Profilbild von MichaelGeorg Speller Regulatory IT Compliance | DORA/RTS, NIS2, etc. | Auditor | DueDiligence | Policy Writer aus StGallen

Michael Georg Speller

teilweise verfügbar

Letztes Update: 27.02.2024

Regulatory IT Compliance | DORA/RTS, NIS2, etc. | Auditor | DueDiligence | Policy Writer

Abschluss: Dipl. Jur., Dipl. Inf.
Stunden-/Tagessatz: anzeigen
Sprachkenntnisse: deutsch (Muttersprache) | englisch (Muttersprache)

Dateianlagen

2021-06-28_EU Digital Operational Resilience Act (DORA) planned for 2022 _ LinkedIn.pdf
BG-Academy Excellence Certificate .pdf
Customer-Testimonials_2000-2022.pdf
LinkedIn-Cybersecurity-Assessment-Badge_010523.pdf
20230515-Certifications-Michael-Speller-compr_160523.pdf
Completed-Education-Content_210523.pdf
Master-Cybersecurity-Management_210523.pdf
CERT-michael-Speller-Info-Sec-komprimiert_160623.pdf
Environmental-Social-and-Governance-ESG_290623.pdf
Algorithmic-Auditing-and-Continuous-Monitoring_171023.pdf
profil-m-speller-2023-12_011223.pdf
Prime-Contractors-and-3rd-Party-Risks-in-Your-Value-Chain-LinkedIn_101223.pdf
What-s-your-strategy-during-an-audit-present-Self-Identified-Issues-SII_101223.pdf
OSI-Audit-komprimiert_151223.pdf
OSI-IT-Compliance-Audit-Process-and-response-defense-german_161223.pdf
Wind-of-change-IT-Compliance-Consulting-XII-2023_221223.pdf
DORA-und-das-Fremd-Personal-Dilemma-der-Finanzbranche-in-DE_170124.pdf
Cloud-Security-and-Audit-Fundamentals-AWS-Microsoft-Azure-and-Google-Cloud_040224.pdf
WS-Certified-Security-Specialty-SCSC02-Cert-Prep-1-Threat-Detection-and-Incident-Response_160224.pdf
LearningPath-Prepare-for-the-AWS-Certified-Security-Specialty-SCSC02-Certification_160224.pdf

Skills

Aufgrund des aktuellen Urteils des 12. Senats des Bundessozialgerichts (BSG) in Deutschland vom 24. Oktober 2023 (Az. B 12 R 9/21 R) zur Scheinselbstständigkeit ist eine Verpflichtung zur Leistung Vor-Ort in DE oder eine Verpflichtung zur Nutzung der Infrastruktur der Kunden ausgeschlossen. Bitte in dem Fall (auch im eigenen Interesse) nach Kollegen suchen, die ANÜ in DE anbieten.- Danke.
.............................

Aktuelles Thema:

Zunehmend komplexere regulatorische Anforderungen erfordern belastbare umfassende Fachkenntnisse und Erfahrungen beim erfolgreichen Management von IT Compliance.

In fast allen regulierten oder kritischen Branchen kommt schon jetzt oder zumindest in Kürze nach dem IT-Umsetzungsprojekt, der IT-Beratung und nach allen privatwirtschaftlichen Zertifizierungen die Onsite/offsite Inspektion (OSI) bzw. Sonderprüfung durch zuständige Behörden oder durch von den Behörden ermächtigte Insitutionen auf die Tagesordnung. 

Ziel der Gesetzgeber ist es, Schwächen der Institute und Unternehmen in regulierten Branchen (z.B. der Finanzindustrie) durch schlechte Beratung oder schlechte Umsetzung im IT Bereich (z.B. schlechtes Management von Auslagerungen z.B. beim #DORA oder der #NIS2) nachhaltig abzustellen.

Nicht selten stehen inzwischen hohe Bussgelder auf dem Spiel - allein im Anwendungsbereich von DORA bis zu 1% des weltweiten Jahresumsatzes pro Tag (!) bei NIS2 kann es sogar mehr werden..

Eine Grössenordnung, die die Unternehmen nicht mehr "aus der Portokasse" bezahlen können. Daher ist sicherzustellen, dass ein solcher Schadensfall nicht aufgrund schlechter Projekt-Umsetzung, schlechter oder fehlerhafter Beratung eintritt.


.............................................


Meine Highlights
  • Policy Writer und Dozent im Bereich EU-Aufsichtsrecht und deren IT-Umsetzung rechtlicher und regulatorischer Anforderungen wie Digital operational Resilience Act, Cyber Resilience Act, etc (#DORA, #RTS, #CRA, #CERD, #EBA-GL, #EIOPA-GL, #ESMA-GL, #BaFin- #MaRisk, #BAIT, #VAIT, #ZAIT, #KAIT, etc.)
  • IT Audit assessment, -preparation,-defense zur Vorbereitung oder im Rahmen von behördlichen IT Prüfungen, Jahresabschlussprüfungen, gen. IT Compliance Prüfungen und Due Diligence Verfahren (Einhaltung WP-Kodices, Methodik, korrekte Anwendung internationaler Prüfungsstandards, Audit-Kosten-Controlling, Moderation, etc.) 
  • Third-Party Audits / Lieferketten IT Operations- / Cloud-Outsourcing
  • Operational Due Diligence Experte für 3rdParty/TPRM und ESG, Supply Chain 
  • IT Security und CyberSecurity 
  • Erfahrener Strategy-, Business- und Regulatorik Analyst
  • Interim CTO / CIO
  • Poliy-/ Richtlinienoptimierung
TOP-Skills:
DORA | Cyber Resilience Act (CRA) | Regulatory Compliance | Business Analyse | CyberSecurity | IT Compliance | Due Diligence/IT Audit | Cloud Architektur | Outsourcing | 3rd Party Risikomanagement | Aufsichtsprüfung | IT Riskmanagement | IT Governance | IT Forensik | Supply Chain Management | Audit Management / Audit Defense | IT Vertragsmanagement | IT Strategie | Operational Resilience | Security Standards: CSA, ITIL, ISO20000 COBIT, ISO 27001/2, COBIT, PCI-DSS, COBIT NIST, BSI Grundschutz | Interim CTO/CIO | SIEM | KRITIS / CERD | NIS2 | Informationssicherheit | etc.

Sprachen
Deutsch (Muttersprache)
Englisch (Vatersprache)

Einsatzorte
Remote

Branchen
Kreditinstitute (Banken)
Zahlungs-Provider / E-money Anbieter
Investment Firmen
Trading Unternehmen
Versicherungen
Crowdfunding Services
ICT/Cloud Anbieter
…weitere kritische Branchen

Der Digital Operational Resilience Act (DORA), die Critical Entities Resilience Directive (CER) und der Cyber Resilience Act (CRA) der EU sind 2023 in Kraft getreten bzw. werden in verschiedenen Phasen scharf geschaltet. Weitere Reglungen (NIS2, etc.) befinden sich in der Umsetzung.

