Schlagwort: Institut

stürmische Wetterlage

CoOpetition 2.0 – Banken müssen Ihre IT-Wertschöpfungsketten neu denken

Ban­ken sehen sich nicht erst durch die Coro­na-Pan­de­mie einer „stür­mi­schen Wet­ter­la­ge“ gegen­über. Bereits vor dem Virus stan­den Geschäfts­mo­del­le und ihre Ver­än­de­rung in Pro­zes­sen und Tech­nik im Fokus der Akti­vi­tä­ten in den Instituten.

Bli­cken wir vor die­sem Hin­ter­grund auf die Infor­ma­ti­ons­tech­nik der Ban­ken, dann wird fol­gen­des deutlich:

  • Die tech­ni­schen Bedro­hungs­si­tua­tio­nen von außer­halb, aber auch von inner­halb der Bank, wer­den quan­ti­ta­tiv und qua­li­ta­tiv spürbarer
  • Hier­bei kann die Bedro­hungs­si­tua­ti­on sowohl mit­tels kri­mi­nel­ler Ener­gie her­ge­stellt wor­den sein als auch durch Unacht­sam­keit beför­dert werden
  • Die Tech­no­lo­gi­sie­rung der betrof­fe­nen Pro­zes­se nimmt hier­bei stän­dig zu – bei­spiel­haft sei­en hier Block­chain oder Bit­coin genannt
  • Staat und Ban­ken­auf­sicht grei­fen mit­tels Vor­ga­ben zur Ein­däm­mung der Risi­ken regu­la­to­risch ein

Zusam­men­ge­fasst ergibt sich für die IT in Ban­ken fol­gen­des Bild:

Zwei poten­zi­el­le Miss­ver­ständ­nis­se gilt es hier­bei von vor­ne­her­ein zu vermeiden:

  • Unter Inno­va­ti­ons­kraft ist hier nicht zu ver­ste­hen, dass neben den Run-Akti­vi­tä­ten noch ein Rest­an­teil von Kapa­zi­tät und Bud­get für Chan­ge-Akti­vi­tä­ten verbleibt
  • Unter Manage­ment von Wert­schöp­fungs­ket­ten ist nicht die Erfül­lung der Anfor­de­run­gen aus den EBA-Gui­de­li­nes zum Sourcing gemeint

Viel­mehr ist es für die IT in Ban­ken von essen­zi­el­ler Bedeu­tung, neben der Gestal­tung des Span­nungs­fel­des regu­la­to­ri­scher Anfor­de­run­gen und der Abwehr tech­ni­scher Angrif­fe von innen und außen par­al­lel die Inno­va­ti­ons­kraft von Pro­zes­sen und Tech­nik in der IT erheb­lich zu stär­ken. Hier­zu ist es erfor­der­lich, die bestehen­den Wert­schöp­fungs­ket­ten grund­le­gend zu über­den­ken – Stich­wort CoO­pe­ti­ti­on 2.0. Die­ses kann kei­nes­falls unab­hän­gig von­ein­an­der gesche­hen, da in der Neu­ge­stal­tung der Make-or-Buy-Struk­tur für die Ban­ken-IT der größ­te Hebel liegt, Inno­va­ti­ons­frei­räu­me zu generieren. 

CoO­pe­ti­ti­on 1.0

Der Begriff CoO­pe­ti­ti­on beschreibt die Dua­li­tät von Kon­kur­renz und Koope­ra­ti­on. Wesent­li­cher Inhalt von CoO­pe­ti­ti­on 1.0 war die Posi­tio­nie­rung der Bank im Markt und in ihrer Funk­ti­on. In den Insti­tuts­grup­pen der Genos­sen­schaf­ten und der Spar­kas­sen lässt sich die Umset­zung gut identifizieren.

Bei­de Insti­tuts­grup­pen haben vie­le Tätig­kei­ten für die Pri­mär­in­sti­tu­te zen­tra­li­siert und auf einen oder weni­ge Anbie­ter ver­dich­tet. So gibt es in bei­den Grup­pen jeweils nur noch einen Rechen­zen­tr­ums­an­bie­ter mit einem Kern­bank­sys­tem. Die Genos­sen haben nur noch ein Spit­zen­in­sti­tut. Die Spar­kas­sen haben nur noch zwei bedeu­ten­de Back­of­fice-Anbie­ter. Leis­tungs­an­ge­bo­te, wie z. B. das Kon­su­men­ten­kre­dit­ge­schäft, wer­den insti­tuts­über­grei­fend bereit­ge­stellt – sie­he S‑Kreditpartner GmbH.

