Schlagwort: Cloud

Blockchain and the financial sector: Hype or Change?

Blockchain and the financial sector: Hype or Change?

Veröffentlicht am von

Whilst block­chain is one of the most dis­cus­sed deve­lo­p­ments in the finan­cial indus­try, Ger­man finan­cial ser­vice pro­vi­ders have so far ten­ded to wait and see – they see no reason to rush. For many finan­cial ser­vice pro­vi­ders, the tech­no­lo­gy is being con­side­red as part of their stra­te­gic plan­ning and has alre­a­dy been tes­ted sel­ec­tively – and yet, only a few are true block­chain pio­neers. Con­side­ring the major chan­ges in other indus­tries, howe­ver, it is worth taking a clo­ser look at pos­si­ble deve­lo­p­ments in the finan­cial ser­vices sector.

What are the opportunities for financial institutions?

A decisi­ve advan­ta­ge of block­chain tech­no­lo­gy is that infor­ma­ti­on and pro­ces­ses can be exch­an­ged in real-time wit­hout a cen­tral con­trol body in a trans­pa­rent, ful­ly traceable and thus almost for­gery-pro­of man­ner. With the pos­si­bi­li­ty of con­clu­ding secu­re, self-moni­to­ring and long-distance con­tracts, block­chain can save time and tran­sac­tion cos­ts in a wide varie­ty of areas.

Let’s look at some busi­ness models and lines of business:

© 2023 bankon

Figu­re 1: The dis­rup­ti­ve poten­ti­al of block­chain technology

What is the disruptive potential of blockchain in the banking industry?

Ban­king tran­sac­tions should ide­al­ly be simp­le, fast and cheap, avo­i­ding the use of inter­me­dia­ries; the Inter­net of Things (IoT), block­chain-tech­no­lo­gy, cryp­to­cur­ren­ci­es, cloud-com­pu­ting and Web 3.0 with less cen­tra­li­zed inter­net and more peer-to-peer inter­ac­tions will have huge influen­ces on future finan­cial sec­tor busi­ness models.

But in this artic­le, let’s focus on block­chain technology.

To under­stand pos­si­ble advan­ta­ges of this new tech­no­lo­gy, it is important to ana­ly­ze dif­fe­rent busi­ness models.

Tra­di­tio­nal ban­king: First­ly, the­re are some serious poten­ti­al chan­ges for com­mer­cial ban­king. Bank depo­sits will decrease, as the popu­la­ri­ty of alter­na­ti­ve ways to store funds increa­ses. A lot of unban­ked peo­p­le have with block­chain a very real pos­si­bi­li­ty to be part of the finan­cial busi­ness world. Fur­ther, we see a gro­wing demand for new asset clas­ses like cryp­to­cur­ren­ci­es (BTC etc.) from count­ries deal­ing with hyper­in­fla­ti­on. Tran­sac­tions have the poten­ti­al to be much fas­ter and che­a­per than with tra­di­tio­nal pay­ment sys­tems – and inno­va­ti­ve solu­ti­ons such as block­chain can impro­ve this even fur­ther. Banks risk losing busi­ness when decen­tra­li­zed digi­tal cur­ren­ci­es beco­me more wide­spread as methods for pay­ments and of sto­ring money.

Invest­ment ban­king also faces far-rea­ching chan­ges. Equi­ties and debt secu­ri­ties can be repre­sen­ted by tokens on the block­chain in the capi­tal mar­ket and smart con­tract plat­forms allow inves­tors to track and trans­fer bonds in real time. Migra­ting finan­cial mar­kets onto the block­chain, with its more effi­ci­ent infra­struc­tu­re, also pro­mi­ses many more advan­ta­ges that banks should be careful not to miss out on; glo­bal capi­tal mar­kets are moving to the block­chain – Lon­don Stock Exch­an­ge with IBM, Aus­tra­lia Secu­ri­ty Exch­an­ge and Nasdaq for exam­p­le, have all deve­lo­ped block­chain plat­forms for issuing, tra­ding, clea­ring and the sett­le­ment of shares. Block­chain tech­no­lo­gy pro­mo­tes data con­sis­ten­cy, accu­ra­te and immu­ta­ble records of his­to­ri­cal owner­ship, decen­tra­liza­ti­on, and trans­pa­ren­cy. It can be exten­ded to any type of finan­cial instru­ment used for rai­sing capi­tal. This new tech­no­lo­gy is also inte­res­t­ing for asset mana­gers loo­king for an edge in hand­ling their cli­ents’ funds. Insti­tu­tio­nal and retail inves­tors are also show­ing increased inte­rest; across all aspects of the finan­cial sec­tor – and inde­ed across many indus­tries – block­chain and cryp­to­cur­ren­ci­es will play an incre­asing­ly important role as we move in pro­mi­sing new directions.

Insu­r­ers have been slow in cat­ching up with tech­no­lo­gi­cal inno­va­tions – it is a high­ly spe­cia­li­zed busi­ness with careful­ly cal­cu­la­ted risk assess­ments and simi­lar risk pro­fil­ing. It is dif­fi­cult to sell insu­rance con­tracts in a decen­tra­li­zed peer-to-peer mar­ket. Despi­te this, the block­chain tech­no­lo­gy can be a major source of effi­ci­en­cy and inno­va­ti­on for insu­r­ers: shorter wai­ting times, less uncer­tain­ty, fewer veri­fi­ca­ti­on errors, lower back-office cos­ts and the reduc­tion of bureau­cra­cy are all bene­fits that are pro­mi­sed by the new tech­no­lo­gy. But the­se are not the only advan­ta­ges: auto­ma­ti­on of pay-off exe­cu­ti­on pro­ces­ses, grea­ter effi­ci­en­cy in time and man­power and impro­ved cus­to­mer rela­ti­onships are all also made pos­si­ble through the blockchain.

