Autor: Ralf-Michael Jendro

Bank IT: Kostensteuerung durch effizientes Vendor Management

Der Druck auf die deut­schen Ban­ken erhöht sich immer stär­ker. Nicht nur der stei­gen­de Wett­be­werb oder die Erwar­tun­gen der Kun­den sind hier­für ver­ant­wort­lich, son­dern auch die wach­sen­den Kos­ten für Per­so­nal und Tech­nik sowie die Aus­wei­tung regu­la­to­ri­scher Anfor­de­run­gen. Für die Insti­tu­te ist es essen­zi­ell, hier ein Gleich­ge­wicht zu fin­den, das wirt­schaft­li­chen Erfolg, Kos­ten­ma­nage­ment, regu­la­to­ri­sche Kon­for­mi­tät und Mitarbeiter­zufriedenheit mit­ein­an­der verbindet. 

Die­se Anfor­de­run­gen kön­nen in erheb­li­chem Umfang nicht allein mit eige­nem Per­so­nal abge­bil­det wer­den. Erfolg­te in der Ver­gan­gen­heit eine Exter­na­li­sie­rung die­ses Bedarfs pri­mär zur Bewäl­ti­gung von Ver­än­de­run­gen im Chan­ge, ist heu­te auch der lau­fen­de Betrieb betrof­fen. Eine Ent­span­nung ist hier nicht zu erwar­ten; der Fach­kräf­te­man­gel betrifft jedoch auch die deut­schen Ban­ken in erheb­li­chem Maße. Ein Schlie­ßen die­ser Lücke mit­tels Zuwan­de­rung aus dem Aus­land ist, wenn über­haupt, nur eine lang­fris­ti­ge Opti­on. Auf kurz- und mit­tel­fris­ti­ge Sicht bedarf es ande­rer Lösungs­we­ge. Ein wesent­li­ches Instru­men­ta­ri­um ist die Ein­bin­dung exter­ner Unter­stüt­zung. Das ist als sol­ches nicht neu, erfolgt in vie­len Fäl­len aber nicht nach ganz­heit­li­chen Struk­tu­ren und pro­zes­su­al effi­zi­ent. Genau hier setzt das Ven­dor Manage­ment und sei­ner Gestal­tung an.

Abbil­dung 1: Hand­lungs­druck der Ban­ken und Erfor­der­nis eines erfolg­rei­chen Ven­dor Manage­ments © 2024 bankon

Ziel eines effi­zi­en­ten Ven­dor Manage­ments ist es, auf Basis eines metho­di­schen Vor­ge­hens kos­ten- und leis­tungs­op­ti­mal die pas­sen­den Anbie­ter aus­zu­wäh­len. Hier­zu sind sinn­vol­le, über­grei­fen­de, mög­lichst objek­ti­ve Kri­te­ri­en anzu­wen­den, die die­sen Pro­zess prak­tisch unter­le­gen. Dar­über hin­aus darf es sich beim Set­up oder der Opti­mie­rung eines Ven­dor Manage­ments nicht um einen ein­ma­li­gen Pro­zess­durch­lauf han­deln. Viel­mehr ist die­ser nach­hal­tig zu eta­blie­ren und mit­tels aus­ge­wähl­ter KPIs auch im Zeit­ab­lauf zu opti­mie­ren. Beson­ders gilt dies für die Infor­ma­ti­ons­tech­nik von Ban­ken, da hier der Umfang exter­ner Unter­stüt­zungs­leis­tun­gen einen hohen Umfang einnimmt. 

Um in der Bank-IT die­ses Ziel zu errei­chen, bedarf es defi­nier­ter Rah­men­be­din­gun­gen. Sie bil­den die Grund­la­ge für die Aus­ge­stal­tung des Ven­dor Manage­ments in der IT und spie­geln den Rei­fe­grad des bestehen­den Lie­fe­ran­ten­ma­nage­ments der Orga­ni­sa­ti­on wider. 

Abbil­dung 2: Rah­men­be­din­gun­gen Ven­dor Manage­ment © 2024 bankon

Die Rah­men­be­din­gun­gen des Ven­dor Manage­ments wer­den stark durch die Beschaf­fungs­stra­te­gie des Ein­kaufs bestimmt. Sie gibt den Kor­ri­dor vor, inner­halb des­sen das Ven­dor Manage­ment aus­ge­stal­tet wird. Für IT-Leis­tun­gen for­mu­liert in der Regel die Sourcing­stra­te­gie der IT ergän­zen­de, spe­zi­fi­sche Vor­ga­ben, wie breit eine Auf­split­tung extern ver­ge­be­ner Unter­stüt­zungs­leis­tun­gen auf unter­schied­li­che Pro­vi­der zuläs­sig ist und wel­che zen­tra­len Anfor­de­run­gen an die­se Pro­vi­der gestellt wer­den. Die Rah­men­be­din­gung der Inter­na­tio­na­li­tät ist zwei­ge­teilt. Einer­seits, wie inter­na­tio­nal das Insti­tut auf­ge­stellt ist und in wel­cher Form aus­län­di­sche Stand­or­te in den zen­tra­len Pro­zess des Ven­dor Manage­ments ein­ge­bun­den sind. Ande­rer­seits wie aus­ge­prägt die Frei­heits­gra­de sind, nicht inlän­di­sche oder nicht in der EU ansäs­si­ge Pro­vi­der oder Toch­ter­ge­sell­schaf­ten des Pro­vi­ders in der Lie­fe­ran­ten­aus­wahl zuzu­las­sen. Letz­te wesent­li­che Rah­men­be­din­gung ist die Port­fo­lio­pla­nung für Chan­ge­vor­ha­ben und der Grad der Ver­zah­nung mit den Pro­zes­sen des Ven­dor Managements.

Her­aus­for­dernd in der Aus­ge­stal­tung des Ven­dor Manage­ments ist, dass die bestehen­den Pro­zes­se in der Regel jedoch orga­nisch gewach­sen sind und die Ziel­set­zun­gen des Ein­kaufs und des IT-Bereichs nicht in der benö­tig­ten Form unter­stützt wer­den. In der Kon­se­quenz ent­spricht die Effi­zi­enz des Ven­dor Manage­ments in vie­len Fäl­len nicht den Erfor­der­nis­sen der Bank.

Abhän­gig von der ange­streb­ten Ziel­set­zung erfolgt eine Anpas­sung des Ven­dor Manage­ments in auf­ein­an­der auf­bau­en­den Leis­tungs­stu­fen. So reicht das Spek­trum der Gestaltungs­möglichkeiten von einer Qua­li­täts­si­che­rung des Pro­zes­ses und Opti­mie­rung ein­zel­ner Gestal­tungs­fel­der bis hin zu einem grund­le­gen­den Re-Set­up des Pro­zes­ses. Unab­hän­gig vom Umfang ist der wesent­li­che Erfolgs­fak­tor jedoch die Nach­hal­tig­keit der Umset­zung und die Eta­blie­rung in der Linienorganisation.

Wel­ches sind unab­hän­gig vom Umfang der Anpas­sun­gen die Gestal­tungs­fel­der des Ven­dor Manage­ments, die in der Opti­mie­rung aus­zu­prä­gen sind? In der Bera­tungs­pra­xis haben sich vier Fel­der als beson­ders bedeut­sam gezeigt, die hier kurz vor­ge­stellt wer­den sollen.

Abbil­dung 3: Gestal­tungs­fel­der eines erfolg­rei­chen Ven­dor Manage­ments © 2024 bankon

  1. Gestal­tungs­feld eins ist das Lie­fe­ran­ten­port­fo­lio. Hier­bei geht es eben­so wenig dar­um, alle Leis­tun­gen an eine klei­ne Anzahl gro­ßer, leis­tungs­star­ker Lie­fe­ran­ten zu ver­ge­ben wie um den Anspruch für jede Ein­zel­leis­tung einen indi­vi­du­el­len Part­ner aus­zu­wäh­len. Viel­mehr ist eine aus­ge­wo­ge­ne Balan­ce stra­te­gi­scher und spe­zi­fi­scher Dienst­leis­ter anzustreben. 
  2. Gestal­tungs­feld zwei ist die Ver­ein­ba­rung von Preis­mo­del­len, die sich nicht aus­schließ­lich an Rate-Cards aus­rich­ten. Gera­de in agi­len Pro­jek­ten in der IT füh­ren Stan­dard­preis­mo­del­le oft dazu, dass Res­sour­cen über lan­ge Zeit­räu­me ein­ge­kauft wer­den, ohne dass zum Zeit­punkt der Beauf­tra­gung der Inhalt und der Umfang der Leis­tungs­er­brin­gung spe­zi­fi­ziert ist.
  3. Gestal­tungs­feld drei ist die Eta­blie­rung einer ver­stärk­ten Ergeb­nis­ver­ant­wor­tung des Dienst­leis­tungs­part­ners. Ide­al wäre eine Reduk­ti­on dienst­ver­trag­li­cher Beauf­tra­gun­gen zuguns­ten einer werk­ver­trag­li­chen Ver­ein­ba­rung. Jedoch ermög­licht der Leis­tungs­ge­gen­stand der Beauf­tra­gung die­ses nur in einer begrenz­ten Zahl von Fäl­len. Den­noch gilt es, Kom­po­nen­ten der Ergeb­nis­ver­ant­wor­tung in Dienst­leis­tungs­ver­trä­ge zu integrieren.
  4. Gestal­tungs­feld vier ist die Inter­na­tio­na­li­sie­rung der Leis­tungs­er­brin­gung. Die Optio­nen rei­chen hier über den Ein­satz von Onshore- über Near­shore- zu Off­shore­res­sour­cen. Je nach Steue­rungs­kom­pe­tenz kann die­ses in die Beauf­tra­gung bestehen­der Dienst­leis­tungs­part­ner ein­ge­bet­tet wer­den oder aber auch in Form einer direk­ten Beauf­tra­gung erfolgen. 

Das Zusam­men­spiel die­ser vier Hand­lungs­fel­der ist ent­schei­den­des Erfolgs­kri­te­ri­um für die Aus­ge­stal­tung eines effi­zi­en­ten Ven­dor Manage­ments in der IT von Banken.

ban­kon unter­stützt Groß- und Lan­des­ban­ken, Spar­kas­sen und Genos­sen­schafts­ban­ken sowohl bei der Neu­strukturierung als auch der Opti­mie­rung ihrer IT-Pro­zes­se. Einer der für die Kos­ten­steue­rung rele­van­tes­ten Pro­zes­se ist das Ven­dor Manage­ment. Eine beson­de­re Her­aus­for­de­rung liegt dar­in, dass hier die IT nicht sin­gu­lär agie­ren kann, son­dern die­se Pro­zes­se in der Regel in der Ver­ant­wor­tung des Ein­kaufs lie­gen, aber die IT in hohem Maße tan­giert. Lang­jäh­ri­ge Erfah­rung ermög­licht ban­kon, gemein­sam mit den Kun­den das für den jewei­li­gen Rei­fe­grad des Ven­dor Manage­ments geeig­ne­te Port­fo­lio ziel­füh­ren­der Maß­nah­men im Zusam­men­spiel die­ser vier Hand­lungs­fel­der zu defi­nie­ren. ban­kon ver­fügt über die erfor­der­li­che prak­ti­sche Exper­ti­se in der Ein­füh­rung, Opti­mie­rung und nach­hal­ti­gen Opti­mie­rung von Ven­dor Manage­ment-Pro­zes­sen in gro­ßen deut­schen Geschäfts­ban­ken. Dar­über hin­aus besit­zen ban­kon-Bera­ter die erfor­der­li­chen bank­fach­li­chen und pro­zes­sua­len Kennt­nis­se, die es ermög­li­chen, im Zusam­men­spiel von IT und Ein­kauf erfor­der­li­che Anpas­sun­gen an den Ven­dor Manage­ment-Pro­zes­sen vor­zu­neh­men, die­se durch­zu­füh­ren, zu eta­blie­ren und nach­hal­tig zu sichern. 

Pro­fi­tie­ren Sie von der lang­jäh­ri­gen Exper­ti­se unse­rer ban­kon Bera­ter in der Gestal­tung Ihres Ven­dor Manage­ments. Spre­chen Sie uns an.

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de

Filialschließung – und was kommt dann – Comeback des Telefons als Vertriebskanal

Oft kommt sie schlei­chend und nahe­zu unbe­merkt, manch­mal mit einem Big Bang – die Schlie­ßung von Filia­len der klas­si­schen Uni­ver­sal­ban­ken im Bundesgebiet.

© 2023 bankon

Abbil­dung 1: Ent­wick­lung Anzahl Bank­fi­lia­len in Deutsch­land gemäß Bank­stel­len­be­richt der Bundesbank

Ver­schie­de­ne Ursa­chen kön­nen hier­für ver­ant­wort­lich sein. Seit Jah­ren bereits bau­en Spar­kas­sen, Genos­sen­schaf­ten und Groß­ban­ken ihre Fili­al­prä­senz deut­lich zurück. Vie­le der ehe­ma­li­gen Bera­tungs­punk­te wer­den aus Kos­ten­grün­den oder auf­grund nied­ri­ger Besuchs­fre­quenz in Selbst­be­die­nungs­stand­or­te umge­wan­delt oder ent­fal­len ganz. Die Com­merz­bank zum Bei­spiel wähl­te abwei­chend hier­von einen Big Bang Ansatz, in dem inner­halb eines sehr kur­zen Zeit­raums 2022 ein erheb­li­cher Anteil der bis­he­ri­gen Stand­or­te geschlos­sen oder nach der Coro­na-Pan­de­mie nicht wie­der geöff­net wur­de. An ihre Stel­le trat das Leis­tungs­an­ge­bot der Bera­tungs­cen­ter, über die den Kun­den Leis­tun­gen via Tele­fon und Video­kon­fe­renz in Kom­bi­na­ti­on mit Online-Leis­tun­gen offe­riert wurden.

Ein wei­te­res Phä­no­men ergänzt die­se Ver­än­de­rungs­ten­denz für die Kun­den vor allem im länd­li­chen Raum. Durch die hohe Zahl von Geld­au­to­ma­ten­spren­gun­gen kommt es zu einer Reduk­ti­on des Ange­bots an Selbst­be­die­nungs­stand­or­ten, weil die Kos­ten für die Wie­der­her­stel­lung oder Absi­che­rungs­maß­nah­men immens gestie­gen sind.

Was heißt das für den Kunden?

Geleb­te Gewohn­hei­ten im Zugang zu Bank­dienst­leis­tun­gen ver­än­dern sich. Das Gespräch mit einem Bera­ter der Bank bedarf einer expli­zi­ten Ter­min­ver­ein­ba­rung und einer Fahrt zum jewei­li­gen Stand­ort. Die Bedeu­tung von Selbst­be­die­nungs­an­ge­bo­ten am Auto­ma­ten oder via Online-Ban­king nimmt deut­lich zu, da nur noch die­se Kanä­le für die Durch­füh­rung von Trans­ak­tio­nen zur Ver­fü­gung ste­hen. Je nach Ange­bot des Insti­tuts steht alter­na­tiv ein Bera­ter via Tele­fon oder mul­ti­me­di­al zur Verfügung.

