Für Banken und Finanzdienstleister wird das Quantum Computing zu enormen Erträgen durch eine schnelle Verarbeitung von komplexen und unstrukturierten Daten führen. Der technologische Fortschritt stellt die Banken vor neue Herausforderungen. Die Kunden erwarten beispielsweise, dass die Services der Finanzdienstleister erstens 24/7 zur Verfügung stehen und zusätzlich auch von der Lokation unabhängig – Stichwort digital über das Mobilphone – abgeschlossen werden können. Dieser Wandel kann der Finanzbranche auch große Wettbewerbsvorteile bringen. Das Thema Quantum Computing wäre sicherlich einer dieser Trends, die bestimmte Problemstellungen der Banken beheben können. Durch diese neuartige Form der Datenverarbeitung sind Quantencomputer in der Lage, komplexe Berechnungen in einem zeiteffizienten Rahmen zu lösen.
Derzeitige Herausforderungen für Banken
Eine Thematik im Retailbanking ist die Betrugserkennung. Hier besteht die Herausforderung in der wachsenden Ansammlung an Daten. Die Erkennungsmethoden werden mit einer hohen Datenlage immer effektiver, jedoch stellt die wachsende Komplexität ein Problem für die heutige Computertechnik dar, um exakte Analysen und somit Erkennungsmuster zu finden.
Ein zweites Thema ist die Preisbildung von Derivaten. Um einen genauen Wert eines Derivates zu bestimmen, sind immer mehr voneinander abhängige Faktoren zu involvieren. Als Beispiel für Faktoren stehen die Risikokosten und historische Portfoliowerte. Zusätzlich kommen erhöhte Transparenzanforderungen und strenge Validierungsprozesse hinzu.
Die Ertragspotenziale für die Finanzdienstleister
Grundsätzlich lassen sich drei Nutzen für Banken und Finanzdienstleister darstellen.
Die erfolgreiche Erkennung und Prognosegenerierung von Betrugsfällen können zu optimierten Kostenstrukturen führen
Die kombinatorischen Optimierungsfähigkeiten des Quantencomputers könnten es Händlern ermöglichen, die Preisbildung zu verbessern und zusätzlich Portfolioinvestitionen neu auszurichten, um präziser auf Marktbedingungen zu reagieren
Ähnlich gilt das auch für die Abbildung der Risikokosten bei der Preisbildung von Derivaten[1]
In der Abbildung sind die Ertragspotenziale der drei aufgeführten Beispiele für die Finanzindustrie durch das Quantum Computing aufgeführt. Die Angaben stellen Intervalle für die prognostizierten Minimal- und Maximalwerte der Erträge dar.
Abbildung 1: Grafische Wiedergabe der Ertragspotenziale für die Anwendungsfälle der Banken und Finanzdienstleister
Wir von bankon stehen Ihnen als Sparringspartner zur Verfügung. Nutzen Sie unser Wissen und unser Netzwerk, um Ihnen die Potenziale in Ihrem Haus präsent zu machen und Ihnen eine Umsetzung zu konzipieren.
Wenn Sie mehr Informationen zu diesem Thema wünschen, wenden Sie sich bitte an die Experten von bankon.
Der Druck auf die deutschen Banken erhöht sich immer stärker. Nicht nur der steigende Wettbewerb oder die Erwartungen der Kunden sind hierfür verantwortlich, sondern auch die wachsenden Kosten für Personal und Technik sowie die Ausweitung regulatorischer Anforderungen. Für die Institute ist es essenziell, hier ein Gleichgewicht zu finden, das wirtschaftlichen Erfolg, Kostenmanagement, regulatorische Konformität und Mitarbeiterzufriedenheit miteinander verbindet.
