ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?
Aus der Sicht des IT-Managements bringt ITIL eine notwendige Zutat mit, die für ein „Zaubermittel“ unerlässlich ist – das notwendige Alter mit einem entsprechenden Reifegrad. Hierbei darf jedoch nicht verkannt werden, dass ITIL von seinem Ursprung Ende der 80er Jahre bis heute eine erhebliche Weiterentwicklung durchlaufen hat.
Ursprünglich bestand die Neuartigkeit von ITIL in der IT darin, auf die Erfordernisse der Kunden ausgerichtet zu sein. Effektive Prozesse und klar zugeordnete Verantwortlichkeiten standen im Fokus. Erste Weiterentwicklungen ergänzten weitere Prozesse, bis in einer grundlegenden Überarbeitung der Service LifeCycle in den Mittelpunkt rückte. Hierbei wurden weitere Prozesse ergänzt und die Zielsetzung von ITIL dergestalt geschärft, dass eine messbare, positive Wertschöpfung für den Kunden im Fokus steht und diese einen relevanten Mehrwert für das Unternehmen schafft. Schwerpunkte der weiteren Entwicklungsschritte zur aktuellen Version ITIL 4 waren neue Technologien und das Service-Management, die eingebunden wurden in das ITIL Service Value System (SVS).
Neben dem SVS erfolgte im Kontext des Service-Managements die Überführung der bestehenden 4 Ps von ITIL (Personen, Produkte, Partner und Prozesse) in ein Modell mit vier Dimensionen, die über die ursprünglichen 4 Ps hinausgehen:
- Organisationen und Menschen
- Informationen und Technologie
- Partner und Lieferanten
- Wertströme und Prozesse
Auf diese Weise hat ITIL in den vergangenen 35 Jahren seinen Best-Practice-Charakter stets an den aktuellen Veränderungen und Gegebenheiten des IT-Managements ausgerichtet.
Die Veränderung der IT in Banken und die Weiterentwicklung der Best Practices von ITIL verliefen zeitlich und inhaltlich vielfach im Gleichklang. Für die Banken-IT war diese gemeinsame Entwicklung essenziell. Verantwortlich dafür sind vor Allem vier Trends:
- Ohne IT sind Bankdienstleistungen kaum noch zu erbringen
- Die technische Komplexität und Heterogenität sind erheblich angewachsen
- IT-Prozesse sind durch ein unternehmensübergreifendes Wertschöpfungsnetzwerk gekennzeichnet
- Der Bedeutung entsprechend sind die regulatorischen Anforderungen an die Bank-IT erheblich gestiegen
Der erste Punkt ist einfach nachzuvollziehen. Die weiteren drei Punkte sind stark miteinander verzahnt. So führte die wachsende Komplexität und Heterogenität der Bank-IT vielfach dazu, dass wesentliche Teile an spezialisierte Dienstleistungspartner ausgegliedert wurden. Beispielhaft seien hier der Desktop Service, der Betrieb von Kernbanksystemen, die Bereitstellung von Cloud-Services sowie spezifische IT-Security-Leistungen genannt.
Die Steuerung des sich daraus ergebenden Wertschöpfungsnetzwerkes aus internen und extern erbrachten Leistungen und Prozessanteilen ist aktuell dominierende Kernaufgabe der IT Deutscher Banken. Auch den für Regulatorik von Banken zuständigen Instanzen in Europa und Deutschland (z. B. EBA, EZB, Bundesbank) ist dieses bewusst. In der Konsequenz werden die regulatorischen Anforderungen an die IT in Banken in immer kürzeren Abständen in Breite und Tiefe ausgebaut. Für die Auslagerung von IT-Leistungen der Banken an Dienstleistungspartner gelten gleich eine Vielzahl, sich in Teilen überschneidende, regulatorische Anforderungen. Nachstehende Darstellung verdeutlicht dieses:
Die Herausforderung für die Bank-IT ist damit definiert. Das Wertschöpfungsnetzwerk der IT-Prozesse ist effizient und konform zu regulatorischen Anforderungen zu gestalten und zu steuern. Eine ausschließlich providerorientierte Strukturierung ist hierfür nicht zielführend. Zum einen entspricht diese mehrheitlich nicht der aktuellen Situation des Auslagerungsportfolios der Banken, zum anderen gestattet sie nur wenig Flexibilität für eine providerunabhängige Erweiterung des Serviceportfolios.
Es wird deutlich, dass hier nur ein ganzheitlicher Ansatz mittels mit End-to-End-Ausrichtung zur Lösung beitragen kann. Welche Rolle kann ITIL hierbei spielen, und welche Lösungen kann ITIL anbieten?
Durch die systematische Weiterentwicklung unterstützt ITIL spezifische IT-Management-Prozesse, bietet aber auch prozess- und serviceübergreifende Steuerungsansätze über das gesamte IT-Universum der Bank. Dieses schließt auch Leistungen ein, die durch Dritte erbracht werden.
Mittels ITIL kann die erforderliche Transparenz geschaffen werden, die der Bank eine regulatorikkonforme und effiziente Steuerung der Gesamt-IT ermöglicht. Unterstützung bietet hierbei die Management-Methodik des Service Integration and Management, kurz SIAM.
