Digitalisierung Risikomanagement/-systeme Banken – Antwort auf zunehmende Bedrohungen durch Cyber-Risiken und steigende Kosten durch IT-Compliance
Modernes Banking ist digital. Eine leistungsstarke IT-Plattform und effiziente IT-Prozesse sind der Erfolgstreiber für die Geschäftsmodelle der Zukunft. Die Anforderungen an das IT-Management der Banken sind immens. Neben strikter Kostenkontrolle rücken angesichts der Bedrohung durch Cyber-Angriffe Informationssicherheit und IT-Risikomanagement in den Fokus. Die Institute sehen sich mit immer strengeren, zunehmend technischen regulatorischen Vorgaben (BAIT, EBA, MaRisk, ISO 27000) und strikterer Auslegung sowie effektiven Umsetzungskontrollen im Rahmen von Sonderprüfungen konfrontiert. Entscheider im IT-Management benötigen daher zukünftig „auf Knopfdruck“ vollständige Transparenz über das aktuelle IT-Risiko bzw. die Gefährdungssituation ihrer Organisationen als Gesamtüberblick mit Wechselwirkungen, Abhängigkeiten, Redundanzen, gemappt auf die aktuell gültigen Vorgaben, um effektiv steuern zu können. Der Impact von Veränderungen regulatorischer Rahmenbedingungen sollte sofort sichtbar und effektive Maßnahmen zur Umsetzung der neuen Vorgaben und Mitigation der institutsspezifischen Risikoposition ableitbar sein. Aufgrund der herrschenden Komplexität der IT-Strukturen der Häuser und der anwendbaren Regulierung bietet ein digitales Framework „Digital Regulatory Compliance“, DIRC, mit leistungsstarker Softwareunterstützung (Plattformtechnologie) hierbei erhebliche Effizienzvorteile.
Ein aktueller Fachbeitrag von bankon Management Consulting GmbH & Co. KG zusammen mit finleap connect GmbH und der finleap Tochter 42Stages GmbH als RegTech-Spezialist in der Fachzeitschrift „die bank“ beschreibt die zunehmenden Herausforderungen für Banken durch Cyber-Risiken sowie steigende regulatorische Anforderungen und zeigt praxiserprobte digitale Lösungsansätze (Link):
Fazit und Ausblick Die Digitalisierung der IT-Compliance ist für Banken unverzichtbar. Nur durch intelligenten Einsatz von Plattformtechnologie können die Kostensynergien geschaffen werden, die langfristig die Rentabilität und Wettbewerbsfähigkeit der Institute sichern. Der Erfolg liegt in der Kombination von Bankfachlichkeit und Technologie. Ein Framework wie DIRC kann die effiziente Umsetzung unterstützten.
Die Digitalisierung steht auch im Bereich IT-Compliance erst am Anfang ihrer Möglichkeiten. Mittelfristig ist davon auszugehen, dass das DIRC-Framework um eine weitere Ebene „Profiling“ erweitert wird. Durch Einsatz von Mustererkennung und künstlicher Intelligenz (KI) sollen organisatorische Schwachstellen frühzeitig identifiziert und vorausschauend Risiken z. B. aus veränderten regulatorischen Rahmenbedingungen eingeschätzt werden können.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Patrick Giesen begleitete als Prüfer und Berater viele Banken im Kontext von Aufsichtsprüfungen, war CISO und GW-Beauftragter und entwickelt das hier vorgestellte Framework.
Andreas Reuß
CCO | finleap connect GmbH
Andreas Reuß verfügt als ehemaliger Partner einer WP-Gesellschaft und Betreiber einer Open Banking Plattform über umfangreiche Erfahrung mit der Umsetzung regulatorischer Anforderungen.
Am 2. September las ich einen interessanten Artikel zum Thema „IT-Skills im Banking”. Der eingängige Titel lautet:
„If you want a banking job now, you need to code in Python”
Mia Holmes, https://www.efinancialcareers.com/news/2021/08/python-for-banking-jobs, 1. August 2021
Die Autorin schrieb darin über den Wandel der Anforderungen an Mitarbeiter in Banken: „Weg von Excel – hin zu Python”. Gut: ob nun Python das künftige Analysetool ist oder nicht sei dahingestellt. Die Botschaft halte ich jedoch für valide.
Die Anforderungen an die Mitarbeiter im Finanzdienstleistungssektor in Bezug auf IT-Kenntnisse werden und müssen steigen!
Der Artikel brachte mich dazu, über das Thema weiter nachzudenken, weil es mich bereits seit längerem bewegte. Einige Leserinnen und Leser aus dem Kreis meiner Kunden wissen das, da wir bereits gemeinsam darüber philosophierten 😉
Ein kleiner Rückblick sei gestattet: Als ich im September 1994 meine Banklehre begann, war die Welt noch „in Ordnung”:
Papier soweit das Auge reichte
Terminals zur Online-Abfrage von Konten und Kunden
Eine Erfassungsmöglichkeit für Konten, usw.
Das zentrale Instrument „Schreibmaschine”
Am Ende meiner Ausbildung stieg ich in die neu gegründete Abteilung „Electronic Banking” ein: Wir waren ein Team von anfangs zwei Leuten. Mein Chef (22 Jahre) und ich (21). Außer einigen Mitarbeitern in der Abteilung Organisation wusste so gut wie niemand, was wir da trieben. Und wir hatten bereits E‑Mail und Internet! 🙂
Nun – die Zeiten haben sich gewandelt. Inzwischen ist so ziemlich jedem klar, dass die IT neben der Ressource „Mensch” der wichtigste Produktionsfaktor der Bank ist. Ja – ich gehe so weit zu behaupten: Banken sind faktisch IT-Unternehmen! Folglich liegt es doch nahe, dass vielleicht abgesehen vom direkten Kundenvertrieb in nahezu allen Tätigkeitsbereichen der Bank Mitarbeiter mit IT-Kenntnissen benötigt werden. Und damit meine ich nicht, Excel benutzen zu können, auch wenn es hier noch großen Nachholbedarf gäbe (nicht nur bei Banken und Sparkassen). Wenn wir über Zukunftsthemen – nein – aktuelle Themen wie „Machine Learning” und „Data-Science” reden, sollten wir uns ehrlich fragen: Wer in den Banken und Sparkassen kennt sich denn heute wirklich mit diesen Themen aus, kann sie auch anwenden, geschweige denn beherrschen?
Akquisition: Die klassische Zielgruppenselektion hat ausgedient. Gute Produktempfehlungen erfordern Data-Science-basierte Ansätze und den Einsatz von KI
Kreditentscheidungen: KI’s werden künftig einfach besser sein als jeder Mensch, wenn es um Bilanzanalysen geht
Kontrollhandlungen im Backoffice: Lassen sich kostengünstiger und in besserer Qualität maschinell abwickeln
Fraud Detection: Datensätze fernab vorab festgelegter Muster klassifizieren und so Risiken schneller erkennen
Die Liste ließe sich noch eine Weile fortsetzen, das haben jedoch schon Andere getan. Seien wir ehrlich: Da ist die Luft sehr dünn. Im Bereich der Geldautomatenüberwachung und Fraud Detection entwickeln Spezialisten schon entsprechende Lösungen. Jedoch stecken viele Projekte derzeit noch in den Kinderschuhen und erst recht bei wirklich spannenden Themen wie der Frage, wie Kundenbedürfnisse und damit Verkaufschancen wirklich besser erkannt werden können, wird die Luft wirklich dünn.
Es genügt also nicht, sich als Bank bzw. Sparkasse darauf zu verlassen, dass der Markt schon „irgendwann” entsprechende Lösungen anbietet, die dann „schlüsselfertig” eingebaut bzw. genutzt werden können. Denn spätestens zu diesem Zeitpunkt stehen diese Lösungen dann auch dem Wettbewerb zur Verfügung!