Im Ergeb­nis fokus­sie­ren sich die Insti­tu­te deut­lich stär­ker auf Ihre Kern­kom­pe­tenz und zwar den Ver­kauf von Bank­pro­duk­ten ein­her­ge­hend mit erfor­der­li­chen Beratungsleistungen.

CoO­pe­ti­ti­on 2.0

In der Wei­ter­ent­wick­lung zur CoO­pe­ti­ti­on 2.0 liegt der Schwer­punkt auf der IT. Sie ist der Enab­ler, um Verkaufs‑, Beratungs‑, Abwick­lungs- und Steue­rungs­pro­zes­se effi­zi­ent zu gestalten.

Da es nicht die Kern­kom­pe­tenz einer Bank ist, ein Rechen­zen­trum zu betrei­ben oder Soft­ware zu ent­wi­ckeln, wer­den wesent­li­che IT-Leis­tun­gen von Dritt­an­bie­tern bezo­gen. Stra­te­gi­sche Part­ner­schaft ver­sus Best-of-Breed ist hier­bei die domi­nie­ren­de Fra­ge. Die zen­tra­len IT-Dienst­leis­ter der bei­den gro­ßen Ban­ken­grup­pen Deutsch­lands haben um den Betrieb des Kern­bank­sys­tems in ihren Rechen­zen­tren hin­aus ein umfang­rei­ches Soft­ware- und Dienst­leis­tungs­an­ge­bot geschaf­fen, das sie obli­ga­to­risch zu stra­te­gi­schen Part­nern der Insti­tu­te macht.

Drei Hand­lungs­op­tio­nen haben sich in der Pra­xis als ziel­füh­rend herausgestellt:

CoOpetition 2 RJO

Opti­on 1 (Stan­dard):

Die Nut­zung der Leis­tungs­an­ge­bo­te des Rechen­zen­trums im Stan­dard mini­miert sowohl die Steue­rungs­auf­wän­de als auch die Run-Kos­ten. Freie Kapa­zi­tä­ten und Bud­gets für tech­ni­sche und pro­zes­sua­le Inno­va­tio­nen sind das Resul­tat. Eine Nut­zung hier­für stün­de aber im Wider­spruch zu dem auf Stan­dard gesetz­ten Fokus.

Ande­rer­seits kann der Schwer­punkt so ver­stärkt auf die Berei­che der Bank gelegt wer­den, in denen das Insti­tut die Kern­kom­pe­tenz besitzt – Bera­tung und Verkauf.

Dar­über hin­aus kann aus dem reich­hal­ti­gen Ange­bot von Stan­dard­leis­tun­gen und Tools das für das Insti­tut best­mög­li­che Port­fo­lio aus­ge­wählt wer­den. Die­ses kann auf­grund der stan­dar­di­sier­ten Nut­zung umfang­rei­cher ausfallen.

Bei einer Ent­schei­dung für die­se Opti­on sind die IT-Pro­zes­se inklu­si­ve des Anfor­de­rungs­ma­nage­ments sowie die über­ge­ord­ne­te IT-Stra­te­gie ent­spre­chend auszurichten.

Opti­on 2 (Indi­vi­dua­li­tät im Standard):

Mit der Ergän­zung des Stan­dards um durch das Rechen­zen­trum ange­bo­te­ne Indi­vi­du­al­leis­tun­gen las­sen sich pro­zes­sua­le und tech­ni­sche Inno­va­tio­nen stär­ker umset­zen als in einer aus­schließ­li­chen Aus­rich­tung am Stan­dard. Bei­spiel­haft für Indi­vi­dua­li­tät kann der Ein­satz leis­tungs­stär­ke­rer Ana­ly­se­tools für Daten­aus­wer­tun­gen sein oder Soft­ware, wel­che die Abbil­dung kom­ple­xe­rer Pro­duk­te und Dienst­leis­tun­gen ermöglicht.

Die zusätz­li­chen, indi­vi­du­el­len Leis­tun­gen erlau­ben eine Unter­schei­dung vom Leis­tungs­an­ge­bot des Wett­be­werbs. Frei­heits­gra­de wie die Ein­bin­dung von Part­ner­pro­duk­ten außer­halb der Insti­tuts­grup­pe oder das Ange­bot insti­tuts­in­di­vi­du­el­ler, digi­ta­ler Leis­tun­gen sind hier aber nur ein­ge­schränkt möglich.