Trade finan­ce: Trade finan­ce is a leng­thy pro­cess invol­ving mul­ti­ple par­ti­ci­pan­ts; the­re are still lots of manu­al IT pro­ces­ses and paper­work.  Such manu­al pro­ces­ses are expen­si­ve and requi­re con­sidera­ble time. Block­chain-based plat­forms are set to rewire the pro­ces­ses behind trade finan­ce. The rele­vant block­chain plat­forms are a type of shared dis­tri­bu­ted led­ger on which the histo­ry of tran­sac­tions is digi­tal­ly recor­ded and cryp­to­gra­phi­cal­ly secu­red. Within trade finan­ce, this tech­no­lo­gy is seen to stream­li­ne the trans­fer of money and goods by faci­li­ta­ting grea­ter trans­pa­ren­cy among par­ti­ci­pan­ts and increase effi­ci­en­cy in finan­cial tran­sac­tions. Block­chain dis­rupts cur­rent pro­ces­ses by offe­ring grea­ter effi­ci­en­cy, bet­ter eco­no­mic growth, and eco­no­mic sti­mu­la­ti­on – it is fas­ter and che­a­per for all par­ti­ci­pan­ts. What’s more, when a trade finan­ce plat­form is built on block­chain, the docu­men­ta­ti­on – for exam­p­le – can be shared across the par­ti­ci­pan­ts invol­ved. This means that ever­y­bo­dy has all the infor­ma­ti­on they need to do their due dili­gence and to com­ple­te the tran­sac­tion, see­ing the same facts and rele­vant infor­ma­ti­on as all the other par­ties, great­ly redu­cing the poten­ti­al for dis­pu­tes; human error is fur­ther redu­ced as pay­ments are auto­ma­ti­cal­ly trig­ge­red by spe­ci­fic events in the sup­p­ly chain befo­re being immu­ta­b­ly recor­ded on the blockchain.

© 2023 bankon

Figu­re 2: Chan­ge poten­ti­al accor­ding to bank products

What are the banking business lines that could be disrupted by blockchain?

Inter­na­tio­nal Tran­sac­tions: Bank trans­fers today are gene­ral­ly com­pli­ca­ted and expen­si­ve. Cryp­to­cur­ren­ci­es will likely beco­me the first choice for inter­na­tio­nal bank trans­fers. They are likely to be fast with lower fees for peer-to-peer tran­sac­tions. The­r­e­fo­re, block­chain looks set to an ide­al  solu­ti­on for inter­na­tio­nal money trans­fers. Some banks are working on pro­of-of-con­cept bor­der pay­ments with a Hyper­led­ger Fabric block­chain plat­form. This will have to be  recon­ci­led with SWIFT in real-time.

The Future of len­ding: Banks are today the pri­ma­ry source for len­ding money. With smart con­tracts based on the block­chain len­ding direct­ly from depo­si­tor to bor­rower is pos­si­ble. Smart con­tracts will make peer-to-peer len­ding easier and more trans­pa­rent. With blockchain’s tran­sac­tion histo­ry it can be seen, for exam­p­le, who is a repu­ta­ble bor­rower. Pre­vious actions will be recor­ded on the block­chain, much like on many exis­ting online mar­ket­places. This redu­ces infor­ma­tio­nal asym­me­tries bet­ween the invol­ved par­ties. Len­ding on block­chain is also set to be less expen­si­ve and fas­ter, as well as being immu­ta­ble and easi­ly accessible.

Escrow ser­vices: Here, block­chain gua­ran­tees that two par­ties in a busi­ness tran­sac­tion can trust each other and that the bank gua­ran­te­e­ing it recei­ves fees of about 1%. Such a deal could be desi­gned with a smart con­tract and then be exe­cu­ted automatically.

KYC (Know your cus­to­mer): Relia­ble iden­ti­fi­ca­ti­on is essen­ti­al to pre­ven­ting cri­mes and money laun­de­ring. The cus­to­mer enters his or her data only once in a coun­try­wi­de ID-Sys­tem on block­chain. This plat­form is immu­ta­ble, secu­re and unbi­a­sed. Fur­ther­mo­re, a Hyper­led­ger basis offers addi­tio­nal solu­ti­ons for iden­ti­ty verification.

Post-trade sett­le­ment: Banks can redu­ce their pro­ces­sing cos­ts, increase tran­sac­tion speed and redu­ce tech­ni­cal over­heads using block­chain. It also redu­ces sett­le­ment times, gua­ran­tees cer­tain­ty of results, gene­ra­tes fewer mecha­ni­cal errors, and has a lea­ner back-office struc­tu­re. Fur­ther bene­fits include that all part­ners use the same auto­ma­tic tra­ding sys­tem, and the audit requi­re­ments are com­pli­ed with.

The­re are, howe­ver, cer­tain­ly many more pos­si­bi­li­ties that will be ope­ned up as block­chain tech­no­lo­gy develops.

Conclusion: Is blockchain the future?

Block­chain tech­no­lo­gy is alre­a­dy firm­ly estab­lished within the cryptocurrency’s envi­ron­ment. The­re are many block­chain initia­ti­ves in the ban­king sec­tor, but adopted solu­ti­ons will be deve­lo­ped step-by-step. Mar­ket demand and inte­rest in block­chain-based solu­ti­ons is incre­asing signi­fi­cant­ly, while actu­al use cases are still being deve­lo­ped. Fur­ther, the toke­niza­ti­on of digi­tal assets is still in its infan­cy, with many pro­mi­sing deve­lo­p­ments sure to come.
Banks, wealth mana­gers and insu­r­ers should all now look to the oppor­tu­ni­ties offe­red by block­chain tech­no­lo­gies and digi­tal assets if they want to keep up with gro­wing demand as cus­to­mer inte­rest increa­ses. If a bank is not pre­pared, they could risk pas­sing com­pe­ti­ti­ve dis­ad­van­ta­ges on to both new and exis­ting cus­to­mers.
The­re is a big chan­ce that block­chain tech­no­lo­gy and its appli­ca­ti­ons will help shape the future of ban­king; the digi­tal euro is also likely ano­ther dri­ving force in this deve­lo­p­ment. Digi­tal assets and DeFi appli­ca­ti­ons will pro­found­ly chan­ge the face of the finan­cial ser­vices indus­try – at the same time, howe­ver, com­ple­te­ly new reve­nue oppor­tu­ni­ties for insti­tu­ti­ons will be ope­ned up.