Nein, die Lösung muss lauten: Jetzt selbst aktiv werden!
Eine eigene Mannschaft aufbauen und „frische Köpfe” herein holen
Dem Team entsprechende Tools und Plattformen im eigenen Haus zur Verfügung stellen
Testbestände auf Basis der vorhandenen Daten aufbauen und absichern
Aus Schlagworten endlich konkrete Ideen entwickeln und zügig verproben
Konsequente Integration der Lösungen in die vorhandene Systemlandschaft
Aufbau einer eigenen Mannschaft
Ausgehend von meiner Einleitung müssen Kreditinstitute also endlich beginnen, sich als IT-Unternehmen zu betrachten. Dazu gehört neben der Fortbildung der vorhandenen Mitarbeiter vor allem, IT-Experten einzustellen und zu integrieren. Und natürlich bedeutet das auch, diesen Menschen entsprechende Arbeitsbedingungen zu bieten.
Tipp: junge Menschen lassen sich mit Prozessen, Arbeitsanweisungen und Vorschriften wie „Reisekostenabrechnung mit dreifacher Unterschrift der Vorgesetzten, des Papstes und der eigenen Mutter” richtig toll motivieren 😉
Tools und Entwicklungplattformen
Vor allem Sparkassen und Volksbanken sind hier an einem Punkt, der erhebliches Know-how und Durchsetzungsvermögen der Beteiligten erfordert. Sind überhaupt adäquate Testumgebungen vorhanden? Wer betreibt diese? Wie sind sie abgesichert und wie schnell können sie an neue Anforderungen angepasst werden? Hier ist das Management gefragt, die Teams bei der Beschaffung der Ressourcen zu unterstützen und entsprechende Anforderungen auch bei den IT-Dienstleistern zu vertreten.
Weiterhin müssen Big-Data-taugliche Datenbanksysteme beschafft und Entwicklungstools bereitgestellt werden. Die Entwickler benötigen ausreichend Freiraum, um Bibliotheken selbstständig nachzuinstallieren. Das Institut muss dabei selbstverständlich in der Lage sein, die daraus entstehenden Risiken zu managen. Auch hier ist es erforderlich, entsprechende Expertise im Haus zu haben:
Fachleute für Systemsicherheit
Data-Scientists
Datenbankexperten
Fachleute für Systemintegration
Testbestände aufbauen
Was ist das wichtigste Asset der Banken und Sparkassen? Das Vertrauen der Kunden!
Von regulatorischen Anforderungen einmal abgesehen sollte es selbstverständlich sein, dass der Schutz der Datenbestände des Instituts oberste Priorität hat und dementsprechend erfordert der Aufbau brauchbarer anonymisierter Testbestände Expertenwissen und kann nicht „nebenbei” geschehen. Notwendig sind hier Fachleute im Bereich:
Testmanagement und
Systemsicherheit
Entwicklung konkreter Ideen
Um sinnvolle Lösungen zu finden müssen Produktentwickler der Bank und IT-Fachleute zusammenarbeiten. Und natürlich auch den Endkunden einbeziehen. Zum Thema „Kundenorientierung” und „Design Thinking” wurde wahrhaftig schon viel publiziert und sinniert. Ich vermeide jetzt einfach mal bewusst, irgendein Zitat von Steve Jobs einzubauen 😉 . Unbestritten ist, dass agile Entwicklungsprozesse hier helfen und zwingend einzusetzen sind, um nicht „am Kunden vorbei” zu laborieren.
Experten für Produktinnovation
Bankfachliche Wissensträger
Mitarbeiter mit entsprechenden Skills in agilen Methoden und „Soft Skills” zur Steuerung dieser heterogenen Teams
Konsequente Integration der Lösungen
Zu guter Letzt muss auch geplant sein, wie eine fertige Lösung in die hauseigenen Prozesse und Systemlandschaft integriert werden kann.
Nach ausgiebigen Tests, einer IT-Sicherheitsprüfung, Prüfungen von Datenschutzbelangen usw. müssen Produktionssysteme aufgebaut und betrieben werden. Auch hier kann die Komplexität sehr unterschiedlich sein: Im einfachsten Fall werden Daten manuell zum Beispiel für Kampagnen in separate Tools überführt, ausgewertet und das Ergebnis in die vorhandenen Kampagnenwerkzeuge der Bank importiert. Bei Anwendungsszenarien, die regelmäßige automatische Verarbeitungen von Produktionsdaten vorsehen, sind Verarbeitungspipelines zu implementieren und zu betreuen. Auch hier sind Fachleute mit IT-Kenntnissen und Kenntnissen in der Regulatorik notwendig:
Will sich eine Bank oder Sparkasse ernsthaft der Zukunft stellen und neue, innovative Ansätze entwickeln, muss dem Management klar sein, dass ein völlig neuer Typus von Mitarbeitern erforderlich ist.
Die Rekrutierung von Mitarbeitern erfordert auch Erfahrung, erweiterte Expertise im Personalwesen
Es reicht nicht, allein auf die eigenen bewährten IT-Dienstleister zu warten
Kleinere Institute sollten Kooperationen innerhalb der eigenen Institutsgruppe eingehen/aufbauen wenn klar ist, dass sie selbst nicht die ausreichende Größe besitzen, um diese Herausforderungen allein zu meistern
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Umsetzung regulatorisch erweiterter Anforderungen im Eigeninteresse der Banken
Verschärfung der BAIT bei IAM zwingt zum Handeln
Am 16. August 2021 hat die BaFin die neue Fassung ihrer Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht, welche noch am selben Tag in Kraft getreten sind.
Der Schwerpunkt der Neuheiten liegt hierbei nunmehr weniger auf grundlegenden Änderungen als vielmehr auf der Erweiterung und Anpassung diverser Anforderungen. Dieses gilt auch für das zentrale Themenfeld des Identity & Access Managements (IAM).
Die BAIT beschreibt detaillierte Anforderungen an IT-Berechtigungskonzepte, Genehmigungs- und Kontrollprozesse, Rezertifizierung der Berechtigungen sowie Nachvollziehbarkeit und Dokumentation sämtlicher Einrichtungs‑, Änderungs- und Deaktivierungsprozesse. Unter IAM fallen damit alle Funktionen und Arbeitsschritte im Zusammenhang mit der Administration von Identitäten und der Verwaltung von Zugriffsrechten sowie die damit verbundene Nachweisführung.
Von besonderer Bedeutung ist die vorgenommene Ergänzung des Abschnitts 6.1. Mit ihm wurde zusätzlich in die BAIT aufgenommen, dass jegliche Zugriffs‑, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen sollen, was konkret alle Berechtigungen von Betriebssystem- über Datenbank- bis Anwendungsebene betrifft, und zwar auch für technische Zugänge bzw. Nutzer.
Akuter Handlungsbedarf in der deutschen Finanzszene
Für Deutschlands Banken gilt mit Inkraftsetzung der neuen BAIT der Vorsatz „zeitnah agieren und nicht erst, wenn die Aufsicht an die Tür klopft“. Dies sollte nicht im Lichte eines Zugzwangs gesehen werden, sondern im ureigenen Interesse der Institute. Der Stand der technischen Entwicklung sowie der Digitalisierung erhöht das Risiko betrügerischer Systemzugriffe in erheblichem Maße. In der Vorbeugung und Bekämpfung betrügerischer Möglichkeiten sind koordinierende Maßnahmen erforderlich, die man mit Bordmitteln und einer „dezentralen teilmanuellen Lösung“ von Zugriffs- und Berechtigungskontrollen nicht mehr beherrschen kann.
Der aus diesen regulatorischen Anforderungen resultierende Investitionsbedarf sowie die Beanspruchung unternehmensinterner Ressourcen gehen in vielen Fällen über „das Machbare“ weit hinaus. Auch vor dem Hintergrund bereits erfolgter oder anstehender Verlagerungen von Anwendungen in eine Cloud-Lösung gilt es, effizient vorzugehen und effektive Ergebnisse zu erzeugen.
