zu können. Berechtigte Prüfbeteiligte können Fragebögen anlegen, ändern und löschen und diese auch als Kernelement in die Prozessabläufe insbesondere interner Prüfungen einbetten. Darüber hinaus soll das Audit Management-Modul die Möglichkeit bieten, prüfungsrelevante Dokumente mit ausgewählten Beteiligten zu teilen und Nutzer*innen unterstützen, aus den verschiedenen Phasen und Elementen einer Prüfung mit geringem Aufwand einen strukturierten Prüfbericht zu erstellen. Auswertungen zur Quantität und den qualitativen Ergebnissen von Prüfungen können in optisch und inhaltlich angemessener Form effizient erstellt werden. Die Auswertungsfunktionalität erlaubt es darüber hinaus, die einzelnen Felder von Fragebögen auszuwerten und die Ergebnisse ansprechend aufzubereiten.

Das Vorfallsmanagement-Modul ("Incident Management" oder "Issue Management") soll idealerweise ein autarkes Systemmodul und keine Zusatzfunktionalität des Risikomanagement- oder des Audit-Moduls sein. Das Modul soll es ermöglichen, unterschiedliche Vorfallsarten, d. h personenbezogene Vorfälle, Compliance- und Integritäts-Vorfälle, datenschutzrelevante Vorfälle und Vorfälle aus dem Bereich IT- und Informationssicherheit zu erfassen, zu bearbeiten und an zuständige Einheiten weiterzuleiten. Wiederkehrende Meldungen können über eine (teil-)automatisierte First-Level-Response bearbeitet werden. Ein stringentes Rollenkonzept oder abgetrennte Datenräume sorgen für die strikte Vertraulichkeit der Meldungen in den unterschiedlichen Themenfeldern. Berichte und Statistiken zu Vorfällen, Vorfalls-Status und eventuellen Schäden können im System durch berechtigte Nutzer*innen mit geringem zeitlichem Aufwand erstellt werden.

Die Software muss relevante gesetzliche Vorgaben, Normen und Standards, wie die Europäische Datenschutz-Grundverordnung und ISO 27001, erfüllen. Das Anonymisieren oder Maskieren personenbezogener Daten soll in allen Systemmodulen möglich sein. Das System muss über Konnektoren oder API-Schnittstellen mit den von der GIZ eingesetzten SAP-Basissystemen (zunächst ERP, später S/4) kompatibel sein. Darüber hinaus soll die Software weltweit einsatzfähig sein und auch in Büros in Entwicklungsländern mit einer schwach oder instabil ausgebauten IT-Infrastruktur effizient bedienbar sein. Offline-Funktionalitäten sollten das Bearbeiten von Risiken, Audits und Incidents ermöglichen und den anschließenden Re-Import des Vorgangs in die Software unterstützen.

Die Möglichkeit der modularen Erweiterbarkeit der Softwarelösung um Module zur Abbildung des "Internen Kontrollsystems" (IKS), des "Business Continuity Managements" (BCM), der Geschäftspartnerprüfung oder des Projektrisikomanagements (PRM) ist von Vorteil; die Beschaffung solcher Module liegt aber außerhalb des Scopes der hier beschriebenen Beschaffung.

Qualitätskriterium - Name: Erreichte Gesamtpunktzahl nach fachlicher Wertung / Gewichtung: 50

Preis - Gewichtung: 50.00

Optionen: ja

Beschreibung der Optionen:

Die Auftraggeberin behält sich optional vor, Vertragsverlängerungen und/oder -aufstockungen auf Basis der in den Vergabeunterlagen genannten Kriterien an das in diesem Verfahren erfolgreiche Unternehmen zu vergeben; i. Ü. siehe ausführliche Leistungsbeschreibung.

Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein

Verhandlungsverfahren

Der Auftrag fällt unter das Beschaffungsübereinkommen: ja

Bekanntmachungsnummer im ABl.: 2021/S 093-243072

Auftragsvergabe Corporater GmbH

Ein Auftrag/Los wurde vergeben: ja

22/03/2022

Anzahl der eingegangenen Angebote: 4

Der Auftrag wurde an einen Zusammenschluss aus Wirtschaftsteilnehmern vergeben: nein

Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Darmstadt
NUTS-Code: DE711 Darmstadt, Kreisfreie Stadt
Postleitzahl: 64295
Land: Deutschland
E-Mail: [gelöscht]
Internet-Adresse: http://Corporater.com

Der Auftragnehmer ist ein KMU: ja

Gesamtwert des Auftrags/Loses: [Betrag gelöscht] EUR

Bekanntmachungs-ID: CXTRYY6YZ7A

Offizielle Bezeichnung:[gelöscht]
Postanschrift:[gelöscht]
Ort: Bonn
Postleitzahl: 53123
Land: Deutschland
E-Mail: [gelöscht]
Telefon: [gelöscht]
Fax: [gelöscht]
Internet-Adresse: https://www.bundeskartellamt.de

Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen:

Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.

28/03/2022