Es bleibt der Fokus auf die Kern­kom­pe­ten­zen Bera­tung und Ver­kauf. Da die Indi­vi­du­al­leis­tun­gen sepa­rat bepreist wer­den, ist die Nut­zung die­ser Mög­lich­kei­ten Bestand­teil einer insti­tuts­spe­zi­fi­schen Kal­ku­la­ti­on. In die­se flie­ßen neben den höhe­ren Run-Kos­ten gegen­über der Opti­on 1 auch erhöh­te Auf­wän­de für die Admi­nis­tra­ti­on, Steue­rung und Kon­trol­le der Indi­vi­du­al­leis­tun­gen ein.

Die Indi­vi­dua­li­tät im Stan­dard muss somit einen mess­ba­ren öko­no­mi­schen Vor­teil gegen­über dem rei­nen Stan­dard auf­wei­sen, um für die Bank sinn­voll zu sein.

Ent­spre­chend ist auch bei einer Ent­schei­dung für die­se Opti­on die IT-Stra­te­gie ent­spre­chend zu for­mu­lie­ren und die IT-Pro­zes­se stra­te­gie­kon­form auszurichten.

Opti­on 3 (Indi­vi­dua­li­tät zusätz­lich zum Standard):

Für Insti­tu­te, die Ihr Pro­dukt- und Dienst­leis­tungs­an­ge­bot um Leis­tun­gen von Dritt­part­nern oder Fin­Techs ergän­zen wol­len, ist die Erwei­te­rung des Stan­dards um indi­vi­du­el­le Leis­tun­gen, die nicht durch das Rechen­zen­trum ange­bo­ten wer­den, eine Option.

Bei­spiel­haft für eine sol­che Erwei­te­rung sei hier die Ein­füh­rung leis­tungs­be­zo­ge­ner Pro­dukt­öko­sys­te­me genannt. Die­se kön­nen unter ande­rem im Kon­text Bau (z. B. Ange­bo­te von Hand­wer­kern, Archi­tek­ten oder Behör­den) oder Senio­ren (z. B. Ange­bo­te zu Pfle­ge­diens­ten, zur Frei­zeit­ge­stal­tung sowie Ein­kaufs­ser­vices) kon­zi­piert werden.

Glei­ches gilt aber z. B. auch im Kon­text des Wert­pa­pier­ge­schäf­tes. Schritt­wei­se ein­ge­führ­te insti­tuts­grup­pen­spe­zi­fi­sche Ange­bo­te wie z. B. der Beves­tor der Deka­Bank ste­hen hier neben Eigen­ent­wick­lun­gen von Insti­tu­ten wie Sma­ves­to der Spar­kas­se Bre­men und Ange­bo­ten außer­halb der Institutsgruppe.

Für alle gemein­sam gilt jedoch, dass die Indi­vi­dua­li­tät die­ser Ange­bo­te erheb­lich in die Gestal­tung tech­ni­scher und orga­ni­sa­to­ri­scher Pro­zes­se in der IT ausstrahlt.

Insti­tu­te, die sol­che Leis­tun­gen nut­zen, benö­ti­gen per­so­nel­le und tech­ni­sche Kapa­zi­tä­ten, um die­se Ange­bo­te abbil­den zu kön­nen. Steue­rungs- und Betriebs­pro­zes­se sind inhalt­lich und regu­la­to­risch ent­spre­chend aus­zu­ge­stal­ten. Sie sind in einer IT-Stra­te­gie zusam­men­zu­füh­ren sowie durch Vor­ga­ben der IT-Archi­tek­tur und ein Tar­get Ope­ra­ting Model zu operationalisieren.

Eine Ent­schei­dung für die­sen Weg erfor­dert dar­über hin­aus, dass dadurch ein nach­hal­tig mess­ba­rer öko­no­mi­scher Mehr­wert gene­riert wer­den kann.