Die­se Ent­wick­lung ist für den Kun­den nicht über­ra­schend, aber inzwi­schen sind die Ver­än­de­run­gen für jeden spür­bar und erfor­dern eine ver­stärk­te Anpas­sung des Nutzungs­verhaltens von Bankdienstleistungen.

Was heißt das für die Bank?

Die Auf­ge­schlos­sen­heit der Kun­den für die Nut­zung media­ler Kanä­le wächst und erleich­tert den Kre­dit­in­sti­tu­ten den Abbau sta­tio­nä­rer Ange­bo­te. Gemäß Daten von Sta­tis­ta stieg der Anteil der Online-Ban­king Nut­zer in den Jah­ren von 2014 bis 2023 von 53 % auf 76 %. Selbst in der Alters­grup­pe der Senio­ren nut­zen inzwi­schen nahe­zu 50 % der Bank­kun­den das Online-Ange­bot. Ist damit der Switch vom sta­tio­nä­ren zum media­len Ange­bot für die Ban­ken ein Erfolgs­mo­dell? Aus mei­ner Sicht wäre die­se Ein­schät­zung trü­ge­risch und gefährlich.

Kri­ti­k­ali­tät der Entwicklung

Vie­le Fili­al­stand­or­te haben vor ihrer Schlie­ßung pri­mär ein Ser­vice­an­ge­bot und nur stan­dar­di­sier­te Bera­tungs­leis­tun­gen offe­riert, so dass durch den Wech­sel auf Selbst­be­die­nung oder media­les Ange­bot, eine Ver­än­de­rung durch den Kun­den als akzep­ta­bel emp­fun­den wurde.

Kri­ti­scher ist jedoch, dass vie­le Infor­ma­tio­nen aus dem unmit­tel­ba­ren Kun­den­kon­takt nicht mehr in der Bank vor­lie­gen, und in Form eines Cus­to­mer Rela­ti­onship Manage­ment genutzt wer­den kön­nen. Damit ein­her gehen drei kri­ti­sche Entwicklungen:

  • Die inhalt­li­che Dif­fe­ren­zier­bar­keit der Bank von Anbie­tern aus dem Fin­Tech-Umfeld nimmt ab
  • Kon­di­tio­nen bekom­men eine stär­ke­re Bedeu­tung bei der Ent­schei­dung des Kun­den für einen Anbieter
  • Die Loya­li­tät des Kun­den für sei­ne Bank nimmt ste­tig wei­ter ab

Das ist grund­sätz­lich nicht neu. Inter­es­sant ist aber Fol­gen­des: Trotz hoher Bereit­schaft zur Nut­zung media­ler Kanä­le, deu­ten die in den letz­ten Wochen auf­ge­tre­te­nen Schlan­gen vor den ver­blie­be­nen Filia­len der Com­merz­bank dar­auf hin, dass es Anfor­de­run­gen gibt, die durch die neue Struk­tur der Bera­tungs­cen­ter bis­her nur unzu­rei­chend abge­bil­det werden.

Hand­lungs­er­for­der­nis­se für die Bank

Die Ent­schei­dung einer Bank, statt sta­tio­nä­rer Leis­tungs­an­ge­bo­te aus­schließ­lich auf Selbst­be­die­nung oder Online-Ange­bo­te zu set­zen, ist nach unse­rer Ein­schät­zung kein erfolg­ver­spre­chen­des Modell. Auch der inzwi­schen ver­brei­te­te Ein­satz von Ava­ta­ren oder Robo-Advi­sor-Ange­bo­ten greift hier zu kurz.

Durch die fort­schrei­ten­de tech­ni­sche Ent­wick­lung erfährt statt­des­sen ein ande­res Medi­um eine Renais­sance – das Tele­fon. Die Mög­lich­kei­ten eines Leis­tungs­an­ge­bo­tes gehen weit über das hin­aus, was frü­her als Call-Cen­ter oder Com­mu­ni­ca­ti­on-Cen­ter bezeich­net wurde.

Bereits Ende der Neun­zi­ger­jah­re zeig­te die Advan­ce Bank, wel­che Mög­lich­kei­ten in der Bera­tung via Tele­fon ste­cken. Ver­mö­gens­be­ra­tung, Ver­trieb geschlos­se­ner Fonds, Bau­fi­nan­zie­rungs­an­ge­bo­te (in Tei­len sogar in Kom­bi­na­ti­on mit Online-Funk­tio­nen) wur­den den Kun­den damals offe­riert. Die damals damit noch ver­bun­de­nen Kos­ten ver­hin­der­ten einen lang­fris­ti­gen Erfolg die­ses Ansatzes.

Der Ansatz der Bera­tungs­cen­ter der Com­merz­bank greift vie­le die­ser The­men wie­der auf, und bie­tet über das Tele­fon ein brei­tes Spek­trum von Ser­vice­leis­tun­gen bis hin zu spe­zia­li­sier­ten Bera­tungs­leis­tun­gen im Kon­text Wert­pa­pier und Finan­zie­rung an.

Ein der­ar­ti­ges Ange­bot erfor­dert jedoch Vor­aus­set­zun­gen in drei Handlungsfeldern:

  1. Hohe tech­ni­sche Inte­gra­ti­on der Kom­po­nen­ten der Kernbankplattform
  2. Tech­ni­sche Aus­stat­tung des Arbeits­plat­zes im Hin­blick auf Infor­ma­ti­on, Kommuni­kation und Dokumentation
  3. Spe­zi­fi­sche Qua­li­fi­ka­ti­on der Bera­te­rin­nen und Bera­ter für die Bera­tung via Telefon

Zu 1. Tech­ni­sche Integration

Die für die Erbrin­gung von Ser­vice- und Bera­tungs­leis­tun­gen erfor­der­li­chen Infor­ma­tio­nen müs­sen in einer Ober­flä­che gebün­delt sein. Ein Zusam­men­tra­gen erfor­der­li­cher Infor­ma­tio­nen aus unter­schied­li­chen Anwen­dungs­sys­te­men wäh­rend eines Kunden­gesprächs ist zu ver­mei­den. Glei­ches gilt für die Nut­zung von Work­flow-Kom­po­nen­ten. Bera­tungs­un­ter­stüt­zung und Wei­ter­ga­be von Bearbeitungs­aufträgen sowie regu­la­to­rik­kon­for­me Doku­men­ta­ti­on des Bera­tungs­ge­sprächs müs­sen ohne Sys­tem­wech­sel mög­lich sein. Andern­falls wird die Qua­li­tät der Ser­vice- oder Bera­tungs­leis­tung dem Kun­den gegen­über deut­lich beein­träch­tigt. Vie­le Ban­ken haben die­se Inte­gra­ti­on heu­te nicht. In der Erbrin­gung von Leis­tun­gen im sta­tio­nä­ren Ver­trieb war die Bedeu­tung die­ser Inte­gra­ti­on deut­lich geringer.

Zu 2. Arbeitsplatzausstattung

Alle erfor­der­li­chen Infor­ma­tio­nen zum Kun­den müs­sen am Arbeits­platz des Bera­ters zusam­men­lau­fen. Ver­ein­ba­run­gen mit Kol­le­gin­nen und Kol­le­gen aus vor­an­ge­gan­ge­nen Gesprä­chen zäh­len hier eben­so dazu, wie Infor­ma­tio­nen zu erfolg­ten Online-Akti­vi­tä­ten des Kun­den oder zu Besu­chen im sta­tio­nä­ren Ver­trieb. Ohne die­se Infor­ma­ti­ons­ba­sis ist eine per­so­nen­un­ab­hän­gi­ge Leis­tungs­er­brin­gung nicht darstellbar.

Hin­zu kommt neben einer geeig­ne­ten Tele­fo­nie auch die erfor­der­li­che akus­ti­sche Ruhe am Arbeits­platz. Wäh­rend eines ver­trau­li­chen, tele­fo­ni­schen Bera­tungs­ge­sprächs darf für den Kun­den kein „kom­mu­ni­ka­ti­ves Grund­rau­schen“ aus par­al­lel­lau­fen­den Kunden­gesprächen ver­nehm­bar sein. Eben­so sind die Arbeits­plät­ze für die Durch­füh­rung von Videobe­ratun­gen aus­zu­stat­ten. Die­se Aus­stat­tung endet nicht bei der Aus­wahl einer Soft­ware. Viel­mehr dür­fen kei­ne Per­so­nen durch das Bild der Video­kon­fe­renz lau­fen oder Spie­ge­lun­gen von Bild­schir­men ande­rer Bera­ter für den Kun­den sicht­bar sein.

Nach­ste­hen­de Abbil­dung fasst wesent­li­che Aspek­te der Punk­te „tech­ni­sche Inte­gra­ti­on” und „Arbeits­platz­aus­stat­tung” zusammen:

© 2023 bankon

Abbil­dung 2: Tech­ni­sche Inte­gra­ti­on und Arbeitsplatzausstattung

Zu 3. Qualifikationsbedarf

Die Qua­li­fi­ka­ti­on eines erfolg­rei­chen Ban­kers im sta­tio­nä­ren Ver­trieb ist eine gute Vor­aus­set­zung für eine Fort­füh­rung des Erfolgs mit­tels Tele­fon oder Video-Chat. Aus­rei­chend allein ist sie jedoch nicht.

Die unmit­tel­ba­re Inter­ak­ti­on mit dem Kun­den via Tele­fon, die sich weder auf­hal­ten noch unter­bre­chen lässt, stellt ergän­zen­de Anfor­de­run­gen in Punk­to Kom­mu­ni­ka­ti­on, Kon­flikt­ma­nage­ment oder Abschluss­ori­en­tie­rung. Non­ver­ba­le Infor­ma­tio­nen des Kun­den im Gespräch feh­len oder sind über den Video­ka­nal anders als in einem Face-to-Face-Gespräch.

Hin­zu kommt eine deut­lich erhöh­te Tak­tung der Gesprä­che, nicht nur im Ser­vice­um­feld, son­dern auch in der qua­li­fi­zier­ten Bera­tung. In der Vor­be­rei­tung unter­las­se­ne Akti­vi­tä­ten las­sen sich im Gespräch kaum nach­ho­len. Noch ein­mal ande­re Anfor­de­run­gen zur Tak­tung stel­len sich aus Out­bound-Calls. Hier ist grund­sätz­lich zu über­le­gen, ob die glei­chen Per­so­nen In- und Out­bound telefonieren.

Abschlie­ßend besteht in vie­len Fäl­len ein Unter­schied in der per­sön­lich emp­fun­de­nen Wer­tig­keit des Kun­den­kon­takts via Tele­fon im Ver­gleich zum sta­tio­nä­ren Ver­trieb. Hier­für besteht kein Grund, den­noch ist die­se Emp­fin­dung immer wie­der festzustellen. 

Per­spek­ti­ven zur Weiterentwicklung

Im Rah­men der tech­ni­schen Inte­gra­ti­on ist es von hoher Bedeu­tung, dass End-to-End-Pro­zes­se in ihren Pro­zess­be­stand­tei­len an unter­schied­li­chen Stel­len bear­bei­tet wer­den kön­nen. Waren sta­tio­nä­re Stand­or­te der Ban­ken oft auch dadurch gekenn­zeich­net, dass in ihnen in Tei­len Back­of­fice-Tätig­kei­ten durch­ge­führt wur­den, so ist die­ses im Rah­men des tele­fo­ni­schen Kun­den­kon­tak­tes nur noch ganz rudi­men­tär mög­lich, z. B. bei Adressänderungen.

Je inte­grier­ter die Work­flow-Unter­stüt­zung in der Pro­zess­be­ar­bei­tung ist, umso fle­xi­bler las­sen sich die Pro­zes­s­tei­le auf­split­ten. Die­ses ermög­licht bei­spiels­wei­se die organisa­torische Aus­glie­de­rung von Leis­tun­gen in Ser­vice­ge­sell­schaf­ten. Aus Kos­ten­grün­den bie­ten die­se ihre Leis­tun­gen nicht mehr nur obli­ga­to­risch in Deutsch­land an, son­dern auch an aus­län­di­schen Stand­or­ten. Hier­aus erge­ben sich für die Ban­ken neue Mög­lich­kei­ten, stan­dar­di­sier­te Back­of­fice-Pro­zes­se kos­ten­güns­tig abzubilden.

ban­kon unter­stützt Groß- und Lan­des­ban­ken, Spar­kas­sen und Genos­sen­schafts­ban­ken bei der Neu­strukturierung ihrer Ver­triebs­ka­nä­le. Lang­jäh­ri­ge Pra­xis­er­fah­rung ermög­licht ban­kon, gemein­sam mit den Kun­den das für den jewei­li­gen Ver­triebs­ka­nal geeig­ne­te Pro­dukt- und Leis­tungs­spek­trum zu defi­nie­ren. Basis ist die Erkennt­nis, dass das Leis­tungs­an­ge­bot sehr eng mit den eta­blier­ten Pro­zes­sen sowie mit deren tech­ni­scher Basis zusam­men­spielt und nur in einem ganz­heit­li­chen Ansatz kon­zi­piert wer­den kann. Bank­fach­li­che und pro­zes­sua­le Kennt­nis­se ermög­li­chen es den ban­kon-Bera­tern, erfor­der­li­che Anpas­sun­gen an den End-to-End-Pro­zes­sen vor­zu­neh­men, erfor­der­li­che Über­gangs­pro­zes­se zu kon­zi­pie­ren und je Ver­triebs­ka­nal ein opti­ma­les Pro­dukt-Pro­zess-Port­fo­lio zu spezifizieren. 

Dar­über hin­aus ver­fügt ban­kon über lang­jäh­ri­ge Erfah­rung in der regu­la­to­rik­kon­for­men Aus­la­ge­rung von Back­of­fice-Pro­zes­sen inner­halb Deutsch­lands sowie an ver­schie­de­ne, rele­van­te Anbie­ter von Leis­tun­gen im Near- oder Offshoring. 

Pro­fi­tie­ren Sie von der lang­jäh­ri­gen Exper­ti­se unse­rer ban­kon Bera­ter in der Gestal­tung kanal-über­grei­fen­der, erfolg­rei­cher Ver­triebs- und Backoffice-Prozesse. 

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


ITIL Zauberkessel

ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?

Aus der Sicht des IT-Manage­ments bringt ITIL eine not­wen­di­ge Zutat mit, die für ein „Zau­ber­mit­tel“ uner­läss­lich ist – das not­wen­di­ge Alter mit einem ent­spre­chen­den Rei­fe­grad. Hier­bei darf jedoch nicht ver­kannt wer­den, dass ITIL von sei­nem Ursprung Ende der 80er Jah­re bis heu­te eine erheb­li­che Wei­ter­ent­wick­lung durch­lau­fen hat.

