Schlagwort: Berechtigung

ITIL Zauberkessel

ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?

Aus der Sicht des IT-Manage­ments bringt ITIL eine not­wen­di­ge Zutat mit, die für ein „Zau­ber­mit­tel“ uner­läss­lich ist – das not­wen­di­ge Alter mit einem ent­spre­chen­den Rei­fe­grad. Hier­bei darf jedoch nicht ver­kannt wer­den, dass ITIL von sei­nem Ursprung Ende der 80er Jah­re bis heu­te eine erheb­li­che Wei­ter­ent­wick­lung durch­lau­fen hat.

Ursprüng­lich bestand die Neu­ar­tig­keit von ITIL in der IT dar­in, auf die Erfor­der­nis­se der Kun­den aus­ge­rich­tet zu sein. Effek­ti­ve Pro­zes­se und klar zuge­ord­ne­te Ver­ant­wort­lich­kei­ten stan­den im Fokus. Ers­te Wei­ter­ent­wick­lun­gen ergänz­ten wei­te­re Pro­zes­se, bis in einer grund­le­gen­den Über­ar­bei­tung der Ser­vice Life­Cy­cle in den Mit­tel­punkt rück­te. Hier­bei wur­den wei­te­re Pro­zes­se ergänzt und die Ziel­set­zung von ITIL der­ge­stalt geschärft, dass eine mess­ba­re, posi­ti­ve Wert­schöp­fung für den Kun­den im Fokus steht und die­se einen rele­van­ten Mehr­wert für das Unter­neh­men schafft. Schwer­punk­te der wei­te­ren Ent­wick­lungs­schrit­te zur aktu­el­len Ver­si­on ITIL 4 waren neue Tech­no­lo­gien und das Ser­vice-Manage­ment, die ein­ge­bun­den wur­den in das ITIL Ser­vice Value Sys­tem (SVS).

Neben dem SVS erfolg­te im Kon­text des Ser­vice-Manage­ments die Über­füh­rung der bestehen­den 4 Ps von ITIL (Perso­nen, Produk­te, Part­ner und Prozes­se) in ein Modell mit vier Dimen­sio­nen, die über die ursprüng­li­chen 4 Ps hinausgehen:

  • Orga­ni­sa­tio­nen und Menschen
  • Infor­ma­tio­nen und Technologie
  • Part­ner und Lieferanten
  • Wert­strö­me und Prozesse

Auf die­se Wei­se hat ITIL in den ver­gan­ge­nen 35 Jah­ren sei­nen Best-Prac­ti­ce-Cha­rak­ter stets an den aktu­el­len Ver­än­de­run­gen und Gege­ben­hei­ten des IT-Manage­ments ausgerichtet.

Die Ver­än­de­rung der IT in Ban­ken und die Wei­ter­ent­wick­lung der Best Prac­ti­ces von ITIL ver­lie­fen zeit­lich und inhalt­lich viel­fach im Gleich­klang. Für die Ban­ken-IT war die­se gemein­sa­me Ent­wick­lung essen­zi­ell. Ver­ant­wort­lich dafür sind vor Allem vier Trends:

  • Ohne IT sind Bank­dienst­leis­tun­gen kaum noch zu erbringen
  • Die tech­ni­sche Kom­ple­xi­tät und Hete­ro­ge­ni­tät sind erheb­lich angewachsen
  • IT-Pro­zes­se sind durch ein unter­neh­mens­über­grei­fen­des Wert­schöp­fungs­netz­werk gekennzeichnet
  • Der Bedeu­tung ent­spre­chend sind die regu­la­to­ri­schen Anfor­de­run­gen an die Bank-IT erheb­lich gestiegen

Der ers­te Punkt ist ein­fach nach­zu­voll­zie­hen. Die wei­te­ren drei Punk­te sind stark mit­ein­an­der ver­zahnt. So führ­te die wach­sen­de Kom­ple­xi­tät und Hete­ro­ge­ni­tät der Bank-IT viel­fach dazu, dass wesent­li­che Tei­le an spe­zia­li­sier­te Dienst­leis­tungs­part­ner aus­ge­glie­dert wur­den. Bei­spiel­haft sei­en hier der Desk­top Ser­vice, der Betrieb von Kern­bank­sys­te­men, die Bereit­stel­lung von Cloud-Ser­vices sowie spe­zi­fi­sche IT-Secu­ri­ty-Leis­tun­gen genannt.