Zusam­men­fas­sung:

Es gibt kei­ne rich­ti­ge oder fal­sche Ent­schei­dung. Aus­schlag­ge­bend sind vor allem nach­ste­hen­de fünf Handlungsfelder:

  • Die Geschäfts­stra­te­gie der Bank (wie posi­tio­nie­re ich mich gegen­über mei­nen Wettbewerbern)
  • Die Sourcingstra­te­gie der Bank (wie affin bin ich für eine Aus­la­ge­rung von Leis­tun­gen an Drit­te und wie eta­bliert sind mei­ne Pro­zes­se für eine regu­la­to­rik­kon­for­me Steuerung)
  • Grö­ße und Wett­be­werbs­in­ten­si­tät des Instituts
  • Per­so­nel­le Aus­stat­tung (quan­ti­ta­tiv und skillspezifisch)
  • Insti­tuts­in­di­vi­du­el­le Governance

Aus die­sen Hand­lungs­fel­dern ist die für das Insti­tut opti­ma­le Opti­on zur Gestal­tung der       CoO­pe­ti­ti­on 2.0 aus­zu­wäh­len und auszugestalten.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung aus Pro­jek­ten im Kon­text der Ban­ken-IT sichert pra­xis­er­prob­tes Wis­sen. Erfah­run­gen aus Stra­te­gie- und Trans­for­ma­ti­ons­pro­jek­ten, der Ein­füh­rung neu­er Geschäfts­fel­der und Pro­duk­te sowie der Sicher­stel­lung von Gover­nan­ce- und Regu­la­to­rik-Anfor­de­run­gen gewähr­leis­ten den erfor­der­li­chen fach­li­chen, pro­zes­sua­len und tech­ni­schen Hintergrund.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Horizont

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Als 2017 die Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT, kurz BAIT, als Kon­kre­ti­sie­rung der in den MaRisk gere­gel­ten regu­la­to­ri­schen Anfor­de­run­gen an die Infor­ma­ti­ons­tech­nik von Ban­ken ein­ge­führt wur­den, ging ein Rau­nen durch die Com­mu­ni­ty. In der BAIT wur­de erst­mals kon­kret vor­ge­ge­ben, wie die Auf­sicht sich die regu­la­to­rik­kon­for­me Aus­ge­stal­tung der Ban­ken IT vor­stellt. Zwar galt für die BAIT das Pro­por­tio­na­li­täts­prin­zip, das eine Aus­ge­stal­tung anhand der kon­kre­ten Situa­ti­on des jewei­li­gen Insti­tuts zuließ. Prü­fungs­er­fah­run­gen von EZB, Bun­des­bank, BaFin, aber auch der haus­ei­ge­nen Revi­si­ons­ab­tei­lun­gen haben jedoch gezeigt, dass die BAIT nicht als gestal­tungs­frei­er „Papier­ti­ger“ ver­stan­den, son­dern als „umzu­set­zen“ vor­ge­ge­ben wer­den. Die spe­zi­fi­schen Anfor­de­run­gen für kri­ti­sche IT-Struk­tu­ren in dem im Jahr 2018 ergänz­ten KRITS-Modul mach­ten deut­lich, dass der mit der BAIT ein­ge­schla­ge­ne Weg sei­tens der BaFin kon­se­quent fort­ge­führt wird.

Zwei Jah­re sind seit­dem ver­gan­gen. Vie­le Insti­tu­te sind auch heu­te noch damit beschäf­tigt, die auf Grund­la­ge der BAIT erfolg­ten Fest­stel­lun­gen aus inter­nen und exter­nen Prü­fun­gen zu bear­bei­ten und ihre IT com­pli­ant zu gestal­ten. Da steht auch bereits eine signi­fi­kan­te Erwei­te­rung der Anfor­de­run­gen aus der BAIT in den Start­blö­cken. 2020 erfolg­te die Kon­sul­ta­ti­ons­pha­se mit den Insti­tu­ten. Für das kom­men­de Jahr 2021 ist vom Go-live der neu­en Ansprü­che auszugehen.

Drei neue Kapi­tel ergän­zen die bestehen­den Anfor­de­run­gen, von denen die ope­ra­ti­ve IT-Sicher­heit und das IT-Not­fall­ma­nage­ment die bei­den bedeut­sa­me­ren sind im Ver­gleich zum Kapi­tel Kun­den­be­zie­hun­gen zu Zahlungsdienstleistern.

Mit dem neu­en Kapi­tel „ope­ra­ti­ve IT-Sicher­heit“ wer­den die bis­he­ri­gen Anfor­de­run­gen an Netz­werk­si­cher­heit, Sys­tem­här­tung, Pene­tra­ti­ons- und Schwach­stel­len­test geschärft und in einem eige­nen Kapi­tel gebündelt.