Im Kontext der weltweit zu begrüßenden positiven, aber auch bedrohlich negativen Effekte der fortschreitenden Digitalisierung, handelt es sich hier um eine notwendige, gerade aber auch für die mit hochsensiblen Daten operierende Finanzdienstleistungsbranche maximal sinnhafte Investition in die Zukunft.
Die sich in Summe ergebenden Vorteile überwiegen den vermeintlichen Aufwand und bringen sogar insgesamt mittelfristig Kostenvorteile, da wesentliche Prozesse automatisiert wiederverwendbar sind und die manuelle Administration in den Hintergrund rückt.
Was ist zu tun
Gemäß öffentlich zugänglichem Zahlenmaterial waren bis Ende 2020 etwa 60 % der Finanzinstitute intensiver mit dem Thema befasst, davon verfügte die Hälfte der Institute bereits über eingeführte IAM-Systeme. Hier ist, bezogen auf die gesamte Community, also noch ein deutlicher Weg zu beschreiten.
Wieder einmal handelt es sich um ein Thema an der Schnittstelle zwischen Fachlichkeit und IT, wobei IAM-Projekte keine primären IT-Vorhaben sind, sondern die Fachlichkeit mit klaren Vorgaben für User-Profile und Rollenbeschreibungen vorlegt.
Parallel dazu erfolgt der Abschluss der Systemauswahl. Eine Vielzahl der Anbieter von IAM-Systemen waren in der Vergangenheit US-amerikanisch geprägt. Inzwischen haben sich aber in den letzten fünf bis zehn Jahren im deutschsprachigen Raum eine Reihe von Lösungsanbietern etabliert.
Insgesamt bietet sich die Chance zum „Aufräumen“ durch Löschung von überholten Zugängen (Mitarbeiter sind gar nicht mehr im Haus oder haben die Positionen und damit Aufgabenzuständigkeiten gewechselt) und Schaffung einer klaren und sicheren Struktur mit sich selbst steuernden Mechanismen.
Vorgehensmodell
Von Vorteil ist die Einschaltung einer erfahrenen und unabhängigen Instanz in die Auswahlprozesse und vorbereitenden Aktivitäten, um die Umsetzungsphase eines IAM-Projekts möglichst kompakt zu gestalten. Immer wieder hat sich gezeigt, dass die Komplexität eines solchen Vorhabens deutlich unterschätzt wird. Sowohl den gesetzlichen als auch den eigenen Anforderungen des Hauses ist in ausreichendem Maße Rechnung zu tragen. Insgesamt geht es darum, innovativ in die Zukunft zu investieren (State of the Art), aber gleichzeitig den Bogen nicht zu überspannen und mit Blick auf Cost-Value-Faktoren eine angemessene Lösung mit verträglicher Projektlaufzeit zu implementieren, welche auch für kleinere und mittelgroße Häuser geeignet ist (maximale Nutzung vorhandener, aber vor allem erforderlicher Funktionalitäten).
Das folgende Schaubild illustriert die wesentlichen Eckpfeiler eines voll integrierten IAM-Lösungsansatzes:
Im Projektablauf geht es u. a. um das Aufsetzen einer IAM-Strategie, die Durchführung von Vorarbeiten wie Bestandsanalyse, Bestandsbereinigung sowie die Konzeption und Überarbeitung des Rollenmodells (IT vs. Business) unter Beachtung geforderter Funktionstrennungen. Weitere Handlungsfelder betreffen die technische Anforderungsaufnahme (z. B. Integrität in die Umsysteme, User Experience, Workflows), die Prozessgestaltung, die Erstellung und Auswertung von RFI/RFP, die Systementscheidung sowie die Konzeption der Systemanbindungen (z. B. HR). Nach Installation und Umsetzung der technischen Konzepte in der Entwicklungsumgebung, einer ausreichenden technisch/fachlichen Test- und Abnahmephase (Nutzung agiler Projektmethodik) sowie der zeitgerechten Durchführung von Anwenderschulungen kann „die neue IAM-Welt“ in Produktion an den Start gehen.
Je nach geleisteter Vorarbeit und Komplexität der Unternehmens- und Anwendungsstruktur kann das Projektvorhaben einen Zeitraum von sechs bis 18 Monaten in Anspruch nehmen. bankon begleitet Sie als neutraler Partner bei der Systemauswahl, Vorbereitung und Umsetzung Ihres IAM-Projekts.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Banken sehen sich nicht erst durch die Corona-Pandemie einer „stürmischen Wetterlage“ gegenüber. Bereits vor dem Virus standen Geschäftsmodelle und ihre Veränderung in Prozessen und Technik im Fokus der Aktivitäten in den Instituten.
Blicken wir vor diesem Hintergrund auf die Informationstechnik der Banken, dann wird folgendes deutlich:
Die technischen Bedrohungssituationen von außerhalb, aber auch von innerhalb der Bank, werden quantitativ und qualitativ spürbarer
Hierbei kann die Bedrohungssituation sowohl mittels krimineller Energie hergestellt worden sein als auch durch Unachtsamkeit befördert werden
Die Technologisierung der betroffenen Prozesse nimmt hierbei ständig zu – beispielhaft seien hier Blockchain oder Bitcoin genannt
Staat und Bankenaufsicht greifen mittels Vorgaben zur Eindämmung der Risiken regulatorisch ein
Zusammengefasst ergibt sich für die IT in Banken folgendes Bild:
Zwei potenzielle Missverständnisse gilt es hierbei von vorneherein zu vermeiden:
Unter Innovationskraft ist hier nicht zu verstehen, dass neben den Run-Aktivitäten noch ein Restanteil von Kapazität und Budget für Change-Aktivitäten verbleibt
Unter Management von Wertschöpfungsketten ist nicht die Erfüllung der Anforderungen aus den EBA-Guidelines zum Sourcing gemeint
Vielmehr ist es für die IT in Banken von essenzieller Bedeutung, neben der Gestaltung des Spannungsfeldes regulatorischer Anforderungen und der Abwehr technischer Angriffe von innen und außen parallel die Innovationskraft von Prozessen und Technik in der IT erheblich zu stärken. Hierzu ist es erforderlich, die bestehenden Wertschöpfungsketten grundlegend zu überdenken – Stichwort CoOpetition 2.0. Dieses kann keinesfalls unabhängig voneinander geschehen, da in der Neugestaltung der Make-or-Buy-Struktur für die Banken-IT der größte Hebel liegt, Innovationsfreiräume zu generieren.
CoOpetition 1.0
Der Begriff CoOpetition beschreibt die Dualität von Konkurrenz und Kooperation. Wesentlicher Inhalt von CoOpetition 1.0 war die Positionierung der Bank im Markt und in ihrer Funktion. In den Institutsgruppen der Genossenschaften und der Sparkassen lässt sich die Umsetzung gut identifizieren.
Beide Institutsgruppen haben viele Tätigkeiten für die Primärinstitute zentralisiert und auf einen oder wenige Anbieter verdichtet. So gibt es in beiden Gruppen jeweils nur noch einen Rechenzentrumsanbieter mit einem Kernbanksystem. Die Genossen haben nur noch ein Spitzeninstitut. Die Sparkassen haben nur noch zwei bedeutende Backoffice-Anbieter. Leistungsangebote, wie z. B. das Konsumentenkreditgeschäft, werden institutsübergreifend bereitgestellt – siehe S‑Kreditpartner GmbH.
Im Ergebnis fokussieren sich die Institute deutlich stärker auf Ihre Kernkompetenz und zwar den Verkauf von Bankprodukten einhergehend mit erforderlichen Beratungsleistungen.
CoOpetition 2.0
In der Weiterentwicklung zur CoOpetition 2.0 liegt der Schwerpunkt auf der IT. Sie ist der Enabler, um Verkaufs‑, Beratungs‑, Abwicklungs- und Steuerungsprozesse effizient zu gestalten.
