Schlagwort: Dienstleistung

DORA – Neue regulatorische Anforderungen für europäische Banken

Ziel­set­zung und Inhalt von DORA:

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) ist der euro­päi­sche Ver­ord­nungs­ent­wurf zur digi­ta­len ope­ra­tio­na­len Resi­li­enz im Finanz­sek­tor. Es ist einer von vier regu­la­to­ri­schen Bau­stei­nen zu des­sen Digi­ta­li­sie­rung. 2020 wur­de DORA von der Euro­päi­schen Kom­mis­si­on vor­ge­legt. Das Inkraft­tre­ten der Ver­ord­nung ist um den Jah­res­wech­sel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digi­ta­le Betriebs­sta­bi­li­tät als Fähig­keit von Finanz­un­ter­neh­men, IT-Sys­te­me auf­zu­bau­en, deren Betrieb sicher­zu­stel­len und zu über­prü­fen. Ein­ge­setz­te Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien dür­fen nicht durch betrieb­li­che Stö­run­gen, wie z. B. tech­ni­sche Aus­fäl­le oder Cyber­an­grif­fe, die Erbrin­gung von Finanz­dienst­leis­tun­gen gefähr­den. Die­se Anfor­de­rung schließt auch die direkt oder indi­rekt von Dritt­an­bie­tern genutz­ten Diens­te ein. Finanz­un­ter­neh­men haben, ins­be­son­de­re auch im Zusam­men­wir­ken mit ihren Dienst­ge­bern, die erfor­der­li­chen Vor­keh­run­gen zu tref­fen, um auf alle denk­ba­ren Beein­träch­ti­gun­gen und Bedro­hun­gen in der IT vor­be­rei­tet zu sein und Zwi­schen­fäl­le zu überstehen.

Mit DORA ver­folgt die euro­päi­sche Uni­on drei Kernziele:

  • Ver­ein­heit­li­chung bestehen­der natio­na­ler und euro­päi­scher Stan­dards und Vorgaben
  • Gewähr­leis­tung, dass alle erfor­der­li­chen Maß­nah­men zur Absi­che­rung gegen Cyber­ri­si­ken und ‑angrif­fe getrof­fen werden
  • Schaf­fung eines Rechts­rah­mens zur direk­ten Über­wa­chung von IT-Dritt­an­bie­tern durch die Auf­sichts­be­hör­den, sobald die­se für Finanz­un­ter­neh­men tätig sind