Die Steue­rung des sich dar­aus erge­ben­den Wert­schöp­fungs­netz­wer­kes aus inter­nen und extern erbrach­ten Leis­tun­gen und Pro­zess­an­tei­len ist aktu­ell domi­nie­ren­de Kern­auf­ga­be der IT Deut­scher Ban­ken. Auch den für Regu­la­to­rik von Ban­ken zustän­di­gen Instan­zen in Euro­pa und Deutsch­land (z. B. EBA, EZB, Bun­des­bank) ist die­ses bewusst. In der Kon­se­quenz wer­den die regu­la­to­ri­schen Anfor­de­run­gen an die IT in Ban­ken in immer kür­ze­ren Abstän­den in Brei­te und Tie­fe aus­ge­baut. Für die Aus­la­ge­rung von IT-Leis­tun­gen der Ban­ken an Dienst­leis­tungs­part­ner gel­ten gleich eine Viel­zahl, sich in Tei­len über­schnei­den­de, regu­la­to­ri­sche Anfor­de­run­gen. Nach­ste­hen­de Dar­stel­lung ver­deut­licht dieses:

© 2023 bankon

Die Her­aus­for­de­rung für die Bank-IT ist damit defi­niert. Das Wert­schöp­fungs­netz­werk der IT-Pro­zes­se ist effi­zi­ent und kon­form zu regu­la­to­ri­schen Anfor­de­run­gen zu gestal­ten und zu steu­ern. Eine aus­schließ­lich pro­vi­der­ori­en­tier­te Struk­tu­rie­rung ist hier­für nicht ziel­füh­rend. Zum einen ent­spricht die­se mehr­heit­lich nicht der aktu­el­len Situa­ti­on des Aus­la­ge­rungs­port­fo­li­os der Ban­ken, zum ande­ren gestat­tet sie nur wenig Fle­xi­bi­li­tät für eine pro­vi­der­un­ab­hän­gi­ge Erwei­te­rung des Serviceportfolios.

Es wird deut­lich, dass hier nur ein ganz­heit­li­cher Ansatz mit­tels mit End-to-End-Aus­rich­tung zur Lösung bei­tra­gen kann. Wel­che Rol­le kann ITIL hier­bei spie­len, und wel­che Lösun­gen kann ITIL anbieten?

Durch die sys­te­ma­ti­sche Wei­ter­ent­wick­lung unter­stützt ITIL spe­zi­fi­sche IT-Manage­ment-Pro­zes­se, bie­tet aber auch pro­zess- und ser­vice­über­grei­fen­de Steue­rungs­an­sät­ze über das gesam­te IT-Uni­ver­sum der Bank. Die­ses schließt auch Leis­tun­gen ein, die durch Drit­te erbracht werden.

Mit­tels ITIL kann die erfor­der­li­che Trans­pa­renz geschaf­fen wer­den, die der Bank eine regu­la­to­rik­kon­for­me und effi­zi­en­te Steue­rung der Gesamt-IT ermög­licht. Unter­stüt­zung bie­tet hier­bei die Manage­ment-Metho­dik des Ser­vice Inte­gra­ti­on and Manage­ment, kurz SIAM.