Ger­ma­ny is a pio­neer in deve­lo­ping the cryp­to eco­sys­tem. Cryp­to case law is pro­gres­si­ve and careful­ly regu­la­ted by the fede­ral govern­ment. With the BMF let­ter of May 10th, 2022, tax aut­ho­ri­ties were given a legal­ly secu­re and prac­ti­ca­ble gui­de to the inco­me-tax tre­at­ment of cryp­to assets. Smooth and intel­li­gent ser­vices from the ban­king world will ine­vi­ta­b­ly be nee­ded in the near future to unleash and con­trol the dis­rup­ti­ve poten­ti­al of block­chain technology.

We have been sup­port­ing our cus­to­mers in the finan­cial sce­ne in their pro­ce­du­ral, tech­no­lo­gi­cal and regu­la­to­ry trans­for­ma­ti­ons for more than two deca­des. Our con­sul­tants have many years of expe­ri­ence, espe­ci­al­ly whe­re the pro­fes­sio­nal and the tech­ni­cal inter­face, and we are very fami­li­ar with cut­ting-edge tech­no­lo­gies and their emer­gent effects. We also reco­gni­ze the value of your own skills and expe­ri­ence, and your know­ledge and input are always important fac­tors in our work.

Take advan­ta­ge of our exten­si­ve expe­ri­ence and talk to us:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de

ITIL Zauberkessel

ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?

Veröffentlicht am von

Aus der Sicht des IT-Manage­ments bringt ITIL eine not­wen­di­ge Zutat mit, die für ein „Zau­ber­mit­tel“ uner­läss­lich ist – das not­wen­di­ge Alter mit einem ent­spre­chen­den Rei­fe­grad. Hier­bei darf jedoch nicht ver­kannt wer­den, dass ITIL von sei­nem Ursprung Ende der 80er Jah­re bis heu­te eine erheb­li­che Wei­ter­ent­wick­lung durch­lau­fen hat.

Ursprüng­lich bestand die Neu­ar­tig­keit von ITIL in der IT dar­in, auf die Erfor­der­nis­se der Kun­den aus­ge­rich­tet zu sein. Effek­ti­ve Pro­zes­se und klar zuge­ord­ne­te Ver­ant­wort­lich­kei­ten stan­den im Fokus. Ers­te Wei­ter­ent­wick­lun­gen ergänz­ten wei­te­re Pro­zes­se, bis in einer grund­le­gen­den Über­ar­bei­tung der Ser­vice Life­Cy­cle in den Mit­tel­punkt rück­te. Hier­bei wur­den wei­te­re Pro­zes­se ergänzt und die Ziel­set­zung von ITIL der­ge­stalt geschärft, dass eine mess­ba­re, posi­ti­ve Wert­schöp­fung für den Kun­den im Fokus steht und die­se einen rele­van­ten Mehr­wert für das Unter­neh­men schafft. Schwer­punk­te der wei­te­ren Ent­wick­lungs­schrit­te zur aktu­el­len Ver­si­on ITIL 4 waren neue Tech­no­lo­gien und das Ser­vice-Manage­ment, die ein­ge­bun­den wur­den in das ITIL Ser­vice Value Sys­tem (SVS).

Neben dem SVS erfolg­te im Kon­text des Ser­vice-Manage­ments die Über­füh­rung der bestehen­den 4 Ps von ITIL (Perso­nen, Produk­te, Part­ner und Prozes­se) in ein Modell mit vier Dimen­sio­nen, die über die ursprüng­li­chen 4 Ps hinausgehen:

  • Orga­ni­sa­tio­nen und Menschen
  • Infor­ma­tio­nen und Technologie
  • Part­ner und Lieferanten
  • Wert­strö­me und Prozesse

Auf die­se Wei­se hat ITIL in den ver­gan­ge­nen 35 Jah­ren sei­nen Best-Prac­ti­ce-Cha­rak­ter stets an den aktu­el­len Ver­än­de­run­gen und Gege­ben­hei­ten des IT-Manage­ments ausgerichtet.

Die Ver­än­de­rung der IT in Ban­ken und die Wei­ter­ent­wick­lung der Best Prac­ti­ces von ITIL ver­lie­fen zeit­lich und inhalt­lich viel­fach im Gleich­klang. Für die Ban­ken-IT war die­se gemein­sa­me Ent­wick­lung essen­zi­ell. Ver­ant­wort­lich dafür sind vor Allem vier Trends:

  • Ohne IT sind Bank­dienst­leis­tun­gen kaum noch zu erbringen
  • Die tech­ni­sche Kom­ple­xi­tät und Hete­ro­ge­ni­tät sind erheb­lich angewachsen
  • IT-Pro­zes­se sind durch ein unter­neh­mens­über­grei­fen­des Wert­schöp­fungs­netz­werk gekennzeichnet
  • Der Bedeu­tung ent­spre­chend sind die regu­la­to­ri­schen Anfor­de­run­gen an die Bank-IT erheb­lich gestiegen

Der ers­te Punkt ist ein­fach nach­zu­voll­zie­hen. Die wei­te­ren drei Punk­te sind stark mit­ein­an­der ver­zahnt. So führ­te die wach­sen­de Kom­ple­xi­tät und Hete­ro­ge­ni­tät der Bank-IT viel­fach dazu, dass wesent­li­che Tei­le an spe­zia­li­sier­te Dienst­leis­tungs­part­ner aus­ge­glie­dert wur­den. Bei­spiel­haft sei­en hier der Desk­top Ser­vice, der Betrieb von Kern­bank­sys­te­men, die Bereit­stel­lung von Cloud-Ser­vices sowie spe­zi­fi­sche IT-Secu­ri­ty-Leis­tun­gen genannt.

