Schlagwort: Komplexität

ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?

Veröffentlicht am 9. März 2023 von Ralf-Michael Jendro

Aus der Sicht des IT-Managements bringt ITIL eine notwendige Zutat mit, die für ein „Zaubermittel“ unerlässlich ist – das notwendige Alter mit einem entsprechenden Reifegrad. Hierbei darf jedoch nicht verkannt werden, dass ITIL von seinem Ursprung Ende der 80er Jahre bis heute eine erhebliche Weiterentwicklung durchlaufen hat.

Ursprünglich bestand die Neuartigkeit von ITIL in der IT darin, auf die Erfordernisse der Kunden ausgerichtet zu sein. Effektive Prozesse und klar zugeordnete Verantwortlichkeiten standen im Fokus. Erste Weiterentwicklungen ergänzten weitere Prozesse, bis in einer grundlegenden Überarbeitung der Service LifeCycle in den Mittelpunkt rückte. Hierbei wurden weitere Prozesse ergänzt und die Zielsetzung von ITIL dergestalt geschärft, dass eine messbare, positive Wertschöpfung für den Kunden im Fokus steht und diese einen relevanten Mehrwert für das Unternehmen schafft. Schwerpunkte der weiteren Entwicklungsschritte zur aktuellen Version ITIL 4 waren neue Technologien und das Service-Management, die eingebunden wurden in das ITIL Service Value System (SVS).

Neben dem SVS erfolgte im Kontext des Service-Managements die Überführung der bestehenden 4 Ps von ITIL (Personen, Produkte, Partner und Prozesse) in ein Modell mit vier Dimensionen, die über die ursprünglichen 4 Ps hinausgehen:

Organisationen und Menschen
Informationen und Technologie
Partner und Lieferanten
Wertströme und Prozesse

Auf diese Weise hat ITIL in den vergangenen 35 Jahren seinen Best-Practice-Charakter stets an den aktuellen Veränderungen und Gegebenheiten des IT-Managements ausgerichtet.

Die Veränderung der IT in Banken und die Weiterentwicklung der Best Practices von ITIL verliefen zeitlich und inhaltlich vielfach im Gleichklang. Für die Banken-IT war diese gemeinsame Entwicklung essenziell. Verantwortlich dafür sind vor Allem vier Trends:

Ohne IT sind Bankdienstleistungen kaum noch zu erbringen
Die technische Komplexität und Heterogenität sind erheblich angewachsen
IT-Prozesse sind durch ein unternehmensübergreifendes Wertschöpfungsnetzwerk gekennzeichnet
Der Bedeutung entsprechend sind die regulatorischen Anforderungen an die Bank-IT erheblich gestiegen

Der erste Punkt ist einfach nachzuvollziehen. Die weiteren drei Punkte sind stark miteinander verzahnt. So führte die wachsende Komplexität und Heterogenität der Bank-IT vielfach dazu, dass wesentliche Teile an spezialisierte Dienstleistungspartner ausgegliedert wurden. Beispielhaft seien hier der Desktop Service, der Betrieb von Kernbanksystemen, die Bereitstellung von Cloud-Services sowie spezifische IT-Security-Leistungen genannt.

Die Steuerung des sich daraus ergebenden Wertschöpfungsnetzwerkes aus internen und extern erbrachten Leistungen und Prozessanteilen ist aktuell dominierende Kernaufgabe der IT Deutscher Banken. Auch den für Regulatorik von Banken zuständigen Instanzen in Europa und Deutschland (z. B. EBA, EZB, Bundesbank) ist dieses bewusst. In der Konsequenz werden die regulatorischen Anforderungen an die IT in Banken in immer kürzeren Abständen in Breite und Tiefe ausgebaut. Für die Auslagerung von IT-Leistungen der Banken an Dienstleistungspartner gelten gleich eine Vielzahl, sich in Teilen überschneidende, regulatorische Anforderungen. Nachstehende Darstellung verdeutlicht dieses:

Die Herausforderung für die Bank-IT ist damit definiert. Das Wertschöpfungsnetzwerk der IT-Prozesse ist effizient und konform zu regulatorischen Anforderungen zu gestalten und zu steuern. Eine ausschließlich providerorientierte Strukturierung ist hierfür nicht zielführend. Zum einen entspricht diese mehrheitlich nicht der aktuellen Situation des Auslagerungsportfolios der Banken, zum anderen gestattet sie nur wenig Flexibilität für eine providerunabhängige Erweiterung des Serviceportfolios.

Es wird deutlich, dass hier nur ein ganzheitlicher Ansatz mittels mit End-to-End-Ausrichtung zur Lösung beitragen kann. Welche Rolle kann ITIL hierbei spielen, und welche Lösungen kann ITIL anbieten?

Durch die systematische Weiterentwicklung unterstützt ITIL spezifische IT-Management-Prozesse, bietet aber auch prozess- und serviceübergreifende Steuerungsansätze über das gesamte IT-Universum der Bank. Dieses schließt auch Leistungen ein, die durch Dritte erbracht werden.