Da es nicht die Kernkompetenz einer Bank ist, ein Rechenzentrum zu betreiben oder Software zu entwickeln, werden wesentliche IT-Leistungen von Drittanbietern bezogen. Strategische Partnerschaft versus Best-of-Breed ist hierbei die dominierende Frage. Die zentralen IT-Dienstleister der beiden großen Bankengruppen Deutschlands haben um den Betrieb des Kernbanksystems in ihren Rechenzentren hinaus ein umfangreiches Software- und Dienstleistungsangebot geschaffen, das sie obligatorisch zu strategischen Partnern der Institute macht.
Drei Handlungsoptionen haben sich in der Praxis als zielführend herausgestellt:
Option 1 (Standard):
Die Nutzung der Leistungsangebote des Rechenzentrums im Standard minimiert sowohl die Steuerungsaufwände als auch die Run-Kosten. Freie Kapazitäten und Budgets für technische und prozessuale Innovationen sind das Resultat. Eine Nutzung hierfür stünde aber im Widerspruch zu dem auf Standard gesetzten Fokus.
Andererseits kann der Schwerpunkt so verstärkt auf die Bereiche der Bank gelegt werden, in denen das Institut die Kernkompetenz besitzt – Beratung und Verkauf.
Darüber hinaus kann aus dem reichhaltigen Angebot von Standardleistungen und Tools das für das Institut bestmögliche Portfolio ausgewählt werden. Dieses kann aufgrund der standardisierten Nutzung umfangreicher ausfallen.
Bei einer Entscheidung für diese Option sind die IT-Prozesse inklusive des Anforderungsmanagements sowie die übergeordnete IT-Strategie entsprechend auszurichten.
Option 2 (Individualität im Standard):
Mit der Ergänzung des Standards um durch das Rechenzentrum angebotene Individualleistungen lassen sich prozessuale und technische Innovationen stärker umsetzen als in einer ausschließlichen Ausrichtung am Standard. Beispielhaft für Individualität kann der Einsatz leistungsstärkerer Analysetools für Datenauswertungen sein oder Software, welche die Abbildung komplexerer Produkte und Dienstleistungen ermöglicht.
Die zusätzlichen, individuellen Leistungen erlauben eine Unterscheidung vom Leistungsangebot des Wettbewerbs. Freiheitsgrade wie die Einbindung von Partnerprodukten außerhalb der Institutsgruppe oder das Angebot institutsindividueller, digitaler Leistungen sind hier aber nur eingeschränkt möglich.
Es bleibt der Fokus auf die Kernkompetenzen Beratung und Verkauf. Da die Individualleistungen separat bepreist werden, ist die Nutzung dieser Möglichkeiten Bestandteil einer institutsspezifischen Kalkulation. In diese fließen neben den höheren Run-Kosten gegenüber der Option 1 auch erhöhte Aufwände für die Administration, Steuerung und Kontrolle der Individualleistungen ein.
Die Individualität im Standard muss somit einen messbaren ökonomischen Vorteil gegenüber dem reinen Standard aufweisen, um für die Bank sinnvoll zu sein.
Entsprechend ist auch bei einer Entscheidung für diese Option die IT-Strategie entsprechend zu formulieren und die IT-Prozesse strategiekonform auszurichten.
Option 3 (Individualität zusätzlich zum Standard):
Für Institute, die Ihr Produkt- und Dienstleistungsangebot um Leistungen von Drittpartnern oder FinTechs ergänzen wollen, ist die Erweiterung des Standards um individuelle Leistungen, die nicht durch das Rechenzentrum angeboten werden, eine Option.
Beispielhaft für eine solche Erweiterung sei hier die Einführung leistungsbezogener Produktökosysteme genannt. Diese können unter anderem im Kontext Bau (z. B. Angebote von Handwerkern, Architekten oder Behörden) oder Senioren (z. B. Angebote zu Pflegediensten, zur Freizeitgestaltung sowie Einkaufsservices) konzipiert werden.
Gleiches gilt aber z. B. auch im Kontext des Wertpapiergeschäftes. Schrittweise eingeführte institutsgruppenspezifische Angebote wie z. B. der Bevestor der DekaBank stehen hier neben Eigenentwicklungen von Instituten wie Smavesto der Sparkasse Bremen und Angeboten außerhalb der Institutsgruppe.
Für alle gemeinsam gilt jedoch, dass die Individualität dieser Angebote erheblich in die Gestaltung technischer und organisatorischer Prozesse in der IT ausstrahlt.
Institute, die solche Leistungen nutzen, benötigen personelle und technische Kapazitäten, um diese Angebote abbilden zu können. Steuerungs- und Betriebsprozesse sind inhaltlich und regulatorisch entsprechend auszugestalten. Sie sind in einer IT-Strategie zusammenzuführen sowie durch Vorgaben der IT-Architektur und ein Target Operating Model zu operationalisieren.
Eine Entscheidung für diesen Weg erfordert darüber hinaus, dass dadurch ein nachhaltig messbarer ökonomischer Mehrwert generiert werden kann.
Zusammenfassung:
Es gibt keine richtige oder falsche Entscheidung. Ausschlaggebend sind vor allem nachstehende fünf Handlungsfelder:
Die Geschäftsstrategie der Bank (wie positioniere ich mich gegenüber meinen Wettbewerbern)
Die Sourcingstrategie der Bank (wie affin bin ich für eine Auslagerung von Leistungen an Dritte und wie etabliert sind meine Prozesse für eine regulatorikkonforme Steuerung)
Größe und Wettbewerbsintensität des Instituts
Personelle Ausstattung (quantitativ und skillspezifisch)
Institutsindividuelle Governance
Aus diesen Handlungsfeldern ist die für das Institut optimale Option zur Gestaltung der CoOpetition 2.0 auszuwählen und auszugestalten.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus Strategie- und Transformationsprojekten, der Einführung neuer Geschäftsfelder und Produkte sowie der Sicherstellung von Governance- und Regulatorik-Anforderungen gewährleisten den erforderlichen fachlichen, prozessualen und technischen Hintergrund.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Was ist in den letzten zwölf Monaten passiert? Eine Studie hat es gezeigt. Die Anzahl der negativen Nachrichten in den Medien hat sich erheblich verstärkt. Zudem hat die stärkere Nutzung der Medien, insbesondere der digitalen Medien, die Wahrnehmung hierfür multipliziert.
Was passiert mit positiven Nachrichten. Diese werden mindestens mit zwei negativen Nachrichten belegt. Bestes Beispiel: Wir haben einen zugelassenen Impfstoff. Aber… Die Medien sind voll damit.
Aber was ist bei den Kundenwünschen passiert? Bei den Trends der Gesellschaft?:
Platz 1: Weiterhin Sicherheit. Wie zuvor. Nur mit größerem Abstand. Bestes Beispiel: Es werden große Geldbeträge gespart, die nicht mehr konsumiert oder investiert werden.
Platz 2: Ökologie. Vor der Krise war allen klar: Ein weiter so kann es nicht geben. Corona hat diesen Trend verschärft. Corona wird zum Teil der ökologischen Krise.
Platz 3: Gesundheit. Die Nachrichten aus den Ländern, in denen die Krankenhäuser überfüllt sind, wirken in den Medien stärker als die Nachrichten aus dem eigenen Land.
Eines lässt sich auch festhalten. Die Wirtschaftsleistung hat sich – neutral formuliert – reduziert. Aber diese Reduktion lässt es weiterhin zu, in die persönliche Zukunft zu investieren.
Und was für die Mitarbeiter in den Finanzinstituten gilt, hat auch Gültigkeit für die Kunden. Der Wunsch nach Führung, nach Planbarkeit und nach Klarheit ist zu einem wesentlichen Hebel für das persönliche Wohlbefinden geworden.