Gerade vor dem Hintergrund nun erstmalig der drohenden Zwangs- und Bussgelder ist oft eine massive Überarbeitung der bisherigen Policies, Dokumentation der Vorgaben, Prozesse und Evidenzen entsprechend den neuen Anforderungen an ein angemessenes Risiko-Management Framework in den Bereichen:
  • Governance & Organization
  • Digital & Operational Resilience
  • ICT Risk Management & Cyber Security
  • ICT Incident Management / Major Incident Management
  • Third-Party Provider Management (Due Diligence und IT Audits und Risiko-Analyse von Ausgliederungen sowie Massnahmen der Steuerung/ zzgl. LieferkettensogfaltsG)
  • Vorbereitung und Begleitung von Behörden-Audits
  • On-Boarding- und Exit-Management
  • General ICT security
  • Access control
  • Acquisition, development, and maintenance of ICT systems
  • ICT Capacity and Performance Management
  • Data and system security
  • ICT Encryption & cryptography
  • Human resources
  • ICT asset management
  • ICT business continuity
  • ICT change management
  • ICT operations security
  • ICT project management
  • ICT risk management
  • ICT-related incident management
  • Identity management
  • Network security management
  • Physical and environmental security
  • Security information in transit
  • ICT Vulnerability and patch management
  • Documented Strategy on ICT third-party risk
  • Policy on the use of ICT services supporting critical or important functions
  • Contractual arrangements with third parties
und eine Übertragung der bisherigen Anforderungen der nationalen Behörden (z.B. in DE Bafin: KWG, VAG, MaRisk, MaGo, BAIT, VAIT, KAIT, etc.) an neue Erfordernisse zwingend..

Betroffen sind in den benannten EU-Branchen tätige Unternehmen unabhängig von ihrem Ursprungsland und weitere 3rd Party Anbieter z.B. von IT Leistungen die in entsprechenden Audits nachweisen müssen, dass sie alle Anforderungen einhalten.

........
Zur Person:

Ich bin ausgebildeter Jurist und Informatiker, verfüge über mehr als 30 Jahre operative Erfahrung in den regulierten Bereichen IT Organisation und Infrastruktur sowie 3rd Party / Outsourcing Management mit den Schwerpunkten DueDiligence/Audit, Governance, Risk, Compliance, Resilience, Digitalisierung, Business Analyse, Datenschutz, etc.. und bin ein Fan von ständiger fach-übergreifender Weiterbildung.

Als bekennender Analytiker und Methodiker verfolge ich in der Regel einen agnostischen Ansatz, und folge nicht der Produkt-, Schulungs- oder Marketingpolitik bestimmter Hersteller oder den daraus resultierenden Glaubensbekenntnissen (leider oft nur Hören-Sagen aufgrund guten Marketings oder guten Lobby-Arbeit) einzelner Mitarbeiter oder Berater von Kundenunternehmen .

Meine Ziele:
1. Mängelfreie Prüfungs- oder Inspektionsberichte von zuständigen Behörden, Aufsichten und damit aufgrund der Beratung möglichst nicht (!) verhängte Bussgelder bzw. die erfolgreiche Verhinderung von weiteren Korrektur-Sanktionen 
2. die erfolgreiche Verhinderung des Eintritts von Risiken, die Schäden zu Lasten der von mir betreuten Unternehmen bedeuten können
3. ein sauberer Prüfungsablauf, der dem Scope der jeweiligen Prüfung entspricht

Ich verfüge (oft aus reiner operativer Notwendigkeit der Verifizierung und Plausibilisierung von Laien-Aussagen anderer) über hersteller-spezifisches in-depth IT Know-How (siehe Zertifizierungen).

Ich helfe Unternehmen in Finanzmärkten und anderen kritischen oder regulierten Branchen, wie z.B. Energiewirtschaft als Interim Manager auf Freelancer-Basis dabei, kritische oder regulatorische Compliance Anforderungen in ihren Projekten oder für die Aufrechterhaltung des laufenden ordnungsgemässen Betriebes solange sicher zu stellen, bzw. bereite auf entsprechende Audits vor und begleite diese als Response oder Defense subject matter expert..

Belastbar und prüfungssicher. - Nicht wenige Aufsichtsprüfungen habe ich selbst begleitet.
  1. Ein erster Schritt ist es, im Innenverhältnis für die notwendige Dokumentation der internen Richtlinien und Verfahren sowie der entsprechenden Prozesse und Arbeitsanweisungen zu sorgen.
  2. Das gleiche gilt entsprechend im Aussenverhältnis in Bezug auf 3rd Party Beziehungen, ob es nun Outsourcing, schlichtes Procurement oder andere Arten von Dauerschuldverhältnissen mit dritten sind.
  3. Zum dritten ist dafür zu sorgen, dass entsprechende Beweise (Reports, Evidenzen, Protokollarien, Beschlüsse, etc.) dafür vorhanden sind, dass das, was zu tun vorgegeben wurde, auch tatsächlich gemacht wurde.

Hierbei hilft mir eine solide Methodik aufgrund meiner juristischen Ausbildung.

Ich biete jederzeit einen aktuellen und belastbaren EU-Kenntnis-Stand zu: 
  • aktuelle aufsichtliche Prioritäten (Supervisory Priorities) der Europäischen Aufsichtsbehörden (EC, ENISA, ESAs) 2023 (inkl. Anforderungen aus DORA)
  • Empfehlungen der Regulierungs- und Aufsichtsinstanzen in der Europäischen Union (EU)
  • Anforderungen an interne Revision / Governance / Zulassungsverfahren
  • Anforderungen der Aufsicht an kritische Infrastrukturen und Auslagerung bzw. Ausgliederung von IT-Dienstleistungen
  • Anforderungen an Auslagerungen, digitale Prozesse, Betriebsmodelle sowie IT-Sicherheit, Konzentrationsrisiken bei Auslagerungen
  • NIS / NIS-2 IT // DE-Sicherheitsgesetz
  • IT-Outsourcing, Public Cloud Outsourcing (AWS, MS, Google, SF, SAP, etc.)
  • Vendor- / Provider- /Lieferketten Due Diligence und ESG-Qualifikation
  • Compliance zum Aufsichtsrecht der regulierten (Finanz-) Branchen (EBA, ESMA, EIOPA, BaFin, etc.) 
  • Sub-Unternehmerketten Value- / Suply- Chain Transparenz
  • Umsetzung DORA sowie EBA/ EIOPA / ESMA Guidelines (GL) und Abgleich MaRisk / BAIT / VAIT / KAIT / ZAIT
  • Umsetzung IT-, Risiko- und Outsourcing-Regulatorik in der Finanz- und Versicherungsbranche EU, DE, GB (teilw. US, Asia) 
  • Umsetzung Anforderungen EIOPA und EBA-ICT-Risk-Management, EBA Internal Governance (EU-RL, MaRisk/MaGo, KAMaRisk, BAIT/VAIT/KAIT, MiFID II, PSD2, CRD, SREP, etc.)
  • 3 Lines of Defense incl. Revision (Internal Audit)
  • Begleitung und Vorbereitung von Sonderprüfungen/OSI´s durch EBA, EZB, Bundesbank, BaFin etc. z.B. nach § 44 KWG
  • Auditierung von Beschaffungs- und Providermanagement-Prozessen (2nd line of defense)
  • Unterstützung der Vertragsverhandlung (Financial Services Regulation Requirements)
  • Anforderungen an die Vorsorge bei IT- und Cyberrisiken (DORA -  digital operational resilience act proposal)
Nicht unwesentlich ist dabei meine langjährige Kenntnis von IT- und Cloud Architekturen als IT-Generalist mit Technologie-agnostischem Ansatz