Die Steue­rung des sich dar­aus erge­ben­den Wert­schöp­fungs­netz­wer­kes aus inter­nen und extern erbrach­ten Leis­tun­gen und Pro­zess­an­tei­len ist aktu­ell domi­nie­ren­de Kern­auf­ga­be der IT Deut­scher Ban­ken. Auch den für Regu­la­to­rik von Ban­ken zustän­di­gen Instan­zen in Euro­pa und Deutsch­land (z. B. EBA, EZB, Bun­des­bank) ist die­ses bewusst. In der Kon­se­quenz wer­den die regu­la­to­ri­schen Anfor­de­run­gen an die IT in Ban­ken in immer kür­ze­ren Abstän­den in Brei­te und Tie­fe aus­ge­baut. Für die Aus­la­ge­rung von IT-Leis­tun­gen der Ban­ken an Dienst­leis­tungs­part­ner gel­ten gleich eine Viel­zahl, sich in Tei­len über­schnei­den­de, regu­la­to­ri­sche Anfor­de­run­gen. Nach­ste­hen­de Dar­stel­lung ver­deut­licht dieses:

© 2023 bankon

Die Her­aus­for­de­rung für die Bank-IT ist damit defi­niert. Das Wert­schöp­fungs­netz­werk der IT-Pro­zes­se ist effi­zi­ent und kon­form zu regu­la­to­ri­schen Anfor­de­run­gen zu gestal­ten und zu steu­ern. Eine aus­schließ­lich pro­vi­der­ori­en­tier­te Struk­tu­rie­rung ist hier­für nicht ziel­füh­rend. Zum einen ent­spricht die­se mehr­heit­lich nicht der aktu­el­len Situa­ti­on des Aus­la­ge­rungs­port­fo­li­os der Ban­ken, zum ande­ren gestat­tet sie nur wenig Fle­xi­bi­li­tät für eine pro­vi­der­un­ab­hän­gi­ge Erwei­te­rung des Serviceportfolios.

Es wird deut­lich, dass hier nur ein ganz­heit­li­cher Ansatz mit­tels mit End-to-End-Aus­rich­tung zur Lösung bei­tra­gen kann. Wel­che Rol­le kann ITIL hier­bei spie­len, und wel­che Lösun­gen kann ITIL anbieten?

Durch die sys­te­ma­ti­sche Wei­ter­ent­wick­lung unter­stützt ITIL spe­zi­fi­sche IT-Manage­ment-Pro­zes­se, bie­tet aber auch pro­zess- und ser­vice­über­grei­fen­de Steue­rungs­an­sät­ze über das gesam­te IT-Uni­ver­sum der Bank. Die­ses schließt auch Leis­tun­gen ein, die durch Drit­te erbracht werden.

Mit­tels ITIL kann die erfor­der­li­che Trans­pa­renz geschaf­fen wer­den, die der Bank eine regu­la­to­rik­kon­for­me und effi­zi­en­te Steue­rung der Gesamt-IT ermög­licht. Unter­stüt­zung bie­tet hier­bei die Manage­ment-Metho­dik des Ser­vice Inte­gra­ti­on and Manage­ment, kurz SIAM.

© 2023 bankon

SIAM ist nicht Inhalt von ITIL, son­dern ist aus­ge­legt auf die Steue­rung mul­ti­pler Pro­vi­der­struk­tu­ren, nutzt hier­zu aber die Kon­zep­te zum IT Ser­vice Manage­ment aus ITIL. Die Struk­tu­ren eines SIAM füh­ren in einem Mul­ti­pro­vi­der­ma­nage­ment die Geschäfts­pro­zes­se und die für ihre Leis­tungs­er­brin­gung erfor­der­li­chen IT-Ser­vices zusam­men. Sei­tens der IT bereit­ge­stell­te Ser­vices umfas­sen hier­bei pro­vi­der­über­grei­fend sowohl Infra­struk­tur­kom­po­nen­ten, Netz­werk­kom­mu­ni­ka­ti­on, Daten­hal­tung, IT-Anwen­dun­gen/Ap­pli­ka­tio­nen als auch deren Bereit­stel­lung am Arbeits­platz. Ent­stan­den ist SIAM im Jahr 2012 mit Erschei­nen des XGOV Stra­te­gic SIAM refe­rence set der bri­ti­schen Regie­rung und basiert auf einem Best Prac­ti­ce-ori­en­tier­ten Vorgehen.

Wel­che Gestal­tungs­fel­der für eine Ser­vice­inte­gra­ti­on und ein Ser­vice­ma­nage­ment erge­ben sich dar­aus für die Bank, die im Rah­men der Ein­füh­rung zu berück­sich­ti­gen sind? Die fol­gen­de Abbil­dung skiz­ziert die aus unse­rer Sicht rele­van­ten Felder:

© 2023 bankon

I. Strategie

Das pro­vi­der­über­grei­fen­de, inte­gra­ti­ve Manage­ment der IT-Ser­vices ist not­wen­di­ger­wei­se Bestand­teil der IT Stra­te­gie sowie der dar­un­ter­lie­gen­den Aus­prä­gun­gen z. B. einer Sourcing- oder Cloud Stra­te­gie. Die­ses ist auf­grund der Aus­rich­tung der IT-Ser­vices auf die Geschäfts­pro­zes­se erfor­der­lich, da die IT-Stra­te­gie die Ver­knüp­fung zur Geschäfts­stra­te­gie bildet.

II. Organisation

Wesent­li­cher Fokus ist hier das Sco­ping und damit die Iden­ti­fi­ka­ti­on der rele­van­ten IT-Ser­vices. Hier­bei sind Busi­ness- und Infra­struk­tur­per­spek­ti­ve mit­ein­an­der zu ver­bin­den. Die orga­ni­sa­to­ri­sche Ver­an­ke­rung des inte­grier­ten Mul­ti­pro­vi­der­ma­nage­ments geschieht über spe­zi­fi­sche Rol­len, die mit dem bestehen­den Rol­len­mo­dell zu ver­knüp­fen sind. Mit die­sen Rol­len ein­her­ge­hen­de Auf­ga­ben wer­den ver­ant­wort­li­chen Per­so­nen zuge­ord­net. Die­ses Vor­ge­hen ver­bin­det Rol­len, Ver­ant­wort­lich­kei­ten und Auf­ga­ben in einer Matrix, wel­che wesent­li­che Grund­la­ge für die quan­ti­ta­ti­ve Per­so­nal­pla­nung ist.