Inhalt­lich umfasst DORA sechs Schwerpunkte

  1. IKT-Risi­ko­ma­nage­ment – Finanz­un­ter­neh­men sol­len über einen „geeig­ne­ten Rah­men“ an Risi­ko­ma­nage­m­ent­werk­zeu­gen für ihre Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT), aus­rei­chend Kapa­zi­tä­ten und Res­sour­cen ver­fü­gen. Die­se sind zu doku­men­tie­ren sowie deren Akti­vi­tä­ten zu pro­to­kol­lie­ren, um den Auf­sichts­be­hör­den dar­über zu berich­ten. Dafür muss im Unter­neh­men eine eige­ne ver­ant­wort­li­che Stel­le ein­ge­rich­tet sein.
  2. Bericht­erstat­tung – Die durch­ge­führ­ten Tests sind zu pro­to­kol­lie­ren. Die Bericht­erstat­tung hat bereits vor­zu­se­hen, dass mög­li­che Vor­fäl­le bzw. Stö­run­gen zu klas­si­fi­zie­ren und zu clus­tern sind (wie vie­le Betrof­fe­ne, in wel­chem Gebiet, wel­che Daten betrof­fen, etc.). Für die Durch­füh­rung der Doku­men­ta­ti­on und Bericht­erstat­tung sol­len Stan­dards vor­ge­ge­ben werden.
  3. Rege­lun­gen für Tests – In regel­mä­ßi­gen Abstän­den – min­des­tens ein­mal pro Jahr – müs­sen die Sys­te­me einem Test unter­zo­gen wer­den. Grund­la­ge sind die Regel­wer­ke der Bank. Im Rah­men der Tests sind unter­schied­li­che Bedro­hungs­sze­na­ri­en zu berück­sich­ti­gen und anhand von Test­fäl­len zu simu­lie­ren. Auf Grund­la­ge der Erkennt­nis­se aus der Test­durch­füh­rung sind insti­tuts­in­di­vi­du­el­le Prä­ven­ti­ons­maß­nah­men zu spe­zi­fi­zie­ren. Die­se set­zen bereits im Erken­nen von Bedro­hun­gen an und rei­chen bis zu Rege­lun­gen von Backupmaßnahmen.
  4. IKT-Dritt­an­bie­ter – Das Risi­ko­ma­nage­ment von Dienst­leis­tungs­part­nern in der IT steht hier im Mit­tel­punkt. Der Scope geht aber über die ver­trag­li­chen Rege­lun­gen zur Aus­la­ge­rung hin­aus. Eine beson­de­re Rege­lung erfah­ren soge­nann­te kri­ti­sche Dienst­leis­ter, die aus­ge­la­ger­te digi­ta­le Leis­tun­gen für Insti­tu­te erbrin­gen. Abge­zielt wird hier z. B. auf die Ange­bo­te von „Big Techs“ im Kon­text Cloud-Com­pu­ting-Leis­tun­gen. Hier ist für die euro­päi­schen Auf­sichts­or­ga­ne die Berech­ti­gung vor­ge­se­hen, auf Doku­men­te zuzu­grei­fen, Vor-Ort-Prü­fun­gen durch­zu­füh­ren, Emp­feh­lun­gen oder Anwei­sun­gen aus­zu­spre­chen sowie Maß­nah­men zur Abhil­fe zu for­dern. Hier­für ist die Breit­stel­lung eines Mecha­nis­mus vor­ge­se­hen, der die Kri­ti­k­ali­tät von Dienst­leis­tungs­an­bie­tern bestimmt.
  5. Infor­ma­ti­ons­aus­tausch – Rege­lun­gen zum Infor­ma­ti­ons­aus­tausch über Cyber­be­dro­hun­gen inklu­si­ve der Rege­lung, wie Ver­ein­ba­run­gen dazu gestal­tet sein müssen.
  6. Gover­nan­ce - Für die Durch­set­zung des geplan­ten Regel­werks sind die Auf­sichts­be­hör­den vor­ge­se­hen, die bereits jetzt für die Auf­sicht der im Anwen­dungs­be­reich befind­li­chen Unter­neh­men zustän­dig sind.

Zur Errei­chung die­ser sechs Ziel­vor­ga­ben der Auf­sicht ste­hen für die Finanz­in­sti­tu­te fol­gen­de The­men im Fokus der Umset­zung, da sie in Tei­len über die bestehen­den regu­la­to­ri­schen Anfor­de­run­gen herausgehen:

  • Stär­kung der ope­ra­tio­nel­len digi­ta­len Resi­li­enz der Ban­ken mit­tels Vor­ga­ben zum Digi­tal Ope­ra­tio­nal Resi­li­ence Test­ing (inklu­si­ve Penetrationstests)
  • Sicher­stel­lung einer strin­gen­ten und kon­se­quen­ten Über­wa­chung aus­ge­la­ger­ter Dienst­leis­tungs­er­brin­gung in der Infor­ma­ti­ons- und Kommunikationstechnik
  • Aus­wei­tung von Mel­de­pflich­ten zu schwer­wie­gen­den IKT-Inci­dents auf den gesam­ten Finanzsektor
  • Erwei­te­rung der Anfor­de­run­gen an das Manage­ment von Infor­ma­ti­ons­ri­si­ken und Informationssicherheit

DORA für Ban­ken in Deutschland:

Die­se auf die IT-Sicher­heit ein­zah­len­den Schwer­punk­te wer­den mit DORA detail­lier­ter beschrie­ben als in bestehen­den regu­la­to­ri­schen Rege­lun­gen wie BAIT oder ISO 27xxx und dar­über hin­aus auf eine euro­päi­sche Ebe­ne geho­ben, um einen ein­heit­li­chen Stan­dard zu forcieren.

Beson­ders die gefor­der­ten Maß­nah­men zur Steue­rung des mit der Aus­la­ge­rung von ITK-Leis­tun­gen an Drit­te ver­bun­de­nen Risi­kos sind deut­lich spe­zi­fi­scher. Dazu wird die Fokus­sie­rung auf eine gerin­ge Anzahl von Schlüs­sel-Dienst­leis­tern als kri­tisch betrach­tet. Die­ses gilt sowohl für das ein­zel­ne Insti­tut als auch für die Bran­che insgesamt.