Weitere bekannte IT relevante Regularien & Standards aus dem US Kontext - siehe Zerifizierungen:
  • Federal agencies: Federal Information Security Management Act (FISMA)
  • US financial institutions: Gramm-Leach Bliley Act (GBLA)
  • US Healthcare Organizations + health records: Health Insurance Portability and Accountability Act (HIPAA/HITECH)
  • US Corporations: Sarbanes-Oxley Act (SOX) IT Controls Sec 404
  • US Payment Card Industry: Payment Card Industry Data Security Standard (PCI-DSS)
  • US Medizinprodukte: MDSAP – Medical Device Single Audit Program
  • US Unternehmens-Bilanzen: EDGAR
  • US Handels-Regulieung: Privacy, Fairness & Gesetzestreue: Privacy + Security Enforcement Actions durch Federal Trade Commission (FTC Act), FTC "sunset" Policy, IoT Report
  • US Online Schutz Minderjähriger <13: Children's Online Privacy Protection Act (COPPA)
  • US Consumer Credit Report Sharing: Fair Credit Reporting Act (FCRA)
  • US Credit Reporting: Fair and Accurate Credit Transactions Act (FACTA)
  • US Consumer Datenschutz: California Consumer Privacy Act (CCPA)
  • US Regulierung der Finanzinstitute:  Dodd-Frank Wall Street Reform and Consumer Protection Act of 2008 (Dodd-Frank Act)
  • US Aufsichtsbehörde: Consumer Financial Protection Bureau (CFPB) 
  • US SPAM-Emails:  CAN-SPAM Act
  • US CPNI Regulation: Telecoms Act 
  • US Generally Accepted Privacy Principles: 10 GAP Principles
  • US Federal Credit Union Ac (NCUA)
  • US Patriot Act
  • US SOC 2 Compliance Audit Report
  • etc.
Umsetzung von weiteren regulatorischen Anforderungen möglich (NIST, ISO 270xx, BSI 200-1,BSI 200-2, BSI 200-3, BSI 200-4, CSSF, FINMA, HKMA, MAS, etc.)
 


Aus- und Weiterbildung:
1984: Abitur
1986 – 1991: Studium der Rechtswissenschaften – 1.Staats-Examen (1989) / Dipl.-Jurist (2006)
1990 – 1993: Studium der Betriebswirtschaftswissenschaften (Schwerpunkt: Organisation/BWL)
1991 – 1992: Diverse Novell - Lehrgänge
1993: Novell Lehrgänge CNE 3
1996: Novell Lehrgänge CNE 4 (NDS-Design)
1997: HP - Lehrgänge HPUX Unix - Grundlagen (SHELLs, SAM, etc.)
1998: Diverse Management Lehrgänge:
1998: Microsoft Lehrgänge Total Cost Of Ownership
1998 – 1999: Microsoft Lehrgänge MCP/MCSE
1999: Novell Lehrgänge CNE 5 (Networking Techn., Admin., Adv. Admin.)
1999 – 2003: (Fern-)studium: Informations- und Kommunikationsmanagement
2001: ITIL Service Management Foundation Lehrgang
2003: Zertifizierung ITILv2 Service Manager
2004: Zertifizierung PRINCE2
2005: COBIT 4
2008: COBIT 4.1 Update
2010: Zertifizierung PMP
2011: Lehrgang Compliance Management
2012: Zertifizierung Certified Outsourcing Professional (COP)
2015: zert. Business Coach und Trainer (IHK)
2016: Zertifizierung SCRUM PO/SM
2021: CRCM (EU) Certified Regulatory Compliance Manager
2021: Weiterbildungen Bachelor of Science auf ECTS- bzw. CPE-Niveau (European Credit Transfer and Accumulation System - globally relevant Official Academic Credits at Partner Universities)
  • Jul 2021 - CISA 1 - Auditing Information Systems for IS Auditors
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2021 - CISA 2 - Information Technology Governance and Management for IS Auditors
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2021 - CISA 3 - Information Technology Life Cycle for IS Auditors
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2021 - CISA 4 - IT Operations, Maintenance, and Service Delivery for IS Auditors
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Oct 2021 - Audit and Due Diligence: Priorities and Best Practices
    Skills: Information Security Management · Information Security · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Oct 2021 - CCSP: 1 Cloud Concepts, Architecture, and Design
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Oct 2021 - CCSP: 6 Legal, Risk, and Compliance
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Oct 2021 - Certified Analytics Professional (CAP): Domains 5–7
    Skills: Information Security Management · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Nov 2021 - Adaptive Project LeadershipAdaptive Project Leadership
    Skills: Operational Risk ManagementSkills: Operational Risk Management
  • Nov 2021 - Digital TransformationDigital Transformation
    Skills: Information Security Management · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Internal Audits · Operational Risk Management
  • Nov 2021 - Executive LeadershipExecutive Leadership
    Skills: Operational Risk Management
  • Nov 2021 - Risk Management for IT and Cybersecurity Managers
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Nov 2021 - SSCP: 4 Incident Response and Recovery
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Nov 2021 - The New Age of Risk Management Strategy for Business
    Skills: Information Security · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management


2022: Weiterbildungen Bachelor of Science auf ECTS- oder CPE- Niveau (European Credit Transfer and Accumulation System - globally relevant Official Academic Credits at Partner Universities):
  • Jul 2022 - Microsoft Azure Security Technologies (AZ-500) Cert: 1 Manage Identity and Access
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2022 - Microsoft Security, Compliance, and Identity Fundamentals (SC-900): 1 Core Concepts
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2022 - Microsoft Security, Compliance, and Identity Fundamentals (SC-900): 4 Understanding Microsoft Security and Compliance Capabilities
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Jul 2022 - Office 365: Implement Networking and Security (Office 365/Microsoft 365)
    Skills: Information Security Management · Cloud Computing · Operational Risk · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Operational Risk Management
  • Jul 2022 - Top 10 Security Features to Enable within Microsoft 365
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · Regulatory Compliance · Regulatory Audits · IT Audit · Internal Audits · Operational Risk Management
  • Aug 2022 - Microsoft 365: Health and Security
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Compliance · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Operational Risk Management
  • Aug 2022 - Microsoft 365: Implement Security and Threat Management
    Skills: Information Security Management · Information Security · Cloud Computing · Cloud Security · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Aug 2022 - Microsoft 365: Manage Governance and Compliance
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Data Governance · Regulatory Audits · IT Audit · Risk Management · Internal Audits