In einer ersten Analyse bei unseren Kunden hat sich aber gezeigt: Die Ansätze für die aktive Kundenansprache sind um rund 70 % zurückgegangen. Das Thema Sicherheit wird nicht verstärkt. Stattdessen werden Themen in den Marktfokus gestellt, die eher für die Kunden mit Unsicherheit belegt sind. Das Thema Gesundheit und Ökologie fanden wir so gut wie gar nicht im Ranking der vertrieblichen Themen. Das Thema Konsumieren hat einen erheblich höheren Werbeanteil als das Thema Investieren – das in unsicheren Zeiten eher erfolgsversprechende Thema.
Mit unseren Kunden haben wir folgende Schritte in kürzester Zeit umgesetzt:
Anpassung des vorhanden Produktportfolios an die aktuelle Kundenerwartung. Hier stand nicht „Neu machen“ im Vordergrund, sondern das „Anpassen“. Fokussieren des Themas „Investieren“.
Umsetzung in den Strukturen des Vertriebssystem, sprich digital umsetzen für den Gesamtvertrieb (stationär und digital).
Erfolge transparent machen. Erheblich schwieriger als vorher, da innerhalb des stationären Vertriebs aufgrund von Corona die direkten Gespräche im Filialteam einfach weniger stattfinden.
Erste Rückmeldungen der Kunden: Verwunderung. Aber eben auch Begeisterung, eine Idee gefunden zu haben, wie die Themen für jeden Kunden persönlich passen. Begeisterung bei den Filialteams, da positive Rückmeldungen den Alltag beleben.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld ab.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
„Früher oder später kriegen wir Euch alle“ mag die Finanzaufsicht (flapsig formuliert) gedacht haben, als sie mit den Zahlungsdienstaufsichtlichen Anforderungen an die IT (ZAIT) ihre aufsichtsrechtlichen Vorgaben auch auf Zahlungsinstitute und E‑Geld-Institute ausgedehnt hat.
Derzeit befinden sich die ZAIT in der Konsultation – jedoch ist nach Abschluss dieser unmittelbar mit einer Gültigkeit der ZAIT zu rechnen.
Unterstützt wird diese Annahme durch die Tatsache, dass die ZAIT das Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ formuliert, das nach der Konsultation auch Bestandteil der Bankenaufsichtlichen Anforderungen an die IT (BAIT) wird.
Die Begründung für die plakative Einleitung dieses Artikels gibt die Übersicht der aufsichtsrechtlichen Anforderungen, die seitens der Finanzaufsicht bisher vorgegeben wurden.
Wurden zu Beginn Banken und Versicherungen in den Mittelpunkt gerückt und entsprechende aufsichtsrechtliche Anforderungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und die Umsetzung der IT-Governance eingeführt, folgten bereits 2019 spezifische Anforderungen für Kapitalverwaltungsgesellschaften. Dazwischen wurde für besonders kritische IT-Systeme das KRITIS-Modul eingeführt. Im Jahr 2020 erfuhren die BAIT eine deutliche Erweiterung, die vor allem den Informationsverbund in den Mittelpunkt rückte und seine Definition gegenüber den bisher gültigen BAIT deutlich ausbaute.
Im Jahr 2021 befinden sich nun die ZAIT in der Konsultationsphase. Zunächst behandeln wir in diesem Artikel zwei Fragen:
Wen betreffen die ZAIT?
Wie unterscheiden sich die ZAIT von den anderen aufsichtsrechtlichen Anforderungen an die IT?
Wen betreffen die ZAIT?
Betroffen von den ZAIT sind Zahlungsinstitute und E‑Geld-Institute:
Zahlungsinstitute:
Derzeit sind etwa 70 Zahlungsinstitute bei der Finanzaufsicht registriert
Zahlungsinstitute betreiben gewerbsmäßig Zahlungsdienste wie z. B. Einzahlungs- oder Auszahlungsgeschäft, Lastschrift‑, Überweisungs- oder Zahlungskartengeschäft ohne Kreditgewährung oder Zahlungsgeschäft mit Kreditgewährung
Auch Anbieter von Zahlungsauslösediensten oder Kontoinformationsdiensten zählen zu den Zahlungsinstituten
E‑Geld-Institute:
Derzeit sind neun E‑Geld-Institute bei der Finanzaufsicht registriert
E‑Geld-Institute begeben E‑Geld
E‑Geld ist der elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des BGB durchzuführen
Somit handelt es sich quantitativ um eine eher kleine Zahl betroffener Institute, für diese erfahren die vorgegebenen Anforderungen aber eine deutliche Anspruchssteigerung.
Was sind die Gemeinsamkeiten und Unterschiede der ZAIT zu anderen aufsichtsrechtlichen Anforderungen?
Auch der grundsätzliche Aufbau beider Dokumente ist in seiner Struktur nahezu identisch. Ebenso steht der Informationsverbund bei den ZAIT im Mittelpunkt der Betrachtungen. Aus beiden Anforderungsdokumenten heraus gilt für die Institute das Proportionalitätsprinzip in der Umsetzung der geforderten Maßnahmen.
Was unterscheidet die ZAIT von anderen regulatorischen Vorgaben wie z. B. den BAIT? Fünf Punkte fallen hier auf und sollen kurz betrachtet werden. Sie betreffen folgende Kapitel:
IT-Governance
Informationssicherheitsmanagement
IT-Projekte und Anwendungsentwicklung
Auslagerung und sonstiger Fremdbezug
Notfallmanagement
Im Zusammenhang mit der IT-Governance liegt die wesentliche Unterscheidung darin, dass eine Ausrichtung der IT an etablierten Standards zu erfolgen hat. Hier werden drei Standards explizit genannt (IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCIDSS)).
Im Informationssicherheitsmanagement besteht die Möglichkeit, die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Unternehmen zu kombinieren oder, in besonderen Fällen, auch außerhalb des Unternehmens anzusiedeln.
Für IT-Projekte und Anwendungsentwicklung gibt es explizite Anforderungen an die durchzuführende Auswirkungsanalyse und die Nutzung des Begriffs „wesentliche Veränderung“ im Zusammenhang mit Vorgaben für die Testdurchführung.
Das Kapitel Auslagerung und sonstiger Fremdbezug enthält deutlich umfangreichere Anforderungen in den ZAIT als in den BAIT, die es zu berücksichtigen gilt.
Im Notfallmanagement wird die Notwendigkeit zur Durchführung von Auswirkungsanalysen und Risikoanalysen gefordert.
Erste Schritte für Zahlungsinstitute mit den ZAIT:
In einem ersten Schritt gilt es für die Zahlungsinstitute und die E‑Geld-Institute, ihre individuelle Ausgangssituation vor dem Hintergrund der ZAIT zu kennen. Nur dann lässt sich der erforderliche Handlungsbedarf identifizieren.
Vorrangig gilt es, einen Überblick über das eigene Institut, die genutzten Auslagerungen sowie die Zahlungsdienstnutzer zu erhalten. Dieses schließt auch den Informationsverbund ein, der ein Nukleus der ZAIT ist.
Inhaltlich stehen fünf Handlungsfelder im Mittelpunkt der Erhebung.
In welchem Umfang sind bereits Vorbefassungen zu Regulatorikanforderungen im Institut erfolgt, z. B. durch eine interne Erstanalyse oder die Jahresabschlussprüfung des Wirtschaftsprüfers?
Wie steht es um die Governance des Instituts, z. B. in Bezug auf eine durchgängige und dokumentierte strategische Ausrichtung oder ein etabliertes internes Kontroll- und Prüfungswesen?
Wird heute bereits auf etablierte Standards zurückgegriffen, auch über die in der ZAIT genannten hinaus, z. B. ITIL oder Cobit?
Wie transparent sind die bestehenden Auslagerungen technisch und organisatorisch und in welcher Form sind diese in Kontrollprozesse eingebunden?