III. Prozesse

Wesent­li­ches Ele­ment ist die pro­vi­der­über­grei­fen­de Orches­trie­rung der IT-Ser­vice­pro­zes­se im Sin­ne eines End-to-End-Gedan­kens. Sie ist Vor­aus­set­zung einer Unter­stüt­zung die­ser Pro­zes­se mit­tels eta­blier­ter IT-Manage­ment­pro­zes­se wie Incident‑, Pro­blem- oder Chan­ge-Manage­ment. Ent­spre­chend der Kri­ti­k­ali­tät der Pro­zes­se sind Report­ing- und Kon­troll­ver­fah­ren zu eta­blie­ren, die durch geeig­ne­te KPIs unter­legt wer­den müssen.

IV. Tools

Erfolgs­kri­tisch ist in ers­ter Linie die Ver­füg­bar­keit der für die IT-Ser­vice­pro­zes­se End-to-End erfor­der­li­chen Infor­ma­tio­nen. Die­se müs­sen an einer zen­tra­len Stel­le gebün­delt sein, an die jeder Pro­vi­der sei­ne Daten zulie­fert und aktu­ell hält. Die­ser Daten­pool wird im Rah­men der IT-Manage­ment­pro­zes­se genutzt und ist Basis für eine work­flow­or­i­en­tier­te Pro­zess­be­ar­bei­tung unter Ein­bin­dung der Pro­vi­der. Hier­für bie­tet es sich an, eine markt­gän­gi­ge Platt­form zu ver­wen­den, die sowohl die Daten­hal­tung als auch die pro­zes­sua­len Work­flows unter­stützt. Offe­ne Stan­dard­schnitt­stel­len ermög­li­chen die fle­xi­ble Ein­bin­dung wei­te­rer Pro­vi­der und Assets. 

V. Verträge

Idea­ler­wei­se sind die Ver­trags­in­for­ma­tio­nen in der obi­gen Platt­form hin­ter­legt und ste­hen als Infor­ma­ti­on zur Ver­fü­gung. Neben dem Infor­ma­ti­ons­cha­rak­ter ist jedoch vor allem sicher­zu­stel­len, dass die für ein Mul­ti­pro­vi­der­ma­nage­ment erfor­der­li­chen tech­ni­schen, pro­zes­sua­len und regu­la­to­ri­schen Sach­ver­hal­te Inhalt der Ver­trags­wer­ke von Bank und Pro­vi­der sind. Beson­ders sei an die­ser Stel­le dar­auf hin­ge­wie­sen, dass ein fle­xi­bles Mul­ti­pro­vi­der­ma­nage­ment nicht nur ein Onboar­ding von Leis­tun­gen des Pro­vi­ders erfor­dert, son­dern auch die Häu­fig­keit eines Off­boar­ding erhöht ist. Dafür erfor­der­li­che Exit-Ver­ein­ba­run­gen sind aus die­sem Grund eine Kom­po­nen­te, die ver­trag­lich gere­gelt sein muss.

Bie­tet ITIL nun das Wun­der­mit­tel für ein regu­la­to­rik­kon­for­mes Pro­vi­der­ma­nage­ment, gege­be­nen­falls unter Hin­zu­fü­gen einer „Pri­se“ SIAM?

Obi­ge Aus­füh­run­gen machen deut­lich: Der Zau­ber­trank für ein regu­la­to­rik­kon­for­mes Mul­ti­pro­vi­der­ma­nage­ment ist ITIL nicht. Aber ITIL ent­hält die dafür erfor­der­li­chen Zuta­ten. Die­se sind in der IT der Bank unter Zusam­men­wir­ken mit wei­te­ren rele­van­ten Stake­hol­dern wie z. B. Ein­kauf oder Com­pli­ance zusam­men­zu­stel­len und mit erfor­der­li­chen Tools zu eta­blie­ren. ITIL bil­det eine Art Rezept­buch und wird damit sei­nem Best-Prac­ti­ce-Ansatz gerecht. Die Bank hat aber ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on aus IT-Kom­ple­xi­tät, End-to-End-Rei­fe­grad der IT-Pro­zes­se, Aus­ge­stal­tung des IT-Aus­la­ge­rungs­port­fo­li­os sowie regu­la­to­ri­schem Sta­tus quo das Mul­ti­pro­vi­der­ma­nage­ment aus­zu­ge­stal­ten. Hier unter­stützt der Manage­ment­an­satz SIAM und bie­tet Hil­fe­stel­lung in der bedarfs­ge­rech­ten Kon­zep­ti­on und Etablierung.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Manage­ment (ITIL), Pro­vi­der­ma­nage­ment, IT-Ser­vices sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons- und Pro­vi­der­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Erfah­run­gen aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ergän­zen die­se Pra­xis­er­fah­rung um regu­la­to­ri­sche Kompetenz.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de

DORA – Neue regulatorische Anforderungen für europäische Banken

Veröffentlicht am von

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­m­ent­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­k­ali­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­ence Test­ing (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­k­ali­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bund­ebe­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de

2022-07 Change-Management

Change-Management in (weiterhin) turbulenten Zeiten für Finanzdienstleister

Veröffentlicht am von

Bei Kom­ple­xi­tät und Tem­po sich ändern­der Geschäfts­mo­del­le die Mit­ar­bei­ter nicht verlieren

Der Slo­gan „Miss es oder ver­giss es“, als Direk­ti­ve bekannt aus dem Pro­zess­ma­nage­ment, beschreibt einen Anspruch bzw. eine Her­an­ge­hens­wei­se an eine von vie­len Manage­ment­auf­ga­ben in Unter­neh­men, die einem eher ratio­nal ver­an­lag­ten Mana­ger, und das ist ver­mut­lich wei­ter­hin die Mehr­heit im Markt, nach­voll­zieh­bar und wich­tig erscheint. Die Bedeu­tung von eher qua­li­ta­tiv gear­te­ten Dis­zi­pli­nen, wie die akti­ve Gestal­tung von Ver­än­de­rungs­pro­zes­sen, wird nach wie vor noch eher stief­müt­ter­lich behan­delt, was den ange­streb­ten Pro­jekt­er­folg oft schmä­lert oder sogar ver­hin­dert. Das Chan­ge-Manage­ment zählt heu­te zu einem der wich­tigs­ten The­men in der Finanzbranche.