Im Hin­blick auf eine Umset­zung der Vor­ga­ben von DORA ist jedoch zu berück­sich­ti­gen, dass in Deutsch­land bereits in jüngs­ter Ver­gan­gen­heit wesent­li­che Ver­schär­fun­gen der Anfor­de­run­gen mit­tels auf­sichts­recht­li­cher Vor­ga­ben umge­setzt wurden.

Bei­spiel­haft genannt sei das Hand­lungs­feld der Aus­la­ge­run­gen von Dienst­leis­tun­gen der Ban­ken an Drit­te. Im Mit­tel­punkt ste­hen hier die aus der Erwei­te­rung der BAIT sowie dem Finanz­markt­in­te­gri­täts­stär­kungs­ge­setz (FISG) resul­tie­ren­den Vorgaben.

Ban­ken sind auf die­ser Basis nicht mehr nur ver­pflich­tet, inhalt­li­che, ver­trag­li­che oder steu­ern­de Pro­zes­se zu ihren Dienst­leis­tungs­part­nern zu eta­blie­ren, son­dern eben­so dazu, wesent­li­che Aus­la­ge­run­gen bei der Auf­sicht anzu­zei­gen (Aus­la­ge­rungs­re­gis­ter). So führt die BaFin an, dass die Kon­zen­tra­ti­on auf soge­nann­te Mehr­man­dan­ten­dienst­leis­ter (MMDLs), die für meh­re­re Ban­ken tätig sind, Risi­ken für den Gesamt­markt impli­zie­ren. Über das Aus­la­ge­rungs­re­gis­ter hin­aus besteht auch eine Ver­pflich­tung zur Mel­dung schwer­wie­gen­der Vor­fäl­le in der Aus­la­ge­rungs­be­zie­hung zwi­schen Bank und Dienstleistungspartner.

Der durch die Mel­dun­gen der Insti­tu­te geschaf­fe­ne Über­blick über die Aus­la­ge­rungs­be­zie­hun­gen deut­scher Ban­ken ermög­licht der Ban­ken­auf­sicht, die­se MMDLs zu iden­ti­fi­zie­ren, hin­sicht­lich des Risi­kos zu bewer­ten und zu überwachen.

Dar­über hin­aus gibt der gesetz­li­che Rah­men der Auf­sicht die Mög­lich­keit, direkt auf den Aus­la­ge­rungs­part­ner der Bank zuzu­ge­hen, um einen Miss­stand zu ver­mei­den oder zu beheben.

Die­se Anfor­de­rung trägt der zuneh­men­den, bran­chen­wei­ten Bedeu­tung ein­zel­ner Dienst­leis­tungs­an­bie­ter und dem damit ver­bun­de­nen Risi­ko Rechnung.

Spe­zi­fi­sche Aspek­te für Verbundstrukturen:

Die in DORA for­mu­lier­ten Rege­lun­gen für IT-Dienst­leis­ter von Ban­ken basie­ren wahr­schein­lich auf Über­le­gun­gen, die z. B. Anbie­ter von Cloud­lö­sun­gen wie Ama­zon, Goog­le oder Micro­soft im Fokus hat­ten. Im Hin­blick auf Cyber­si­cher­heit und die Kri­ti­k­ali­tät ein­zel­ner Anbie­ter für den gesam­ten Ban­ken­sek­tor ist die­ses sicher­lich ein sach­ge­rech­tes Vorgehen.

Das Uni­ver­sum der Ban­ken in Deutsch­land ist jedoch in star­kem Maße von Spar­kas­sen und Genos­sen­schafts­ban­ken geprägt. Hier bestehen Verbundstrukturen.

Die­se Struk­tu­ren sind durch zwei Kom­po­nen­ten gekennzeichnet:

  • Eine inhalt­li­che Kom­po­nen­te, in der ten­den­zi­ell eher klei­ne­ren Insti­tu­ten zen­tra­le Dienst­leis­tun­gen und digi­ta­le Ange­bo­te eben­so zur Ver­fü­gung gestellt wer­den wie sta­bi­le Governance-Prozesse
  • Eine recht­li­che Kom­po­nen­te, in der sich die zen­tra­len Anbie­ter die­ser Insti­tuts­grup­pen in deren Besitz befin­den und durch die­se kon­trol­liert wer­den. Die ein­zel­nen Insti­tu­te, wel­che die Leis­tun­gen nut­zen, sind gleich­zei­tig Eigen­tü­mer des Leistungserbringers

Durch die­se Struk­tu­ren ist die Gefahr kon­kur­rie­ren­der Inter­es­sen zwi­schen Bank und Dienst­leis­ter nahe­zu ausgeschlossen.