© 2023 bankon

SIAM ist nicht Inhalt von ITIL, son­dern ist aus­ge­legt auf die Steue­rung mul­ti­pler Pro­vi­der­struk­tu­ren, nutzt hier­zu aber die Kon­zep­te zum IT Ser­vice Manage­ment aus ITIL. Die Struk­tu­ren eines SIAM füh­ren in einem Mul­ti­pro­vi­der­ma­nage­ment die Geschäfts­pro­zes­se und die für ihre Leis­tungs­er­brin­gung erfor­der­li­chen IT-Ser­vices zusam­men. Sei­tens der IT bereit­ge­stell­te Ser­vices umfas­sen hier­bei pro­vi­der­über­grei­fend sowohl Infra­struk­tur­kom­po­nen­ten, Netz­werk­kom­mu­ni­ka­ti­on, Daten­hal­tung, IT-Anwen­dun­gen/Ap­pli­ka­tio­nen als auch deren Bereit­stel­lung am Arbeits­platz. Ent­stan­den ist SIAM im Jahr 2012 mit Erschei­nen des XGOV Stra­te­gic SIAM refe­rence set der bri­ti­schen Regie­rung und basiert auf einem Best Prac­ti­ce-ori­en­tier­ten Vorgehen.

Wel­che Gestal­tungs­fel­der für eine Ser­vice­inte­gra­ti­on und ein Ser­vice­ma­nage­ment erge­ben sich dar­aus für die Bank, die im Rah­men der Ein­füh­rung zu berück­sich­ti­gen sind? Die fol­gen­de Abbil­dung skiz­ziert die aus unse­rer Sicht rele­van­ten Felder:

© 2023 bankon

I. Strategie

Das pro­vi­der­über­grei­fen­de, inte­gra­ti­ve Manage­ment der IT-Ser­vices ist not­wen­di­ger­wei­se Bestand­teil der IT Stra­te­gie sowie der dar­un­ter­lie­gen­den Aus­prä­gun­gen z. B. einer Sourcing- oder Cloud Stra­te­gie. Die­ses ist auf­grund der Aus­rich­tung der IT-Ser­vices auf die Geschäfts­pro­zes­se erfor­der­lich, da die IT-Stra­te­gie die Ver­knüp­fung zur Geschäfts­stra­te­gie bildet.

II. Organisation

Wesent­li­cher Fokus ist hier das Sco­ping und damit die Iden­ti­fi­ka­ti­on der rele­van­ten IT-Ser­vices. Hier­bei sind Busi­ness- und Infra­struk­tur­per­spek­ti­ve mit­ein­an­der zu ver­bin­den. Die orga­ni­sa­to­ri­sche Ver­an­ke­rung des inte­grier­ten Mul­ti­pro­vi­der­ma­nage­ments geschieht über spe­zi­fi­sche Rol­len, die mit dem bestehen­den Rol­len­mo­dell zu ver­knüp­fen sind. Mit die­sen Rol­len ein­her­ge­hen­de Auf­ga­ben wer­den ver­ant­wort­li­chen Per­so­nen zuge­ord­net. Die­ses Vor­ge­hen ver­bin­det Rol­len, Ver­ant­wort­lich­kei­ten und Auf­ga­ben in einer Matrix, wel­che wesent­li­che Grund­la­ge für die quan­ti­ta­ti­ve Per­so­nal­pla­nung ist.

III. Prozesse

Wesent­li­ches Ele­ment ist die pro­vi­der­über­grei­fen­de Orches­trie­rung der IT-Ser­vice­pro­zes­se im Sin­ne eines End-to-End-Gedan­kens. Sie ist Vor­aus­set­zung einer Unter­stüt­zung die­ser Pro­zes­se mit­tels eta­blier­ter IT-Manage­ment­pro­zes­se wie Incident‑, Pro­blem- oder Chan­ge-Manage­ment. Ent­spre­chend der Kri­ti­k­ali­tät der Pro­zes­se sind Report­ing- und Kon­troll­ver­fah­ren zu eta­blie­ren, die durch geeig­ne­te KPIs unter­legt wer­den müssen.

