Bank IT: „Augen auf” bei der Providerauswahl für IT-Infrastrukturbetrieb

„War früher wirklich alles besser“ – wenn sich eine Bank nicht im Detail mit IT-Fragen befassen wollte, wurden wesentliche Teile der IT ausgelagert. Die Kontrollanforderungen waren überschaubar. Positive Kosteneffekte ließen sich verhältnismäßig einfach realisieren.

Diese Welt besteht nicht mehr – IT ist für Banken ein strategisches und existenzielles Handlungsfeld. Und Banken sind in ihrer Funktion für die gesamte Struktur einer Volkswirtschaft von kritischer Relevanz. Eine Sicht, die auch seitens der Deutschen und Europäischen Bankenaufsicht geteilt wird und zu erheblich gesteigerten Anforderungen an die Umsetzung, Steuerung und Kontrolle ausgelagerter IT-Leistungen von Banken geführt hat. Vielfach stellt sich inzwischen die Frage, ob es nicht sinnvoller ist, Teile der IT wieder in die bankeigene Verantwortung zurückzuholen.

Ein naheliegender und sympathischer Gedanke. Aber sind Banken strukturell und organisatorisch dazu überhaupt in der Lage, und haben die Banken hierfür ausreichende und qualifizierte Personalkapazitäten? Nachstehende Abbildung zeigt überblicksartig wesentliche Handlungsfelder, die bei einer solchen Entscheidung zu berücksichtigen sind.

Schwerpunkt der nachstehenden Betrachtung ist eine der für Banken relevantesten Auslagerungen – die des Betriebs von IT-Infrastrukturen. Vielfach ist diese Auslagerung kombiniert mit der Auslagerung des auf diesen Strukturen erfolgenden Anwendungsbetriebs. Für die Auslagerung dieser Leistungskomponenten ist es in erster Linie nicht relevant, ob der Betrieb auf „On-Premise-Strukturen“ oder „Cloud Strukturen“ erfolgt.

Die Breite der technologischen Basis einer Bank-IT sowie der Umfang regulatorischer Anforderungen ist inzwischen extrem komplex und anspruchsvoll. Zwei Sachverhalte sind an dieser Stelle von besonderer Bedeutung:

1. Im Fokus einer Auslagerungsentscheidung steht das Anforderungsportfolio an den Dienstleistungspartner (Was will ich als Bank?).
2. Ebenso bedeutsam ist die Fähigkeit der Bank zu einem effizienten und effektiven prozessualen Zusammenspiel mit dem Dienstleistungspartner (Wie mache ich das als Bank?).

Beide Sachverhalte sollen im Folgenden näher betrachtet werden, denn sie sind einer Auslagerungsentscheidung vorgelagert – daher „Augen auf“ bei der Providerauswahl:

Zu 1 – Was will ich als Bank?

Ein mit Bedacht gewählter Leistungsschnitt der Auslagerung ist von essenzieller Bedeutung. Basis der Entscheidung hierzu sollte eine bewusste Sourcing-Strategie als Teil der IT-Strategie sein, die im Rahmen eines Zielsystems mit der Business-Strategie verbunden ist. Dieses ist aber nur ein erster Schritt. Herausfordernder ist die inhaltliche Komponente. Nachstehende Übersicht verdeutlicht exemplarisch, welche wesentlichen Fragestellungen im Kontext einer Auslagerungsentscheidung aus Sicht der IT-Steuerung geklärt sein sollten:

• Welche Anforderungen stelle ich prozessual an den Dienstleistungspartner?
• Welche Anforderungen bestehen hinsichtlich einer prozessualen Integration?
• Welche Tools sind durch den Dienstleistungspartner einzusetzen?
• Welchen Grad der technischen Integration fordere ich ein?
• Welche Lieferobjekte erwarte ich in welcher Qualität in welcher Häufigkeit durch den Dienstleistungspartner?
• Welche Kontrollhandlungen erwarte ich durch den Dienstleistungspartner, und welche sind mir als Auftraggeber einzuräumen?

Die inhaltlichen Bezugspunkte dieser Fragen sind vielfältig. Exemplarisch seien hier alle relevanten ITSM-Fragestellungen, alle Themenstellungen im Kontext der IT Security, des IT-Controllings oder der IT-Compliance genannt.