Ursprüng­lich bestand die Neu­ar­tig­keit von ITIL in der IT dar­in, auf die Erfor­der­nis­se der Kun­den aus­ge­rich­tet zu sein. Effek­ti­ve Pro­zes­se und klar zuge­ord­ne­te Ver­ant­wort­lich­kei­ten stan­den im Fokus. Ers­te Wei­ter­ent­wick­lun­gen ergänz­ten wei­te­re Pro­zes­se, bis in einer grund­le­gen­den Über­ar­bei­tung der Ser­vice Life­Cy­cle in den Mit­tel­punkt rück­te. Hier­bei wur­den wei­te­re Pro­zes­se ergänzt und die Ziel­set­zung von ITIL der­ge­stalt geschärft, dass eine mess­ba­re, posi­ti­ve Wert­schöp­fung für den Kun­den im Fokus steht und die­se einen rele­van­ten Mehr­wert für das Unter­neh­men schafft. Schwer­punk­te der wei­te­ren Ent­wick­lungs­schrit­te zur aktu­el­len Ver­si­on ITIL 4 waren neue Tech­no­lo­gien und das Ser­vice-Manage­ment, die ein­ge­bun­den wur­den in das ITIL Ser­vice Value Sys­tem (SVS).

Neben dem SVS erfolg­te im Kon­text des Ser­vice-Manage­ments die Über­füh­rung der bestehen­den 4 Ps von ITIL (Perso­nen, Produk­te, Part­ner und Prozes­se) in ein Modell mit vier Dimen­sio­nen, die über die ursprüng­li­chen 4 Ps hinausgehen:

  • Orga­ni­sa­tio­nen und Menschen
  • Infor­ma­tio­nen und Technologie
  • Part­ner und Lieferanten
  • Wert­strö­me und Prozesse

Auf die­se Wei­se hat ITIL in den ver­gan­ge­nen 35 Jah­ren sei­nen Best-Prac­ti­ce-Cha­rak­ter stets an den aktu­el­len Ver­än­de­run­gen und Gege­ben­hei­ten des IT-Manage­ments ausgerichtet.

Die Ver­än­de­rung der IT in Ban­ken und die Wei­ter­ent­wick­lung der Best Prac­ti­ces von ITIL ver­lie­fen zeit­lich und inhalt­lich viel­fach im Gleich­klang. Für die Ban­ken-IT war die­se gemein­sa­me Ent­wick­lung essen­zi­ell. Ver­ant­wort­lich dafür sind vor Allem vier Trends:

  • Ohne IT sind Bank­dienst­leis­tun­gen kaum noch zu erbringen
  • Die tech­ni­sche Kom­ple­xi­tät und Hete­ro­ge­ni­tät sind erheb­lich angewachsen
  • IT-Pro­zes­se sind durch ein unter­neh­mens­über­grei­fen­des Wert­schöp­fungs­netz­werk gekennzeichnet
  • Der Bedeu­tung ent­spre­chend sind die regu­la­to­ri­schen Anfor­de­run­gen an die Bank-IT erheb­lich gestiegen

Der ers­te Punkt ist ein­fach nach­zu­voll­zie­hen. Die wei­te­ren drei Punk­te sind stark mit­ein­an­der ver­zahnt. So führ­te die wach­sen­de Kom­ple­xi­tät und Hete­ro­ge­ni­tät der Bank-IT viel­fach dazu, dass wesent­li­che Tei­le an spe­zia­li­sier­te Dienst­leis­tungs­part­ner aus­ge­glie­dert wur­den. Bei­spiel­haft sei­en hier der Desk­top Ser­vice, der Betrieb von Kern­bank­sys­te­men, die Bereit­stel­lung von Cloud-Ser­vices sowie spe­zi­fi­sche IT-Secu­ri­ty-Leis­tun­gen genannt.

Die Steue­rung des sich dar­aus erge­ben­den Wert­schöp­fungs­netz­wer­kes aus inter­nen und extern erbrach­ten Leis­tun­gen und Pro­zess­an­tei­len ist aktu­ell domi­nie­ren­de Kern­auf­ga­be der IT Deut­scher Ban­ken. Auch den für Regu­la­to­rik von Ban­ken zustän­di­gen Instan­zen in Euro­pa und Deutsch­land (z. B. EBA, EZB, Bun­des­bank) ist die­ses bewusst. In der Kon­se­quenz wer­den die regu­la­to­ri­schen Anfor­de­run­gen an die IT in Ban­ken in immer kür­ze­ren Abstän­den in Brei­te und Tie­fe aus­ge­baut. Für die Aus­la­ge­rung von IT-Leis­tun­gen der Ban­ken an Dienst­leis­tungs­part­ner gel­ten gleich eine Viel­zahl, sich in Tei­len über­schnei­den­de, regu­la­to­ri­sche Anfor­de­run­gen. Nach­ste­hen­de Dar­stel­lung ver­deut­licht dieses:

© 2023 bankon

Die Her­aus­for­de­rung für die Bank-IT ist damit defi­niert. Das Wert­schöp­fungs­netz­werk der IT-Pro­zes­se ist effi­zi­ent und kon­form zu regu­la­to­ri­schen Anfor­de­run­gen zu gestal­ten und zu steu­ern. Eine aus­schließ­lich pro­vi­der­ori­en­tier­te Struk­tu­rie­rung ist hier­für nicht ziel­füh­rend. Zum einen ent­spricht die­se mehr­heit­lich nicht der aktu­el­len Situa­ti­on des Aus­la­ge­rungs­port­fo­li­os der Ban­ken, zum ande­ren gestat­tet sie nur wenig Fle­xi­bi­li­tät für eine pro­vi­der­un­ab­hän­gi­ge Erwei­te­rung des Serviceportfolios.

Es wird deut­lich, dass hier nur ein ganz­heit­li­cher Ansatz mit­tels mit End-to-End-Aus­rich­tung zur Lösung bei­tra­gen kann. Wel­che Rol­le kann ITIL hier­bei spie­len, und wel­che Lösun­gen kann ITIL anbieten?

Durch die sys­te­ma­ti­sche Wei­ter­ent­wick­lung unter­stützt ITIL spe­zi­fi­sche IT-Manage­ment-Pro­zes­se, bie­tet aber auch pro­zess- und ser­vice­über­grei­fen­de Steue­rungs­an­sät­ze über das gesam­te IT-Uni­ver­sum der Bank. Die­ses schließt auch Leis­tun­gen ein, die durch Drit­te erbracht werden.

Mit­tels ITIL kann die erfor­der­li­che Trans­pa­renz geschaf­fen wer­den, die der Bank eine regu­la­to­rik­kon­for­me und effi­zi­en­te Steue­rung der Gesamt-IT ermög­licht. Unter­stüt­zung bie­tet hier­bei die Manage­ment-Metho­dik des Ser­vice Inte­gra­ti­on and Manage­ment, kurz SIAM.

© 2023 bankon

SIAM ist nicht Inhalt von ITIL, son­dern ist aus­ge­legt auf die Steue­rung mul­ti­pler Pro­vi­der­struk­tu­ren, nutzt hier­zu aber die Kon­zep­te zum IT Ser­vice Manage­ment aus ITIL. Die Struk­tu­ren eines SIAM füh­ren in einem Mul­ti­pro­vi­der­ma­nage­ment die Geschäfts­pro­zes­se und die für ihre Leis­tungs­er­brin­gung erfor­der­li­chen IT-Ser­vices zusam­men. Sei­tens der IT bereit­ge­stell­te Ser­vices umfas­sen hier­bei pro­vi­der­über­grei­fend sowohl Infra­struk­tur­kom­po­nen­ten, Netz­werk­kom­mu­ni­ka­ti­on, Daten­hal­tung, IT-Anwen­dun­gen/Ap­pli­ka­tio­nen als auch deren Bereit­stel­lung am Arbeits­platz. Ent­stan­den ist SIAM im Jahr 2012 mit Erschei­nen des XGOV Stra­te­gic SIAM refe­rence set der bri­ti­schen Regie­rung und basiert auf einem Best Prac­ti­ce-ori­en­tier­ten Vorgehen.

Wel­che Gestal­tungs­fel­der für eine Ser­vice­inte­gra­ti­on und ein Ser­vice­ma­nage­ment erge­ben sich dar­aus für die Bank, die im Rah­men der Ein­füh­rung zu berück­sich­ti­gen sind? Die fol­gen­de Abbil­dung skiz­ziert die aus unse­rer Sicht rele­van­ten Felder:

© 2023 bankon

I. Strategie

Das pro­vi­der­über­grei­fen­de, inte­gra­ti­ve Manage­ment der IT-Ser­vices ist not­wen­di­ger­wei­se Bestand­teil der IT Stra­te­gie sowie der dar­un­ter­lie­gen­den Aus­prä­gun­gen z. B. einer Sourcing- oder Cloud Stra­te­gie. Die­ses ist auf­grund der Aus­rich­tung der IT-Ser­vices auf die Geschäfts­pro­zes­se erfor­der­lich, da die IT-Stra­te­gie die Ver­knüp­fung zur Geschäfts­stra­te­gie bildet.

II. Organisation

Wesent­li­cher Fokus ist hier das Sco­ping und damit die Iden­ti­fi­ka­ti­on der rele­van­ten IT-Ser­vices. Hier­bei sind Busi­ness- und Infra­struk­tur­per­spek­ti­ve mit­ein­an­der zu ver­bin­den. Die orga­ni­sa­to­ri­sche Ver­an­ke­rung des inte­grier­ten Mul­ti­pro­vi­der­ma­nage­ments geschieht über spe­zi­fi­sche Rol­len, die mit dem bestehen­den Rol­len­mo­dell zu ver­knüp­fen sind. Mit die­sen Rol­len ein­her­ge­hen­de Auf­ga­ben wer­den ver­ant­wort­li­chen Per­so­nen zuge­ord­net. Die­ses Vor­ge­hen ver­bin­det Rol­len, Ver­ant­wort­lich­kei­ten und Auf­ga­ben in einer Matrix, wel­che wesent­li­che Grund­la­ge für die quan­ti­ta­ti­ve Per­so­nal­pla­nung ist.

III. Prozesse

Wesent­li­ches Ele­ment ist die pro­vi­der­über­grei­fen­de Orches­trie­rung der IT-Ser­vice­pro­zes­se im Sin­ne eines End-to-End-Gedan­kens. Sie ist Vor­aus­set­zung einer Unter­stüt­zung die­ser Pro­zes­se mit­tels eta­blier­ter IT-Manage­ment­pro­zes­se wie Incident‑, Pro­blem- oder Chan­ge-Manage­ment. Ent­spre­chend der Kri­ti­k­ali­tät der Pro­zes­se sind Report­ing- und Kon­troll­ver­fah­ren zu eta­blie­ren, die durch geeig­ne­te KPIs unter­legt wer­den müssen.

IV. Tools

Erfolgs­kri­tisch ist in ers­ter Linie die Ver­füg­bar­keit der für die IT-Ser­vice­pro­zes­se End-to-End erfor­der­li­chen Infor­ma­tio­nen. Die­se müs­sen an einer zen­tra­len Stel­le gebün­delt sein, an die jeder Pro­vi­der sei­ne Daten zulie­fert und aktu­ell hält. Die­ser Daten­pool wird im Rah­men der IT-Manage­ment­pro­zes­se genutzt und ist Basis für eine work­flow­or­i­en­tier­te Pro­zess­be­ar­bei­tung unter Ein­bin­dung der Pro­vi­der. Hier­für bie­tet es sich an, eine markt­gän­gi­ge Platt­form zu ver­wen­den, die sowohl die Daten­hal­tung als auch die pro­zes­sua­len Work­flows unter­stützt. Offe­ne Stan­dard­schnitt­stel­len ermög­li­chen die fle­xi­ble Ein­bin­dung wei­te­rer Pro­vi­der und Assets. 

V. Verträge

Idea­ler­wei­se sind die Ver­trags­in­for­ma­tio­nen in der obi­gen Platt­form hin­ter­legt und ste­hen als Infor­ma­ti­on zur Ver­fü­gung. Neben dem Infor­ma­ti­ons­cha­rak­ter ist jedoch vor allem sicher­zu­stel­len, dass die für ein Mul­ti­pro­vi­der­ma­nage­ment erfor­der­li­chen tech­ni­schen, pro­zes­sua­len und regu­la­to­ri­schen Sach­ver­hal­te Inhalt der Ver­trags­wer­ke von Bank und Pro­vi­der sind. Beson­ders sei an die­ser Stel­le dar­auf hin­ge­wie­sen, dass ein fle­xi­bles Mul­ti­pro­vi­der­ma­nage­ment nicht nur ein Onboar­ding von Leis­tun­gen des Pro­vi­ders erfor­dert, son­dern auch die Häu­fig­keit eines Off­boar­ding erhöht ist. Dafür erfor­der­li­che Exit-Ver­ein­ba­run­gen sind aus die­sem Grund eine Kom­po­nen­te, die ver­trag­lich gere­gelt sein muss.

Bie­tet ITIL nun das Wun­der­mit­tel für ein regu­la­to­rik­kon­for­mes Pro­vi­der­ma­nage­ment, gege­be­nen­falls unter Hin­zu­fü­gen einer „Pri­se“ SIAM?

Obi­ge Aus­füh­run­gen machen deut­lich: Der Zau­ber­trank für ein regu­la­to­rik­kon­for­mes Mul­ti­pro­vi­der­ma­nage­ment ist ITIL nicht. Aber ITIL ent­hält die dafür erfor­der­li­chen Zuta­ten. Die­se sind in der IT der Bank unter Zusam­men­wir­ken mit wei­te­ren rele­van­ten Stake­hol­dern wie z. B. Ein­kauf oder Com­pli­ance zusam­men­zu­stel­len und mit erfor­der­li­chen Tools zu eta­blie­ren. ITIL bil­det eine Art Rezept­buch und wird damit sei­nem Best-Prac­ti­ce-Ansatz gerecht. Die Bank hat aber ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on aus IT-Kom­ple­xi­tät, End-to-End-Rei­fe­grad der IT-Pro­zes­se, Aus­ge­stal­tung des IT-Aus­la­ge­rungs­port­fo­li­os sowie regu­la­to­ri­schem Sta­tus quo das Mul­ti­pro­vi­der­ma­nage­ment aus­zu­ge­stal­ten. Hier unter­stützt der Manage­ment­an­satz SIAM und bie­tet Hil­fe­stel­lung in der bedarfs­ge­rech­ten Kon­zep­ti­on und Etablierung.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Manage­ment (ITIL), Pro­vi­der­ma­nage­ment, IT-Ser­vices sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons- und Pro­vi­der­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Erfah­run­gen aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ergän­zen die­se Pra­xis­er­fah­rung um regu­la­to­ri­sche Kompetenz.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


DORA – Neue regulatorische Anforderungen für europäische Banken

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­m­ent­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­k­ali­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­ence Test­ing (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­k­ali­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bund­ebe­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Transformationsprojekte in Banken – agil gedacht, hybrid gemacht

Die von innen und außen gestell­ten Anfor­de­run­gen an Pro­jek­te in Ban­ken ken­nen eigent­lich nur eine Rich­tung – „von allem mehr“:

  • Mehr Kom­ple­xi­tät
  • Mehr Zeit­druck
  • Mehr Kos­ten und auch Zwang zu mehr Kosteneinsparung
  • Mehr regu­la­to­ri­sche Rahmenbedingungen
  • Mehr Vola­ti­li­tät des Anforderungsportfolios

Eine Hand­ha­bung die­ser Anfor­de­run­gen mit den bewähr­ten, „tra­di­tio­nel­len“ Pro­jekt­ma­nage­ment­me­tho­den ist kei­ne Opti­on, da die­se hier an ihre Gren­zen sto­ßen und in Tei­len dar­über hinausgehen.