Das bedeu­tet auch, dass regu­la­to­ri­sche Anfor­de­run­gen aus DORA an die Insti­tu­te (Dar­le­gung, wie sie mit den Gefah­ren von Abhän­gig­kei­ten umge­hen, die bei der Aus­la­ge­rung von Dienst­leis­tun­gen ent­ste­hen) im Fal­le von Ver­bund­struk­tu­ren auf voll­stän­dig ande­re Vor­aus­set­zun­gen tref­fen als bei Insti­tu­ten außer­halb der Verbünde.

Im Hand­lungs­feld der Aus­la­ge­run­gen haben bestehen­de regu­la­to­ri­sche Vor­ga­ben wie die MaRisk auf Basis der EBA-Leit­li­ni­en für Sourcing Erleich­te­run­gen für die IT-Aus­la­ge­rung auf Ver­bund­ebe­ne vor­ge­se­hen, die in DORA so nicht ent­hal­ten sind.

In die­sem Kon­text besteht noch abschlie­ßen­der Klä­rungs­be­darf durch die Ver­bän­de mit der Auf­sicht, um für die Ver­bund­in­sti­tu­te Hand­lungs­si­cher­heit sicherzustellen.

Unab­hän­gig von die­sem ver­bund­spe­zi­fi­schen Aspekt, besteht für die Ban­ken in Deutsch­land die Erfor­der­nis, sich der Umset­zung von DORA zu widmen.

Aber was heißt das im „Dschun­gel“ der regu­la­to­ri­schen Vor­ga­ben denn genau?

Umset­zungs­emp­feh­lun­gen

Für Ban­ken, die regu­la­to­ri­sche Anfor­de­run­gen in der Ver­gan­gen­heit bereits kon­ti­nu­ier­lich umge­setzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Insti­tu­te, die eine Umset­zung der Anfor­de­run­gen der BAIT 2017 und 2021 nur homöo­pa­thisch begon­nen haben und wesent­li­che Dienst­leis­tun­gen an Drit­te aus­ge­la­gert haben, steigt durch DORA der Hand­lungs­druck noch einmal.

Gera­de in Bezug auf das Manage­ment von Aus­la­ge­run­gen kann sich eine „Bug­wel­le“ erfor­der­li­cher Umset­zungs­ak­ti­vi­tä­ten auf­bau­en, die sich finan­zi­ell und kapa­zi­ta­tiv zu einer kri­ti­schen Her­aus­for­de­rung ent­wi­ckelt und unmit­tel­ba­ren Hand­lungs­be­darf erfordert.

In die­sem Kon­text gilt es, die bereits bestehen­den Anfor­de­run­gen Doku­men­ta­ti­ons- und Mel­de­pflich­ten sowie das Risi­ko­ma­nage­ment in den beson­de­ren Fokus zu rücken.

Bestehen­de Ver­trä­ge mit Dienst­leis­tungs­part­nern, an die spe­zi­ell IT-Leis­tun­gen aus­ge­la­gert wur­den, gilt es zu prü­fen, ob die­se den bestehen­den und zukünf­ti­gen Anfor­de­run­gen genü­gen. So sind bei­spiels­wei­se Prü­fun­gen durch die Bank erfor­der­lich, ob die Dienst­leis­ter im Bereich Busi­ness Con­ti­nui­ty oder Not­fall­ma­nage­ment die rele­van­ten Vor­ga­ben ein­ge­hal­ten haben. In vie­len Fäl­len sind die­se Prü­fun­gen in den bestehen­den Ver­trä­gen nicht vor­ge­se­hen. Da Anpas­sun­gen in der Regel zeit­auf­wän­dig sind, ist hier ein rele­van­ter Ansatz­punkt, der nicht auf­ge­scho­ben wer­den sollte.