Diese Anforderungen können in erheblichem Umfang nicht allein mit eigenem Personal abgebildet werden. Erfolgte in der Vergangenheit eine Externalisierung dieses Bedarfs primär zur Bewältigung von Veränderungen im Change, ist heute auch der laufende Betrieb betroffen. Eine Entspannung ist hier nicht zu erwarten; der Fachkräftemangel betrifft jedoch auch die deutschen Banken in erheblichem Maße. Ein Schließen dieser Lücke mittels Zuwanderung aus dem Ausland ist, wenn überhaupt, nur eine langfristige Option. Auf kurz- und mittelfristige Sicht bedarf es anderer Lösungswege. Ein wesentliches Instrumentarium ist die Einbindung externer Unterstützung. Das ist als solches nicht neu, erfolgt in vielen Fällen aber nicht nach ganzheitlichen Strukturen und prozessual effizient. Genau hier setzt das Vendor Management und seiner Gestaltung an.
Ziel eines effizienten Vendor Managements ist es, auf Basis eines methodischen Vorgehens kosten- und leistungsoptimal die passenden Anbieter auszuwählen. Hierzu sind sinnvolle, übergreifende, möglichst objektive Kriterien anzuwenden, die diesen Prozess praktisch unterlegen. Darüber hinaus darf es sich beim Setup oder der Optimierung eines Vendor Managements nicht um einen einmaligen Prozessdurchlauf handeln. Vielmehr ist dieser nachhaltig zu etablieren und mittels ausgewählter KPIs auch im Zeitablauf zu optimieren. Besonders gilt dies für die Informationstechnik von Banken, da hier der Umfang externer Unterstützungsleistungen einen hohen Umfang einnimmt.
Um in der Bank-IT dieses Ziel zu erreichen, bedarf es definierter Rahmenbedingungen. Sie bilden die Grundlage für die Ausgestaltung des Vendor Managements in der IT und spiegeln den Reifegrad des bestehenden Lieferantenmanagements der Organisation wider.
Die Rahmenbedingungen des Vendor Managements werden stark durch die Beschaffungsstrategie des Einkaufs bestimmt. Sie gibt den Korridor vor, innerhalb dessen das Vendor Management ausgestaltet wird. Für IT-Leistungen formuliert in der Regel die Sourcingstrategie der IT ergänzende, spezifische Vorgaben, wie breit eine Aufsplittung extern vergebener Unterstützungsleistungen auf unterschiedliche Provider zulässig ist und welche zentralen Anforderungen an diese Provider gestellt werden. Die Rahmenbedingung der Internationalität ist zweigeteilt. Einerseits, wie international das Institut aufgestellt ist und in welcher Form ausländische Standorte in den zentralen Prozess des Vendor Managements eingebunden sind. Andererseits wie ausgeprägt die Freiheitsgrade sind, nicht inländische oder nicht in der EU ansässige Provider oder Tochtergesellschaften des Providers in der Lieferantenauswahl zuzulassen. Letzte wesentliche Rahmenbedingung ist die Portfolioplanung für Changevorhaben und der Grad der Verzahnung mit den Prozessen des Vendor Managements.
Herausfordernd in der Ausgestaltung des Vendor Managements ist, dass die bestehenden Prozesse in der Regel jedoch organisch gewachsen sind und die Zielsetzungen des Einkaufs und des IT-Bereichs nicht in der benötigten Form unterstützt werden. In der Konsequenz entspricht die Effizienz des Vendor Managements in vielen Fällen nicht den Erfordernissen der Bank.
Abhängig von der angestrebten Zielsetzung erfolgt eine Anpassung des Vendor Managements in aufeinander aufbauenden Leistungsstufen. So reicht das Spektrum der Gestaltungsmöglichkeiten von einer Qualitätssicherung des Prozesses und Optimierung einzelner Gestaltungsfelder bis hin zu einem grundlegenden Re-Setup des Prozesses. Unabhängig vom Umfang ist der wesentliche Erfolgsfaktor jedoch die Nachhaltigkeit der Umsetzung und die Etablierung in der Linienorganisation.