Besonders herausfordernd sind die Punkte, bei denen die Bank als auslagernder Partner beispielsweise mittels Kontrollhandlungen in die prozessuale und/oder technische Hoheitssphäre des Dienstleisters eingreifen möchte. Hier ist seitens der Bank mit der erforderlichen Sensibilität gegenüber dem Partner zu agieren, da jede Partnerschaft auf Vertrauen fußt.

Zu 2 – Wie mache ich das als Bank?

Zum Abschluss der obigen Frage, welches die Anforderungen einer Bank an einen Dienstleistungspartner für IT-Infrastrukturen sind, wurde bereits deutlich, welche Bedeutung auch das „Wie“ für die Bank hat.

Das mag bei der Anforderung einer Zertifizierung nach ISO 27000 noch von untergeordneter Bedeutung sein, da diese Norm bereits spezifische Vorgaben enthält, die als Anforderung übernommen werden können. Anders sieht es jedoch beispielsweise bei der Forderung nach einer Ausrichtung an ITIL aus oder der Anforderung an eine regulatorische Konformität gemäß DORA. Hier bestehen erhebliche Freiheitsgrade in der Umsetzung, bei deren Nutzung nicht sichergestellt ist, dass die Form der Umsetzung durch den Dienstleistungspartner den Anforderungen der Bank entspricht.

Nur in der Kombination von „Was“ und „Wie“ ist ein Dienstleistungspartner in der Lage, ein für die Bedürfnisse der Bank passendes Angebot zu erstellen. Und nur dann ist eine Bank in der Lage, eine sachgerechte Bewertung der Umsetzungsvorschläge potenzieller Dienstleistungs-partner vorzunehmen.

Auch inhaltlich ist die Spezifikation des „Wie“ von herausgehobener Bedeutung, wird dadurch doch die Voraussetzung geschaffen, dass die bestehenden oder geplanten Prozesse der Bank mit denen des Dienstleistungspartners inhaltlich und technisch interagieren können. Beispielhaft sei hier der Prozess zur Bestellung von Infrastruktur-Leistungen genannt:

• Wer darf eine solche Bestellung auslösen?
• Wie wird die Konformität zu technischen und architekturellen Vorgaben gesichert?
• Bis zu welchem Budget darf die Bestellung durch eine Person erfolgen?
• Zu welchem Zeitpunkt und in welchem Umfang werden die Daten zur Bestellung der Bank zur Verfügung gestellt?
  • Für das Asset Management
  • Für das Configuration Management
  • Für die Rechnungsprüfung
  • Für die interne Leistungsverrechnung

Natürlich ist diese Aufzählung nicht vollständig, gibt aber meines Erachtens eine Indikation der prozessualen Fragen des „Wie“, die durch die Bank geklärt werden müssen, um eine Leistung zum Betrieb von IT-Infrastrukturen erfolgreich auslagern zu können.

Benötigt werden diese Spezifikationen darüber hinaus auch zu einem späteren Zeitpunkt als Grundlage vertraglicher Vereinbarungen zwischen Bank und Dienstleistungspartner.

Ebenso ist nur auf diesem Weg eine Sicherstellung der für den angestrebten Zielzustand erforderlichen Ressourcen möglich. Das gilt sowohl für die Kapazität als auch für die Qualifikation des Personals.

bankon unterstützt sowohl Banken als auch IT-Dienstleistungsunternehmen in der erfolgreichen prozessualen und technischen Vorbereitung und Umsetzung von Transformationen des IT-Betriebs und Finanzinstitute in der Etablierung von Multiprovider-Strukturen.

Hierbei baut bankon auf seine langjährige Projekt-Expertise in der Planung, Anforderungsspezifikation, Ausschreibung und Umsetzung von Verlagerungen des IT-Betriebs unter Berücksichtigung regulatorischer Anforderungen.

Diese Erfahrung ermöglicht es den bankon-Beratern, gemeinsam mit den Kunden, den am besten geeigneten Weg von der strategischen Entscheidung zur Auslagerung von IT-Betriebsleistungen bis zur Etablierung des neuen Leistungsschnittes zu ermitteln und umzusetzen.

Profitieren Sie von der langjährigen Expertise unserer bankon Berater in der Gestaltung Ihres IT-Betriebs. Sprechen Sie uns an.