Welchen Stand hat die personelle und technische Ausstattung des Instituts quantitativ und qualitativ?
Die Ermittlung der Ausgangssituation kann mittels eines Quick-Checks erfolgen, um auf Grundlage dieser Informationen einen Überblick über den erforderlichen Handlungsbedarf zu erhalten und eine Indikation für die Ausgestaltung des Proportionalitätsprinzips zu gewinnen.
In einer Ausbaustufe kann sich eine Reifegradanalyse anschließen, für die es sich empfiehlt, diese bereits an einen etablierten Standard auszurichten, z. B. der ISO 27000-Reihe.
Neben der inhaltlichen Analyse zu den Kriterien des Standards ermöglicht ein solches Vorgehen auch eine Visualisierung für das Management.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus einer Vielzahl von Regulatorikprojekten bei Finanzdienstleistern gewährleisten die Sicherstellung von Governance- und Regulatorik-Anforderungen. Langjährige Praxisexpertise aus Projekt- und Linientätigkeit bei Zahlungsinstituten schaffen den erforderlichen fachlichen, prozessualen und technischen Hintergrund.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Viele bekannte Führungs-Gurus atmen derzeit auf. Endlich kehrt bei den Verantwortlichen in den Unternehmen die Einsicht ein, die teils antiquierten Führungsmethoden endgültig zu überdenken und über Bord zu werfen.
War bisher die Finanzwirtschaft organisatorisch klar strukturiert – hat sich dieses mit Corona rasend verändert. Die üblichen Filialzeiten gehören der Vergangenheit an. Das breite Angebot, auch außerhalb der Öffnungszeiten für die Kunden ansprechbar zu sein, erlebt eine Renaissance.
Und es zeigt sich, wer nicht flexibel denkt, findet nicht viel Erfolg in der aktuellen und wahrscheinlich auch in der zukünftigen Welt.
Die Erwartung an Führung hat sich verändert. Sie fordert derzeit in unsicheren Zeiten eine noch höhere Intensität ein. Verständlich. Aber die Reaktion bleibt aus. Unverständlich. Aber das Modell der Führung vor Ort, wie seit Einführung der Filialen propagiert, funktioniert eben nur dann, wenn sich die Mitarbeiter vor Ort mit ihrer Führungskraft treffen.
Die digitale Führung wird immer stärker zum Erfolgsfaktor in den Unternehmen. Aber wie funktioniert diese digitale Führung? Wir haben mit verschiedenen Kunden diesen Weg aktiv gestaltet – erste Erkenntnis: Die notwendigen Werkzeuge sind bereits im Einsatz.
Drei Leistungshebel zeigten sich in allen Projekten:
Die Verantwortlichen für die Personalführung in den Finanzinstituten müssen die Möglichkeiten für die digitale Lösung kennen
Sicherheit durch Nähe hat auch weiterhin Bestand. Die Zufriedenheit der Mitarbeiter hängt hiervon ab. In allen Beispielen zunehmend mit abnehmender Vergütung
Sogar zuviel digitale Führung wurde als Hilfe und Unterstützung wahrgenommen und aktiv von den Mitarbeitern eingefordert
Wir haben für die Führungsverantwortlichen eines in den Vordergrund gestellt. Es gilt Sicherheit aufzubauen. Seit Maslow’s Bedürfnispyramide eigentlich selbstverständlich. Man hat mit den Führungsverantwortlichen und Mitarbeitern geklärt, wie digitale Sicherheit gelingen kann.
Die Umsetzung in den IT-Systemen wie OSPlus-Vertrieb bietet hier eine Vielzahl von Möglichkeiten, die aktiv für die digitale Führung eingesetzt werden kann. Die regelmäßige Zufriedenheitsskalierung im Ereignissystem gehörte auch dazu – mit Rückmeldequoten weit über 90 %.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld ab.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Anzahl und Komplexität von Regulatorikprojekten in Banken steigen ständig. Immer mehr Ressourcen, personell und finanziell, werden mit der Sicherstellung einer regulatorikkonformen Governance gebunden. Leider ist der Beitrag zur unternehmerischen Wertschöpfung von Regulatorikprojekten nahezu „Null“. Aus diesem Grund kommt der effektiven Bearbeitung regulatorischer Anforderungen sowie dem effizienten Management von Regulatorikprojekten eine hohe Bedeutung zu. Können hier agile Methoden oder gar Scrum helfen?
Zur Klärung einer Eignung von Scrum für die Durchführung regulatorischer Projekte in Banken empfiehlt sich ein Blick auf die Charakteristika von Projekten, bei denen Scrum idealtypisch eingesetzt wird.
Aufgrund der gesetzlichen oder aufsichtsrechtlichen Vorgaben, an denen Regulatorikprojekte ausgerichtet sind, wird auf den ersten Blick deutlich, dass diese Art von Projekten nicht die Kennzeichen aufweisen, die ein Projekt charakterisieren, das sich gut für die Anwendung von Scrum eignet. Selbstverständlich lässt sich einwenden, dass Methodiken immer auch eine individuelle Interpretation oder Ausprägung aufweisen. Scrum lebt aber gerade von der Einhaltung des Methodenkanons, um seine Wirkung entfalten zu können. Methodische „Eingriffe“ stellen hier den Erfolg eines Scrum-Projektes schnell in Frage – die Anwendung von Scrum wird mit diesen Eingriffen abgebrochen.
Lösen wir uns vor diesem Hintergrund einmal von dem Begriff Scrum und rücken stattdessen Agilität in den Mittelpunkt der Betrachtung. Unter der Fragestellung, ob und wenn ja welche agilen Methoden für Regulatorikprojekte geeignet sind, ist eine Entkopplung von der Strenge der durch Scrum determinierten Vorgaben möglich.
Welche agilen Methoden gibt es, die in Scrum genutzt werden, und gibt es darüber hinaus geeignete Ergänzungen dieses agilen Toolsets – diese Frage soll im Folgenden betrachtet werden, um danach die Eignung für einen Einsatz in Regulatorikprojekten zu bewerten.
Die aus Scrum bekannten agilen Methoden lassen sich aus meiner Erfahrung grob in drei Schwerpunkte aufteilen. Sie unterstützen eine inhaltliche Strukturierung, eine zeitliche Strukturierung oder stellen die Interaktion der Beteiligten in den Mittelpunkt. Nachstehende Übersicht ordnet die in Scrum genutzten Methodenbausteine diesen drei Schwerpunkten zu.
Zu 1 – Inhaltliche Strukturierung
Mittels eines Backlogs können Anforderungen in unterschiedlicher Ausprägung und Dokumentationsform verwaltet werden
Neben der Beschreibung erfolgt für die Inhalte eines Backlogs eine Darstellung von Aufwand und Nutzen sowie eine Priorisierung
Entsprechend der Priorisierung wird die Beschreibung detaillierter spezifiziert
Das Kanban-Board visualisiert Arbeitsfortschritte
Aufgaben durchlaufen nach Arbeitsfortschritt gegliederte Rubriken, die je nach Einsatzzweck unterschiedlich gegliedert werden, z. B.:
Eine strukturierte Sammlung von Anforderungen ist Inhalt jedes Projektes und damit auch für Regulatorikprojekte essenziell. User Stories werden sicherlich nicht die dominierende Bedeutung in der Zusammensetzung des Backlogs haben. Ebenso wenig wird die Summe der Anforderungen mittels eines Fachkonzepts und eines DV-Konzepts beschrieben, um dann mit dem Label Backlog versehen zu werden.
Unter Berücksichtigung eines modularen Aufbaus der Grundgesamtheit von Anforderungen in Regulatorikprojekten ist ein Backlog gut geeignet, um diese als Summe zu verwalten. Aus ihm lassen sich dann zusammenhängende Einzelanforderungen herausziehen und in einen Sprint-Backlog zusammenfassen. Denkbar sind hier beispielsweise Use-Cases zur Anbindung von Anwendungssystemen oder Infrastrukturkomponenten an ein SIEM (Security Incident and Event Management).