IV. Tools

Erfolgs­kri­tisch ist in ers­ter Linie die Ver­füg­bar­keit der für die IT-Ser­vice­pro­zes­se End-to-End erfor­der­li­chen Infor­ma­tio­nen. Die­se müs­sen an einer zen­tra­len Stel­le gebün­delt sein, an die jeder Pro­vi­der sei­ne Daten zulie­fert und aktu­ell hält. Die­ser Daten­pool wird im Rah­men der IT-Manage­ment­pro­zes­se genutzt und ist Basis für eine work­flow­or­i­en­tier­te Pro­zess­be­ar­bei­tung unter Ein­bin­dung der Pro­vi­der. Hier­für bie­tet es sich an, eine markt­gän­gi­ge Platt­form zu ver­wen­den, die sowohl die Daten­hal­tung als auch die pro­zes­sua­len Work­flows unter­stützt. Offe­ne Stan­dard­schnitt­stel­len ermög­li­chen die fle­xi­ble Ein­bin­dung wei­te­rer Pro­vi­der und Assets. 

V. Verträge

Idea­ler­wei­se sind die Ver­trags­in­for­ma­tio­nen in der obi­gen Platt­form hin­ter­legt und ste­hen als Infor­ma­ti­on zur Ver­fü­gung. Neben dem Infor­ma­ti­ons­cha­rak­ter ist jedoch vor allem sicher­zu­stel­len, dass die für ein Mul­ti­pro­vi­der­ma­nage­ment erfor­der­li­chen tech­ni­schen, pro­zes­sua­len und regu­la­to­ri­schen Sach­ver­hal­te Inhalt der Ver­trags­wer­ke von Bank und Pro­vi­der sind. Beson­ders sei an die­ser Stel­le dar­auf hin­ge­wie­sen, dass ein fle­xi­bles Mul­ti­pro­vi­der­ma­nage­ment nicht nur ein Onboar­ding von Leis­tun­gen des Pro­vi­ders erfor­dert, son­dern auch die Häu­fig­keit eines Off­boar­ding erhöht ist. Dafür erfor­der­li­che Exit-Ver­ein­ba­run­gen sind aus die­sem Grund eine Kom­po­nen­te, die ver­trag­lich gere­gelt sein muss.

Bie­tet ITIL nun das Wun­der­mit­tel für ein regu­la­to­rik­kon­for­mes Pro­vi­der­ma­nage­ment, gege­be­nen­falls unter Hin­zu­fü­gen einer „Pri­se“ SIAM?

Obi­ge Aus­füh­run­gen machen deut­lich: Der Zau­ber­trank für ein regu­la­to­rik­kon­for­mes Mul­ti­pro­vi­der­ma­nage­ment ist ITIL nicht. Aber ITIL ent­hält die dafür erfor­der­li­chen Zuta­ten. Die­se sind in der IT der Bank unter Zusam­men­wir­ken mit wei­te­ren rele­van­ten Stake­hol­dern wie z. B. Ein­kauf oder Com­pli­ance zusam­men­zu­stel­len und mit erfor­der­li­chen Tools zu eta­blie­ren. ITIL bil­det eine Art Rezept­buch und wird damit sei­nem Best-Prac­ti­ce-Ansatz gerecht. Die Bank hat aber ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on aus IT-Kom­ple­xi­tät, End-to-End-Rei­fe­grad der IT-Pro­zes­se, Aus­ge­stal­tung des IT-Aus­la­ge­rungs­port­fo­li­os sowie regu­la­to­ri­schem Sta­tus quo das Mul­ti­pro­vi­der­ma­nage­ment aus­zu­ge­stal­ten. Hier unter­stützt der Manage­ment­an­satz SIAM und bie­tet Hil­fe­stel­lung in der bedarfs­ge­rech­ten Kon­zep­ti­on und Etablierung.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Manage­ment (ITIL), Pro­vi­der­ma­nage­ment, IT-Ser­vices sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons- und Pro­vi­der­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Erfah­run­gen aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ergän­zen die­se Pra­xis­er­fah­rung um regu­la­to­ri­sche Kompetenz.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Hand mit Schlüsselkarte