Welches sind unabhängig vom Umfang der Anpassungen die Gestaltungsfelder des Vendor Managements, die in der Optimierung auszuprägen sind? In der Beratungspraxis haben sich vier Felder als besonders bedeutsam gezeigt, die hier kurz vorgestellt werden sollen.
Gestaltungsfeld eins ist das Lieferantenportfolio. Hierbei geht es ebenso wenig darum, alle Leistungen an eine kleine Anzahl großer, leistungsstarker Lieferanten zu vergeben wie um den Anspruch für jede Einzelleistung einen individuellen Partner auszuwählen. Vielmehr ist eine ausgewogene Balance strategischer und spezifischer Dienstleister anzustreben.
Gestaltungsfeld zwei ist die Vereinbarung von Preismodellen, die sich nicht ausschließlich an Rate-Cards ausrichten. Gerade in agilen Projekten in der IT führen Standardpreismodelle oft dazu, dass Ressourcen über lange Zeiträume eingekauft werden, ohne dass zum Zeitpunkt der Beauftragung der Inhalt und der Umfang der Leistungserbringung spezifiziert ist.
Gestaltungsfeld drei ist die Etablierung einer verstärkten Ergebnisverantwortung des Dienstleistungspartners. Ideal wäre eine Reduktion dienstvertraglicher Beauftragungen zugunsten einer werkvertraglichen Vereinbarung. Jedoch ermöglicht der Leistungsgegenstand der Beauftragung dieses nur in einer begrenzten Zahl von Fällen. Dennoch gilt es, Komponenten der Ergebnisverantwortung in Dienstleistungsverträge zu integrieren.
Gestaltungsfeld vier ist die Internationalisierung der Leistungserbringung. Die Optionen reichen hier über den Einsatz von Onshore- über Nearshore- zu Offshoreressourcen. Je nach Steuerungskompetenz kann dieses in die Beauftragung bestehender Dienstleistungspartner eingebettet werden oder aber auch in Form einer direkten Beauftragung erfolgen.
Das Zusammenspiel dieser vier Handlungsfelder ist entscheidendes Erfolgskriterium für die Ausgestaltung eines effizienten Vendor Managements in der IT von Banken.
bankon unterstützt Groß- und Landesbanken, Sparkassen und Genossenschaftsbanken sowohl bei der Neustrukturierung als auch der Optimierung ihrer IT-Prozesse. Einer der für die Kostensteuerung relevantesten Prozesse ist das Vendor Management. Eine besondere Herausforderung liegt darin, dass hier die IT nicht singulär agieren kann, sondern diese Prozesse in der Regel in der Verantwortung des Einkaufs liegen, aber die IT in hohem Maße tangiert. Langjährige Erfahrung ermöglicht bankon, gemeinsam mit den Kunden das für den jeweiligen Reifegrad des Vendor Managements geeignete Portfolio zielführender Maßnahmen im Zusammenspiel dieser vier Handlungsfelder zu definieren. bankon verfügt über die erforderliche praktische Expertise in der Einführung, Optimierung und nachhaltigen Optimierung von Vendor Management-Prozessen in großen deutschen Geschäftsbanken. Darüber hinaus besitzen bankon-Berater die erforderlichen bankfachlichen und prozessualen Kenntnisse, die es ermöglichen, im Zusammenspiel von IT und Einkauf erforderliche Anpassungen an den Vendor Management-Prozessen vorzunehmen, diese durchzuführen, zu etablieren und nachhaltig zu sichern.
Profitieren Sie von der langjährigen Expertise unserer bankon Berater in der Gestaltung Ihres Vendor Managements. Sprechen Sie uns an.