Gene­rell gilt bei DORA, wie auch bei den vor­an­ge­gan­ge­nen regu­la­to­ri­schen Ver­än­de­run­gen und Ver­schär­fun­gen, eine GAP-Ana­ly­se des Sta­tus quo gegen die Vor­ga­ben als pro­ba­tes Mit­tel. Pra­xis­be­währ­te und risi­ko­ori­en­tier­te Check­lis­ten, die auch die Prü­fungs­schwer­punk­te der Ban­ken­auf­sicht in ihrer Prio­ri­sie­rung berück­sich­ti­gen, sind hier ein emp­foh­le­nes Hilfs­mit­tel zur Ermitt­lung des Hand­lungs­be­darfs und der Ablei­tung einer Umsetzungsroadmap.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ver­fügt ban­kon über eine umfang­rei­che Pra­xis­er­fah­rung, die in Best Prac­ti­ces und Check­lis­ten ein­ge­flos­sen sind und den Kun­den von ban­kon in der effi­zi­en­ten Umset­zung einer regu­la­to­rik­kon­for­men IT helfen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


stürmische Wetterlage

CoOpetition 2.0 – Banken müssen Ihre IT-Wertschöpfungsketten neu denken

Ban­ken sehen sich nicht erst durch die Coro­na-Pan­de­mie einer „stür­mi­schen Wet­ter­la­ge“ gegen­über. Bereits vor dem Virus stan­den Geschäfts­mo­del­le und ihre Ver­än­de­rung in Pro­zes­sen und Tech­nik im Fokus der Akti­vi­tä­ten in den Instituten.

Bli­cken wir vor die­sem Hin­ter­grund auf die Infor­ma­ti­ons­tech­nik der Ban­ken, dann wird fol­gen­des deutlich:

  • Die tech­ni­schen Bedro­hungs­si­tua­tio­nen von außer­halb, aber auch von inner­halb der Bank, wer­den quan­ti­ta­tiv und qua­li­ta­tiv spürbarer
  • Hier­bei kann die Bedro­hungs­si­tua­ti­on sowohl mit­tels kri­mi­nel­ler Ener­gie her­ge­stellt wor­den sein als auch durch Unacht­sam­keit beför­dert werden
  • Die Tech­no­lo­gi­sie­rung der betrof­fe­nen Pro­zes­se nimmt hier­bei stän­dig zu – bei­spiel­haft sei­en hier Block­chain oder Bit­co­in genannt
  • Staat und Ban­ken­auf­sicht grei­fen mit­tels Vor­ga­ben zur Ein­däm­mung der Risi­ken regu­la­to­risch ein

Zusam­men­ge­fasst ergibt sich für die IT in Ban­ken fol­gen­des Bild:

Zwei poten­zi­el­le Miss­ver­ständ­nis­se gilt es hier­bei von vor­ne­her­ein zu vermeiden:

  • Unter Inno­va­ti­ons­kraft ist hier nicht zu ver­ste­hen, dass neben den Run-Akti­vi­tä­ten noch ein Rest­an­teil von Kapa­zi­tät und Bud­get für Chan­ge-Akti­vi­tä­ten verbleibt
  • Unter Manage­ment von Wert­schöp­fungs­ket­ten ist nicht die Erfül­lung der Anfor­de­run­gen aus den EBA-Gui­de­lines zum Sourcing gemeint

Viel­mehr ist es für die IT in Ban­ken von essen­zi­el­ler Bedeu­tung, neben der Gestal­tung des Span­nungs­fel­des regu­la­to­ri­scher Anfor­de­run­gen und der Abwehr tech­ni­scher Angrif­fe von innen und außen par­al­lel die Inno­va­ti­ons­kraft von Pro­zes­sen und Tech­nik in der IT erheb­lich zu stär­ken. Hier­zu ist es erfor­der­lich, die bestehen­den Wert­schöp­fungs­ket­ten grund­le­gend zu über­den­ken – Stich­wort CoO­pe­ti­ti­on 2.0. Die­ses kann kei­nes­falls unab­hän­gig von­ein­an­der gesche­hen, da in der Neu­ge­stal­tung der Make-or-Buy-Struk­tur für die Ban­ken-IT der größ­te Hebel liegt, Inno­va­ti­ons­frei­räu­me zu generieren. 

CoO­pe­ti­ti­on 1.0

Der Begriff CoO­pe­ti­ti­on beschreibt die Dua­li­tät von Kon­kur­renz und Koope­ra­ti­on. Wesent­li­cher Inhalt von CoO­pe­ti­ti­on 1.0 war die Posi­tio­nie­rung der Bank im Markt und in ihrer Funk­ti­on. In den Insti­tuts­grup­pen der Genos­sen­schaf­ten und der Spar­kas­sen lässt sich die Umset­zung gut identifizieren.