2023: Weiterbildungen Bachelor of Science auf ECTS- bzw. CPE-Niveau (European Credit Transfer and Accumulation System - globally relevant Official Academic Credits at Partner Universities):
  • Apr 2023 - Advanced Microservices: Tactical Forking
    Skills: Enterprise Architecture · Cloud Computing · Risk Management
  • Apr 2023 - Building and Auditing a Cybersecurity Program
    Skills: Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Cybersecurity
  • Apr 2023 - CCSK Cert: 1 Cloud Architecture
    Skills: Information Security Management · Cloud Computing · Cloud Security · IT Audit · Risk Management
  • Apr 2023 - CCSK Cert: 2 Infrastructure Security for Cloud
    Skills: Information Security Management · Infrastructure Security · Cloud Computing · IT Audit · Risk Management
  • Apr 2023 - CIPP/US Cert: 1 U.S. Privacy Environment
    Skills: Information Security Management · Information Security · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Apr 2023 - Cloud Architecture: Advanced Concepts
    Skills: Information Security Management · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Apr 2023 - Cloud Architecture: Core Concepts
    Skills: Information Security Management · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Apr 2023 - Cloud Security Architecture for the Enterprise
    Skills: Enterprise Architecture · Information Security Management · Information Security · Cloud Computing · Cloud Security · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Apr 2023 - Cybersecurity Foundations
    Skills: Cybersecurity
  • Apr 2023 - Ethics in Information SecurityEthics in Information Security
    Skills: Information Security · IT Audit · Computer Ethics
  • Apr 2023 - IT Security Foundations: Core Concepts
    Skills: IT Audit · IT Security Operations
  • Apr 2023 - IT and Cybersecurity Risk Management Essential Training
    Skills: IT Risk Management · Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Cybersecurity
  • Apr 2023 - Computer Forensics
    Skills: Computer Forensics · Cloud Computing · IT Audit
  • Apr 2023 - Learning Threat Modeling for Security Professionals
    Skills: Threat Modeling · Cloud Computing · IT Audit
  • Apr 2023 - Learning Vulnerability ManagementLearning Vulnerability Management
    Skills: Cloud Computing · IT Audit · Vulnerability Management
  • Apr 2023 - Practical Cybersecurity for IT Professionals
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Cybersecurity
  • Apr 2023 - Scaling Your Cybersecurity and Privacy Program
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits · Cybersecurity
  • Apr 2023 - Security Risks in AI and Machine Learning: Categorizing Attacks and Failure Modes
    Skills: Information Security Management · Information Security · Cloud Computing · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits
  • Apr 2023 - Soft Skills for Information Security Professionals
    Skills: Information Security · IT AuditSkills: Information Security · IT Audit
  • Apr 2023 - Using SABSA to Architect Cloud Security
    Skills: Information Security Management · Cloud Computing · Cloud Security · Operational Risk · External Audit · Regulatory Audits · IT Audit · Risk Management · Internal Audits

Too much?
Belastbare und umfängliche Beratung und kontinuierliche Weiterbildung stehen für mich in einem untrennbaren Zusammenhang.
Veraltetes oder Scheinwissen sind der häufigste Ansatzpunkt für Regress- bzw. Schadensersatzforderungen der Rechtsabteilungen der Kundenorganisationen. Die aktuellen Sanktions-Summen sind zu hoch, um einfach aus der Portokasse bezahlt zu werden. Gern oberflächlich abgeschlossene Vermögensschadesversicherungen gewähren zwar Scheinsicherheit, aber in der Regel keine Deckung beim Einsatz über Agenturen.

Die Chance, dass so etwas nicht auffliegt, sinkt mit zunehmend engeren Maschen der Beaufsichtigung durch die Aufsichtsbehörden.

Sind die vielen Zertifikate echt?
Berechtigte Frage, online-Verifizierung der Credentials bei LinkedIn Learning (vorher LYNDA) unter :

https://www.linkedin.com/in/michaelgeorgspeller/details/certifications/

... und wenn Sie schon mal da sind - wir können uns gern vernetzen!
So schafft man eine gewisse Vertrauensbasis und damit die Basis einer langfristigen Zusammenarbeit.


 

Projekthistorie

10/2023 - bis jetzt
Assessment des Third Party / Outsourcing / Procurement Management gegen Anforderungen aus DORA und einschlägige RTS (part-time)
NDA (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

- Überprüfung der Verträge und internen Richtlinien
- Anpassen der Risiko-Bewertungen und Due Diligence Verfahren
- Überarbeitung der KPI und KRI
- Schulung / Coaching der Mitarbeiter
- etc.

07/2023 - 01/2024
IT Audit Response/Defense im Rahmen einer Konzern-Jahresabschlussprüfung (part-time)
(Industrie und Maschinenbau, >10.000 Mitarbeiter)

Grundlagen:
  • ISA 700ff. , IAASB ISA 315:2019 
  • ISO 27001:2022
  • COSO / COBIT
  • SAP

04/2023 - 06/2023
IT CyberSecurity Assessment SDLC Audit - Cloud Provider
NDA (Internet und Informationstechnologie, 50-250 Mitarbeiter)

Durchführung IT-Audit CI/CD Prozesse innerhalb einer DevSecOps Organisation eines Cloud Providers, SDLC, Infracstructure as a Code, etc.
Vulnerability Chaining, Jenkings, GIT, CVEs, CVSS, SSVC

03/2023 - 06/2023
IT Security Audit KRITIS / ISO 27001/2 / GDPR
(Öffentlicher Dienst, 250-500 Mitarbeiter)

Audit einer öffentlich-rechtlichen Institution im Gesundheitsbereich NRW
Kassenärztliche Vereinigung NO Düsseldorf
Durchführung IT-Audit (KRITIS, ISO 27001, NIST, CSA) sowie GDPR Audit

01/2023 - 03/2023
IT Audit Defense | Begleitung einer Aufsichtsprüfung in der Finanzindustrie
NDA (Banken und Finanzdienstleistungen, 500-1000 Mitarbeiter)

Unterliegt der Verschwiegenheitsverpflichtung / NDA
Inhalte: MaRisk AT9,  BAIT

06/2022 - 11/2022
MS365 Cloud Outsourcing für ein BaFin reguliertes Versicherungsinstitut
(Banken und Finanzdienstleistungen, 500-1000 Mitarbeiter)

  • Beratung der Projektleitung - Gate-Keeper - Koordinator - Ghost Negotiator - GAP Analyse
  • Nachbereitung anhand aktuell und im kommenden Jahr (DORA) notwendigen Dokumentationserfordernisse 
    • regulatorische Anforderungen (EIOPA / BaFin)
    • IT Security
    • Compliance
    • Risk-Management
    • Datenschutz
    • u.v.m.

03/2022 - 07/2022
Entwicklung der globalen IT Strategie für ein weltweit agierendes Produktions- und Vertriebsunternehmen
Global agierendes Industrieunternehmen mit 15 Marken in 20 Ländern (Konsumgüter und Handel, 1000-5000 Mitarbeiter)

Hergestellt werden hochwertige Produkte in insgesamt zehn Produktionsstätten, vornehmlich in Europa und Asien. Neben Werken in Deutschland, Belgien, Frankreich und Spanien gehören Produktionen in China, Japan und Indien zur Unternehmens-Gruppe.

Der firmeneigene Vertrieb unterhält eigene Stores in Düsseldorf, Berlin, Paris, Genf, Barcelona, Istanbul, Budapest oder São Paulo. Darüber hinaus werden Produkte im stationären Handel und in Onlineshops vertrieben.