„bankon kombiniert in seinen Beratungsprojekten die langjährige Branchenerfahrung des Beraterteams ideal mit dem pragmatischen Einsatz situationsgerechter und kundenorientierter Methoden und Vorgehensweisen. Gemeinsam diesen Beratungsansatz und dieses Team in einer gleichzeitig leistungsorientierten, als auch familiären Atmosphäre weiter zu entwickeln macht für mich persönlich den Unterschied zu vielen anderen Beratungsunternehmen.“
In allen Medien sind Schlagworte wie „Big Data“ und „Machine Learning“ omnipräsent. Vieles von dem, was wir dort lesen können, ist richtig und gut. Aber beschleicht uns nicht manchmal das Gefühl, dass wir nun alle wissen, wie wichtig diese Themen sind und wir nun endlich ins Handeln kommen sollten?
Die Realität sieht derzeit leider so aus, dass wir einige Aktivitäten im Bankensektor sehen, wirkliche Projekte mit dem Ziel konkreter Produkte und Funktionen sind aber noch rar.
Unser Ansatz bei bankon ist es, mit unseren Kunden konkrete Lösungen zu entwickeln und umzusetzen. Deshalb haben wir ein Verfahren zur Kundenanalyse basierend auf der Graphenanalyse entwickelt.
Wozu das Ganze?
Nicht erst seit Instagram wissen wir, dass Influencer einen erheblichen Wert haben, wenn es um die Bewerbung von Produkten geht. Gute Influencer zeichnen sich unter anderem durch folgende Merkmale aus:
Hohe Reichweite
Reichweite drückt sich am besten durch die Anzahl der Follower aus. Damit erreicht Werbung dieser Follower in der Regel eine konkrete affine und große Zielgruppe.
Vertrauen
Follower von Influencern vertrauen diesen in der Regel sehr, wenn diese Produkte vorstellen. Das wirkt sich positiv auf Kampagnenerfolge aus.
Der wahre Schatz der Kreditinstitute sind ihre Kunden!
Diesen Satz würde wohl jeder Vertriebsvorstand sofort unterschreiben. Aber was bedeutet das konkret und wie kann ein Institut dieses Potenzial zum Wohl der Kunden und des Vertriebserfolgs nutzen?
Neben den vorgenannten klassischen Influencern auf YouTube, TikTok, Instagram usw. gibt es aber eine völlig unterschätzte Gruppe von Menschen, die ebenfalls bewusste und unbewusste Meinungsbildner sind, und diese Menschen sind alle auch Bankkunden. Schauen wir uns im Firmenkundenumfeld um:
Der Geschäftsführer eines seriösen mittelständischen Unternehmens ist im Sportverein tätig und kennt dort die Inhaberin eines Fachhandelsunternehmens.
Die Prokuristin ist im Elternbeirat tätig und tauscht sich mit Anderen – nicht nur über schulische Belange aus.
Beide Personen haben ein gutes Verhältnis zu den Nachbarn.
Daraus können wir schließen, dass diese Personen „natürliche“ Influencer sind, die um auch bei Bankgeschäften um ihren Rat gefragt werden und deren Meinung man vertraut.
Was heißt das für den Vertrieb?
Diese Influencer sollten im Fokus einer umfassenden und qualitativ hochwertigen Kundenbetreuung stehen
Positive Erfahrungen mit der Bank, deren Produkten und Menschen werden positiv verstärkt.
Gleiches gilt bei negativen Erfahrungen: Diese sind im schlimmsten Fall vor Geschäftsschluss im Bekanntenkreis publik und werden damit einer großen Gruppe kommuniziert.
Wie können diese Potenzialkunden erkannt werden?
Die klassischen Verfahren zur Kundensegmentierung scheitern hier allzu oft:
Ein solcher Influencer ist oft nicht zwingend im Fokus von Potenzialanalysen, da diese oftmals nur Fakten wie Umsatzhöhen und Firmenverbindungen ersten Grades erfassen.
Die manuelle Erhebung über die Kundenbetreuer kann meist nicht alle interessanten Verbindungen erfassen.
Hier kommt die Graphenanalyse ins Spiel: Aus den vorliegenden Kundendaten können diese Netzwerke ermittelt und bewertet werden.