Bei­de Insti­tuts­grup­pen haben vie­le Tätig­kei­ten für die Pri­mär­in­sti­tu­te zen­tra­li­siert und auf einen oder weni­ge Anbie­ter ver­dich­tet. So gibt es in bei­den Grup­pen jeweils nur noch einen Rechen­zen­trums­an­bie­ter mit einem Kern­bank­sys­tem. Die Genos­sen haben nur noch ein Spit­zen­in­sti­tut. Die Spar­kas­sen haben nur noch zwei bedeu­ten­de Back­of­fice-Anbie­ter. Leis­tungs­an­ge­bo­te, wie z. B. das Kon­su­men­ten­kre­dit­ge­schäft, wer­den insti­tuts­über­grei­fend bereit­ge­stellt – sie­he S‑Kreditpartner GmbH.

Im Ergeb­nis fokus­sie­ren sich die Insti­tu­te deut­lich stär­ker auf Ihre Kern­kom­pe­tenz und zwar den Ver­kauf von Bank­pro­duk­ten ein­her­ge­hend mit erfor­der­li­chen Beratungsleistungen.

CoO­pe­ti­ti­on 2.0

In der Wei­ter­ent­wick­lung zur CoO­pe­ti­ti­on 2.0 liegt der Schwer­punkt auf der IT. Sie ist der Enabler, um Verkaufs‑, Beratungs‑, Abwick­lungs- und Steue­rungs­pro­zes­se effi­zi­ent zu gestalten.

Da es nicht die Kern­kom­pe­tenz einer Bank ist, ein Rechen­zen­trum zu betrei­ben oder Soft­ware zu ent­wi­ckeln, wer­den wesent­li­che IT-Leis­tun­gen von Dritt­an­bie­tern bezo­gen. Stra­te­gi­sche Part­ner­schaft ver­sus Best-of-Breed ist hier­bei die domi­nie­ren­de Fra­ge. Die zen­tra­len IT-Dienst­leis­ter der bei­den gro­ßen Ban­ken­grup­pen Deutsch­lands haben um den Betrieb des Kern­bank­sys­tems in ihren Rechen­zen­tren hin­aus ein umfang­rei­ches Soft­ware- und Dienst­leis­tungs­an­ge­bot geschaf­fen, das sie obli­ga­to­risch zu stra­te­gi­schen Part­nern der Insti­tu­te macht.

Drei Hand­lungs­op­tio­nen haben sich in der Pra­xis als ziel­füh­rend herausgestellt:

CoOpetition 2 RJO

Opti­on 1 (Stan­dard):

Die Nut­zung der Leis­tungs­an­ge­bo­te des Rechen­zen­trums im Stan­dard mini­miert sowohl die Steue­rungs­auf­wän­de als auch die Run-Kos­ten. Freie Kapa­zi­tä­ten und Bud­gets für tech­ni­sche und pro­zes­sua­le Inno­va­tio­nen sind das Resul­tat. Eine Nut­zung hier­für stün­de aber im Wider­spruch zu dem auf Stan­dard gesetz­ten Fokus.

Ande­rer­seits kann der Schwer­punkt so ver­stärkt auf die Berei­che der Bank gelegt wer­den, in denen das Insti­tut die Kern­kom­pe­tenz besitzt – Bera­tung und Verkauf.

Dar­über hin­aus kann aus dem reich­hal­ti­gen Ange­bot von Stan­dard­leis­tun­gen und Tools das für das Insti­tut best­mög­li­che Port­fo­lio aus­ge­wählt wer­den. Die­ses kann auf­grund der stan­dar­di­sier­ten Nut­zung umfang­rei­cher ausfallen.

Bei einer Ent­schei­dung für die­se Opti­on sind die IT-Pro­zes­se inklu­si­ve des Anfor­de­rungs­ma­nage­ments sowie die über­ge­ord­ne­te IT-Stra­te­gie ent­spre­chend auszurichten.