Ziel­set­zun­gen

Gera­de bei Trans­for­ma­ti­ons­pro­jek­ten (z. B. Ein­füh­rung Kern­bank­sys­te­me, Neu­struk­tu­rie­rung Geschäfts­fel­der, Umset­zung regu­la­to­ri­scher Anfor­de­run­gen), die durch lan­ge Pro­jekt­zeit­räu­me gekenn­zeich­net sind, steht die Welt nicht still, son­dern das Anfor­de­rungs­port­fo­lio ist im Zeit­ab­lauf regel­mä­ßig intern oder extern indu­zier­ten Anpas­sun­gen unter­wor­fen. Vor die­sem Hin­ter­grund sind das Anfor­de­rungs­ma­nage­ment sowie die Pro­jekt­steue­rung die wich­tigs­ten inhalt­li­chen und metho­di­schen Gestal­tungs­fel­der zur Sicher­stel­lung des Projekterfolgs.

Transformationsprojekte in Banken

Die­se bei­den Gestal­tungs­fel­der sind an den spe­zi­fi­schen Rah­men­be­din­gun­gen aus­zu­rich­ten. Ein „One fits all“ kann es nicht geben. Fol­gen­de vier Hand­lungs­fel­der sind zu berücksichtigen:

  • Varia­bi­li­tät des Pro­jekt­um­fangs (wie klar und fest­ge­fügt ist zu Beginn des Pro­jek­tes Umfang und Aus­prä­gung des ange­streb­ten Zielportfolios?)
  • Unter­neh­mens­kul­tur (wie hier­ar­chisch oder dyna­misch ist die Bank unab­hän­gig von Pro­jek­ten in ihrem Auf­bau und ihren Abläufen?)
  • Pro­jekt­kul­tur (wel­che Bedeu­tung haben Pro­jekt­struk­tu­ren in der Leis­tungs­er­brin­gung und wie stark wer­den Ver­än­de­run­gen aus Pro­jek­ten her­aus initiiert?)
  • Inter­ne Res­sour­cen und Skills (wie ist die Situa­ti­on hin­sicht­lich Quan­ti­tät und Qua­li­tät inter­ner Spe­zia­lis­tin­nen und Spe­zia­lis­ten auch im Ver­hält­nis zu exter­nen Dienstleistern?)

Im Kon­text die­ser Hand­lungs­fel­der sowie der spe­zi­fi­schen Pro­jekt­ziel­set­zung das geeig­nets­te Pro­jekt­vor­ge­hen zu wäh­len, ist von essen­zi­el­ler Bedeu­tung für den Projekterfolg.

Vor­ge­hens­op­tio­nen

In Trans­for­ma­ti­ons­pro­jek­ten von Ban­ken ist auf­grund ihrer Zeit­dau­er das „tra­di­tio­nel­le“ Pro­jekt­ma­nage­ment im Was­ser­fall in der Bewäl­ti­gung der Pro­jekt­an­for­de­run­gen nicht emp­feh­lens­wert. Eine rein agi­le Vor­ge­hens­wei­se mit­tels Scrum ist für Trans­for­ma­ti­ons­pro­jek­te auf­grund ihrer Grö­ße und Kom­ple­xi­tät eben­falls kei­ne Opti­on. Die Aus­rich­tung an agi­len Ver­fah­ren für das Manage­ment gro­ßer Pro­jek­te, z. B. mit­tels SAFe ist gera­de in den hier betrach­te­ten Pro­jek­ten ein denk­ba­rer Ansatz. Die metho­di­sche Kom­ple­xi­tät der­ar­ti­ger Ansät­ze darf hier­bei jedoch nicht außer Acht gelas­sen werden. 

Transformationsprojekte in Banken

Sinn­voll ist es vor die­sem Hin­ter­grund, Pro­jekt­kon­text und unter­neh­mens­in­di­vi­du­el­le Situa­ti­on für die Wahl des Vor­ge­hens her­an­zu­zie­hen. Im Ergeb­nis erge­ben sich dar­aus hybri­de Vor­ge­hens­op­tio­nen, die ähn­lich eines Metho­den­bau­kas­ten für die kon­kre­te Situa­ti­on aus­ge­wählt wer­den können.

Hand­lungs­emp­feh­lun­gen aus der Praxis

In den von ban­kon ver­ant­wor­te­ten Trans­for­ma­ti­ons­pro­jek­ten hat es sich bewährt, genau die­se situa­ti­ons­in­di­vi­du­el­len Aspek­te für die Aus­ge­stal­tung des Pro­jekt­vor­ge­hens zu berück­sich­ti­gen. Hier­aus ent­steht eine spe­zi­fi­sche Indi­vi­dua­li­sie­rung des Vor­ge­hens unter Nut­zung von Metho­den­bau­stei­nen. Fol­gen­de Dar­stel­lung illus­triert den „Ein­stieg“ in das hier­für von ban­kon ent­wi­ckel­te Ana­ly­se­werk­zeug mit der Ermitt­lung des unter­neh­mens­in­di­vi­du­el­len Agi­li­täts­scores. Spe­zi­fi­sche Pro­jekt­in­hal­te kön­nen durch eine ergän­zen­de Gewich­tung der Hand­lungs­fel­der Berück­sich­ti­gung erfahren. 

Transformationsprojekte in Banken

Eine „metho­den­rei­ne“ Vor­ge­hens­wei­se ist in Trans­for­ma­ti­ons­pro­jek­ten schon auf­grund der Kom­ple­xi­tät von Anfor­de­run­gen und Struk­tur in der Regel kun­den­sei­tig nicht anzu­tref­fen und zur Ziel­er­rei­chung auch nicht zu empfehlen.

Viel­mehr ist es sinn­voll, Pro­jekt­in­di­vi­du­ell und abhän­gig vom ermit­tel­ten Agi­li­täts­score metho­di­sche Bau­stei­ne ein­zu­fü­gen, mit denen der pro­jekt­spe­zi­fi­sche Hybridan­satz aus­ge­stal­tet wird.

  • Klas­si­sches Pro­jekt­um­feld mit nied­ri­gem Agilitätsscore:

In Unter­neh­men mit einem nied­ri­gen Agi­li­täts­score und einem klas­si­schen Pro­jekt­um­feld ist es emp­feh­lens­wert, agi­le Ele­men­te berei­chernd neben die klas­si­schen Struk­tu­ren zu stel­len. Es kann sich sogar anbie­ten, bei­de Struk­tu­ren an Punk­ten wie einem gemein­sa­men Back­log zusam­men­zu­füh­ren. Sinn­voll ist eine Auf­split­tung in Kom­po­nen­ten, die auf­grund ihrer inhalt­li­chen Deter­mi­niert­heit eher fixen Cha­rak­ter haben und wei­ter­hin klas­sisch bear­bei­tet wer­den und sol­che, die auf­grund Unsi­cher­hei­ten zum ange­streb­ten Ziel sinn­vol­ler­wei­se agil bear­bei­tet wer­den kön­nen. Fol­gen­de agi­le Metho­den bie­ten sich für eine Nut­zung in die­sem Pro­jekt­um­feld an:

  • Pro­jekt­wei­ter Back­log mit der Mög­lich­keit, Sprint­back­logs für agi­le Pro­jekt­ele­men­te zu extra­hie­ren und zu bearbeiten
  • Eta­blie­rung von Dai­ly-Scrums zur För­de­rung der Ver­net­zung zwi­schen den Pro­jekt­teilen und dem Manage­ment von Abhängigkeiten
  • Der Ein­satz von Kan­ban-Boards zur Unter­stüt­zung der Kommunikation
  • Ein­füh­rung von Ver­fah­ren des Reviews und der Retro­spek­ti­ve, um die Orches­trie­rung und Ziel­fo­kus­sie­rung der ein­zel­nen Pro­jekt­strän­ge zu fördern
  • Rol­le eines Pro­duct Owners als fachlich/technologische Evi­denz- und Kon­sis­tenz­stel­le etablieren

Die oben genann­ten agi­len Ele­men­te schaf­fen eine Klam­mer­funk­ti­on zwi­schen den in agi­ler und klas­si­scher Form auf­ge­setz­ten Pro­jekt­be­stand­tei­len. Sie eta­blie­ren ein gemein­sa­mes Ver­ständ­nis und zah­len in eine Ver­bes­se­rung des Agi­li­täts­scores ein. Dadurch wer­den die zukünf­ti­gen Mög­lich­kei­ten zum Ein­satz agi­ler Metho­di­ken im Pro­jekt deut­lich verbessert.

  • Agi­les Pro­jekt­um­feld mit hohem Agilitätsscore:

In Unter­neh­men mit einem hohen Agi­li­täts­score und einem agi­len Pro­jekt­um­feld ist das Zusam­men­wir­ken der ein­zel­nen agi­len Pro­jek­te im Hin­blick auf Zie­le oder die Nut­zung per­so­nel­ler und tech­ni­scher Res­sour­cen sicher­zu­stel­len. Dar­über hin­aus sind lang­fris­ti­ge Aus­rich­tun­gen und das Errei­chen stra­te­gi­scher Zie­le zu gewähr­leis­ten, was in der agi­len, sprint­ori­en­tier­ten Vor­ge­hens­wei­se durch die kur­ze Zeit­dau­er von Sprints und der häu­fig vor­herr­schen­den zeit­li­chen Limi­tie­rung des Pla­nungs­ho­ri­zonts auf Halb­jah­re oder Quar­ta­le nicht immer gege­ben ist. Metho­disch wer­den die­se Aspek­te in der Regel in ska­lier­ten agi­len Vor­ge­hens­for­men, z. B. SAFe berück­sich­tigt, in der Pra­xis aber nicht immer gelebt. Erfah­run­gen von ban­kon zeig­ten, dass durch die Ein­bin­dung aus­ge­wähl­ter klas­si­scher Pro­jekt­ma­nage­ment­bau­stei­ne in das agi­le Vor­ge­hen die­se Schwä­chen kom­pen­siert wer­den kön­nen, ohne den agi­len Cha­rak­ter zu beein­träch­ti­gen. Aus der Pra­xis­er­fah­rung von ban­kon bie­ten sich für eine Nut­zung in die­sem Pro­jekt­um­feld an:

  • Ver­knüp­fung the­men­spe­zi­fi­scher Back­logs mit einem über­grei­fen­den Anfor­de­rungs­ma­nage­ment, das eine Prio­ri­sie­rung und Aus­stat­tung der Pro­jek­te mit per­so­nel­len und tech­ni­schen Res­sour­cen über einen Zeit­raum von mehr als drei Mona­ten ermöglicht
  • Eta­blie­rung eines sys­te­ma­ti­schen, gesteu­er­ten, und zen­tra­len inhalt­li­chen Abhän­gig­keits­ma­nage­ments im Pro­jekt und in the­ma­ti­schen Projektbündeln
  • Ergän­zung um eine pro­jekt­über­grei­fen­de Res­sour­cen­steue­rung im Hin­blick auf per­so­nel­le Exper­ti­se (in Abstim­mung mit den Lini­en­ein­hei­ten) und tech­ni­sche Erfor­der­nis­se (z. B. in Form eines Test- und Releasemanagements)
  • Aus­bau der dezen­tra­len Risi­koer­fas­sung, z. B. in Jira zu einem ganz­heit­li­chen Risi­ko- und Issue Manage­ment, das eine Bewer­tung von Risi­ken und Issues ent­hält und ein sys­te­ma­ti­sches Con­trol­ling der hin­ter­leg­ten Maß­nah­men sicherstellt
  • Ver­län­ge­rung der Pla­nungs­ho­ri­zon­te durch Aus­deh­nung der Pla­nung auf mit­tel- und lang­fris­ti­ge Zeit­ach­sen. Vom Ziel des Trans­for­ma­ti­ons­pro­jek­tes aus­ge­hend wer­den die zur Errei­chung des Ziels erfor­der­li­chen Leis­tungs­bau­stei­ne iden­ti­fi­ziert und beplant. Hier­bei kann es sehr wohl zu unter­schied­li­chen Detail­lie­rungs­stän­den und Unsi­cher­hei­ten in der Pla­nung kommen
  • Ein­füh­rung zen­tra­ler Qua­li­täts­si­che­rungs­maß­nah­men über die in Jira und Con­fluence hin­ter­leg­ten Pro­jekt­do­ku­men­ta­tio­nen. Hier­durch wird ein gemein­sa­mer Qua­li­täts­stan­dard pro­jekt­in­tern und pro­jekt­über­grei­fend sicher­ge­stellt, der auch durch regu­la­to­ri­sche Anfor­de­run­gen vor­ge­ge­ben ist
  • Unter­stüt­zung der Qua­li­täts­si­che­rung durch den Ein­satz eines inhalt­li­chen PMO, wel­ches sich expli­zit um die­se ver­bin­den­den Metho­den küm­mert und eine Ent­las­tung der ope­ra­ti­ven Pro­jekt­teams sicherstellt

Nach­ste­hen­des Prin­zip­bild stellt Tei­le des ver­füg­ba­ren ban­kon Metho­den­port­fo­li­os dar, mit dem Trans­for­ma­ti­ons­pro­jek­te situa­ti­ons­ge­recht zum Erfolg geführt wer­den und Maß­nah­men zur Stei­ge­rung des Agi­li­täts­scores im Unter­neh­men umge­setzt werden.