Mittels des von bankon entwickelten Verfahrens werden dabei nicht nur die naheliegenden und direkten Beziehungen wie Geschäftsführer, Gesellschafter usw. ermittelt, sondern je nach Datenqualität auch Informationen wie gemeinsame Steuerberater, Nachbarn und Geschäftspartner einbezogen!
Wie sieht ein Ergebnis aus?
Es werden unter anderem Personen mit hoher Zentralität ermittelt:
Wer kennt besonders viele weitere Personen? Dabei ist nicht nur die Anzahl direkter Verbindungen interessant, sondern auch, wie viele Verbindungen zu anderen Personen existieren, die wiederum Personen mit vielen weiteren Verbindungen kennen.
Es erfolgt eine graphische Aufbereitung in Form einer interaktiven Webseite, um die Ergebnisse explorativ weiter zu analysieren („Drilldown”).
Das Ergebnis wird in Form von Listen mit unterschiedlichen Gewichtungen (z.B. Anzahl direkter Verbindungen oder Zentralität) ausgegeben, die in den Vertriebssystemen des Instituts einfach weiterverarbeitet werden können.
Was passiert mit dem Ergebnis?
Die ermittelten Personen, also Influencer, können nun – ggf. angereichert mit weiteren Daten – intensiv betreut werden:
Einbeziehung in Kampagnen.
Zuordnung zu hochwertigen und damit intensiv betreuten Kundensegmenten.
Einladung zu Veranstaltungen und ggf. zur Kommunikation von Erfahrungsberichten in Social Media Kampagnen
Konkrete Umsetzung
Das vorgestellte Analyseverfahren wurde basierend auf den Datenstrukturen von OSPlus der Finanz Informatik entwickelt und ist damit mit geringem Aufwand in Sparkassen bzw. OSPlus nutzenden Instituten einsetzbar. Eine Anpassung an andere Quellsysteme ist selbstverständlich ebenso möglich.
Zu beachten sind hierbei immer die aktuellen datenschutzrechtlichen Voraussetzungen.
Eine Transformation beginnt mit der Optimierung der Kostenstrukturen, wobei die großen Hebel durch Digitalisierungsinitiativen erfolgen sollte. Wir brauchen für die bevorstehenden Herausforderungen (Klimawandel und Digitale Transformation) ein starkes Finanzsystem. Des Weiteren ist ein europaweit einheitlicher Kapitalmarkt mit einer Machtposition vor dem Wettbewerb aus China und den USA notwendig, um die Realwirtschaft bei den Transformationsprozessen bestmöglich zu unterstützen.
DORA (Digital Operational Resilience Act) ist der europäische Verordnungsentwurf zur digitalen operationalen Resilienz im Finanzsektor. Es ist einer von vier regulatorischen Bausteinen zu dessen Digitalisierung. 2020 wurde DORA von der Europäischen Kommission vorgelegt. Das Inkrafttreten der Verordnung ist um den Jahreswechsel 2022/2023 zu erwarten.
Im Fokus von DORA steht die digitale Betriebsstabilität als Fähigkeit von Finanzunternehmen, IT-Systeme aufzubauen, deren Betrieb sicherzustellen und zu überprüfen. Eingesetzte Informations- und Kommunikationstechnologien dürfen nicht durch betriebliche Störungen, wie z. B. technische Ausfälle oder Cyberangriffe, die Erbringung von Finanzdienstleistungen gefährden. Diese Anforderung schließt auch die direkt oder indirekt von Drittanbietern genutzten Dienste ein. Finanzunternehmen haben, insbesondere auch im Zusammenwirken mit ihren Dienstgebern, die erforderlichen Vorkehrungen zu treffen, um auf alle denkbaren Beeinträchtigungen und Bedrohungen in der IT vorbereitet zu sein und Zwischenfälle zu überstehen.