Gera­de die Ban­ken­welt sieht sich wei­ter­hin einem immensen Druck aus­ge­setzt, um digi­ta­len Inno­va­tio­nen, geän­der­tem Kun­den­ver­hal­ten, neu­en Wett­be­wer­bern und Ver­triebs­we­gen, über­hol­ten tech­ni­schen Archi­tek­tu­ren, dem Umgang mit Big Data, Regu­la­to­ri­k­an­for­de­run­gen und einem unver­än­der­ten Kos­ten­druck adäquat zu begeg­nen. Die Anzahl und Prio­ri­sie­rung der (meis­tens) zahl­reich par­al­lel lau­fen­den Pro­jekt­vor­ha­ben und neu­er Geschäfts­mo­del­le über­for­dert oft­mals die Beleg­schaft und senkt die Pro­duk­ti­vi­tät. Zudem sorgt der Ein­zug von agi­len Metho­den im Pro­jekt­ma­nage­ment für eine wei­te­re Her­aus­for­de­rung an die Belegschaft.

Vor die­sem Hin­ter­grund kommt einem pro­ak­tiv gesteu­er­ten Chan­ge-Manage­ment in der Ban­ken­welt auch wei­ter­hin bzw. gera­de jetzt eine zen­tra­le Bedeu­tung zu und soll­te Teil eines jeden Trans­for­ma­ti­ons­pro­zes­ses sein. Die Fra­ge „Und wer küm­mert sich um das Chan­ge-Manage­ment?“ beim Set­up eines Trans­for­ma­ti­ons­vor­ha­bens soll­te noch viel öfter gestellt wer­den und vor allem nicht mehr unbe­ant­wor­tet bleiben.

Unter­neh­mens­be­zo­ge­ne Trei­ber als Chal­len­ger im Change-Management

Mit dem Ein­zug der Digi­ta­li­sie­rung ver­än­dern sich die Anfor­de­run­gen an die Kom­pe­ten­zen der Mit­ar­bei­ter. Dies bedeu­tet zum einen Skil­lauf­bau und Ände­rungs­be­reit­schaft in Zei­ten des Fach­kräf­te­man­gels, zum ande­ren auch das Frei­set­zen von über­hol­ten Pro­zes­sen und Funk­tio­nen, ohne dabei im Über­gang Schiff­bruch zu erleiden.

Nicht zuletzt die Pan­de­mie unter Nut­zung des tech­nisch Mög­li­chen sorgt für neue Ansät­ze bei den Arbeits­mo­del­len. Home­of­fice und mobi­le Plug-In-Arbeits­plät­ze gehö­ren ver­mehrt zum All­tag einer jeden Orga­ni­sa­ti­on, wobei die­ser Wan­del neben den erfor­der­li­chen Betriebs­ver­ein­ba­run­gen auch eine Fül­le sozia­ler Ver­än­de­rungs­aspek­te mit sich bringt. Ver­än­de­rungs­be­reit­schaft und ‑fähig­keit, sowohl beim Ein­zel­nen als auch mit Blick auf die gesam­te Orga­ni­sa­ti­on, sind zen­tra­le Pfei­ler der Kul­tur­ver­än­de­rung, die es zu stär­ken und zu beglei­ten gilt. Dies betrifft z. B. neue Sys­tem­ein­füh­run­gen, Cloud-Ver­la­ge­run­gen, die Digi­ta­li­sie­rung der Kun­den­be­treu­ung oder auch Inno­va­tio­nen der inter­nen Kommunikation.

Die Schaf­fung des Bewusst­seins für die not­wen­di­ge Beglei­tung und Steue­rung von Chan­ge-Pro­zes­sen ist ein wesent­li­cher Bau­stein für den nach­hal­ti­gen Unternehmenserfolg.

Vier wesent­li­che Erfolgs­fak­to­ren wei­sen den Weg

Vier Fak­to­ren bestim­men gemein­hin wesent­lich den Erfolg in Ver­än­de­rungs­pro­zes­sen. Neben einer kla­ren und trans­pa­ren­ten Kom­mu­ni­ka­ti­on, einer geschlos­se­nen, befä­hig­ten und über­zeug­ten Füh­rungs­mann­schaft zur Anlei­tung des Chan­ge-Pro­zes­ses sowie einer umfas­sen­den und ver­ständ­li­chen Ziel­de­fi­ni­ti­on geht es vor allem auch um die adäqua­te Ein­bin­dung der Mit­ar­bei­ter. Die­se benö­ti­gen aus­rei­chend Raum und Mög­lich­kei­ten, sich per­sön­lich ein­zu­brin­gen und die Ver­än­de­rungs­pro­zes­se mit­zu­ge­stal­ten. Die­se Inte­gra­ti­on schafft Ver­ständ­nis und Akzep­tanz und stei­gert die Moti­va­ti­on auf allen Hierarchieebenen.

Das fol­gen­de Schau­bild zeigt die Trei­ber und wesent­li­che Struk­tur­kom­po­nen­ten eines erfolg­rei­chen Change-Managements:

2022-07 Change-Management MJH

Die Risi­ken nicht unterschätzen

Ver­än­de­rungs­ma­nage­ment ist ein dyna­mi­scher und fort­lau­fen­der Pro­zess, der immer wie­der neu­en Her­aus­for­de­run­gen unter­liegt. Die Ent­wick­lung von Chan­ge-Zie­len bestimmt die dar­aus abzu­lei­ten­den Berei­che und Maß­nah­men für den erfolg­rei­chen Chan­ge-Pro­zess. Nur hier­von über­zeug­te und gegen­über Stake­hol­dern und Mit­ar­bei­ter über­zeu­gen­de Füh­rungs­kräf­te schaf­fen den Wan­del und den erfolg­rei­chen Umgang mit auf­tre­ten­den Widerständen.