07/2020 - 10/2021
Consulting EU-/DE-Regulatorik für mehrere Cloud Outsourcing Projekte Finanzindustrie (AWS, MS AZURE, Google, Salesforce, SAP, etc.)
Bank (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • Senior Compliance Spezialist mit Schwerpunkt Auslagerungsmanagement und EU-Regulatorik (banking / public cloud)
  • Koordination, Auslagerung, Compliance und Risikomanagement Umsetzung Cloud Adoption Framework
  • laufende Überwachung und Bewertung der Auslagerungsfortschritte im Hinblick auf Vertragsverhandlung, Entwicklung, Leistungserbringung, Datenschutz, IT-Sicherheit
  • Durchführung von aufsichtskonformen Risikoanalysen und Entwicklung von geeigneten Maßnahmen
  • Umsetzung gesetzlicher und bankaufsichtsrechtlicher Anforderungen, wie MaRisk, BA-IT, EBA-Outsourcing-Guidelines
  • Querschnittsfunktion und Ansprechpartner im Projekt für Aufsicht, Revision, Rechtsabteilung, Datenschutz und Auslagerungspartner
  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens in die Cloud
  • GAP Analyse zwischen vertraglichen Standard-Regelungen aller Seiten sowie regulatorischen Anforderungen
  • Etablierung einer 3 lines of defense Governance
  • Verhandlungen mit den potentiellen Providern

01/2020 - 06/2020
Regulatorik-Beratung im Bereich public cloud - Outsourcing im Bankwesen
Bank im WpHG-Bereich (Banken und Finanzdienstleistungen, 500-1000 Mitarbeiter)

  • Senior Regulatorik und Compliance Spezialist mit Schwerpunkt Auslagerungsmanagement und Regulatorik (banking / public cloud)
  • Koordination, Umsetzung und Dokumentation aller relevanten Prozessschritte im Bereich Auslagerung, Compliance und Risikomanagement Umsetzung Cloud Adoption Framework
  • laufende Überwachung und Bewertung der Auslagerungsfortschritte im Hinblick auf Vertragsverhandlung, Entwicklung, Leistungserbringung, Datenschutz, IT-Sicherheit
  • Durchführung von aufsichtskonformen Risikoanalysen und Entwicklung von geeigneten Maßnahmen
  • Umsetzung gesetzlicher und bankaufsichtsrechtlicher Anforderungen, wie MaRisk, BA-IT, EBA-Outsourcing—Guidelines
  • Sicherheit bei der Anwendung von der relevanten Regelungen aus KWG, WpHG und KAGB
  • Querschnittsfunktion und Ansprechpartner im Projekt für Aufsicht, Kunden, Revision, Rechtsabteilung, Datenschutz und Auslagerungspartner
  • Szenarien-orientierte Risiko-Analyse des Outsourcing Vorhabens in die Cloud
  • GAP Analyse zwischen vertraglichen Standard-Regelungen aller Seiten sowie kommenden regulatorischen Anforderungen
  • Etablierung einer 3 lines of defense Governance auf der Kundenseite
  • Verhandlungen mit den potentiellen Providern
  • Verhandlungen mit den ca. 300 institutionellen Kunden der Banken, i.d.R. ebenfalls Banken

07/2019 - 11/2019
Task-Force im Bereich Outsourcing Regulatorik der Versicherungsbranchen
Viridium SE (Versicherungen, 500-1000 Mitarbeiter)

  • Neu-Bewertung der Risiken des Outsourcing Vorhabens
  • GAP Analyse zwischen vertraglichen Regelungen und Status
  • Durchführung von Korrektur-Arbeiten im TaskForce Modus zur Vorbereitung einer BaFin Prüfung
  • Neu-Strukturierung der Outsourcing-Governance analog 3 Lines of Defense
  • Überarbeitung IT Reporting-Strukturen im Hinblick auf Vertrag und VAIT-Anforderungen

08/2018 - 05/2019
Etablierung Zentrales Auslagerungsmanagement (2nd LoD) mit weltweiter Verantwortung entsprechend Anforderungen der BaFin
LBBW (dt. Landesbank m. Niederlassungen in D, GB, US, Singapur, etc.) (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Prüfen von Sachverhalten auf Auslagerungsrelevanz im Auftrag der Revision gemäß den Vorgaben aus der MaRisk AT9 bzw. den nationalen Anforderungen der Niederlassungen (FAC, MAS, EBA, etc)
  • Analyse der Gaps zwischen Regulatorik-Anforderungen und StatusQuo
  • Monitoring der regulatorischen Neuerungen im Bereich IT und Outsourcing
  • Beratung und Begleitung der Fachbereiche in D im Ausland bei der Erstellung der Risikoanalysen zu Auslagerungen (inbes. mit Bezug, CLOUD, KRITIS, Cyber-Security, etc.)
  • Beratung der Fachbereiche bei Risikosteuerung und Reporting an Vorstände und Aufsicht
  • Auswertung aller Auslagerungsberichte (national und international)
  • Monitoring von EU-weiten regulatorischen Neuerungen
  • Einführung einheitlicher Regeln für die Bewertung von Providern nach internationalen Standards
  • Abstimmung mit Fachbereichen, Datenschutz, IT-Security, Risk-Management, etc.

11/2016 - 05/2018
Beratung/Begleitung Outsourcing Themen MaRisk, BAIT, MaGo, KRITIS, EUDSGVO, etc.
Finanz Informatik (Banken und Finanzdienstleistungen, 5000-10.000 Mitarbeiter)

  • Bewertung von Outsourcing Vorhaben
  • Begleitung der Korrektur-Projekte nach EZB Prüfung
  • Neu-Strukturierung von Outsourcing-Bewertungen
  • Neu-Bewertung der Risiken von wesentlichen Auslagerungen
  • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239 , MaRisk 2017, BA-IT

08/2015 - 08/2016
Re-Design existierender IT Auslagerungen im regulierten Bereich ( MaRisk, etc.)
Postbank AG (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Fachliche Leitung des Neudesign der Verträge und Governance aufgrund Restrukturierung
  • Definition neuer Governance- und Organisations- Schnittstellen, sowie optimierter Prozesse im Provider-Management
  • Entwurf der entsprechenden Auslagerungsverträge
  • Überarbeitung IT Report-Strukturen im Hinblick auf BCBS 239 , MaRisk 2016
  • Einführung von Tool-Sets

11/2014 - 05/2015
Vorbereitung KWG 44 Prüfung für eine Direktbank
ING DiBa (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Backup der Projektleitung im Bereich operative Governance und Outsourcing
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Etablierung des Provider-Management

07/2013 - 08/2014
Design der Service Delivery Prozesse im Outsourcing Verhältnis (KRITIS-Relevanz in der Energie-Branche)
Amprion GmbH (Energie, Wasser und Umwelt, 1000-5000 Mitarbeiter)

  • Projektleitung „Design der operativen Governance“
  • Definition von technischen und organisatorischen Schnittstellen und Maßnahmen
  • Abbildung der Governance, Risk und Compliance Prozesse
  • Konzeption und Erstellung der erforderlichen RACI Matrizen sowie Cross-Referenz-Tabellen für Schnittstellen inkl. Abhängigkeiten
  • Definition einer Information-Governance
  • Abstimmung und Definition der KPI´s und LÜP´s und Report-Inhalte
  • Dokumentation wesentlicher Prozesse in ARIS und Visio als WSK
  • EnWG

01/2013 - 06/2013
Setup und Coaching der Retained Organization für ein Auslagerungsvorhaben (EnWG)
RWE AG (Energie, Wasser und Umwelt, >10.000 Mitarbeiter)