Opti­on 2 (Indi­vi­dua­li­tät im Standard):

Mit der Ergän­zung des Stan­dards um durch das Rechen­zen­trum ange­bo­te­ne Indi­vi­du­al­leis­tun­gen las­sen sich pro­zes­sua­le und tech­ni­sche Inno­va­tio­nen stär­ker umset­zen als in einer aus­schließ­li­chen Aus­rich­tung am Stan­dard. Bei­spiel­haft für Indi­vi­dua­li­tät kann der Ein­satz leis­tungs­stär­ke­rer Ana­ly­se­tools für Daten­aus­wer­tun­gen sein oder Soft­ware, wel­che die Abbil­dung kom­ple­xe­rer Pro­duk­te und Dienst­leis­tun­gen ermöglicht.

Die zusätz­li­chen, indi­vi­du­el­len Leis­tun­gen erlau­ben eine Unter­schei­dung vom Leis­tungs­an­ge­bot des Wett­be­werbs. Frei­heits­gra­de wie die Ein­bin­dung von Part­ner­pro­duk­ten außer­halb der Insti­tuts­grup­pe oder das Ange­bot insti­tuts­in­di­vi­du­el­ler, digi­ta­ler Leis­tun­gen sind hier aber nur ein­ge­schränkt möglich.

Es bleibt der Fokus auf die Kern­kom­pe­ten­zen Bera­tung und Ver­kauf. Da die Indi­vi­du­al­leis­tun­gen sepa­rat bepreist wer­den, ist die Nut­zung die­ser Mög­lich­kei­ten Bestand­teil einer insti­tuts­spe­zi­fi­schen Kal­ku­la­ti­on. In die­se flie­ßen neben den höhe­ren Run-Kos­ten gegen­über der Opti­on 1 auch erhöh­te Auf­wän­de für die Admi­nis­tra­ti­on, Steue­rung und Kon­trol­le der Indi­vi­du­al­leis­tun­gen ein.

Die Indi­vi­dua­li­tät im Stan­dard muss somit einen mess­ba­ren öko­no­mi­schen Vor­teil gegen­über dem rei­nen Stan­dard auf­wei­sen, um für die Bank sinn­voll zu sein.

Ent­spre­chend ist auch bei einer Ent­schei­dung für die­se Opti­on die IT-Stra­te­gie ent­spre­chend zu for­mu­lie­ren und die IT-Pro­zes­se stra­te­gie­kon­form auszurichten.

Opti­on 3 (Indi­vi­dua­li­tät zusätz­lich zum Standard):

Für Insti­tu­te, die Ihr Pro­dukt- und Dienst­leis­tungs­an­ge­bot um Leis­tun­gen von Dritt­part­nern oder FinTechs ergän­zen wol­len, ist die Erwei­te­rung des Stan­dards um indi­vi­du­el­le Leis­tun­gen, die nicht durch das Rechen­zen­trum ange­bo­ten wer­den, eine Option.

Bei­spiel­haft für eine sol­che Erwei­te­rung sei hier die Ein­füh­rung leis­tungs­be­zo­ge­ner Pro­dukt­öko­sys­te­me genannt. Die­se kön­nen unter ande­rem im Kon­text Bau (z. B. Ange­bo­te von Hand­wer­kern, Archi­tek­ten oder Behör­den) oder Senio­ren (z. B. Ange­bo­te zu Pfle­ge­diens­ten, zur Frei­zeit­ge­stal­tung sowie Ein­kaufs­ser­vices) kon­zi­piert werden.

Glei­ches gilt aber z. B. auch im Kon­text des Wert­pa­pier­ge­schäf­tes. Schritt­wei­se ein­ge­führ­te insti­tuts­grup­pen­spe­zi­fi­sche Ange­bo­te wie z. B. der Beves­tor der Deka­Bank ste­hen hier neben Eigen­ent­wick­lun­gen von Insti­tu­ten wie Sma­ves­to der Spar­kas­se Bre­men und Ange­bo­ten außer­halb der Institutsgruppe.

Für alle gemein­sam gilt jedoch, dass die Indi­vi­dua­li­tät die­ser Ange­bo­te erheb­lich in die Gestal­tung tech­ni­scher und orga­ni­sa­to­ri­scher Pro­zes­se in der IT ausstrahlt.