IT-Berechtigungen bei Banken und Sparkassen managen

Die Novellierung der MaRisk erfordert weitreichende Änderungen im IT-Berechtigungsmanagement

Mit der Novel­lie­rung der MaRisk vor knapp 3 Jah­ren wur­de fest­ge­legt, dass Kre­dit­in­sti­tu­te, die an Mit­ar­bei­ter ver­ge­be­nen IT-Berech­ti­gun­gen für Anwen­dun­gen mit bank­fach­li­chem Hin­ter­grund ein­ge­hend prü­fen müs­sen, d. h. es muss kon­trol­liert und dar­ge­legt wer­den, dass jeder Mit­ar­bei­ter auch nur die IT-Berech­ti­gun­gen erhält und aus­übt, die der Mit­ar­bei­ter auf­grund sei­ner Tätig­keit benö­tigt. Eben­falls ist zu prü­fen, dass der Mit­ar­bei­ter mit Ver­ga­be der IT-Berech­ti­gun­gen kei­ne Funk­ti­ons­tren­nungs­kon­flik­te erhält.

Gemäß MaRisk (AT 4.3.1) ist hier­für nicht nur eine gül­ti­ge Auf­bau- und Ablauf­or­ga­ni­sa­ti­on für die zu defi­nie­ren­den Pro­zes­se und den damit ver­bun­de­nen Auf­ga­ben und Tätig­kei­ten nebst Kom­pe­ten­zen, Ver­ant­wort­lich­kei­ten sowie Kon­trol­len erfor­der­lich, son­dern auch die Bereit­stel­lung der rich­ti­gen tech­nisch-orga­ni­sa­to­ri­schen Aus­stat­tung für eine ange­mes­se­ne IT-Berechtigungsvergabe.

Wei­ter­hin sind nach MaRisk (AT 7.2) für eine ange­mes­se­ne IT-Berech­ti­gungs­ver­ga­be ent­spre­chen­de Pro­zes­se ein­zu­rich­ten, die sicher­stel­len, dass jeder Mit­ar­bei­ter auch nur die Berech­ti­gun­gen erhält, die er auf­grund sei­ner Tätig­keit benötigt.

Im Rah­men eines zur erstel­len­den IT-Berech­ti­gungs­kon­zep­tes ist zu berück­sich­ti­gen, dass zwi­schen admi­nis­tra­ti­ven und aus­füh­ren­den Tätig­kei­ten im Tages­ge­schäft (tech­nisch oder orga­ni­sa­to­risch) unter­schie­den wird. Das Berech­ti­gungs­kon­zept beschreibt die Auf­ga­ben-tei­lung und Ver­ant­wor­tungs­be­rei­che im Insti­tut, sodass im Zuge des­sen sowohl eine Aus­he­be­lung des Vier-Augen-Prin­zips als auch funk­tio­na­le Über­schnei­dun­gen ver­mie­den wer­den. Dar­über hin­aus stellt das IT-Berech­ti­gungs­kon­zept nicht nur den Rah­men, son­dern beinhal­tet u. a. auch die admi­nis­tra­ti­ven Vor­ga­ben in der Berech­ti­gungs­ver­ga­be für das Institut.

In die­sem Kon­text ist ban­kon bereits mehr­fach erfolg­reich von der Berech­ti­gungs­kon­zep­ti­on inkl. Rol­len­mo­dell unter Berück­sich­ti­gung kri­ti­scher und unkri­ti­scher IT-Berech­ti­gun­gen bis hin zur admi­nis­tra­ti­ven Umset­zung, mit tech­ni­scher Work­flow-Unter­stüt­zung in der Rezer­ti­fi­zie­rung, in den ver­schie­dens­ten Insti­tu­ten tätig gewesen.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, so dass auch Ihre IT-Berech­ti­gungs­ver­ga­be revi­si­ons- und prü­fungs­si­cher erfolgt.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de