  • Design der Steuerungs-Prozesse
  • Definition von Schnittstellen und Leistungsübergabepunkte
  • EnWG, EEG, EnSiG

04/2012 - 06/2012
Interim Management Transition-Out (Exit) bei fehlenden vertraglichen Grundlagen
RWE IT GmbH (Energie, Wasser und Umwelt, 1000-5000 Mitarbeiter)

  • Projektleitung
  • Claim-Management
  • Verhandlungs-Management

06/2011 - 02/2012
Projekt-Management Transition-Out (ungeplanter Provider Exit)
Wincor Nixdorf Portavis (Banken und Finanzdienstleistungen, 5000-10.000 Mitarbeiter)

  • operative Projektleitung (Transition-Out Manager)
  • 2nd Generation Outsourcing Wechsel / Provider to Provider Transition eines Bank-Kunden
  • operative und taktische Steuerung eines vollständigen Provider-Wechsels auf der Provider Seite
  • betroffene Services: LAN/WAN, Client, Datenbanken, Hosting, App-Server, AD, Citrix, Unix, div. Lokationen, div. RZs, Service-Desk, Support Prozesse, Storage-Systeme, VM-Ware, ZV, etc
  • Unterstützung der Vertragsverhandlungen
  • Know-How: RZ-Technik, Storage, ca. 850 Virtuelle Server, LAN/WAN, Clients, div. DB Cluster, Security, SW-Verteilung, Notes, Sicherstellung laufender Betrieb, Begleitung der Vertragsverhandlungen

04/2010 - 03/2011
RZ Transition-Management / Outsourcing RZ Leistungen (Provider - Exit)
DG HYP AG / DZ HYP AG (Banken und Finanzdienstleistungen, 500-1000 Mitarbeiter)

  • operative und taktische Steuerung des Provider-Wechsels auf der Kundenseite
  • Audit/Anpassung der IT Organisation des Kunden
  • Setup Services- und SLA Reporting
  • Know-How: ITIL v3, COBIT4.1, ValIT 2.0, Setup Retained Organisation

02/2010 - 04/2010
Organisationsanalyse der weltweiten IT Service Management Organisation
Continental AG (Automobil und Fahrzeugbau, >10.000 Mitarbeiter)

  • Analyse der Stukturen der IT Services (Europa, Asien, Amerika, Rest) in Interviews
  • Standardisierung des Vorgehens nach ITIL
  • Empfehlung für den Roll-Out neuer Org-Strukturen (Steuerungs-Organisation)
  • Know-How: ITIL v3, COBIT4.1, ValIT 2.0, Setup Retained Organisation

08/2009 - 01/2010
Konzeption Internes Kontrollsystem auf Basis von Kennzahlen für IT Services inkl. Prozesse
Deutsche Telekom AG (Telekommunikation, >10.000 Mitarbeiter)

  • Schwerpunkte: Governance/Compliance, Performance, Qualität, kontinuierliche Service Verbesserung, Kosten-Nutzen-Analyse,
  • operative, taktische Steuerung von IT-Prozessen - und Performance anhand von IT-Zielen und IT-Prozess-Zielen auf der Basis von  Controls/Kennzahlen
  • Wertbeitrag von IT Services
  • Definition Kosten Cluster (Time&Mat., Service Package, Consumption, etc.)
  • Rohdatengewinnung
  • Rohdatenkonsolidierung zur Abrechnung und Steuerung
  • Know-How: ITIL v3, COBIT4.1, ValIT 2.0, Setup Retained Organisation

03/2009 - 06/2009
Operative Projektleitung Aufbau Global Headquarters IT / Einführung Global IT Governance (Europa, Asien, Amerika)
Q-Cells SE (Energie, Wasser und Umwelt, 5000-10.000 Mitarbeiter)

  • Themen: Governance, Risk-Management, Compliance
  • Consulting zu Governance Standards und "Best-Practice" Vorgehen
  • Erstellung Governance Frame-Work (inkl. Policies, KPI's, Reporting, QS/QM, Finacial KPI's etc.)
  • Consulting zu IT-Strategie, Architektur, Risk-Management, Compliance Themen, Sourcing-Strategie, Governance Marketing, Produkt- und Service-Kosten
  • Etablierung eines internen Kontrollsystems inkl. Information, Reporting, Decision/Approval Workflows inkl. Finacial Stakeholder
  • Standardisierung der Service Delivery
  • Initiierung Continual Service Improvement
  • Einführung v. Standards für Kosten-Nutzen-Analyse und Risiko-Betrachtung
  • (Risikoanalyse, Risikobewertung, Risikominimierung, lfd. Risikokontrolle, Risikonachverfolgung)
  • Analyse und Identifikation nachhaltiger Einsparpotentiale und Realisierung über Portfolio-,Programm-, Risk-Planung
  • Initialer weltweiter Roll-Out

09/2008 - 01/2009
Einführung IT Governance VOIP Outsourcing Bank
Deutsche Bank AG (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Outsourcing im VOIP Bereich EMEA
  • Strategie, Policies, Directives- Dokumenten Frame-Work
  • Initiierung eines Governance Tool-Set (Risk-Management, Compliance, Finacial-Management, Reporting)
  • Setup Accounting und Budgeting inkl. Charge-Back-Verfahren
  • Setup der Retained Organisation zur Steuerung des Outsourcing
  • Roll-Out der Strukturen in EMEA

05/2008 - 08/2008
Consulting / Realisierung Global IT-Governance
Wüstenrot & Württembergische AG (Versicherungen, 5000-10.000 Mitarbeiter)

  • Projektleitung Euro-Sox Compliance, QM, IKS-Anforderung
  • Initiierung QM - Test- und Abnahmeverfahren für Produktion, Prozesse, Technik
  • IT- und Release- Governance
  • Compliance sicherstellen
  • Einführung von Policies
  • Standards-Management

11/2007 - 03/2008
Interim-Management Outsourcing Zahlungsverkehr
Deutsche Bank AG (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Outsourcing Wechsel
  • Krisenmanagement - Problem-Management
  • Eskalationsmanagement
  • Quality-Management: Test- und Abnahmeverfahren
  • Setup Retained Organisation zur Steuerung des Outsourcing

02/2007 - 10/2007
Outsourcing Task Force
T-Systems GmbH (Telekommunikation, 5000-10.000 Mitarbeiter)

  • Beratung zur Outsourcing Strategie
  • Projektleitung Contract Management und Finacial Management-Prozesse
  • Krisenmanagement
  • Definition von Test- und Abnahmen
  • Interims-Management
  • Moderation und Deeskalationsmanagement
  • Programm Management

03/2006 - 07/2007
Near-Shore Sourcing Ost-Europa Energie-Branche (Tschechen, Slowakei, Ungarn, Polen, Bulgarien)
RWE Systems AG (Energie, Wasser und Umwelt, >10.000 Mitarbeiter)

  • Teilprojektleitung Neuorganisation Sourcing-Struktur Deutschland, Tschechen, Slowakei, Ungarn, Polen
  • Beratung bei Umsetzungsstrategie
  • Contract Management / Vendor-Management
  • Beratung bei der Verhandlungsführung
  • Finalisierung Vertragswesen
  • Vertragsverhandlung und -gestaltung
  • Einführung von QS/QM Standards (COBIT, SOX, ITIL Compliance)
  • Einführung IT Governance