Das neue Kapi­tel IT-Not­fall­ma­nage­ment trägt der Tat­sa­che Rech­nung, dass sich die EBA-Gui­de­li­nes expli­zit mit die­sem Hand­lungs­feld befas­sen und ergänzt die BAIT um Inhal­te des IT-Not­fall­ma­nage­ments sowie des Busi­ness-Con­ti­nui­ty-Manage­ments. Neben der Identifi­kation der für Not­fäl­le rele­van­ten Res­sour­cen und Pro­zes­se ste­hen Maß­nah­men zur Gewähr­leis­tung der Fort­füh­rung des Geschäfts­be­triebs im Fal­le von Not­fäl­len im Fokus die­ses Kapi­tels. Hin­zu kom­men Anfor­de­run­gen an die Durch­fü­gung von Tests und Übun­gen zur Sicher­stel­lung der Wirk­sam­keit der defi­nier­ten Vorkehrungen.

Über die neu­en Kapi­tel hin­aus wur­den auch bestehen­de Stel­len kon­kre­ti­siert oder erwei­tert. Eine wesent­li­che Ver­än­de­rung im Ver­gleich zu der bestehen­den BAIT liegt im pro­zes­sua­len Betrachtungsgegenstand.

Stan­den bis­her die IT-Pro­zes­se sowie die IT-Sys­te­me als Infor­ma­ti­ons­ver­bund im Mit­tel­punkt der Betrach­tung, sind jetzt sämt­li­che Geschäfts­pro­zes­se im Fokus, und zwar hin­sicht­lich ihrer Unter­stüt­zung mit­tels IT-Anwen­dun­gen, Infra­struk­tu­ren und Daten. Die­ses ist neu und erwei­tert den Scope nach­hal­tig. Vor allem auch des­halb, weil die Ein­bin­dung von exter­nen Dienst­leis­tungs­part­nern nicht mehr pri­mär auf das Hand­lungs­feld Sourcing/Dienstleister­steuerung beschränkt ist. Viel­mehr sind die IT-rele­van­ten Ele­men­te ihrer Leistungsunter­stützung im Pro­zess rele­van­te Scopes. Der Infor­ma­ti­ons­ver­bund als Betrach­tungs­ge­gen­stand erhält so eine ande­re Kom­ple­xi­tät, die es in der Bank regu­la­to­risch zu mana­gen gilt.

Eben­so eine Aus­wei­tung erfah­ren die Anfor­de­run­gen an IT-Ser­vice­pro­zes­se. So sind mit der Erwei­te­rung der BAIT die bei­den ITIL-Pro­zes­se Capa­ci­ty-Manage­ment und Avai­la­bi­li­ty-Manage­ment in den Insti­tu­ten zu etablieren.

Das Capa­ci­ty-Manage­ment sichert die Kapa­zi­tät der IT-Ser­vices sowie der IT-Infra­struk­tur. Ziel ist, dass alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Kapa­zi­täts- und Per­for­mance­zie­le errei­chen, auch unter Berück­sich­ti­gung zukünf­ti­ger Anforderungen.

Das Avai­la­bi­li­ty-Manage­ment stellt die Ver­füg­bar­keit der IT-Ser­vices sicher, in dem alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Ver­füg­bar­keits­zie­le erreichen.

Wich­tig ist hier­bei der Bezug zu den oben beschrie­be­nen Aus­wei­tun­gen in der Defi­ni­ti­on des Infor­ma­ti­ons­ver­bun­des. Dadurch wird deut­lich, dass eine bank­in­ter­ne Betrach­tung der bei­den neu­en Pro­zes­se zu kurz greift und die betei­lig­ten Dienst­leis­tungs­part­ner ein­zu­bin­den sind.

Nach­ste­hen­de Abbil­dung fasst die­se neu­en, respek­ti­ve ver­schärf­ten Ansprü­che der BAIT-Anfor­de­rung zusam­men und zeigt, wel­che Effek­te die­se auf die Insti­tu­te erwar­ten lassen.

Schon auf den ers­ten Blick wird deut­lich, dass die neu­en eben­so wie die erwei­ter­ten Anfor­de­run­gen der BAIT nicht mit­tels eines „Quick Hit“ zu bewäl­ti­gen sind. Zu umfang­reich waren und sind die Her­aus­for­de­run­gen aus den 2017 und 2018 for­mu­lier­ten Anfor­de­run­gen der BAIT für die Banken.

Ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on des Insti­tuts und dem Grad der für die eige­ne IT gewähl­ten Stan­dar­di­sie­rung gibt es hin­sicht­lich des Umset­zungs­ho­ri­zonts kurz­fris­ti­ge Aspek­te, grund­sätz­lich aber eher eine lang­fris­ti­ge Per­spek­ti­ve. Durch die Aus­wei­tung des Infor­ma­ti­ons­ver­bun­des sind die BAIT kein aus­schließ­li­ches IT-The­ma mehr, son­dern ein Pro­zess­the­ma, das die IT-Unter­stüt­zung des jewei­li­gen Pro­zes­ses im Fokus hat. Damit sind neben den Spe­zia­lis­ten des eige­nen IT-Bereichs zuneh­mend sol­che der rele­van­ten Dienst­leis­tungs­part­ner ein­zu­bin­den. Dar­über hin­aus sind auch Exper­ten aus den Fach­be­rei­chen der Bank zu involvieren.

Damit wird deut­lich, dass ins­ge­samt ein hoher Auf­wand für die Insti­tu­te mit der Umset­zung der Neue­run­gen in der BAIT ver­bun­den ist.

Vor die­sem Hin­ter­grund sind zwei Tätig­kei­ten von her­aus­ge­ho­be­ner Bedeu­tung. Ers­tens die Iden­ti­fi­ka­ti­on des Infor­ma­ti­ons­ver­bunds für die betrof­fe­nen Geschäfts­pro­zes­se, um den Hand­lungs­rah­men und die ein­zu­bin­den­den Par­tei­en trans­pa­rent und voll­stän­dig zu iden­ti­fi­zie­ren. Zwei­tens die dar­auf auf­bau­en­de Ablei­tung einer Umset­zungs­road­map, die auch den aktu­el­len Sta­tus quo des Insti­tuts berücksichtigt.

Um die­ses so ziel­ge­rich­tet wie mög­lich zu tun, ist nicht nur die Kennt­nis der regu­la­to­ri­schen Anfor­de­run­gen ent­schei­dend. Wesent­lich bedeut­sa­mer ist die umfang­rei­che Pra­xis­ex­per­ti­se zu Bank­pro­zes­sen sowie der in den Pro­zes­sen ein­ge­setz­ten IT-Sys­te­me und ihrer Schnitt­stel­len unter­ein­an­der. In Kom­bi­na­ti­on mit Erfah­run­gen aus Audit- und Umset­zungs­pro­jek­ten im Kon­text Ban­ken­re­gu­la­to­rik stel­len sie die kri­ti­schen Erfolgs­fak­to­ren dar, eine effi­zi­en­te Umset­zung der BAIT-Neue­run­gen zu pla­nen und durchzuführen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet in der Iden­ti­fi­ka­ti­on aller betei­lig­ten Assets am Infor­ma­ti­ons­ver­bund, der effi­zi­en­ten Erstel­lung einer Umsetzungs­roadmap für die BAIT-Neue­run­gen sowie der Umset­zung selbst.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Heizung

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

EBA-ICT, MaRisk 6. Novel­le, BAIT – von allen Sei­ten wer­den die IT- und Gover­nan­ce-Spe­zia­lis­ten der Ban­ken im Moment mit neu­en oder teil­wei­se ver­schärf­ten regu­la­to­ri­schen Anfor­de­run­gen kon­fron­tiert. In kei­ner Wei­se soll die posi­ti­ve Absicht hin­ter die­sen Maß­nah­men in Abre­de gestellt wer­den. Aber es stellt sich den­noch die Fra­ge, wie­viel die­ser regu­la­to­ri­schen Vor­ga­ben durch die deut­schen Ban­ken bewäl­tigt wer­den kön­nen und wie. Ver­schärft wird die­se Fra­ge durch die Tat­sa­che, dass vie­le Insti­tu­te aktu­ell Pro­jek­te und Vor­ha­ben durch­füh­ren, die noch vor­an­ge­gan­ge­ne Anfor­de­run­gen umset­zen oder die Eta­blie­rung im Lini­en­be­trieb sicherstellen.

Regulatorik - Neue Anforderungen RJO
Regu­la­to­rik – Neue Anforderungen

Erschwe­rend kommt eben­falls noch hin­zu, dass die Umset­zung durch die Auf­sichts­gre­mi­en in zuneh­mend enge­rer Tak­tung kon­trol­liert wird. EZB, Bun­des­bank und BaFin sind umfang­reich in den Insti­tu­ten vor Ort, um die erfolg­rei­che Umset­zung zu ver­pro­ben. Erfolg­reich heißt hier­bei jedoch nicht nur die Doku­men­ta­ti­on eines abge­schlos­se­nen Pro­jek­tes, son­dern die ope­ra­ti­ve Nach­weis­füh­rung, dass die ein­ge­führ­ten oder ver­än­der­ten Pro­zes­se in der Linie eta­bliert sind und kon­se­quent durch­lau­fen wer­den. Dar­auf auf­bau­en­de KVP- oder Les­sons-Lear­ned-Pro­zes­se wer­den dabei als obli­ga­to­risch imple­men­tiert vorausgesetzt.