Transformationsprojekte in Banken

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung in Trans­for­ma­ti­ons-Groß­pro­jek­ten sichert pra­xis­er­prob­tes Wis­sen. Die Erfah­rung in der Durch­füh­rung die­ser Art von kom­ple­xen Pro­jek­ten hat gezeigt, dass ein allei­ni­ges agi­les oder klas­si­sches Vor­ge­hen den Anfor­de­run­gen des Pro­jek­tes nicht opti­mal Rech­nung trägt. Viel­mehr ist ein geeig­ne­ter Mix aus Metho­den und Tool­bau­stei­nen erfor­der­lich, um den Pro­jekt­er­folg best­mög­lich zu unter­stüt­zen. In Form eines Best Prac­ti­ce-Ansat­zes hat ban­kon einen Metho­den­bau­kas­ten erar­bei­tet, der eine bedarfs­ge­rech­te Aus­wahl zur Ver­fü­gung stellt. Die ver­füg­ba­ren Metho­den und Tools sind ver­knüpft mit einem Agi­li­täts­score, der zu dem pro­jekt- und unter­neh­mens­in­di­vi­du­el­len Score gemappt wird, der für das Trans­for­ma­ti­ons­vor­ha­ben der Bank ermit­telt wird.

Dar­über hin­aus wird durch die­ses Vor­ge­hen eine Wei­ter­ent­wick­lung der Agi­li­tät in Pro­jek­ten, aber auch in Ver­än­de­rungs­pro­zes­sen der Bank gene­rell gefördert.

Pro­fi­tie­ren Sie von der lang­jäh­ri­gen Erfah­rung der ban­kon-Bera­ter in agi­len und klas­si­schen Trans­for­ma­ti­ons­pro­jek­ten auf Ihrem Weg zur agi­len Bank und zur erfolg­rei­chen Durch­füh­rung von Transformationsprojekten. 

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


stürmische Wetterlage

CoOpetition 2.0 – Banken müssen Ihre IT-Wertschöpfungsketten neu denken

Ban­ken sehen sich nicht erst durch die Coro­na-Pan­de­mie einer „stür­mi­schen Wet­ter­la­ge“ gegen­über. Bereits vor dem Virus stan­den Geschäfts­mo­del­le und ihre Ver­än­de­rung in Pro­zes­sen und Tech­nik im Fokus der Akti­vi­tä­ten in den Instituten.

Bli­cken wir vor die­sem Hin­ter­grund auf die Infor­ma­ti­ons­tech­nik der Ban­ken, dann wird fol­gen­des deutlich:

  • Die tech­ni­schen Bedro­hungs­si­tua­tio­nen von außer­halb, aber auch von inner­halb der Bank, wer­den quan­ti­ta­tiv und qua­li­ta­tiv spürbarer
  • Hier­bei kann die Bedro­hungs­si­tua­ti­on sowohl mit­tels kri­mi­nel­ler Ener­gie her­ge­stellt wor­den sein als auch durch Unacht­sam­keit beför­dert werden
  • Die Tech­no­lo­gi­sie­rung der betrof­fe­nen Pro­zes­se nimmt hier­bei stän­dig zu – bei­spiel­haft sei­en hier Block­chain oder Bit­co­in genannt
  • Staat und Ban­ken­auf­sicht grei­fen mit­tels Vor­ga­ben zur Ein­däm­mung der Risi­ken regu­la­to­risch ein

Zusam­men­ge­fasst ergibt sich für die IT in Ban­ken fol­gen­des Bild:

Zwei poten­zi­el­le Miss­ver­ständ­nis­se gilt es hier­bei von vor­ne­her­ein zu vermeiden:

  • Unter Inno­va­ti­ons­kraft ist hier nicht zu ver­ste­hen, dass neben den Run-Akti­vi­tä­ten noch ein Rest­an­teil von Kapa­zi­tät und Bud­get für Chan­ge-Akti­vi­tä­ten verbleibt
  • Unter Manage­ment von Wert­schöp­fungs­ket­ten ist nicht die Erfül­lung der Anfor­de­run­gen aus den EBA-Gui­de­lines zum Sourcing gemeint

Viel­mehr ist es für die IT in Ban­ken von essen­zi­el­ler Bedeu­tung, neben der Gestal­tung des Span­nungs­fel­des regu­la­to­ri­scher Anfor­de­run­gen und der Abwehr tech­ni­scher Angrif­fe von innen und außen par­al­lel die Inno­va­ti­ons­kraft von Pro­zes­sen und Tech­nik in der IT erheb­lich zu stär­ken. Hier­zu ist es erfor­der­lich, die bestehen­den Wert­schöp­fungs­ket­ten grund­le­gend zu über­den­ken – Stich­wort CoO­pe­ti­ti­on 2.0. Die­ses kann kei­nes­falls unab­hän­gig von­ein­an­der gesche­hen, da in der Neu­ge­stal­tung der Make-or-Buy-Struk­tur für die Ban­ken-IT der größ­te Hebel liegt, Inno­va­ti­ons­frei­räu­me zu generieren. 

CoO­pe­ti­ti­on 1.0

Der Begriff CoO­pe­ti­ti­on beschreibt die Dua­li­tät von Kon­kur­renz und Koope­ra­ti­on. Wesent­li­cher Inhalt von CoO­pe­ti­ti­on 1.0 war die Posi­tio­nie­rung der Bank im Markt und in ihrer Funk­ti­on. In den Insti­tuts­grup­pen der Genos­sen­schaf­ten und der Spar­kas­sen lässt sich die Umset­zung gut identifizieren.

Bei­de Insti­tuts­grup­pen haben vie­le Tätig­kei­ten für die Pri­mär­in­sti­tu­te zen­tra­li­siert und auf einen oder weni­ge Anbie­ter ver­dich­tet. So gibt es in bei­den Grup­pen jeweils nur noch einen Rechen­zen­trums­an­bie­ter mit einem Kern­bank­sys­tem. Die Genos­sen haben nur noch ein Spit­zen­in­sti­tut. Die Spar­kas­sen haben nur noch zwei bedeu­ten­de Back­of­fice-Anbie­ter. Leis­tungs­an­ge­bo­te, wie z. B. das Kon­su­men­ten­kre­dit­ge­schäft, wer­den insti­tuts­über­grei­fend bereit­ge­stellt – sie­he S‑Kreditpartner GmbH.

Im Ergeb­nis fokus­sie­ren sich die Insti­tu­te deut­lich stär­ker auf Ihre Kern­kom­pe­tenz und zwar den Ver­kauf von Bank­pro­duk­ten ein­her­ge­hend mit erfor­der­li­chen Beratungsleistungen.

CoO­pe­ti­ti­on 2.0

In der Wei­ter­ent­wick­lung zur CoO­pe­ti­ti­on 2.0 liegt der Schwer­punkt auf der IT. Sie ist der Enabler, um Verkaufs‑, Beratungs‑, Abwick­lungs- und Steue­rungs­pro­zes­se effi­zi­ent zu gestalten.

Da es nicht die Kern­kom­pe­tenz einer Bank ist, ein Rechen­zen­trum zu betrei­ben oder Soft­ware zu ent­wi­ckeln, wer­den wesent­li­che IT-Leis­tun­gen von Dritt­an­bie­tern bezo­gen. Stra­te­gi­sche Part­ner­schaft ver­sus Best-of-Breed ist hier­bei die domi­nie­ren­de Fra­ge. Die zen­tra­len IT-Dienst­leis­ter der bei­den gro­ßen Ban­ken­grup­pen Deutsch­lands haben um den Betrieb des Kern­bank­sys­tems in ihren Rechen­zen­tren hin­aus ein umfang­rei­ches Soft­ware- und Dienst­leis­tungs­an­ge­bot geschaf­fen, das sie obli­ga­to­risch zu stra­te­gi­schen Part­nern der Insti­tu­te macht.

Drei Hand­lungs­op­tio­nen haben sich in der Pra­xis als ziel­füh­rend herausgestellt:

CoOpetition 2 RJO

Opti­on 1 (Stan­dard):

Die Nut­zung der Leis­tungs­an­ge­bo­te des Rechen­zen­trums im Stan­dard mini­miert sowohl die Steue­rungs­auf­wän­de als auch die Run-Kos­ten. Freie Kapa­zi­tä­ten und Bud­gets für tech­ni­sche und pro­zes­sua­le Inno­va­tio­nen sind das Resul­tat. Eine Nut­zung hier­für stün­de aber im Wider­spruch zu dem auf Stan­dard gesetz­ten Fokus.

Ande­rer­seits kann der Schwer­punkt so ver­stärkt auf die Berei­che der Bank gelegt wer­den, in denen das Insti­tut die Kern­kom­pe­tenz besitzt – Bera­tung und Verkauf.

Dar­über hin­aus kann aus dem reich­hal­ti­gen Ange­bot von Stan­dard­leis­tun­gen und Tools das für das Insti­tut best­mög­li­che Port­fo­lio aus­ge­wählt wer­den. Die­ses kann auf­grund der stan­dar­di­sier­ten Nut­zung umfang­rei­cher ausfallen.

Bei einer Ent­schei­dung für die­se Opti­on sind die IT-Pro­zes­se inklu­si­ve des Anfor­de­rungs­ma­nage­ments sowie die über­ge­ord­ne­te IT-Stra­te­gie ent­spre­chend auszurichten.

Opti­on 2 (Indi­vi­dua­li­tät im Standard):

Mit der Ergän­zung des Stan­dards um durch das Rechen­zen­trum ange­bo­te­ne Indi­vi­du­al­leis­tun­gen las­sen sich pro­zes­sua­le und tech­ni­sche Inno­va­tio­nen stär­ker umset­zen als in einer aus­schließ­li­chen Aus­rich­tung am Stan­dard. Bei­spiel­haft für Indi­vi­dua­li­tät kann der Ein­satz leis­tungs­stär­ke­rer Ana­ly­se­tools für Daten­aus­wer­tun­gen sein oder Soft­ware, wel­che die Abbil­dung kom­ple­xe­rer Pro­duk­te und Dienst­leis­tun­gen ermöglicht.

Die zusätz­li­chen, indi­vi­du­el­len Leis­tun­gen erlau­ben eine Unter­schei­dung vom Leis­tungs­an­ge­bot des Wett­be­werbs. Frei­heits­gra­de wie die Ein­bin­dung von Part­ner­pro­duk­ten außer­halb der Insti­tuts­grup­pe oder das Ange­bot insti­tuts­in­di­vi­du­el­ler, digi­ta­ler Leis­tun­gen sind hier aber nur ein­ge­schränkt möglich.

Es bleibt der Fokus auf die Kern­kom­pe­ten­zen Bera­tung und Ver­kauf. Da die Indi­vi­du­al­leis­tun­gen sepa­rat bepreist wer­den, ist die Nut­zung die­ser Mög­lich­kei­ten Bestand­teil einer insti­tuts­spe­zi­fi­schen Kal­ku­la­ti­on. In die­se flie­ßen neben den höhe­ren Run-Kos­ten gegen­über der Opti­on 1 auch erhöh­te Auf­wän­de für die Admi­nis­tra­ti­on, Steue­rung und Kon­trol­le der Indi­vi­du­al­leis­tun­gen ein.

Die Indi­vi­dua­li­tät im Stan­dard muss somit einen mess­ba­ren öko­no­mi­schen Vor­teil gegen­über dem rei­nen Stan­dard auf­wei­sen, um für die Bank sinn­voll zu sein.

Ent­spre­chend ist auch bei einer Ent­schei­dung für die­se Opti­on die IT-Stra­te­gie ent­spre­chend zu for­mu­lie­ren und die IT-Pro­zes­se stra­te­gie­kon­form auszurichten.

Opti­on 3 (Indi­vi­dua­li­tät zusätz­lich zum Standard):

Für Insti­tu­te, die Ihr Pro­dukt- und Dienst­leis­tungs­an­ge­bot um Leis­tun­gen von Dritt­part­nern oder FinTechs ergän­zen wol­len, ist die Erwei­te­rung des Stan­dards um indi­vi­du­el­le Leis­tun­gen, die nicht durch das Rechen­zen­trum ange­bo­ten wer­den, eine Option.

Bei­spiel­haft für eine sol­che Erwei­te­rung sei hier die Ein­füh­rung leis­tungs­be­zo­ge­ner Pro­dukt­öko­sys­te­me genannt. Die­se kön­nen unter ande­rem im Kon­text Bau (z. B. Ange­bo­te von Hand­wer­kern, Archi­tek­ten oder Behör­den) oder Senio­ren (z. B. Ange­bo­te zu Pfle­ge­diens­ten, zur Frei­zeit­ge­stal­tung sowie Ein­kaufs­ser­vices) kon­zi­piert werden.

Glei­ches gilt aber z. B. auch im Kon­text des Wert­pa­pier­ge­schäf­tes. Schritt­wei­se ein­ge­führ­te insti­tuts­grup­pen­spe­zi­fi­sche Ange­bo­te wie z. B. der Beves­tor der Deka­Bank ste­hen hier neben Eigen­ent­wick­lun­gen von Insti­tu­ten wie Sma­ves­to der Spar­kas­se Bre­men und Ange­bo­ten außer­halb der Institutsgruppe.

Für alle gemein­sam gilt jedoch, dass die Indi­vi­dua­li­tät die­ser Ange­bo­te erheb­lich in die Gestal­tung tech­ni­scher und orga­ni­sa­to­ri­scher Pro­zes­se in der IT ausstrahlt.

Insti­tu­te, die sol­che Leis­tun­gen nut­zen, benö­ti­gen per­so­nel­le und tech­ni­sche Kapa­zi­tä­ten, um die­se Ange­bo­te abbil­den zu kön­nen. Steue­rungs- und Betriebs­pro­zes­se sind inhalt­lich und regu­la­to­risch ent­spre­chend aus­zu­ge­stal­ten. Sie sind in einer IT-Stra­te­gie zusam­men­zu­füh­ren sowie durch Vor­ga­ben der IT-Archi­tek­tur und ein Tar­get Ope­ra­ting Model zu operationalisieren.

Eine Ent­schei­dung für die­sen Weg erfor­dert dar­über hin­aus, dass dadurch ein nach­hal­tig mess­ba­rer öko­no­mi­scher Mehr­wert gene­riert wer­den kann.

Zusam­men­fas­sung:

Es gibt kei­ne rich­ti­ge oder fal­sche Ent­schei­dung. Aus­schlag­ge­bend sind vor allem nach­ste­hen­de fünf Handlungsfelder:

  • Die Geschäfts­stra­te­gie der Bank (wie posi­tio­nie­re ich mich gegen­über mei­nen Wettbewerbern)
  • Die Sourcing­stra­te­gie der Bank (wie affin bin ich für eine Aus­la­ge­rung von Leis­tun­gen an Drit­te und wie eta­bliert sind mei­ne Pro­zes­se für eine regu­la­to­rik­kon­for­me Steuerung)
  • Grö­ße und Wett­be­werbs­in­ten­si­tät des Instituts
  • Per­so­nel­le Aus­stat­tung (quan­ti­ta­tiv und skillspezifisch)
  • Insti­tuts­in­di­vi­du­el­le Governance

Aus die­sen Hand­lungs­fel­dern ist die für das Insti­tut opti­ma­le Opti­on zur Gestal­tung der       CoO­pe­ti­ti­on 2.0 aus­zu­wäh­len und auszugestalten.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus Stra­te­gie- und Trans­for­ma­ti­ons­pro­jek­ten, der Ein­füh­rung neu­er Geschäfts­fel­der und Pro­duk­te sowie der Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen gewähr­leis­ten den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Geld

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

„Frü­her oder spä­ter krie­gen wir Euch alle“ mag die Finanz­auf­sicht (flap­sig for­mu­liert) gedacht haben, als sie mit den Zah­lungs­dienst­auf­sicht­li­chen Anfor­de­run­gen an die IT (ZAIT) ihre auf­sichts­recht­li­chen Vor­ga­ben auch auf Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te aus­ge­dehnt hat.