SIAM ist nicht Inhalt von ITIL, sondern ist ausgelegt auf die Steuerung multipler Providerstrukturen, nutzt hierzu aber die Konzepte zum IT Service Management aus ITIL. Die Strukturen eines SIAM führen in einem Multiprovidermanagement die Geschäftsprozesse und die für ihre Leistungserbringung erforderlichen IT-Services zusammen. Seitens der IT bereitgestellte Services umfassen hierbei providerübergreifend sowohl Infrastrukturkomponenten, Netzwerkkommunikation, Datenhaltung, IT-Anwendungen/Applikationen als auch deren Bereitstellung am Arbeitsplatz. Entstanden ist SIAM im Jahr 2012 mit Erscheinen des XGOV Strategic SIAM reference set der britischen Regierung und basiert auf einem Best Practice-orientierten Vorgehen.
Welche Gestaltungsfelder für eine Serviceintegration und ein Servicemanagement ergeben sich daraus für die Bank, die im Rahmen der Einführung zu berücksichtigen sind? Die folgende Abbildung skizziert die aus unserer Sicht relevanten Felder:
I. Strategie
Das providerübergreifende, integrative Management der IT-Services ist notwendigerweise Bestandteil der IT Strategie sowie der darunterliegenden Ausprägungen z. B. einer Sourcing- oder Cloud Strategie. Dieses ist aufgrund der Ausrichtung der IT-Services auf die Geschäftsprozesse erforderlich, da die IT-Strategie die Verknüpfung zur Geschäftsstrategie bildet.
II. Organisation
Wesentlicher Fokus ist hier das Scoping und damit die Identifikation der relevanten IT-Services. Hierbei sind Business- und Infrastrukturperspektive miteinander zu verbinden. Die organisatorische Verankerung des integrierten Multiprovidermanagements geschieht über spezifische Rollen, die mit dem bestehenden Rollenmodell zu verknüpfen sind. Mit diesen Rollen einhergehende Aufgaben werden verantwortlichen Personen zugeordnet. Dieses Vorgehen verbindet Rollen, Verantwortlichkeiten und Aufgaben in einer Matrix, welche wesentliche Grundlage für die quantitative Personalplanung ist.
III. Prozesse
Wesentliches Element ist die providerübergreifende Orchestrierung der IT-Serviceprozesse im Sinne eines End-to-End-Gedankens. Sie ist Voraussetzung einer Unterstützung dieser Prozesse mittels etablierter IT-Managementprozesse wie Incident‑, Problem- oder Change-Management. Entsprechend der Kritikalität der Prozesse sind Reporting- und Kontrollverfahren zu etablieren, die durch geeignete KPIs unterlegt werden müssen.
IV. Tools
Erfolgskritisch ist in erster Linie die Verfügbarkeit der für die IT-Serviceprozesse End-to-End erforderlichen Informationen. Diese müssen an einer zentralen Stelle gebündelt sein, an die jeder Provider seine Daten zuliefert und aktuell hält. Dieser Datenpool wird im Rahmen der IT-Managementprozesse genutzt und ist Basis für eine workfloworientierte Prozessbearbeitung unter Einbindung der Provider. Hierfür bietet es sich an, eine marktgängige Plattform zu verwenden, die sowohl die Datenhaltung als auch die prozessualen Workflows unterstützt. Offene Standardschnittstellen ermöglichen die flexible Einbindung weiterer Provider und Assets.
V. Verträge
Idealerweise sind die Vertragsinformationen in der obigen Plattform hinterlegt und stehen als Information zur Verfügung. Neben dem Informationscharakter ist jedoch vor allem sicherzustellen, dass die für ein Multiprovidermanagement erforderlichen technischen, prozessualen und regulatorischen Sachverhalte Inhalt der Vertragswerke von Bank und Provider sind. Besonders sei an dieser Stelle darauf hingewiesen, dass ein flexibles Multiprovidermanagement nicht nur ein Onboarding von Leistungen des Providers erfordert, sondern auch die Häufigkeit eines Offboarding erhöht ist. Dafür erforderliche Exit-Vereinbarungen sind aus diesem Grund eine Komponente, die vertraglich geregelt sein muss.
Bietet ITIL nun das Wundermittel für ein regulatorikkonformes Providermanagement, gegebenenfalls unter Hinzufügen einer „Prise“ SIAM?
Obige Ausführungen machen deutlich: Der Zaubertrank für ein regulatorikkonformes Multiprovidermanagement ist ITIL nicht. Aber ITIL enthält die dafür erforderlichen Zutaten. Diese sind in der IT der Bank unter Zusammenwirken mit weiteren relevanten Stakeholdern wie z. B. Einkauf oder Compliance zusammenzustellen und mit erforderlichen Tools zu etablieren. ITIL bildet eine Art Rezeptbuch und wird damit seinem Best-Practice-Ansatz gerecht. Die Bank hat aber entsprechend der individuellen Ausgangssituation aus IT-Komplexität, End-to-End-Reifegrad der IT-Prozesse, Ausgestaltung des IT-Auslagerungsportfolios sowie regulatorischem Status quo das Multiprovidermanagement auszugestalten. Hier unterstützt der Managementansatz SIAM und bietet Hilfestellung in der bedarfsgerechten Konzeption und Etablierung.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Management (ITIL), Providermanagement, IT-Services sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisations- und Providerstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Erfahrungen aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht ergänzen diese Praxiserfahrung um regulatorische Kompetenz.