Zu 2 – Zeitliche Strukturierung
Sich für einen kurzen Arbeitszeitraum definierte Arbeitsinhalte vorzunehmen, die aus der Grundgesamtheit aller Anforderungen ausgewählt werden, ist unabhängig von Scrum ein sinnvolles Vorgehen zur Handhabung eines komplexen Anforderungsuniversums. Voraussetzung ist jedoch, dass die Inhalte eines Sprints keine zu feste Kopplung zu anderen Anforderungen außerhalb des Sprits aufweisen und damit eine unabhängige Bearbeitung ermöglichen.
Eignung für Regulatorikprojekte:
Folgende Beispiele aus Regulatorikprojekten seien zur Verdeutlichung genannt:
Anbindung von Anwendungen an ein PAM-Tool (privileged access management) zum Handling privilegierter Berechtigungen
Durchführung einer Business-Impact-Analyse für einen Kernprozess
Umsetzung gemeinsamer Schwachstellenscans mit einem IT-Provider
Gemeinsames Charakteristikum obiger Tätigkeiten ist, dass sie nicht durch eine Person allein durchgeführt werden, sondern nur personen‑, abteilungs‑, bereichs- oder firmenübergreifend bewältigt werden können. Mit ihrer losen Kopplung zu anderen Themen sind sie jedoch gut für eine Bearbeitung in Form eines Sprints geeignet.
Deutlich wird anhand dieser Aufgaben jedoch die Notwendigkeit zur Interaktion in der Bearbeitung. Und genau hier liegt der dritte Schwerpunkt agiler Methodiken.
Zu 3 – Interaktion
„Miteinander reden“ hießen nicht nur die vier Standardwerke von Friedemann Schulz von Thun zur Kommunikationspsychologie, sondern auch in Projekten gilt dieser Leitsatz. Aus diesem Grund wurden in der Scrum-Methodik Vorgaben zum strukturierten Austausch umgesetzt, sei es der tägliche Standup oder Sprint-Review und Sprint-Retrospektive. Strukturelle und zeitliche Vorgaben stellen die Effizienz und Effektivität dieser Termine sicher.
Eignung für Regulatorikprojekte:
Die Eignung eines täglichen Standup für Regulatorikprojekte steht außer Zweifel, hat sich doch dieses kurze Meeting inzwischen weit über Scrum hinaus in den beruflichen Alltag ausgebreitet. Wichtig im Kontext von Regulatorikprojekten ist hier jedoch die Einhaltung der strukturellen und zeitlichen Vorgaben aus Scrum, um einen diffusen Informationsaustausch zu vermeiden. Das Ergebnis eines Sprints im Review zu betrachten und Verbesserungen daraus abzuleiten (Retrospektive), ist grundsätzlich auch außerhalb von Scrum wichtig. Die eng gefassten methodischen Vorgaben verlieren jedoch ein Stück weit an Bedeutung, wenn in Regulatorikprojekten nicht wie bei Scrum das Ergebnis eines Sprints produktiv gesetzt wird.
Zusammenfassung:
Zusammenfassend lässt sich sagen, dass Scrum als geschlossene Methodik sicherlich nicht geeignet ist für die Durchführung von Regulatorikprojekten. Aber eine Vielzahl von Elementen aus dem agilen Methodenbaukasten, den Scrum nutzt, lassen sich übertragen. Sie zahlen ein auf die schnelle Erzeugung verwertbarer Ergebnisse im Projekt, die Sicherstellung der Kommunikation sowie die Umsetzung der ganzheitlichen Zielsetzung des Projektes.
Hier haben Erfahrungen gezeigt, dass sich einzelne Elemente auch sehr gut miteinander kombinieren lassen. Explizit sei hier auf die Methodik des Scrumban hingewiesen, in der die Visualisierung mittels Kanban-Board um prozessuale Elemente erweitert wird. So informiert es über die Anzahl der Objekte, an denen das Team gerade arbeitet, sowie die Anzahl an Aufgaben, welche schon abgeschossen sind. Ziel ist hier die Stärkung von Verantwortungsbewusstsein und Kommunikation sowie die Visualisierung der bereits erzielten Leistungsergebnisse.
In einer fortgeschrittenen Ausbaustufe kann ein solches Scrumban-Board durch die inkrementelle Arbeitsplanung Sprints obsolet machen. Jedoch hat sich im praktischen Einsatz die Kombination von Sprints und Scrumban-Boards bewährt. Das Prinzipbild eines Scrumban-Boards zeigt nachstehende Abbildung.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Auf dieser Grundlage sowie mittels unseres langjährigen Erfahrungsschatzes in der erfolgreichen Anwendung traditioneller und agiler Methoden im Projekt wählen wir gemeinsam mit Ihnen den für Ihr Institut geeigneten Methodenmix aus.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Corona hat das Jahr 2020 geprägt. Sicherlich. Corona prägt auch das Jahr 2021. Sicherlich. Aber nicht so wie das Jahr zuvor.
Aber was hat sich für alle Banken, Sparkassen und Finanzdienstleister geändert? Es ist ein immer klareres Bild der Zukunft.
Die ersten Impfstoffe sind bereits zugelassen. Es gibt einen Plan. Und natürlich gibt es auch Rückschläge. Aber eines ist doch klar. Bis zum Ende des Jahres wird Corona die Gesellschaft nicht mehr in der Zange haben
Die wirtschaftlichen Einschnitte sind da. Einzelne Themen wurden enorm beschleunigt. Andere werden die Corona-Krise nicht überstehen. Aber: Die Grundrichtung hat sich nicht verändert: Digitalisierung, ökologische Rahmenbedingungen etc.
Wir sind derzeit in Zeiten, in den die vertrieblichen Ideen mehr denn je gefragt sind. Sie geben Orientierung – sowohl für die Kunden als auch für die eigenen Mitarbeiter
Was von Corona bleiben wird. Es wird noch leerer werden in den Filialen. Im sogenannten stationären Vertrieb. Hier gibt es zwei Möglichkeiten. Noch mehr vom stationären Vertrieb aufgeben oder die Chancen aus dem stationären Vertrieb neu nutzen.
Denn zwei Dinge sind immer noch für die Kunden der Zukunft von hoher Bedeutung. Der persönliche Ansprechpartner. Und die persönliche Sicherheit.
Mehr denn je ist jetzt der Moment, diese beiden Wege konsequent zu gehen. Aber hierzu braucht es Führung – eine angepasste Führung. Es gilt die Angebote für den Kundenkreis noch besser zu gestalten und die Mitarbeiter im stationären Vertrieb noch stärker als bisher zu führen.
Die Mittel stehen hierfür bereit:
Die Vertriebsideen für das Thema Sicherheit sind in der Finanzwirtschaft tief verankert, stecken sozusagen in der DNA
Das Vertrauen, der wichtigste Kommunikationswert, ist – so zeigen es Studien – in den Bankengruppen stark ausgeprägt
Die Vertriebssysteme lassen eine Führung bis auf die Vertriebsmitarbeiter zu
Aber: Es geht jetzt nicht darum, den Workload zu messen und den Vertrieb weiterhin analog zu steuern. Es geht jetzt darum, die digitalen Möglichkeiten auch für den stationären Vertrieb zu nutzen, um die Effektivität der Vertriebsprozesse erheblich zu verbessern.
In diesem Kontext hat bankon vorgedacht und das notwendige Umdenken mit verschiedenen Kunden in OSPlus umgesetzt.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld ab.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
Die hohe Geschwindigkeit des Wandels setzt Banken aller Größenordnungen unter Druck, die Agilität zu erhöhen, die Digitalisierung voranzutreiben und Innovationen zu beschleunigen. Aufgrund dieser Entwicklungen stellt sich nicht mehr die Frage, “ob“, sondern „wann“ und in welchem Umfang die Cloudnutzung für ein Finanzinstitut ein echtes Thema sein wird.