07/2006 - 12/2006
Off-Shore Outsourcing Software-Integration (Deutschland - Indien)
o2 (Germany) GmbH (Telekommunikation, 5000-10.000 Mitarbeiter)

  • Business Analyse
  • Contract Management
  • Service Management (Beratung Umsetzungsstrategie)
  • ITIL/ITSM Umsetzung
  • Beratung QS/QM Standards
  • Projekt-Co Lead für Schwerpunkt Business Integration
  • Einführung IT-Governance
  • SOX Compliance

06/2004 - 03/2006
IT-Infrastruktur-Outsourcing im Bereich geschäfts-kritische IT-Services
Union IT Services (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • RZ, LAN, WAN, Application-Cluster, TSM, SQL-Cluster, etc.
  • Strategie- und Methodikberatung
  • Konzeption der Outsourcing-Prozesse / Vendor-Management
  • Definition neuer Betriebsverfahren (Incident-, Config-, Change- und Financial Management-Prozesse)
  • Definition neuer Release-Verfahren (inkl. Test- und Abnahmeverfahren)
  • Aushandlung ergänzender "operational Service Level"
  • Neukonzeption IT-Reporting
  • Erstellung RfQ-Master für Outsourcing-Vorhaben
  • Consulting zu Off-Shore/Near-Shore Entscheidungen
  • Consulting zur Outsourcing Strategie
  • Beratung bei Auswahl der potentiellen Bewerber
  • Erstellen der Auswertungsmatrix (ca. 900 Items)
  • Dual Due Diligence (Verfahrensweise und Inhalte)
  • Organisation des Verfahrens
  • Dienstleister-Qualifikation anhand von ca. 800 Evaluierungskriterien
  • Governance-Modell anhand von CobiT Empfehlungen
  • Prüfung der Technik-Konzepte der Anbieter
  • Prüfung Prozess- und Workflow-Konzepte der Anbieter

04/2004 - 06/2004
Projektleitung Einführung ITIL-Strukturen
Polizeibehörde NRW (ZPD) (Öffentlicher Dienst, 500-1000 Mitarbeiter)

  • Neu-Definition bzw. Optimierung Betriebsprozesse
  • Restrukturierung QM- und Test-Management
  • Restrukturierung Incident-Management
  • Restrukturierung Problem-Management
  • Methodik Beratung

12/2003 - 03/2004
Ausschreibung zum Thema Outsourcing Software-Paketierung
Vodafone D2 GmbH (Telekommunikation, 5000-10.000 Mitarbeiter)

  • Business Analyse
  • Consulting zur EU-Outsourcing Strategie / Vendor-Management
  • Beratung zur QM-Strategie
  • Erstellung der Ausschreibungsunterlagen
  • Definition Betriebsprozesse
  • Definition von SLAs unter Einbeziehung der Fachbereiche
  • Erarbeiten einer Auswertungsmatix
  • Vergleichbarkeit der Angebote sicherstellen
  • Angebotsbewertung

05/2003 - 10/2003
Service Level Management / IT-Contract Management / Multi-Provider Outsourcing
Union Investment (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • Standardisierung der SLAs in einer zu 100% outgesourcten Umgebung mit 15 verschiedenen Dienstleistern / Einf. Vendor-Management
  • Durchführen von Schwachstellenanalysen / Risikomanagement
  • Erarbeitung von neuen SLA´s und Leistungsscheinen mit Dienstleistern und Fachabteilungen inkl. Verrechnungsstrukturen
  • Führen von Verhandlungsgesprächen mit den Dienstleistern
  • Abstimmung mit der internen Rechtsabteilung
  • Kosten- und Leistungsverrechnung und Controlling Methodiken
  • Technische Themen(DV-Basis): Server-Cluster, div. Directory-Services (NDS, AD, etc.), EAI (Vitria,etc.), Datenbanken (Oracle,db2, etc.), Middleware (MQ-Series), diverse OSe (W2K/XP, Solaris, OpenVMS), WAN/Lan-Strukturen (Cisco,etc.), Firewalling, Storage(NAS, HSM)

01/2003 - 03/2003
CRM Projekt - Methodikberatung
IT-Dienstleister Mittelstand (Internet und Informationstechnologie, 250-500 Mitarbeiter)

  • Konzeption und Design CRM
  • Workflow-Management im Bereich Reporting
  • CR-Management (intern) auf der Basis von Zope / Plone (OpenSource)

09/2002 - 12/2002
Security Management nach ISO 27000 / ITIL Standards
IT-Dienstleister Mittelstand (Internet und Informationstechnologie, 250-500 Mitarbeiter)

  • Review Betriebsanforderungen und Anpassung an ITIL-Standards
  • Maintainance, Evaluation, Planning, Implementation
  • Erstellung von globalen Policies
  • Schulung und Motivation der Mitarbeiter
  • Anpassung der Workflows (Incident-Mgmt, Prob.-Mgmt, SLM, Cont.-Mgmt)
  • Administrationskonzepte
  • Berechtigungskonzepte
  • Application Security nach Konzernvorgaben

02/2002 - 10/2002
Einführung Service Level Management / Methodikberatung
Dresdner Bank AG (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Schulung der Mitarbeiter:
  • Standardisierung von SLA
  • Standardisierung der Reports
  • Anforderungsverwaltung
  • Überwachung der Einhaltung
  • Strategie-Beratung der Bereichs- und Referats-Leitung bezgl. QM und Security
  • Vorbereitung der Vertragstexte zum Thema Leistungsmanagement
  • Restrukturierung alter Service Level Agreements im Outsourcing Kontext
  • Business Analyse

  • Requirements Management
  • Einführung strukturiertes Vendor-Management
  • Anpassung von existierenden SLA / OLA an neue Entwicklungen in interner Kostenverrechnung (Kennzahlen/Rohdatenlieferungen)
  • Anwendung ITIL-Standards, gute Kenntnisse in IT-Betriebsorganisation, QM, Outsourcing Know-How

11/2000 - 12/2001
ASP/Cloud-Großprojekt starship (Reportage in c´t März 2001) - Carve out / Ausgründung
DREGIS GmbH (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • Auslegung für 5.000 bis max. 30.000 User
  • Standardisierung der Betriebsorganisation
  • Etablierung von QM-Standards (Bank-Security, Revision, ISO, ITIL, BDSG, etc.)
  • Projekt-Verantwortung Total-QM (Anforderungskataloge, Test- und Abnahmevorgaben)
  • Standards für Softwareentwicklung CMMI Level 2/3
  • Coaching der ca. 60 Mitarbeiter in Hinblick auf Arbeitsorganisation, Methodik,
  • betriebswirtschaftliches Wissen
  • Strategie-Beratung der Projekt- und Bereichs-Leitung
  • Vorbereitung zur Ausgründung (Carve-Out) des Projektes als eigenständige Tochter der Bank inclusive der Vorbereitung nahezu aller Vertragstexte zum Thema Leistungsmanagement zur Gegenprüfung durch Rechtsabteilung und Zentraleinkauf in englischer und deutscher Sprache (Outsourcing)
  • Management und Durchführung von Ausschreibungen zum Thema Zukauf fremder Leistungen und deren Integration in die Leistungsverrechnung