Ängs­ten, Unsi­cher­hei­ten und Über­for­de­run­gen soll­te mit Trans­pa­renz und offe­ner Kom­mu­ni­ka­ti­on begeg­net wer­den. Die Ein­be­zie­hung von Mit­ar­bei­tern in Ent­schei­dun­gen, Erfol­ge und Miss­erfol­ge erhöht das Ver­trau­en in die Ver­ant­wort­li­chen und stei­gert den Umsetzungserfolg.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung in Trans­for­ma­ti­ons-Groß­pro­jek­ten sichert pra­xis­er­prob­tes Wis­sen. Dabei spielt der bewuss­te Ein­satz der Bau­stei­ne eines erfolg­rei­chen Chan­ge-Manage­ments als ein Erfolgs­fak­tor unter vie­len immer eine tra­gen­de Rolle.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de

Cloudfeld

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Veröffentlicht am von

Die rich­ti­ge Cloud Stra­te­gie als Erfolgsbasis

Die hohe Geschwin­dig­keit des Wan­dels setzt Ban­ken aller Grö­ßen­ord­nun­gen unter Druck, die Agi­li­tät zu erhö­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben und Inno­va­tio­nen zu beschleu­ni­gen. Auf­grund die­ser Ent­wick­lun­gen stellt sich nicht mehr die Fra­ge, “ob“, son­dern „wann“ und in wel­chem Umfang die Cloud­nut­zung für ein Finanz­in­sti­tut ein ech­tes The­ma sein wird.

Ein­her­ge­hend mit der Cloud­nut­zung wird u. a. eine Ver­rin­ge­rung von Kos­ten, eine stets moder­ne Infra­struk­tur und die Ein­hal­tung von stren­gen Sicherheits‑, Com­pli­ance– sowie regu­la­to­ri­schen Anfor­de­run­gen in Aus­sicht gestellt. Selbst den Zweif­lern ist nun klar, dass eine „digi­ta­li­sier­te Bank“ eine Men­ge zu bie­ten hat. Inno­va­tio­nen ermög­li­chen immer mehr neue Pro­duk­te, Pro­zes­se oder neue bzw. erwei­ter­te Geschäfts­mo­del­le. Inno­va­ti­ons­zy­klen wer­den kür­zer und offe­ner. Zudem wer­den die Daten zusam­men mit der IT-Infra­struk­tur immer mehr zu einem Innovationstreiber.

Wie geht man ein der­ar­ti­ges Vor­ha­ben rich­tig an, wel­che Ent­schei­dun­gen und Vor­be­rei­tun­gen sind not­wen­dig und was sind die kri­ti­schen Erfolgsfaktoren?

Grund­sätz­lich braucht ein der­ar­ti­ges Vor­ha­ben zu Beginn die Bereit­schaft, sich auf Ver­än­de­run­gen ein­zu­las­sen. Es han­delt sich dabei erst­mal um ein Vor­ha­ben, das mit kon­kre­ten fach­lich-funk­tio­na­len und pro­zes­sua­len Anfor­de­run­gen unter­legt wer­den soll­te. Im Grun­de geht es um die Defi­ni­ti­on einer indi­vi­du­ell aus­zu­ar­bei­ten­den Cloud Stra­te­gie. Ein Me-too-Ansatz, d. h. die Imi­ta­ti­on bereits defi­nier­ter Stra­te­gien ist nicht zwangs­läu­fig erfolgreich.

Die fol­gen­de Abbil­dung gibt einen ers­ten Über­blick, wel­che Stake­hol­der Anfor­de­run­gen an die Cloud­nut­zung defi­nie­ren, wel­cher Nut­zen ermög­licht wer­den kann und wel­che Ange­bo­te grund­sätz­lich in Fra­ge kommen:

Abbil­dung 1: Bei der Cloud Stra­te­gie sind unter­schied­li­che „Anfor­de­rer“ mit einzubeziehen

Ins­ge­samt han­delt es im Rah­men der Cloud Stra­te­gie um eine kon­struk­ti­ve Kon­ver­sa­ti­on, in der es um pro­zes­sua­le, funk­tio­na­le und archi­tek­to­ni­sche Ent­schei­dun­gen geht. Die Basis des geschäft­li­chen Erfolgs bil­den mit hoher Wahr­schein­lich­keit archi­tek­to­nisch gute Sys­te­me mit dem rich­tig defi­nier­ten Ser­vice­an­ge­bot. Die Clou­dan­bie­ter bie­ten ent­spre­chen­de Frame­works an, um sich mit den rele­van­ten grund­le­gen­den Fra­gen aus­ein­an­der­zu­set­zen. Ein gutes Ver­ständ­nis der nutz­ba­ren IT-Ser­vices eines Clou­dan­bie­ters sind für eine Erst­ein­schät­zung und deren Rea­li­sier­bar­keit hilfreich.

Die The­men einer Cloud Stra­te­gie bekom­men je Insti­tut sicher­lich eine unter­schied­li­che Gewich­tung. Die fol­gen­de Auf­stel­lung kann jedoch für eine ers­te Ein­ord­nung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

  • Im ers­ten Schritt soll­te es dar­um gehen, die in Fra­ge kom­men­den Cloud­mo­del­le zu ver­ste­hen und sei­ne Anwen­dungs­land­schaft ent­spre­chend zu clus­tern, wel­che Tei­le der IT in die Cloud ver­la­gert wer­den kön­nen und wel­ches Modell in Fra­ge kommt.
  • Die Unter­schei­dung nach Pri­vat Cloud, Public Cloud, Hybrid Cloud usw. ist hier­bei zu bewer­ten. Dabei soll­ten die unter­schied­li­chen Vor­tei­le der Model­le abge­wo­gen werden.
  • Grund­le­gen­de und wesent­li­che Cha­rak­te­ris­ti­ka der Bereit­stel­lung und der Bedie­nung sind näher zu betrachten.
  • Defi­ni­ti­on der Cloud­bau­stei­ne sowie der grund­le­gen­den glo­ba­len Infrastruktur
  • Iden­ti­fi­zie­ren von Quel­len für Doku­men­ta­ti­on oder tech­ni­sche Unter­stüt­zung (zum Bei­spiel White­pa­per oder Sup­port-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