Einhergehend mit der Cloudnutzung wird u. a. eine Verringerung von Kosten, eine stets moderne Infrastruktur und die Einhaltung von strengen Sicherheits‑, Compliance– sowie regulatorischen Anforderungen in Aussicht gestellt. Selbst den Zweiflern ist nun klar, dass eine „digitalisierte Bank“ eine Menge zu bieten hat. Innovationen ermöglichen immer mehr neue Produkte, Prozesse oder neue bzw. erweiterte Geschäftsmodelle. Innovationszyklen werden kürzer und offener. Zudem werden die Daten zusammen mit der IT-Infrastruktur immer mehr zu einem Innovationstreiber.
Wie geht man ein derartiges Vorhaben richtig an, welche Entscheidungen und Vorbereitungen sind notwendig und was sind die kritischen Erfolgsfaktoren?
Grundsätzlich braucht ein derartiges Vorhaben zu Beginn die Bereitschaft, sich auf Veränderungen einzulassen. Es handelt sich dabei erstmal um ein Vorhaben, das mit konkreten fachlich-funktionalen und prozessualen Anforderungen unterlegt werden sollte. Im Grunde geht es um die Definition einer individuell auszuarbeitenden Cloud Strategie. Ein Me-too-Ansatz, d. h. die Imitation bereits definierter Strategien ist nicht zwangsläufig erfolgreich.
Die folgende Abbildung gibt einen ersten Überblick, welche Stakeholder Anforderungen an die Cloudnutzung definieren, welcher Nutzen ermöglicht werden kann und welche Angebote grundsätzlich in Frage kommen:
Abbildung 1: Bei der Cloud Strategie sind unterschiedliche „Anforderer“ mit einzubeziehen
Insgesamt handelt es im Rahmen der Cloud Strategie um eine konstruktive Konversation, in der es um prozessuale, funktionale und architektonische Entscheidungen geht. Die Basis des geschäftlichen Erfolgs bilden mit hoher Wahrscheinlichkeit architektonisch gute Systeme mit dem richtig definierten Serviceangebot. Die Cloudanbieter bieten entsprechende Frameworks an, um sich mit den relevanten grundlegenden Fragen auseinanderzusetzen. Ein gutes Verständnis der nutzbaren IT-Services eines Cloudanbieters sind für eine Ersteinschätzung und deren Realisierbarkeit hilfreich.
Die Themen einer Cloud Strategie bekommen je Institut sicherlich eine unterschiedliche Gewichtung. Die folgende Aufstellung kann jedoch für eine erste Einordnung dienen.
1. Prüfung bzgl. nutzbarer Cloud-Modelle
Im ersten Schritt sollte es darum gehen, die in Frage kommenden Cloudmodelle zu verstehen und seine Anwendungslandschaft entsprechend zu clustern, welche Teile der IT in die Cloud verlagert werden können und welches Modell in Frage kommt.
Die Unterscheidung nach Privat Cloud, Public Cloud, Hybrid Cloud usw. ist hierbei zu bewerten. Dabei sollten die unterschiedlichen Vorteile der Modelle abgewogen werden.
Grundlegende und wesentliche Charakteristika der Bereitstellung und der Bedienung sind näher zu betrachten.
Definition der Cloudbausteine sowie der grundlegenden globalen Infrastruktur
Identifizieren von Quellen für Dokumentation oder technische Unterstützung (zum Beispiel Whitepaper oder Support-Tickets des Cloudanbieters)
2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb
Im zweiten Schritt werden Anforderungen definiert, die sich an die Bereitstellung und den Betrieb der Infrastruktur in der Cloud ergeben.
Es sind Möglichkeiten zu prüfen, welche Preismodelle und Monitoring-Services angeboten werden. Es sind Services zu wählen, die:
die Entwicklung unterstützen und Workloads effektiv ausführen
Einblicke in die Betriebsabläufe gewähren und
den geschäftlichen Mehrwert unterstützende Prozesse und Verfahren fortlaufend verbessern.
Zu betrachten sind ebenfalls Services für die Nutzung technischer Komponenten der Infrastruktur (Server, Datenbanken, Speicher, Netzwerk usw.). Hierbei geht um die Identifikation von Services, die den technischen Betrieb, die Lastverteilung, Skalierung usw. betreffen.
3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen
Bei den Prinzipien zur Sicherheit wird beschrieben, wie Daten, Systeme und Komponenten geschützt werden können.
Es geht hier darum, wie Cloud-Technologien genutzt werden können, um die Sicherheitslage zu verbessern, bzw. um regulatorische Anforderungen mit Services in der Cloud abzudecken. Die klassischen Themen sind das Benutzermanagement für die Organisation, Authentifizierungsverfahren, Identifizierungs- und Zugriffsverfahren, Einsatz automatisierter Sicherheitsverfahren, Schutz der Daten sowie die Trennung von Daten und Nutzern.
Zu definieren sind Hauptaspekte für Sicherheit und Compliance der Cloud-Plattform und des Sicherheitsmodells.
4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur
Durch die Vorgabe von KPIs oder beim Überschreiten von Schwellwerten können automatisierte Reaktionen ausgelöst werden. Hierbei geht es nicht nur um technische KPIs, sondern auch um Kennzahlen von Geschäftsabläufen.
Eine „temporäre“ Testumgebung kann effizient und flexibel konfiguriert werden, um festzustellen, welche Ereignisse zu Fehlern führen. Kosten fallen dann lediglich für die Nutzung der Testumgebung an.
Die Messung von Kapazitätsauslastungen, Skalierungen, Elastizitäten sowie die Nutzung steuernder Services vereinfacht das technische Design erheblich.
Zusätzliche Services, wie automatisierte Benachrichtigungen, ergänzen das Serviceangebot. Servicekontingente und die Netzwerktopologie müssen für die zu erbringenden Geschäftsabläufe angemessen definiert sein. Je nach Preismodell können durch gezielte Buchung von Kapazitäten oder Volumina Kosten deutlich reduziert werden.
5. Prüfung Kostenmanagement und Preismodelle
Im Rahmen der angebotenen Preismodelle geht es um den kostenoptimierten Betrieb der definierten Infrastruktur. Für die Optimierung der Kosten werden im Rahmen der Kontoverwaltung und im Preismanagement von den Cloudanbietern Services zur Reduzierung der Kosten angeboten.
6. Einleitung des Transformationsprozesses
Durch den Umzug in die Cloud ergeben sich strukturelle, prozessuale, organisatorische sowie wirtschaftliche Veränderungen.
Verantwortungen und Zuständigkeiten verlagern sich, Anforderungsprofile ändern sich. So könnte beispielweise ein IT-Mitarbeiter statt einer operativen Verantwortung für den Betrieb einer Plattform in die Rolle eines Dienstleistersteuerers für Plattformen wechseln.
Veränderungen sind bereits im Rahmen der Cloud Strategie auf Prozessebene zu identifizieren und deren Umsetzbarkeit in der Cloud zu verifizieren.
Da sich durch die Cloudnutzung v. a. auch das Risikoprofil des Instituts verändert, sind in der folgenden Abbildung Auszüge wesentlicher Risiken aufgeführt, die von Änderungen betroffen sind.
Abbildung 2: Verändertes Risikoprofil durch Cloudnutzung
Was sind nun die Gewinner bzw. Verlierer?
Durch eine Vielzahl erfolgreicher Projekte kennen wir die kritischen Erfolgsfaktoren auf der strategischen und der operativen Ebene und verfügen über umfangreiche Erfahrungen bei der Ausrichtung des Geschäftsmodells bzw. der Erreichung der gewünschten Positionierung durch eine individuell definierte Cloud Strategie.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