Mit DORA verfolgt die europäische Union drei Kernziele:
Vereinheitlichung bestehender nationaler und europäischer Standards und Vorgaben
Gewährleistung, dass alle erforderlichen Maßnahmen zur Absicherung gegen Cyberrisiken und ‑angriffe getroffen werden
Schaffung eines Rechtsrahmens zur direkten Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, sobald diese für Finanzunternehmen tätig sind
Inhaltlich umfasst DORA sechs Schwerpunkte
IKT-Risikomanagement – Finanzunternehmen sollen über einen „geeigneten Rahmen“ an Risikomanagementwerkzeugen für ihre Informations- und Kommunikationstechnik (IKT), ausreichend Kapazitäten und Ressourcen verfügen. Diese sind zu dokumentieren sowie deren Aktivitäten zu protokollieren, um den Aufsichtsbehörden darüber zu berichten. Dafür muss im Unternehmen eine eigene verantwortliche Stelle eingerichtet sein.
Berichterstattung – Die durchgeführten Tests sind zu protokollieren. Die Berichterstattung hat bereits vorzusehen, dass mögliche Vorfälle bzw. Störungen zu klassifizieren und zu clustern sind (wie viele Betroffene, in welchem Gebiet, welche Daten betroffen, etc.). Für die Durchführung der Dokumentation und Berichterstattung sollen Standards vorgegeben werden.
Regelungen für Tests – In regelmäßigen Abständen – mindestens einmal pro Jahr – müssen die Systeme einem Test unterzogen werden. Grundlage sind die Regelwerke der Bank. Im Rahmen der Tests sind unterschiedliche Bedrohungsszenarien zu berücksichtigen und anhand von Testfällen zu simulieren. Auf Grundlage der Erkenntnisse aus der Testdurchführung sind institutsindividuelle Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.
IKT-Drittanbieter – Das Risikomanagement von Dienstleistungspartnern in der IT steht hier im Mittelpunkt. Der Scope geht aber über die vertraglichen Regelungen zur Auslagerung hinaus. Eine besondere Regelung erfahren sogenannte kritische Dienstleister, die ausgelagerte digitale Leistungen für Institute erbringen. Abgezielt wird hier z. B. auf die Angebote von „Big Techs“ im Kontext Cloud-Computing-Leistungen. Hier ist für die europäischen Aufsichtsorgane die Berechtigung vorgesehen, auf Dokumente zuzugreifen, Vor-Ort-Prüfungen durchzuführen, Empfehlungen oder Anweisungen auszusprechen sowie Maßnahmen zur Abhilfe zu fordern. Hierfür ist die Breitstellung eines Mechanismus vorgesehen, der die Kritikalität von Dienstleistungsanbietern bestimmt.
Informationsaustausch – Regelungen zum Informationsaustausch über Cyberbedrohungen inklusive der Regelung, wie Vereinbarungen dazu gestaltet sein müssen.
Governance - Für die Durchsetzung des geplanten Regelwerks sind die Aufsichtsbehörden vorgesehen, die bereits jetzt für die Aufsicht der im Anwendungsbereich befindlichen Unternehmen zuständig sind.
Zur Erreichung dieser sechs Zielvorgaben der Aufsicht stehen für die Finanzinstitute folgende Themen im Fokus der Umsetzung, da sie in Teilen über die bestehenden regulatorischen Anforderungen herausgehen:
Stärkung der operationellen digitalen Resilienz der Banken mittels Vorgaben zum Digital Operational Resilience Testing (inklusive Penetrationstests)
Sicherstellung einer stringenten und konsequenten Überwachung ausgelagerter Dienstleistungserbringung in der Informations- und Kommunikationstechnik
Ausweitung von Meldepflichten zu schwerwiegenden IKT-Incidents auf den gesamten Finanzsektor
Erweiterung der Anforderungen an das Management von Informationsrisiken und Informationssicherheit
DORA für Banken in Deutschland:
Diese auf die IT-Sicherheit einzahlenden Schwerpunkte werden mit DORA detaillierter beschrieben als in bestehenden regulatorischen Regelungen wie BAIT oder ISO 27xxx und darüber hinaus auf eine europäische Ebene gehoben, um einen einheitlichen Standard zu forcieren.