  • Im zwei­ten Schritt wer­den Anfor­de­run­gen defi­niert, die sich an die Bereit­stel­lung und den Betrieb der Infra­struk­tur in der Cloud ergeben.
  • Es sind Mög­lich­kei­ten zu prü­fen, wel­che Preis­mo­del­le und Moni­to­ring-Ser­vices ange­bo­ten wer­den. Es sind Ser­vices zu wäh­len, die:
  • die Ent­wick­lung unter­stüt­zen und Workloads effek­tiv ausführen
  • Ein­bli­cke in die Betriebs­ab­läu­fe gewäh­ren und
  • den geschäft­li­chen Mehr­wert unter­stüt­zen­de Pro­zes­se und Ver­fah­ren fort­lau­fend verbessern.
  • Zu betrach­ten sind eben­falls Ser­vices für die Nut­zung tech­ni­scher Kom­po­nen­ten der Infra­struk­tur (Ser­ver, Daten­ban­ken, Spei­cher, Netz­werk usw.). Hier­bei geht um die Iden­ti­fi­ka­ti­on von Ser­vices, die den tech­ni­schen Betrieb, die Last­ver­tei­lung, Ska­lie­rung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

  • Bei den Prin­zi­pi­en zur Sicher­heit wird beschrie­ben, wie Daten, Sys­te­me und Kom­po­nen­ten geschützt wer­den können.
  • Es geht hier dar­um, wie Cloud-Tech­no­lo­gien genutzt wer­den kön­nen, um die Sicher­heits­la­ge zu ver­bes­sern, bzw. um regu­la­to­ri­sche Anfor­de­run­gen mit Ser­vices in der Cloud abzu­de­cken. Die klas­si­schen The­men sind das Benut­zer­ma­nage­ment für die Orga­ni­sa­ti­on, Authen­ti­fi­zie­rungs­ver­fah­ren, Iden­ti­fi­zie­rungs- und Zugriffs­ver­fah­ren, Ein­satz auto­ma­ti­sier­ter Sicher­heits­ver­fah­ren, Schutz der Daten sowie die Tren­nung von Daten und Nutzern.
  • Zu defi­nie­ren sind Haupt­aspek­te für Sicher­heit und Com­pli­ance der Cloud-Platt­form und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

  • Durch die Vor­ga­be von KPIs oder beim Über­schrei­ten von Schwell­wer­ten kön­nen auto­ma­ti­sier­te Reak­tio­nen aus­ge­löst wer­den. Hier­bei geht es nicht nur um tech­ni­sche KPIs, son­dern auch um Kenn­zah­len von Geschäftsabläufen.
  • Eine „tem­po­rä­re“ Test­um­ge­bung kann effi­zi­ent und fle­xi­bel kon­fi­gu­riert wer­den, um fest­zu­stel­len, wel­che Ereig­nis­se zu Feh­lern füh­ren. Kos­ten fal­len dann ledig­lich für die Nut­zung der Test­um­ge­bung an.
  • Die Mes­sung von Kapa­zi­täts­aus­las­tun­gen, Ska­lie­run­gen, Elas­ti­zi­tä­ten sowie die Nut­zung steu­ern­der Ser­vices ver­ein­facht das tech­ni­sche Design erheblich. 
  • Zusätz­li­che Ser­vices, wie auto­ma­ti­sier­te Benach­rich­ti­gun­gen, ergän­zen das Ser­vice­an­ge­bot. Ser­vice­kon­tin­gen­te und die Netz­werk­to­po­lo­gie müs­sen für die zu erbrin­gen­den Geschäfts­ab­läu­fe ange­mes­sen defi­niert sein. Je nach Preis­mo­dell kön­nen durch geziel­te Buchung von Kapa­zi­tä­ten oder Volu­mi­na Kos­ten deut­lich redu­ziert werden.

5. Prüfung Kostenmanagement und Preismodelle

  • Im Rah­men der ange­bo­te­nen Preis­mo­del­le geht es um den kos­ten­op­ti­mier­ten Betrieb der defi­nier­ten Infra­struk­tur. Für die Opti­mie­rung der Kos­ten wer­den im Rah­men der Kon­to­ver­wal­tung und im Preis­ma­nage­ment von den Clou­dan­bie­tern Ser­vices zur Redu­zie­rung der Kos­ten angeboten.

6. Einleitung des Transformationsprozesses

  • Durch den Umzug in die Cloud erge­ben sich struk­tu­rel­le, pro­zes­sua­le, orga­ni­sa­to­ri­sche sowie wirt­schaft­li­che Veränderungen.
  • Ver­ant­wor­tun­gen und Zustän­dig­kei­ten ver­la­gern sich, Anfor­de­rungs­pro­fi­le ändern sich. So könn­te bei­spiel­wei­se ein IT-Mit­ar­bei­ter statt einer ope­ra­ti­ven Ver­ant­wor­tung für den Betrieb einer Platt­form in die Rol­le eines Dienst­leis­ter­steue­rers für Platt­for­men wechseln.
  • Ver­än­de­run­gen sind bereits im Rah­men der Cloud Stra­te­gie auf Pro­zess­ebe­ne zu iden­ti­fi­zie­ren und deren Umsetz­bar­keit in der Cloud zu verifizieren.
  • Da sich durch die Cloud­nut­zung v. a. auch das Risi­ko­pro­fil des Insti­tuts ver­än­dert, sind in der fol­gen­den Abbil­dung Aus­zü­ge wesent­li­cher Risi­ken auf­ge­führt, die von Ände­run­gen betrof­fen sind.
Abbil­dung 2: Ver­än­der­tes Risi­ko­pro­fil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Posi­tio­nie­rung durch eine indi­vi­du­ell defi­nier­te Cloud Strategie.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen Themenumfeld.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de