Der­zeit befin­den sich die ZAIT in der Kon­sul­ta­ti­on – jedoch ist nach Abschluss die­ser unmit­tel­bar mit einer Gül­tig­keit der ZAIT zu rechnen.

Unter­stützt wird die­se Annah­me durch die Tat­sa­che, dass die ZAIT das Kapi­tel „Kun­den­be­zie­hun­gen mit Zah­lungs­dienst­nut­zern“ for­mu­liert, das nach der Kon­sul­ta­ti­on auch Bestand­teil der Ban­ken­auf­sicht­li­chen Anfor­de­run­gen an die IT (BAIT) wird.

Die Begrün­dung für die pla­ka­ti­ve Ein­lei­tung die­ses Arti­kels gibt die Über­sicht der auf­sichts­recht­li­chen Anfor­de­run­gen, die sei­tens der Finanz­auf­sicht bis­her vor­ge­ge­ben wurden.

ZAIT 1 RJO

Wur­den zu Beginn Ban­ken und Ver­si­che­run­gen in den Mit­tel­punkt gerückt und ent­spre­chen­de auf­sichts­recht­li­che Anfor­de­run­gen für die siche­re Aus­ge­stal­tung der IT-Sys­te­me sowie der zuge­hö­ri­gen Pro­zes­se und die Umset­zung der IT-Gover­nan­ce ein­ge­führt, folg­ten bereits 2019 spe­zi­fi­sche Anfor­de­run­gen für Kapi­tal­ver­wal­tungs­ge­sell­schaf­ten. Dazwi­schen wur­de für beson­ders kri­ti­sche IT-Sys­te­me das KRI­TIS-Modul ein­ge­führt. Im Jahr 2020 erfuh­ren die BAIT eine deut­li­che Erwei­te­rung, die vor allem den Infor­ma­ti­ons­ver­bund in den Mit­tel­punkt rück­te und sei­ne Defi­ni­ti­on gegen­über den bis­her gül­ti­gen BAIT deut­lich ausbaute.

Im Jahr 2021 befin­den sich nun die ZAIT in der Kon­sul­ta­ti­ons­pha­se. Zunächst behan­deln wir in die­sem Arti­kel zwei Fragen:

  • Wen betref­fen die ZAIT?
  • Wie unter­schei­den sich die ZAIT von den ande­ren auf­sichts­recht­li­chen Anfor­de­run­gen an die IT?

Wen betref­fen die ZAIT?

Betrof­fen von den ZAIT sind Zah­lungs­in­sti­tu­te und E‑Geld-Insti­tu­te:

  • Zah­lungs­in­sti­tu­te:
    • Der­zeit sind etwa 70 Zah­lungs­in­sti­tu­te bei der Finanz­auf­sicht registriert
    • Zah­lungs­in­sti­tu­te betrei­ben gewerbs­mä­ßig Zah­lungs­diens­te wie z. B. Ein­zah­lungs- oder Aus­zah­lungs­ge­schäft, Lastschrift‑, Über­wei­sungs- oder Zah­lungs­kar­ten­ge­schäft ohne Kre­dit­ge­wäh­rung oder Zah­lungs­ge­schäft mit Kreditgewährung
    • Auch Anbie­ter von Zah­lungs­aus­lö­se­diens­ten oder Kon­to­in­for­ma­ti­ons­diens­ten zäh­len zu den Zahlungsinstituten
  • E‑Geld-Insti­tu­te:
    • Der­zeit sind neun E‑Geld-Insti­tu­te bei der Finanz­auf­sicht registriert
    • E‑Geld-Insti­tu­te bege­ben E‑Geld
    • E‑Geld ist der elek­tro­nisch, dar­un­ter auch magne­tisch, gespei­cher­te mone­tä­re Wert in Form einer For­de­rung an den Emit­ten­ten, der gegen Zah­lung eines Geld­be­trags aus­ge­stellt wird, um damit Zah­lungs­vor­gän­ge im Sin­ne des BGB durchzuführen

Somit han­delt es sich quan­ti­ta­tiv um eine eher klei­ne Zahl betrof­fe­ner Insti­tu­te, für die­se erfah­ren die vor­ge­ge­be­nen Anfor­de­run­gen aber eine deut­li­che Anspruchssteigerung.

Was sind die Gemein­sam­kei­ten und Unter­schie­de der ZAIT zu ande­ren auf­sichts­recht­li­chen Anforderungen?

Auch der grund­sätz­li­che Auf­bau bei­der Doku­men­te ist in sei­ner Struk­tur nahe­zu iden­tisch. Eben­so steht der Infor­ma­ti­ons­ver­bund bei den ZAIT im Mit­tel­punkt der Betrach­tun­gen. Aus bei­den Anfor­de­rungs­do­ku­men­ten her­aus gilt für die Insti­tu­te das Pro­por­tio­na­li­täts­prin­zip in der Umset­zung der gefor­der­ten Maßnahmen.

Was unter­schei­det die ZAIT von ande­ren regu­la­to­ri­schen Vor­ga­ben wie z. B. den BAIT? Fünf Punk­te fal­len hier auf und sol­len kurz betrach­tet wer­den. Sie betref­fen fol­gen­de Kapitel:

  • IT-Gover­nan­ce
  • Infor­ma­ti­ons­si­cher­heits­ma­nage­ment
  • IT-Pro­jek­te und Anwendungsentwicklung
  • Aus­la­ge­rung und sons­ti­ger Fremdbezug
  • Not­fall­ma­nage­ment

Im Zusam­men­hang mit der IT-Gover­nan­ce liegt die wesent­li­che Unter­schei­dung dar­in, dass eine Aus­rich­tung der IT an eta­blier­ten Stan­dards zu erfol­gen hat. Hier wer­den drei Stan­dards expli­zit genannt (IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), die inter­na­tio­na­len Sicher­heits­stan­dards ISO/IEC 270XX der Inter­na­tio­nal Orga­niza­ti­on for Stan­dar­diza­ti­on und der Pay­ment Card Indus­try Data Secu­ri­ty Stan­dard (PCIDSS)).

Im Infor­ma­ti­ons­si­cher­heits­ma­nage­ment besteht die Mög­lich­keit, die Funk­ti­on des Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten mit ande­ren Funk­tio­nen im Unter­neh­men zu kom­bi­nie­ren oder, in beson­de­ren Fäl­len, auch außer­halb des Unter­neh­mens anzusiedeln.

Für IT-Pro­jek­te und Anwen­dungs­ent­wick­lung gibt es expli­zi­te Anfor­de­run­gen an die durch­zu­füh­ren­de Aus­wir­kungs­ana­ly­se und die Nut­zung des Begriffs „wesent­li­che Ver­än­de­rung“ im Zusam­men­hang mit Vor­ga­ben für die Testdurchführung.

Das Kapi­tel Aus­la­ge­rung und sons­ti­ger Fremd­be­zug ent­hält deut­lich umfang­rei­che­re Anfor­de­run­gen in den ZAIT als in den BAIT, die es zu berück­sich­ti­gen gilt.

Im Not­fall­ma­nage­ment wird die Not­wen­dig­keit zur Durch­füh­rung von Aus­wir­kungs­ana­ly­sen und Risi­ko­ana­ly­sen gefordert. 

Ers­te Schrit­te für Zah­lungs­in­sti­tu­te mit den ZAIT:

In einem ers­ten Schritt gilt es für die Zah­lungs­in­sti­tu­te und die E‑Geld-Insti­tu­te, ihre indi­vi­du­el­le Aus­gangs­si­tua­ti­on vor dem Hin­ter­grund der ZAIT zu ken­nen. Nur dann lässt sich der erfor­der­li­che Hand­lungs­be­darf identifizieren.

Vor­ran­gig gilt es, einen Über­blick über das eige­ne Insti­tut, die genutz­ten Aus­la­ge­run­gen sowie die Zah­lungs­dienst­nut­zer zu erhal­ten. Die­ses schließt auch den Infor­ma­ti­ons­ver­bund ein, der ein Nukle­us der ZAIT ist.

Inhalt­lich ste­hen fünf Hand­lungs­fel­der im Mit­tel­punkt der Erhebung.

ZAIT 2 RJO
  1. In wel­chem Umfang sind bereits Vor­be­fas­sun­gen zu Regu­la­to­ri­k­an­for­de­run­gen im Insti­tut erfolgt, z. B. durch eine inter­ne Erst­ana­ly­se oder die Jah­res­ab­schluss­prü­fung des Wirtschaftsprüfers?
  2. Wie steht es um die Gover­nan­ce des Insti­tuts, z. B. in Bezug auf eine durch­gän­gi­ge und doku­men­tier­te stra­te­gi­sche Aus­rich­tung oder ein eta­blier­tes inter­nes Kon­troll- und Prüfungswesen?
  3. Wird heu­te bereits auf eta­blier­te Stan­dards zurück­ge­grif­fen, auch über die in der ZAIT genann­ten hin­aus, z. B. ITIL oder Cobit?
  4. Wie trans­pa­rent sind die bestehen­den Aus­la­ge­run­gen tech­nisch und orga­ni­sa­to­risch und in wel­cher Form sind die­se in Kon­troll­pro­zes­se eingebunden?
  5. Wel­chen Stand hat die per­so­nel­le und tech­ni­sche Aus­stat­tung des Insti­tuts quan­ti­ta­tiv und qualitativ?

Die Ermitt­lung der Aus­gangs­si­tua­ti­on kann mit­tels eines Quick-Checks erfol­gen, um auf Grund­la­ge die­ser Infor­ma­tio­nen einen Über­blick über den erfor­der­li­chen Hand­lungs­be­darf zu erhal­ten und eine Indi­ka­ti­on für die Aus­ge­stal­tung des Pro­por­tio­na­li­täts­prin­zips zu gewinnen.

In einer Aus­bau­stu­fe kann sich eine Rei­fe­grad­ana­ly­se anschlie­ßen, für die es sich emp­fiehlt, die­se bereits an einen eta­blier­ten Stan­dard aus­zu­rich­ten, z. B. der ISO 27000-Reihe.

Neben der inhalt­li­chen Ana­ly­se zu den Kri­te­ri­en des Stan­dards ermög­licht ein sol­ches Vor­ge­hen auch eine Visua­li­sie­rung für das Management.

ZAIT 5 RJO

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus einer Viel­zahl von Regu­la­to­rik­pro­jek­ten bei Finanz­dienst­leis­tern gewähr­leis­ten die Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen. Lang­jäh­ri­ge Pra­xis­exper­ti­se aus Pro­jekt- und Lini­en­tä­tig­keit bei Zah­lungs­in­sti­tu­ten schaf­fen den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Agilität-Regulatorik

„Agilität in Regulatorikprojekten – Widerspruch oder Chance?“

Anzahl und Kom­ple­xi­tät von Regu­la­to­rik­pro­jek­ten in Ban­ken stei­gen stän­dig. Immer mehr Res­sour­cen, per­so­nell und finan­zi­ell, wer­den mit der Sicher­stel­lung einer regu­la­to­rik­kon­for­men Gover­nan­ce gebun­den. Lei­der ist der Bei­trag zur unter­neh­me­ri­schen Wert­schöp­fung von Regu­la­to­rik­pro­jek­ten nahe­zu „Null“. Aus die­sem Grund kommt der effek­ti­ven Bear­bei­tung regu­la­to­ri­scher Anfor­de­run­gen sowie dem effi­zi­en­ten Manage­ment von Regu­la­to­rik­pro­jek­ten eine hohe Bedeu­tung zu. Kön­nen hier agi­le Metho­den oder gar Scrum helfen?

Zur Klä­rung einer Eig­nung von Scrum für die Durch­füh­rung regu­la­to­ri­scher Pro­jek­te in Ban­ken emp­fiehlt sich ein Blick auf die Cha­rak­te­ris­ti­ka von Pro­jek­ten, bei denen Scrum ide­al­ty­pisch ein­ge­setzt wird.

Kennzeichen von Projekten Scrum vs. Wasserfall

Auf­grund der gesetz­li­chen oder auf­sichts­recht­li­chen Vor­ga­ben, an denen Regu­la­to­rik­pro­jek­te aus­ge­rich­tet sind, wird auf den ers­ten Blick deut­lich, dass die­se Art von Pro­jek­ten nicht die Kenn­zei­chen auf­wei­sen, die ein Pro­jekt cha­rak­te­ri­sie­ren, das sich gut für die Anwen­dung von Scrum eig­net. Selbst­ver­ständ­lich lässt sich ein­wen­den, dass Metho­di­ken immer auch eine indi­vi­du­el­le Inter­pre­ta­ti­on oder Aus­prä­gung auf­wei­sen. Scrum lebt aber gera­de von der Ein­hal­tung des Metho­den­ka­nons, um sei­ne Wir­kung ent­fal­ten zu kön­nen. Metho­di­sche „Ein­grif­fe“ stel­len hier den Erfolg eines Scrum-Pro­jek­tes schnell in Fra­ge – die Anwen­dung von Scrum wird mit die­sen Ein­grif­fen abgebrochen.

Lösen wir uns vor die­sem Hin­ter­grund ein­mal von dem Begriff Scrum und rücken statt­des­sen Agi­li­tät in den Mit­tel­punkt der Betrach­tung. Unter der Fra­ge­stel­lung, ob und wenn ja wel­che agi­len Metho­den für Regu­la­to­rik­pro­jek­te geeig­net sind, ist eine Ent­kopp­lung von der Stren­ge der durch Scrum deter­mi­nier­ten Vor­ga­ben möglich.

Wel­che agi­len Metho­den gibt es, die in Scrum genutzt wer­den, und gibt es dar­über hin­aus geeig­ne­te Ergän­zun­gen die­ses agi­len Tool­sets – die­se Fra­ge soll im Fol­gen­den betrach­tet wer­den, um danach die Eig­nung für einen Ein­satz in Regu­la­to­rik­pro­jek­ten zu bewerten.