Besonders die geforderten Maßnahmen zur Steuerung des mit der Auslagerung von ITK-Leistungen an Dritte verbundenen Risikos sind deutlich spezifischer. Dazu wird die Fokussierung auf eine geringe Anzahl von Schlüssel-Dienstleistern als kritisch betrachtet. Dieses gilt sowohl für das einzelne Institut als auch für die Branche insgesamt.
Im Hinblick auf eine Umsetzung der Vorgaben von DORA ist jedoch zu berücksichtigen, dass in Deutschland bereits in jüngster Vergangenheit wesentliche Verschärfungen der Anforderungen mittels aufsichtsrechtlicher Vorgaben umgesetzt wurden.
Beispielhaft genannt sei das Handlungsfeld der Auslagerungen von Dienstleistungen der Banken an Dritte. Im Mittelpunkt stehen hier die aus der Erweiterung der BAIT sowie dem Finanzmarktintegritätsstärkungsgesetz (FISG) resultierenden Vorgaben.
Banken sind auf dieser Basis nicht mehr nur verpflichtet, inhaltliche, vertragliche oder steuernde Prozesse zu ihren Dienstleistungspartnern zu etablieren, sondern ebenso dazu, wesentliche Auslagerungen bei der Aufsicht anzuzeigen (Auslagerungsregister). So führt die BaFin an, dass die Konzentration auf sogenannte Mehrmandantendienstleister (MMDLs), die für mehrere Banken tätig sind, Risiken für den Gesamtmarkt implizieren. Über das Auslagerungsregister hinaus besteht auch eine Verpflichtung zur Meldung schwerwiegender Vorfälle in der Auslagerungsbeziehung zwischen Bank und Dienstleistungspartner.
Der durch die Meldungen der Institute geschaffene Überblick über die Auslagerungsbeziehungen deutscher Banken ermöglicht der Bankenaufsicht, diese MMDLs zu identifizieren, hinsichtlich des Risikos zu bewerten und zu überwachen.
Darüber hinaus gibt der gesetzliche Rahmen der Aufsicht die Möglichkeit, direkt auf den Auslagerungspartner der Bank zuzugehen, um einen Missstand zu vermeiden oder zu beheben.
Diese Anforderung trägt der zunehmenden, branchenweiten Bedeutung einzelner Dienstleistungsanbieter und dem damit verbundenen Risiko Rechnung.
Spezifische Aspekte für Verbundstrukturen:
Die in DORA formulierten Regelungen für IT-Dienstleister von Banken basieren wahrscheinlich auf Überlegungen, die z. B. Anbieter von Cloudlösungen wie Amazon, Google oder Microsoft im Fokus hatten. Im Hinblick auf Cybersicherheit und die Kritikalität einzelner Anbieter für den gesamten Bankensektor ist dieses sicherlich ein sachgerechtes Vorgehen.
Das Universum der Banken in Deutschland ist jedoch in starkem Maße von Sparkassen und Genossenschaftsbanken geprägt. Hier bestehen Verbundstrukturen.
Diese Strukturen sind durch zwei Komponenten gekennzeichnet:
Eine inhaltliche Komponente, in der tendenziell eher kleineren Instituten zentrale Dienstleistungen und digitale Angebote ebenso zur Verfügung gestellt werden wie stabile Governance-Prozesse
Eine rechtliche Komponente, in der sich die zentralen Anbieter dieser Institutsgruppen in deren Besitz befinden und durch diese kontrolliert werden. Die einzelnen Institute, welche die Leistungen nutzen, sind gleichzeitig Eigentümer des Leistungserbringers
Durch diese Strukturen ist die Gefahr konkurrierender Interessen zwischen Bank und Dienstleister nahezu ausgeschlossen.