Insti­tu­te, die sol­che Leis­tun­gen nut­zen, benö­ti­gen per­so­nel­le und tech­ni­sche Kapa­zi­tä­ten, um die­se Ange­bo­te abbil­den zu kön­nen. Steue­rungs- und Betriebs­pro­zes­se sind inhalt­lich und regu­la­to­risch ent­spre­chend aus­zu­ge­stal­ten. Sie sind in einer IT-Stra­te­gie zusam­men­zu­füh­ren sowie durch Vor­ga­ben der IT-Archi­tek­tur und ein Tar­get Ope­ra­ting Model zu operationalisieren.

Eine Ent­schei­dung für die­sen Weg erfor­dert dar­über hin­aus, dass dadurch ein nach­hal­tig mess­ba­rer öko­no­mi­scher Mehr­wert gene­riert wer­den kann.

Zusam­men­fas­sung:

Es gibt kei­ne rich­ti­ge oder fal­sche Ent­schei­dung. Aus­schlag­ge­bend sind vor allem nach­ste­hen­de fünf Handlungsfelder:

  • Die Geschäfts­stra­te­gie der Bank (wie posi­tio­nie­re ich mich gegen­über mei­nen Wettbewerbern)
  • Die Sourcing­stra­te­gie der Bank (wie affin bin ich für eine Aus­la­ge­rung von Leis­tun­gen an Drit­te und wie eta­bliert sind mei­ne Pro­zes­se für eine regu­la­to­rik­kon­for­me Steuerung)
  • Grö­ße und Wett­be­werbs­in­ten­si­tät des Instituts
  • Per­so­nel­le Aus­stat­tung (quan­ti­ta­tiv und skillspezifisch)
  • Insti­tuts­in­di­vi­du­el­le Governance

Aus die­sen Hand­lungs­fel­dern ist die für das Insti­tut opti­ma­le Opti­on zur Gestal­tung der       CoO­pe­ti­ti­on 2.0 aus­zu­wäh­len und auszugestalten.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus Stra­te­gie- und Trans­for­ma­ti­ons­pro­jek­ten, der Ein­füh­rung neu­er Geschäfts­fel­der und Pro­duk­te sowie der Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen gewähr­leis­ten den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Chancen für den Dienstleistungssektor durch Corona?

Seit meh­re­ren Wochen hält das Coro­na­vi­rus die Welt in Atem. Die gesam­te Wirt­schaft inkl. den Bera­tungs­fir­men und deren Kun­den sind davon betroffen.

In der Kri­se hat sich gezeigt, dass sich neue Wege, Arbeits­wei­sen und damit ver­bun­den auch neue Chan­cen entwickeln.

Wer hät­te vor dem Shut­down dar­an gedacht sei­ne Mit­ar­bei­ter im gro­ßen Stil ins Home­of­fice zu schicken?

Wir als Unter­neh­mens­be­ra­tungs­ge­sell­schaft sehen hier­in aber auch die Mög­lich­keit der lang­fris­ti­gen Kos­ten­er­spar­nis. Wenn es auch im Home­of­fice funk­tio­niert, brau­che ich dann so viel teu­re Büro­flä­che? Kann ich mei­ne Pro­zes­se im Zuge einer kom­bi­nier­ten Digi­ta­li­sie­rungs- und Opti­mie­rungs­stra­te­gie nicht auch über­den­ken und anpassen?

Auch nach der über­stan­de­nen Kri­se wer­den im Dienst­leis­tungs­sek­tor und allen vor­an bei den Ban­ken die Sor­gen um den Ertrag in der Nied­rig­zins­pha­se wei­ter an ers­ter Stel­le stehen.

Wir kön­nen Sie dabei unter­stüt­zen die Kos­ten zu ver­rin­gern, unse­re Bera­ter kön­nen Ihnen wert­vol­le Pro­zess­op­ti­mie­rung und damit auch Kos­ten­er­spar­nis auf­zei­gen und Sie bei der Umset­zung unter­stüt­zend begleiten.

Ergrei­fen Sie die Chan­ce jetzt und über­den­ken jahr­zehn­te­lang gewach­se­ne Struk­tu­ren und Arbeitsweisen.

Das Virus hat uns gezeigt, dass es auch anders funk­tio­nie­ren kann. Die Akzep­tanz bei Mit­ar­bei­tern und Vor­stän­den für Ver­än­de­run­gen sind gestie­gen, war­um nicht jetzt dort wei­ter­ma­chen und die­se Poten­zia­le heben?

Sichern Sie Ihren Erfolg und die Zukunft, wir sind an Ihrer Seite.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de