Die aus Scrum bekann­ten agi­len Metho­den las­sen sich aus mei­ner Erfah­rung grob in drei Schwer­punk­te auf­tei­len. Sie unter­stüt­zen eine inhalt­li­che Struk­tu­rie­rung, eine zeit­li­che Struk­tu­rie­rung oder stel­len die Inter­ak­ti­on der Betei­lig­ten in den Mit­tel­punkt. Nach­ste­hen­de Über­sicht ord­net die in Scrum genutz­ten Metho­den­bau­stei­ne die­sen drei Schwer­punk­ten zu.

Agile Methoden - Schwerpunkt Interaktion

Zu 1 – Inhalt­li­che Strukturierung

  • Mit­tels eines Back­logs kön­nen Anfor­de­run­gen in unter­schied­li­cher Aus­prä­gung und Doku­men­ta­ti­ons­form ver­wal­tet werden
  • Neben der Beschrei­bung erfolgt für die Inhal­te eines Back­logs eine Dar­stel­lung von Auf­wand und Nut­zen sowie eine Priorisierung
  • Ent­spre­chend der Prio­ri­sie­rung wird die Beschrei­bung detail­lier­ter spezifiziert
  • Das Kan­ban-Board visua­li­siert Arbeitsfortschritte
  • Auf­ga­ben durch­lau­fen nach Arbeits­fort­schritt geglie­der­te Rubri­ken, die je nach Ein­satz­zweck unter­schied­lich geglie­dert wer­den, z. B.:
    • Zu tun | In Arbeit | Erledigt
    • Back­log | Kon­zep­ti­on | Umset­zung | Test | Frei­ga­be | Erledigt

Eig­nung für Regulatorikprojekte:

Eine struk­tu­rier­te Samm­lung von Anfor­de­run­gen ist Inhalt jedes Pro­jek­tes und damit auch für Regu­la­to­rik­pro­jek­te essen­zi­ell. User Sto­ries wer­den sicher­lich nicht die domi­nie­ren­de Bedeu­tung in der Zusam­men­set­zung des Back­logs haben. Eben­so wenig wird die Sum­me der Anfor­de­run­gen mit­tels eines Fach­kon­zepts und eines DV-Kon­zepts beschrie­ben, um dann mit dem Label Back­log ver­se­hen zu werden.

Unter Berück­sich­ti­gung eines modu­la­ren Auf­baus der Grund­ge­samt­heit von Anfor­de­run­gen in Regu­la­to­rik­pro­jek­ten ist ein Back­log gut geeig­net, um die­se als Sum­me zu ver­wal­ten. Aus ihm las­sen sich dann zusam­men­hän­gen­de Ein­zel­an­for­de­run­gen her­aus­zie­hen und in einen Sprint-Back­log zusam­men­fas­sen. Denk­bar sind hier bei­spiels­wei­se Use-Cases zur Anbin­dung von Anwen­dungs­sys­te­men oder Infra­struk­tur­kom­po­nen­ten an ein SIEM (Secu­ri­ty Inci­dent and Event Management).

Zu 2 – Zeit­li­che Strukturierung

Sich für einen kur­zen Arbeits­zeit­raum defi­nier­te Arbeits­in­hal­te vor­zu­neh­men, die aus der Grund­ge­samt­heit aller Anfor­de­run­gen aus­ge­wählt wer­den, ist unab­hän­gig von Scrum ein sinn­vol­les Vor­ge­hen zur Hand­ha­bung eines kom­ple­xen Anfor­de­rungs­uni­ver­sums. Vor­aus­set­zung ist jedoch, dass die Inhal­te eines Sprints kei­ne zu fes­te Kopp­lung zu ande­ren Anfor­de­run­gen außer­halb des Sprits auf­wei­sen und damit eine unab­hän­gi­ge Bear­bei­tung ermöglichen.

Eig­nung für Regulatorikprojekte:

Fol­gen­de Bei­spie­le aus Regu­la­to­rik­pro­jek­ten sei­en zur Ver­deut­li­chung genannt:

  • Anbin­dung von Anwen­dun­gen an ein PAM-Tool (pri­vi­le­ged access manage­ment) zum Hand­ling pri­vi­le­gier­ter Berechtigungen
  • Durch­füh­rung einer Busi­ness-Impact-Ana­ly­se für einen Kernprozess
  • Umset­zung gemein­sa­mer Schwach­stel­len­scans mit einem IT-Provider

Gemein­sa­mes Cha­rak­te­ris­ti­kum obi­ger Tätig­kei­ten ist, dass sie nicht durch eine Per­son allein durch­ge­führt wer­den, son­dern nur personen‑, abteilungs‑, bereichs- oder fir­men­über­grei­fend bewäl­tigt wer­den kön­nen. Mit ihrer losen Kopp­lung zu ande­ren The­men sind sie jedoch gut für eine Bear­bei­tung in Form eines Sprints geeignet.

Deut­lich wird anhand die­ser Auf­ga­ben jedoch die Not­wen­dig­keit zur Inter­ak­ti­on in der Bear­bei­tung. Und genau hier liegt der drit­te Schwer­punkt agi­ler Methodiken.

Zu 3 – Interaktion

„Mit­ein­an­der reden“ hie­ßen nicht nur die vier Stan­dard­wer­ke von Frie­de­mann Schulz von Thun zur Kom­mu­ni­ka­ti­ons­psy­cho­lo­gie, son­dern auch in Pro­jek­ten gilt die­ser Leit­satz. Aus die­sem Grund wur­den in der Scrum-Metho­dik Vor­ga­ben zum struk­tu­rier­ten Aus­tausch umge­setzt, sei es der täg­li­che Stan­dup oder Sprint-Review und Sprint-Retro­spek­ti­ve. Struk­tu­rel­le und zeit­li­che Vor­ga­ben stel­len die Effi­zi­enz und Effek­ti­vi­tät die­ser Ter­mi­ne sicher.

Eig­nung für Regulatorikprojekte:

Die Eig­nung eines täg­li­chen Stan­dup für Regu­la­to­rik­pro­jek­te steht außer Zwei­fel, hat sich doch die­ses kur­ze Mee­ting inzwi­schen weit über Scrum hin­aus in den beruf­li­chen All­tag aus­ge­brei­tet. Wich­tig im Kon­text von Regu­la­to­rik­pro­jek­ten ist hier jedoch die Ein­hal­tung der struk­tu­rel­len und zeit­li­chen Vor­ga­ben aus Scrum, um einen dif­fu­sen Infor­ma­ti­ons­aus­tausch zu ver­mei­den. Das Ergeb­nis eines Sprints im Review zu betrach­ten und Ver­bes­se­run­gen dar­aus abzu­lei­ten (Retro­spek­ti­ve), ist grund­sätz­lich auch außer­halb von Scrum wich­tig. Die eng gefass­ten metho­di­schen Vor­ga­ben ver­lie­ren jedoch ein Stück weit an Bedeu­tung, wenn in Regu­la­to­rik­pro­jek­ten nicht wie bei Scrum das Ergeb­nis eines Sprints pro­duk­tiv gesetzt wird.

Zusam­men­fas­sung:

Zusam­men­fas­send lässt sich sagen, dass Scrum als geschlos­se­ne Metho­dik sicher­lich nicht geeig­net ist für die Durch­füh­rung von Regu­la­to­rik­pro­jek­ten. Aber eine Viel­zahl von Ele­men­ten aus dem agi­len Metho­den­bau­kas­ten, den Scrum nutzt, las­sen sich über­tra­gen. Sie zah­len ein auf die schnel­le Erzeu­gung ver­wert­ba­rer Ergeb­nis­se im Pro­jekt, die Sicher­stel­lung der Kom­mu­ni­ka­ti­on sowie die Umset­zung der ganz­heit­li­chen Ziel­set­zung des Projektes.

Hier haben Erfah­run­gen gezeigt, dass sich ein­zel­ne Ele­men­te auch sehr gut mit­ein­an­der kom­bi­nie­ren las­sen. Expli­zit sei hier auf die Metho­dik des Scrum­ban hin­ge­wie­sen, in der die Visua­li­sie­rung mit­tels Kan­ban-Board um pro­zes­sua­le Ele­men­te erwei­tert wird. So infor­miert es über die Anzahl der Objek­te, an denen das Team gera­de arbei­tet, sowie die Anzahl an Auf­ga­ben, wel­che schon abge­schos­sen sind. Ziel ist hier die Stär­kung von Ver­ant­wor­tungs­be­wusst­sein und Kom­mu­ni­ka­ti­on sowie die Visua­li­sie­rung der bereits erziel­ten Leistungsergebnisse.

In einer fort­ge­schrit­te­nen Aus­bau­stu­fe kann ein sol­ches Scrum­ban-Board durch die inkre­men­tel­le Arbeits­pla­nung Sprints obso­let machen. Jedoch hat sich im prak­ti­schen Ein­satz die Kom­bi­na­ti­on von Sprints und Scrum­ban-Boards bewährt. Das Prin­zip­bild eines Scrum­ban-Boards zeigt nach­ste­hen­de Abbildung.

Backlog

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge sowie mit­tels unse­res lang­jäh­ri­gen Erfah­rungs­schat­zes in der erfolg­rei­chen Anwen­dung tra­di­tio­nel­ler und agi­ler Metho­den im Pro­jekt wäh­len wir gemein­sam mit Ihnen den für Ihr Insti­tut geeig­ne­ten Metho­den­mix aus.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Horizont

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Als 2017 die Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT, kurz BAIT, als Kon­kre­ti­sie­rung der in den MaRisk gere­gel­ten regu­la­to­ri­schen Anfor­de­run­gen an die Infor­ma­ti­ons­tech­nik von Ban­ken ein­ge­führt wur­den, ging ein Rau­nen durch die Com­mu­ni­ty. In der BAIT wur­de erst­mals kon­kret vor­ge­ge­ben, wie die Auf­sicht sich die regu­la­to­rik­kon­for­me Aus­ge­stal­tung der Ban­ken IT vor­stellt. Zwar galt für die BAIT das Pro­por­tio­na­li­täts­prin­zip, das eine Aus­ge­stal­tung anhand der kon­kre­ten Situa­ti­on des jewei­li­gen Insti­tuts zuließ. Prü­fungs­er­fah­run­gen von EZB, Bun­des­bank, BaFin, aber auch der haus­ei­ge­nen Revi­si­ons­ab­tei­lun­gen haben jedoch gezeigt, dass die BAIT nicht als gestal­tungs­frei­er „Papier­ti­ger“ ver­stan­den, son­dern als „umzu­set­zen“ vor­ge­ge­ben wer­den. Die spe­zi­fi­schen Anfor­de­run­gen für kri­ti­sche IT-Struk­tu­ren in dem im Jahr 2018 ergänz­ten KRITS-Modul mach­ten deut­lich, dass der mit der BAIT ein­ge­schla­ge­ne Weg sei­tens der BaFin kon­se­quent fort­ge­führt wird.

Zwei Jah­re sind seit­dem ver­gan­gen. Vie­le Insti­tu­te sind auch heu­te noch damit beschäf­tigt, die auf Grund­la­ge der BAIT erfolg­ten Fest­stel­lun­gen aus inter­nen und exter­nen Prü­fun­gen zu bear­bei­ten und ihre IT com­pli­ant zu gestal­ten. Da steht auch bereits eine signi­fi­kan­te Erwei­te­rung der Anfor­de­run­gen aus der BAIT in den Start­blö­cken. 2020 erfolg­te die Kon­sul­ta­ti­ons­pha­se mit den Insti­tu­ten. Für das kom­men­de Jahr 2021 ist vom Go-live der neu­en Ansprü­che auszugehen.

Drei neue Kapi­tel ergän­zen die bestehen­den Anfor­de­run­gen, von denen die ope­ra­ti­ve IT-Sicher­heit und das IT-Not­fall­ma­nage­ment die bei­den bedeut­sa­me­ren sind im Ver­gleich zum Kapi­tel Kun­den­be­zie­hun­gen zu Zahlungsdienstleistern.

Mit dem neu­en Kapi­tel „ope­ra­ti­ve IT-Sicher­heit“ wer­den die bis­he­ri­gen Anfor­de­run­gen an Netz­werk­si­cher­heit, Sys­tem­här­tung, Pene­tra­ti­ons- und Schwach­stel­len­test geschärft und in einem eige­nen Kapi­tel gebündelt.

Das neue Kapi­tel IT-Not­fall­ma­nage­ment trägt der Tat­sa­che Rech­nung, dass sich die EBA-Gui­de­lines expli­zit mit die­sem Hand­lungs­feld befas­sen und ergänzt die BAIT um Inhal­te des IT-Not­fall­ma­nage­ments sowie des Busi­ness-Con­ti­nui­ty-Manage­ments. Neben der Identifi­kation der für Not­fäl­le rele­van­ten Res­sour­cen und Pro­zes­se ste­hen Maß­nah­men zur Gewähr­leis­tung der Fort­füh­rung des Geschäfts­be­triebs im Fal­le von Not­fäl­len im Fokus die­ses Kapi­tels. Hin­zu kom­men Anfor­de­run­gen an die Durch­fü­gung von Tests und Übun­gen zur Sicher­stel­lung der Wirk­sam­keit der defi­nier­ten Vorkehrungen.

Über die neu­en Kapi­tel hin­aus wur­den auch bestehen­de Stel­len kon­kre­ti­siert oder erwei­tert. Eine wesent­li­che Ver­än­de­rung im Ver­gleich zu der bestehen­den BAIT liegt im pro­zes­sua­len Betrachtungsgegenstand.

Stan­den bis­her die IT-Pro­zes­se sowie die IT-Sys­te­me als Infor­ma­ti­ons­ver­bund im Mit­tel­punkt der Betrach­tung, sind jetzt sämt­li­che Geschäfts­pro­zes­se im Fokus, und zwar hin­sicht­lich ihrer Unter­stüt­zung mit­tels IT-Anwen­dun­gen, Infra­struk­tu­ren und Daten. Die­ses ist neu und erwei­tert den Scope nach­hal­tig. Vor allem auch des­halb, weil die Ein­bin­dung von exter­nen Dienst­leis­tungs­part­nern nicht mehr pri­mär auf das Hand­lungs­feld Sourcing/Dienstleister­steuerung beschränkt ist. Viel­mehr sind die IT-rele­van­ten Ele­men­te ihrer Leistungsunter­stützung im Pro­zess rele­van­te Sco­pes. Der Infor­ma­ti­ons­ver­bund als Betrach­tungs­ge­gen­stand erhält so eine ande­re Kom­ple­xi­tät, die es in der Bank regu­la­to­risch zu mana­gen gilt.

Eben­so eine Aus­wei­tung erfah­ren die Anfor­de­run­gen an IT-Ser­vice­pro­zes­se. So sind mit der Erwei­te­rung der BAIT die bei­den ITIL-Pro­zes­se Capa­ci­ty-Manage­ment und Avai­la­bi­li­ty-Manage­ment in den Insti­tu­ten zu etablieren.