Das bedeutet auch, dass regulatorische Anforderungen aus DORA an die Institute (Darlegung, wie sie mit den Gefahren von Abhängigkeiten umgehen, die bei der Auslagerung von Dienstleistungen entstehen) im Falle von Verbundstrukturen auf vollständig andere Voraussetzungen treffen als bei Instituten außerhalb der Verbünde.
Im Handlungsfeld der Auslagerungen haben bestehende regulatorische Vorgaben wie die MaRisk auf Basis der EBA-Leitlinien für Sourcing Erleichterungen für die IT-Auslagerung auf Verbundebene vorgesehen, die in DORA so nicht enthalten sind.
In diesem Kontext besteht noch abschließender Klärungsbedarf durch die Verbände mit der Aufsicht, um für die Verbundinstitute Handlungssicherheit sicherzustellen.
Unabhängig von diesem verbundspezifischen Aspekt, besteht für die Banken in Deutschland die Erfordernis, sich der Umsetzung von DORA zu widmen.
Aber was heißt das im „Dschungel“ der regulatorischen Vorgaben denn genau?
Umsetzungsempfehlungen
Für Banken, die regulatorische Anforderungen in der Vergangenheit bereits kontinuierlich umgesetzt haben, heißt es auch bei DORA – kein Grund zur Panik.
Für Institute, die eine Umsetzung der Anforderungen der BAIT 2017 und 2021 nur homöopathisch begonnen haben und wesentliche Dienstleistungen an Dritte ausgelagert haben, steigt durch DORA der Handlungsdruck noch einmal.
Gerade in Bezug auf das Management von Auslagerungen kann sich eine „Bugwelle“ erforderlicher Umsetzungsaktivitäten aufbauen, die sich finanziell und kapazitativ zu einer kritischen Herausforderung entwickelt und unmittelbaren Handlungsbedarf erfordert.
In diesem Kontext gilt es, die bereits bestehenden Anforderungen Dokumentations- und Meldepflichten sowie das Risikomanagement in den besonderen Fokus zu rücken.
Bestehende Verträge mit Dienstleistungspartnern, an die speziell IT-Leistungen ausgelagert wurden, gilt es zu prüfen, ob diese den bestehenden und zukünftigen Anforderungen genügen. So sind beispielsweise Prüfungen durch die Bank erforderlich, ob die Dienstleister im Bereich Business Continuity oder Notfallmanagement die relevanten Vorgaben eingehalten haben. In vielen Fällen sind diese Prüfungen in den bestehenden Verträgen nicht vorgesehen. Da Anpassungen in der Regel zeitaufwändig sind, ist hier ein relevanter Ansatzpunkt, der nicht aufgeschoben werden sollte.
Generell gilt bei DORA, wie auch bei den vorangegangenen regulatorischen Veränderungen und Verschärfungen, eine GAP-Analyse des Status quo gegen die Vorgaben als probates Mittel. Praxisbewährte und risikoorientierte Checklisten, die auch die Prüfungsschwerpunkte der Bankenaufsicht in ihrer Priorisierung berücksichtigen, sind hier ein empfohlenes Hilfsmittel zur Ermittlung des Handlungsbedarfs und der Ableitung einer Umsetzungsroadmap.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht verfügt bankon über eine umfangreiche Praxiserfahrung, die in Best Practices und Checklisten eingeflossen sind und den Kunden von bankon in der effizienten Umsetzung einer regulatorikkonformen IT helfen.
bankon gratuliert Frau Sandra Wachenheim (Assistentin der Geschäftsführung) und Herrn Alexander Gniewkowski (Manager) zum heutigen 10-jährigen Firmenjubiläum.
Gemeinsam haben wir viel erlebt und erreicht. Wir freuen uns auf die nächsten 10 bankon-Jahre.