06/2000 - 11/2000
Einführung Service Level Management im Outsourcing
DREGIS GmbH (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • Erarbeitung und Dokumentation von Service Level Agreements zwischen Dienstleister und Bank
  • Erarbeitung und Dokumentation von Support- und Problemmanagement-Prozessen
  • Globalisierung des Prozesses "Problem-Management"

03/2000 - 04/2000
Projektleitung Windows 2000 Roll-Out EU/Ost-EU (W2K)
Alte Leipziger Versicherung (Versicherungen, 1000-5000 Mitarbeiter)

  • Projektleitung / Consulting
  • Vollverantwortung 3rd Party und Outsourcing-Management, Budget, Termine, Logistik, Technik, etc.
  • Konzeption Roll-Out / Softwareverteilung
  • Proof of Concept
  • Test und Integration
  • Umstellung von NT-Domänen bzw. NDS auf Active Directory

11/1999 - 03/2000
Umstrukturierung von IP Netzwerkorganisation und -koordination (IBN)
Commerzbank AG (Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)

  • Entwicklung eines neuen TCP/IP-Btriebs-Konzeptes (Geschäftsprozesse, Vergabeverfahren, technische Realisation) für den Bereich Investment-Banking
  • Abstimmung/Umsetzung innerhalb des Konzerns (MAH)
  • Koordination u. Durchführung
  • Aushandeln und Abstimmen von Service-Level-Agreements (SLA)
  • Aufsetzen eines SLA-Masters zur weiteren Standardisierung
  • Einführung von Netzwerk-Measuring-Tools
  • Einführung organisatorisches Leistungsmonitoring über Kennzahlen
  • Auftrags- und Eskalationsprozesse
  • Reporting der KPI

11/1998 - 07/1999
Outsourcing weltweite Softwareverteilung
Lufthansa Systems GmbH (Transport und Logistik, 5000-10.000 Mitarbeiter)

  • Konzeption und Durchführung inkl. weltweitem Roll-Out
  • Einführung von Novell Z.E.N.Works im NT 4.0 / Netware 4.11 Umfeld
  • Implementation von Outlook / Exchange - Clients, Anpassung/Roll-Out von verteilten SAP R/3 Clients, etc.
  • Entwicklung neuer Geschäftsprozesse mit ARIS 4

09/1998 - 11/1998
Erstellung eines Y2000 Konzeptes
ADIG Investment (Banken und Finanzdienstleistungen, 500-1000 Mitarbeiter)

  • Konzeption des Testzenarios
  • Konzeption der Einzeltests
  • Riskomanagement
  • Komponenten von HP, IBM, CISCO, etc.
  • Berücksichtigung der Eigenheiten im Banken-/ Börsen-/ Wertpapier-Handelsbereich (Reuters, Bloomberg, etc.)

09/1998 - 10/1998
Analyse und Optimierung der Backbone-Netzwerkstruktur
Veritas AG (Automobil und Fahrzeugbau, 500-1000 Mitarbeiter)

  • Verbesserung von Netzwerkperformance und -Sicherheit (Checkpoint Firewall ONE, VPN, etc.)
  • Dokumentation
  • Glasfasertechnik, aktive Komponenten von HP, 3Com, CISCO, BayNetworks, etc.

05/1998 - 10/1998
Teilprojektleiter Windows NT-Roll-Out (2500 Systeme)
DBV-Winterthur (Versicherungen, 1000-5000 Mitarbeiter)

  • Erstellung des Konzeptes zur Softwareverteilung
  • Planung, Projektierung und NT - Engineering (Unattended Installation)
  • Einsatz von Java Applets als Ersatz der Terminalemulationen

09/1997 - 05/1998
Migration und Roll-Out von ca. 1.500 NT-Workstations
Lufthansa Cargo AG (Transport und Logistik, 1000-5000 Mitarbeiter)

  • Einrichtung einer Methode zur Softwareverteilung per WSM
  • Durchführung von Software- und Systemupdates bei 1500 Workstations
  • Netware, Windows NT 3.51 u. 4.0

03/1996 - 07/1997
Consulting im Netzwerk-OS-bereich für diverse Kunden
IT-Dienstleister in Dortmund (Internet und Informationstechnologie, 50-250 Mitarbeiter)

  • Konzeption von Netzwerken
  • Pre-Sales Support
  • Novell Netware Basis

11/1993 - 12/1995
Vernetzung eines Hörgerätefilialisten per NetWare 3.x MPR
Hörgerätefilialist (Pharma und Medizintechnik, 10-50 Mitarbeiter)

  • Erstellung eines Anforderungs- / Kriterienkataloges
  • Erstellung einer Marktübersicht der Netzwerkanbieter
  • Überwachung bei der Durchführung und Überwachung des Teams
  • Einarbeitung der Verbesserungsvorschläge aus den Abteilungen

01/1990 - 09/1993
Softwarelösung zu Datenreplikation und -verwertung sowie Nutzung vorhandener betriebswirtschaftlicher Datenmengen
McDonald´s (Sonstiges, 5000-10.000 Mitarbeiter)

  • Nutzung der Anbindung der Filialen über Stand- bzw. Wählleitungen (ISDN/Analog)
  • Konzeption und Überwachung des automatiserten Datenaustausches (AS400 - Novell Netware 3.x - Clipper)
  • Erstellung eines Anforderungs- / Kriterienkataloges
  • AS400, Novell Netware 3.x, DOS, Clipper S´87 mit DÜ-Bibliotheken
  • Konzeption und Überwachung der Netzwerkverkabelung
  • Auswahl und Anschaffung der Hard- und Software
  • Erstellung der Datenaustausch und Sicherheitskonzepte
  • Überwachung bei der Durchführung und Überwachung des Installations-Teams
  • Ethernet über Coax-Bus (RG58), original IBM PC-Server (!)

Zertifikate

Alle aktuellen 340+ Zertifizierungen auf einen Blick
2021

Reisebereitschaft

Nur Remote verfügbar
Wichtige Hinweise: - Aufträge im Regulatorik- und Compliance-Bereich unterliegen besonderen juristischen Anforderungen - aufgrund der akuten Berater-Haftung haben Sie Verständnis, dass nur Generalunternehmer und Zwischenhändler berücksichtigt werden können, die auf ihrer Seite die Einhaltung sicherstellen können - Unterstützungsleistungen erfolgen grundsätzlich remote und mit eigenen Arbeitsmitteln - eine Eingliederung in die Auftraggeber-Organisation ist ausgeschlossen - Übernahme Reise-Kosten und Reise-Zeiten durch Kunden wird vorausgesetzt

Bewertungen

Black Griffin Limited
Director
"Herr Speller ist der führende Spezialist im Bereich Cloud, Outsourcing und Regulatorik für Banken und Versicherungen. Besonders hervorheben lässt sich außerdem, dass Herr Speller in Bezug auf Verhandlungsführung mit Cloud Service Providern exzellente Ergebnisse für unsere Kunden und Partner erzielt. Ich möchte mich herzlich für die sehr gute und partnerschaftliche Zusammenarbeit bedanken."
Profilbild von MichaelGeorg Speller Regulatory IT Compliance | DORA/RTS, NIS2, etc. | Auditor | DueDiligence | Policy Writer aus StGallen Regulatory IT Compliance | DORA/RTS, NIS2, etc. | Auditor | DueDiligence | Policy Writer
Registrieren