Das Capa­ci­ty-Manage­ment sichert die Kapa­zi­tät der IT-Ser­vices sowie der IT-Infra­struk­tur. Ziel ist, dass alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Kapa­zi­täts- und Per­for­man­ce­zie­le errei­chen, auch unter Berück­sich­ti­gung zukünf­ti­ger Anforderungen.

Das Avai­la­bi­li­ty-Manage­ment stellt die Ver­füg­bar­keit der IT-Ser­vices sicher, in dem alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Ver­füg­bar­keits­zie­le erreichen.

Wich­tig ist hier­bei der Bezug zu den oben beschrie­be­nen Aus­wei­tun­gen in der Defi­ni­ti­on des Infor­ma­ti­ons­ver­bun­des. Dadurch wird deut­lich, dass eine bank­in­ter­ne Betrach­tung der bei­den neu­en Pro­zes­se zu kurz greift und die betei­lig­ten Dienst­leis­tungs­part­ner ein­zu­bin­den sind.

Nach­ste­hen­de Abbil­dung fasst die­se neu­en, respek­ti­ve ver­schärf­ten Ansprü­che der BAIT-Anfor­de­rung zusam­men und zeigt, wel­che Effek­te die­se auf die Insti­tu­te erwar­ten lassen.

Schon auf den ers­ten Blick wird deut­lich, dass die neu­en eben­so wie die erwei­ter­ten Anfor­de­run­gen der BAIT nicht mit­tels eines „Quick Hit“ zu bewäl­ti­gen sind. Zu umfang­reich waren und sind die Her­aus­for­de­run­gen aus den 2017 und 2018 for­mu­lier­ten Anfor­de­run­gen der BAIT für die Banken.

Ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on des Insti­tuts und dem Grad der für die eige­ne IT gewähl­ten Stan­dar­di­sie­rung gibt es hin­sicht­lich des Umset­zungs­ho­ri­zonts kurz­fris­ti­ge Aspek­te, grund­sätz­lich aber eher eine lang­fris­ti­ge Per­spek­ti­ve. Durch die Aus­wei­tung des Infor­ma­ti­ons­ver­bun­des sind die BAIT kein aus­schließ­li­ches IT-The­ma mehr, son­dern ein Pro­zess­the­ma, das die IT-Unter­stüt­zung des jewei­li­gen Pro­zes­ses im Fokus hat. Damit sind neben den Spe­zia­lis­ten des eige­nen IT-Bereichs zuneh­mend sol­che der rele­van­ten Dienst­leis­tungs­part­ner ein­zu­bin­den. Dar­über hin­aus sind auch Exper­ten aus den Fach­be­rei­chen der Bank zu involvieren.

Damit wird deut­lich, dass ins­ge­samt ein hoher Auf­wand für die Insti­tu­te mit der Umset­zung der Neue­run­gen in der BAIT ver­bun­den ist.

Vor die­sem Hin­ter­grund sind zwei Tätig­kei­ten von her­aus­ge­ho­be­ner Bedeu­tung. Ers­tens die Iden­ti­fi­ka­ti­on des Infor­ma­ti­ons­ver­bunds für die betrof­fe­nen Geschäfts­pro­zes­se, um den Hand­lungs­rah­men und die ein­zu­bin­den­den Par­tei­en trans­pa­rent und voll­stän­dig zu iden­ti­fi­zie­ren. Zwei­tens die dar­auf auf­bau­en­de Ablei­tung einer Umset­zungs­road­map, die auch den aktu­el­len Sta­tus quo des Insti­tuts berücksichtigt.

Um die­ses so ziel­ge­rich­tet wie mög­lich zu tun, ist nicht nur die Kennt­nis der regu­la­to­ri­schen Anfor­de­run­gen ent­schei­dend. Wesent­lich bedeut­sa­mer ist die umfang­rei­che Pra­xis­exper­ti­se zu Bank­pro­zes­sen sowie der in den Pro­zes­sen ein­ge­setz­ten IT-Sys­te­me und ihrer Schnitt­stel­len unter­ein­an­der. In Kom­bi­na­ti­on mit Erfah­run­gen aus Audit- und Umset­zungs­pro­jek­ten im Kon­text Ban­ken­re­gu­la­to­rik stel­len sie die kri­ti­schen Erfolgs­fak­to­ren dar, eine effi­zi­en­te Umset­zung der BAIT-Neue­run­gen zu pla­nen und durchzuführen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet in der Iden­ti­fi­ka­ti­on aller betei­lig­ten Assets am Infor­ma­ti­ons­ver­bund, der effi­zi­en­ten Erstel­lung einer Umsetzungs­roadmap für die BAIT-Neue­run­gen sowie der Umset­zung selbst.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Heizung

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

EBA-ICT, MaRisk 6. Novel­le, BAIT – von allen Sei­ten wer­den die IT- und Gover­nan­ce-Spe­zia­lis­ten der Ban­ken im Moment mit neu­en oder teil­wei­se ver­schärf­ten regu­la­to­ri­schen Anfor­de­run­gen kon­fron­tiert. In kei­ner Wei­se soll die posi­ti­ve Absicht hin­ter die­sen Maß­nah­men in Abre­de gestellt wer­den. Aber es stellt sich den­noch die Fra­ge, wie­viel die­ser regu­la­to­ri­schen Vor­ga­ben durch die deut­schen Ban­ken bewäl­tigt wer­den kön­nen und wie. Ver­schärft wird die­se Fra­ge durch die Tat­sa­che, dass vie­le Insti­tu­te aktu­ell Pro­jek­te und Vor­ha­ben durch­füh­ren, die noch vor­an­ge­gan­ge­ne Anfor­de­run­gen umset­zen oder die Eta­blie­rung im Lini­en­be­trieb sicherstellen.

Regulatorik - Neue Anforderungen RJO
Regu­la­to­rik – Neue Anforderungen

Erschwe­rend kommt eben­falls noch hin­zu, dass die Umset­zung durch die Auf­sichts­gre­mi­en in zuneh­mend enge­rer Tak­tung kon­trol­liert wird. EZB, Bun­des­bank und BaFin sind umfang­reich in den Insti­tu­ten vor Ort, um die erfolg­rei­che Umset­zung zu ver­pro­ben. Erfolg­reich heißt hier­bei jedoch nicht nur die Doku­men­ta­ti­on eines abge­schlos­se­nen Pro­jek­tes, son­dern die ope­ra­ti­ve Nach­weis­füh­rung, dass die ein­ge­führ­ten oder ver­än­der­ten Pro­zes­se in der Linie eta­bliert sind und kon­se­quent durch­lau­fen wer­den. Dar­auf auf­bau­en­de KVP- oder Les­sons-Lear­ned-Pro­zes­se wer­den dabei als obli­ga­to­risch imple­men­tiert vorausgesetzt.

Die Prü­fun­gen mani­fes­tie­ren damit eine deut­lich gestie­ge­ne Anfor­de­rungs­qua­li­tät an den in den Insti­tu­ten ver­an­ker­ten regu­la­to­ri­schen Reifegrad.

Nun lässt sich zwar fest­stel­len, dass vie­le der regu­la­to­ri­schen Vor­ga­ben auf­ein­an­der auf­bau­en. Anfor­de­run­gen aus der euro­päi­schen Per­spek­ti­ve (EBA-ICT) wer­den im Rah­men der 6. MaRisk-Novel­le in natio­na­le Vor­ga­ben über­führt und in den BAIT kon­kre­ti­siert. Die­se poten­zi­el­le Syn­er­gie gilt aber nicht in aller Voll­stän­dig­keit für Insti­tu­te jeder Grö­ßen­klas­se. Dar­über hin­aus blei­ben auch unter Berück­sich­ti­gung die­ser Fak­to­ren erheb­li­che Umset­zungs­an­for­de­run­gen für die Ban­ken. Die Her­aus­for­de­run­gen, die sich für die Insti­tu­te dar­aus erge­ben, sind unterschiedlich:

Grö­ße­re Insti­tu­te, vor allem mit inter­na­tio­na­ler Aus­rich­tung, erreicht die „vol­le Wucht“ der regu­la­to­ri­schen Anfor­de­run­gen. Die­se tref­fen aber auch auf Zen­tral­be­rei­che der IT, Gover­nan­ce oder Com­pli­ance, die grund­sätz­lich über die zur Bewäl­ti­gung die­ser Anfor­de­run­gen erfor­der­li­che Qua­li­fi­ka­ti­on und quan­ti­ta­ti­ve Aus­prä­gung verfügen.

Klei­ne­re Insti­tu­te mit eher regio­na­ler Aus­rich­tung sind von regu­la­to­ri­schen Anfor­de­run­gen unter­schied­lich betrof­fen. Eine wesent­li­che Unter­schei­dungs­kom­po­nen­te ist hier der Umfang aus­ge­la­ger­ter Tätig­kei­ten. Je höher und je indi­vi­du­el­ler der Aus­la­ge­rungs­grad, umso stär­ker die regu­la­to­ri­schen Berüh­rungs­punk­te. Ver­stär­kend kommt hier jedoch hin­zu, dass gera­de bei einer weit­ge­hen­den Aus­la­ge­rung das Exper­ten­wis­sen dadurch abge­baut wur­de. Viel­fach ist das zur Bewäl­ti­gung der regu­la­to­ri­schen Anfor­de­run­gen erfor­der­li­che Know-how nicht mehr in aus­rei­chen­der Quan­ti­tät in den Insti­tu­ten vorhanden.

Die Schluss­fol­ge­rung, dass in die­sen Fäl­len die erfor­der­li­che Exper­ti­se durch Ein­stel­lung neu­er Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter zuge­führt wer­den muss, ver­nach­läs­sigt eine wesent­li­che Kom­po­nen­te – den Fachkräftemangel.

Exper­ten in IT-Regu­la­to­rik, Gover­nan­ce oder Com­pli­ance sind am Markt stark gesucht und nicht in aus­rei­chen­der Quan­ti­tät vor­han­den. Die Wei­ter­bil­dung eige­ner Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in die­sen The­men ist eine eher lang­fris­tig aus­ge­rich­te­te Lösung. Das Wis­sen extern ein­zu­kau­fen ist aus Kos­ten­grün­den auch nicht ohne Wei­te­res möglich.

Wel­che Mög­lich­kei­ten gibt es aber, aus die­sem Dilem­ma zu ent­kom­men und den stei­gen­den regu­la­to­ri­schen Anfor­de­run­gen als Insti­tut gerecht zu werden?

Aus Sicht von ban­kon hat sich die Ein­rich­tung eines zen­tra­len Regu­la­to­rik-Office bewährt. Die­ses koor­di­niert insti­tuts­weit die Akti­vi­tä­ten zu regu­la­to­ri­schen Ver­än­de­run­gen sowie der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prü­fun­gen. In sei­ner Aus­ge­stal­tung ermög­licht es insti­tuts­in­di­vi­du­el­le Anpas­sun­gen vor dem Hin­ter­grund der Grö­ße sowie der Geschäfts- und Risi­ko­struk­tur der Bank. Es ist damit der Sin­gle-Point-of-Truth für regu­la­to­ri­sche The­men in der Bank.

Regulatorik-Office RJO

Die Abbil­dung der aktu­el­len regu­la­to­ri­schen Situa­ti­on der Bank erfolgt über ein zen­tra­les Regu­la­to­rik-Back­log. Des­sen Inhalt sind die insti­tuts­in­di­vi­du­ell bewer­te­ten regu­la­to­ri­schen The­men sowie die im regu­la­to­ri­schen Kon­text iden­ti­fi­zier­ten bank­spe­zi­fi­schen Defizite.

Owner die­ses Back­logs ist das Regu­la­to­rik-Office, das auch für die inhalt­li­che Befül­lung ver­ant­wort­lich ist. Im Rah­men von inter­nen und exter­nen Prü­fungs­hand­lun­gen iden­ti­fi­zier­te Defi­zi­te wer­den hier zen­tral abge­legt. Sie sind die rele­van­te Infor­ma­ti­ons­quel­le für das Auf­set­zen regu­la­to­ri­scher Vor­ha­ben oder Pro­jek­te im Rah­men des Projektplanungsprozesses.

Die Vor­tei­le die­ser orga­ni­sa­to­ri­schen und infor­ma­to­ri­schen Bün­de­lung lie­gen auf der Hand:

  • För­de­rung der bank­in­ter­nen Ver­zah­nung von Berei­chen, die mit regu­la­to­ri­schen The­men befasst sind, z. B. Unter­neh­mens­steue­rung, IT, Infor­ma­ti­ons­si­cher­heit, Orga­ni­sa­ti­on, Pro­jekt­port­fo­lio­steue­rung, Not­fall­ma­nage­ment oder Dienstleistersteuerung
  • Mit­wir­kung bei über­grei­fen­den Initia­ti­ven, z. B. zum insti­tuts­grup­pen­spe­zi­fi­schen Umgang mit regu­la­to­ri­schen Anfor­de­run­gen im Kon­text Sourcing
  • Effi­zi­en­te Unter­stüt­zung inter­ner und vor allem exter­ner Prü­fun­gen durch die Wahr­neh­mung der Funk­ti­on eines zen­tra­len Prüfungs-Offices
  • Vor­aus­set­zung einer sys­te­ma­ti­schen, prio­ri­sier­ten Bear­bei­tung regu­la­to­ri­scher Defi­zi­te mit­tels Vor­ha­ben und Projekten
  • Sicher­stel­lung bank­in­ter­ner Ver­tre­tungs­mög­lich­kei­ten im Kon­text Regulatorik
  • Unter­stüt­zung der Aus­bil­dung bank­in­ter­nen Wis­sens zu regu­la­to­ri­schen Themen

Die Syn­er­gien und Vor­tei­le sichern den Insti­tu­ten die Fähig­keit, regu­la­to­ri­sche Anfor­de­run­gen bewäl­ti­gen zu kön­nen. Die Bün­de­lung der Kräf­te ermög­licht den Ban­ken, und hier beson­ders mit­tel­gro­ßen und klei­ne­ren Insti­tu­ten, die Sicher­stel­lung der erfor­der­li­chen regu­la­to­ri­schen Governance.

Denn unab­hän­gig von der Fra­ge, wie­viel Regu­la­to­rik deut­sche Ban­ken ver­tra­gen, lässt sich die Ten­denz zur Aus­wei­tung regu­la­to­ri­scher Anfor­de­run­gen zumin­dest auf Ebe­ne von Ein­zel­in­sti­tu­ten nicht auf­hal­ten. Es kön­nen aber sehr wohl die Vor­aus­set­zun­gen geschaf­fen und opti­miert wer­den, mit die­sen Anfor­de­run­gen umzugehen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet im Set­up zen­tra­ler Regu­la­to­rik-Offices und der erfor­der­li­chen Über­füh­rung in einen Regel­be­trieb. Bei Bedarf unter­stützt ban­kon auch ope­ra­tiv im Betrieb des Regu­la­to­rik-Office z. B. in der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prüfungen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de