Die Prü­fun­gen mani­fes­tie­ren damit eine deut­lich gestie­ge­ne Anfor­de­rungs­qua­li­tät an den in den Insti­tu­ten ver­an­ker­ten regu­la­to­ri­schen Reifegrad.

Nun lässt sich zwar fest­stel­len, dass vie­le der regu­la­to­ri­schen Vor­ga­ben auf­ein­an­der auf­bau­en. Anfor­de­run­gen aus der euro­päi­schen Per­spek­ti­ve (EBA-ICT) wer­den im Rah­men der 6. MaRisk-Novel­le in natio­na­le Vor­ga­ben über­führt und in den BAIT kon­kre­ti­siert. Die­se poten­zi­el­le Syn­er­gie gilt aber nicht in aller Voll­stän­dig­keit für Insti­tu­te jeder Grö­ßen­klas­se. Dar­über hin­aus blei­ben auch unter Berück­sich­ti­gung die­ser Fak­to­ren erheb­li­che Umset­zungs­an­for­de­run­gen für die Ban­ken. Die Her­aus­for­de­run­gen, die sich für die Insti­tu­te dar­aus erge­ben, sind unterschiedlich:

Grö­ße­re Insti­tu­te, vor allem mit inter­na­tio­na­ler Aus­rich­tung, erreicht die „vol­le Wucht“ der regu­la­to­ri­schen Anfor­de­run­gen. Die­se tref­fen aber auch auf Zen­tral­be­rei­che der IT, Gover­nan­ce oder Com­pli­an­ce, die grund­sätz­lich über die zur Bewäl­ti­gung die­ser Anfor­de­run­gen erfor­der­li­che Qua­li­fi­ka­ti­on und quan­ti­ta­ti­ve Aus­prä­gung verfügen.

Klei­ne­re Insti­tu­te mit eher regio­na­ler Aus­rich­tung sind von regu­la­to­ri­schen Anfor­de­run­gen unter­schied­lich betrof­fen. Eine wesent­li­che Unter­schei­dungs­kom­po­nen­te ist hier der Umfang aus­ge­la­ger­ter Tätig­kei­ten. Je höher und je indi­vi­du­el­ler der Aus­la­ge­rungs­grad, umso stär­ker die regu­la­to­ri­schen Berüh­rungs­punk­te. Ver­stär­kend kommt hier jedoch hin­zu, dass gera­de bei einer weit­ge­hen­den Aus­la­ge­rung das Exper­ten­wis­sen dadurch abge­baut wur­de. Viel­fach ist das zur Bewäl­ti­gung der regu­la­to­ri­schen Anfor­de­run­gen erfor­der­li­che Know-how nicht mehr in aus­rei­chen­der Quan­ti­tät in den Insti­tu­ten vorhanden.

Die Schluss­fol­ge­rung, dass in die­sen Fäl­len die erfor­der­li­che Exper­ti­se durch Ein­stel­lung neu­er Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter zuge­führt wer­den muss, ver­nach­läs­sigt eine wesent­li­che Kom­po­nen­te – den Fachkräftemangel.

Exper­ten in IT-Regu­la­to­rik, Gover­nan­ce oder Com­pli­an­ce sind am Markt stark gesucht und nicht in aus­rei­chen­der Quan­ti­tät vor­han­den. Die Wei­ter­bil­dung eige­ner Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in die­sen The­men ist eine eher lang­fris­tig aus­ge­rich­te­te Lösung. Das Wis­sen extern ein­zu­kau­fen ist aus Kos­ten­grün­den auch nicht ohne Wei­te­res möglich.

Wel­che Mög­lich­kei­ten gibt es aber, aus die­sem Dilem­ma zu ent­kom­men und den stei­gen­den regu­la­to­ri­schen Anfor­de­run­gen als Insti­tut gerecht zu werden?

Aus Sicht von ban­kon hat sich die Ein­rich­tung eines zen­tra­len Regu­la­to­rik-Office bewährt. Die­ses koor­di­niert insti­tuts­weit die Akti­vi­tä­ten zu regu­la­to­ri­schen Ver­än­de­run­gen sowie der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prü­fun­gen. In sei­ner Aus­ge­stal­tung ermög­licht es insti­tuts­in­di­vi­du­el­le Anpas­sun­gen vor dem Hin­ter­grund der Grö­ße sowie der Geschäfts- und Risi­ko­struk­tur der Bank. Es ist damit der Sin­gle-Point-of-Truth für regu­la­to­ri­sche The­men in der Bank.

Regulatorik-Office RJO

Die Abbil­dung der aktu­el­len regu­la­to­ri­schen Situa­ti­on der Bank erfolgt über ein zen­tra­les Regu­la­to­rik-Back­log. Des­sen Inhalt sind die insti­tuts­in­di­vi­du­ell bewer­te­ten regu­la­to­ri­schen The­men sowie die im regu­la­to­ri­schen Kon­text iden­ti­fi­zier­ten bank­spe­zi­fi­schen Defizite.

Owner die­ses Back­logs ist das Regu­la­to­rik-Office, das auch für die inhalt­li­che Befül­lung ver­ant­wort­lich ist. Im Rah­men von inter­nen und exter­nen Prü­fungs­hand­lun­gen iden­ti­fi­zier­te Defi­zi­te wer­den hier zen­tral abge­legt. Sie sind die rele­van­te Infor­ma­ti­ons­quel­le für das Auf­set­zen regu­la­to­ri­scher Vor­ha­ben oder Pro­jek­te im Rah­men des Projektplanungsprozesses.

Die Vor­tei­le die­ser orga­ni­sa­to­ri­schen und infor­ma­to­ri­schen Bün­de­lung lie­gen auf der Hand:

  • För­de­rung der bank­in­ter­nen Ver­zah­nung von Berei­chen, die mit regu­la­to­ri­schen The­men befasst sind, z. B. Unter­neh­mens­steue­rung, IT, Infor­ma­ti­ons­si­cher­heit, Orga­ni­sa­ti­on, Pro­jekt­port­fo­li­o­steue­rung, Not­fall­ma­nage­ment oder Dienstleistersteuerung
  • Mit­wir­kung bei über­grei­fen­den Initia­ti­ven, z. B. zum insti­tuts­grup­pen­spe­zi­fi­schen Umgang mit regu­la­to­ri­schen Anfor­de­run­gen im Kon­text Sourcing
  • Effi­zi­en­te Unter­stüt­zung inter­ner und vor allem exter­ner Prü­fun­gen durch die Wahr­neh­mung der Funk­ti­on eines zen­tra­len Prüfungs-Offices
  • Vor­aus­set­zung einer sys­te­ma­ti­schen, prio­ri­sier­ten Bear­bei­tung regu­la­to­ri­scher Defi­zi­te mit­tels Vor­ha­ben und Projekten
  • Sicher­stel­lung bank­in­ter­ner Ver­tre­tungs­mög­lich­kei­ten im Kon­text Regulatorik
  • Unter­stüt­zung der Aus­bil­dung bank­in­ter­nen Wis­sens zu regu­la­to­ri­schen Themen

Die Syn­er­gien und Vor­tei­le sichern den Insti­tu­ten die Fähig­keit, regu­la­to­ri­sche Anfor­de­run­gen bewäl­ti­gen zu kön­nen. Die Bün­de­lung der Kräf­te ermög­licht den Ban­ken, und hier beson­ders mit­tel­gro­ßen und klei­ne­ren Insti­tu­ten, die Sicher­stel­lung der erfor­der­li­chen regu­la­to­ri­schen Governance.

Denn unab­hän­gig von der Fra­ge, wie­viel Regu­la­to­rik deut­sche Ban­ken ver­tra­gen, lässt sich die Ten­denz zur Aus­wei­tung regu­la­to­ri­scher Anfor­de­run­gen zumin­dest auf Ebe­ne von Ein­zel­in­sti­tu­ten nicht auf­hal­ten. Es kön­nen aber sehr wohl die Vor­aus­set­zun­gen geschaf­fen und opti­miert wer­den, mit die­sen Anfor­de­run­gen umzugehen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet im Set­up zen­tra­ler Regu­la­to­rik-Offices und der erfor­der­li­chen Über­füh­rung in einen Regel­be­trieb. Bei Bedarf unter­stützt ban­kon auch ope­ra­tiv im Betrieb des Regu­la­to­rik-Office z. B. in der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prüfungen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de