Mittels ITIL kann die erforderliche Transparenz geschaffen werden, die der Bank eine regulatorikkonforme und effiziente Steuerung der Gesamt-IT ermöglicht. Unterstützung bietet hierbei die Management-Methodik des Service Integration and Management, kurz SIAM.

SIAM ist nicht Inhalt von ITIL, sondern ist ausgelegt auf die Steuerung multipler Providerstrukturen, nutzt hierzu aber die Konzepte zum IT Service Management aus ITIL. Die Strukturen eines SIAM führen in einem Multiprovidermanagement die Geschäftsprozesse und die für ihre Leistungserbringung erforderlichen IT-Services zusammen. Seitens der IT bereitgestellte Services umfassen hierbei providerübergreifend sowohl Infrastrukturkomponenten, Netzwerkkommunikation, Datenhaltung, IT-Anwendungen/Applikationen als auch deren Bereitstellung am Arbeitsplatz. Entstanden ist SIAM im Jahr 2012 mit Erscheinen des XGOV Strategic SIAM reference set der britischen Regierung und basiert auf einem Best Practice-orientierten Vorgehen.

Welche Gestaltungsfelder für eine Serviceintegration und ein Servicemanagement ergeben sich daraus für die Bank, die im Rahmen der Einführung zu berücksichtigen sind? Die folgende Abbildung skizziert die aus unserer Sicht relevanten Felder:

I. Strategie

Das providerübergreifende, integrative Management der IT-Services ist notwendigerweise Bestandteil der IT Strategie sowie der darunterliegenden Ausprägungen z. B. einer Sourcing- oder Cloud Strategie. Dieses ist aufgrund der Ausrichtung der IT-Services auf die Geschäftsprozesse erforderlich, da die IT-Strategie die Verknüpfung zur Geschäftsstrategie bildet.

II. Organisation

Wesentlicher Fokus ist hier das Scoping und damit die Identifikation der relevanten IT-Services. Hierbei sind Business- und Infrastrukturperspektive miteinander zu verbinden. Die organisatorische Verankerung des integrierten Multiprovidermanagements geschieht über spezifische Rollen, die mit dem bestehenden Rollenmodell zu verknüpfen sind. Mit diesen Rollen einhergehende Aufgaben werden verantwortlichen Personen zugeordnet. Dieses Vorgehen verbindet Rollen, Verantwortlichkeiten und Aufgaben in einer Matrix, welche wesentliche Grundlage für die quantitative Personalplanung ist.

III. Prozesse

Wesentliches Element ist die providerübergreifende Orchestrierung der IT-Serviceprozesse im Sinne eines End-to-End-Gedankens. Sie ist Voraussetzung einer Unterstützung dieser Prozesse mittels etablierter IT-Managementprozesse wie Incident‑, Problem- oder Change-Management. Entsprechend der Kritikalität der Prozesse sind Reporting- und Kontrollverfahren zu etablieren, die durch geeignete KPIs unterlegt werden müssen.

IV. Tools

Erfolgskritisch ist in erster Linie die Verfügbarkeit der für die IT-Serviceprozesse End-to-End erforderlichen Informationen. Diese müssen an einer zentralen Stelle gebündelt sein, an die jeder Provider seine Daten zuliefert und aktuell hält. Dieser Datenpool wird im Rahmen der IT-Managementprozesse genutzt und ist Basis für eine workfloworientierte Prozessbearbeitung unter Einbindung der Provider. Hierfür bietet es sich an, eine marktgängige Plattform zu verwenden, die sowohl die Datenhaltung als auch die prozessualen Workflows unterstützt. Offene Standardschnittstellen ermöglichen die flexible Einbindung weiterer Provider und Assets.

V. Verträge

Idealerweise sind die Vertragsinformationen in der obigen Plattform hinterlegt und stehen als Information zur Verfügung. Neben dem Informationscharakter ist jedoch vor allem sicherzustellen, dass die für ein Multiprovidermanagement erforderlichen technischen, prozessualen und regulatorischen Sachverhalte Inhalt der Vertragswerke von Bank und Provider sind. Besonders sei an dieser Stelle darauf hingewiesen, dass ein flexibles Multiprovidermanagement nicht nur ein Onboarding von Leistungen des Providers erfordert, sondern auch die Häufigkeit eines Offboarding erhöht ist. Dafür erforderliche Exit-Vereinbarungen sind aus diesem Grund eine Komponente, die vertraglich geregelt sein muss.

Bietet ITIL nun das Wundermittel für ein regulatorikkonformes Providermanagement, gegebenenfalls unter Hinzufügen einer „Prise“ SIAM?

Obige Ausführungen machen deutlich: Der Zaubertrank für ein regulatorikkonformes Multiprovidermanagement ist ITIL nicht. Aber ITIL enthält die dafür erforderlichen Zutaten. Diese sind in der IT der Bank unter Zusammenwirken mit weiteren relevanten Stakeholdern wie z. B. Einkauf oder Compliance zusammenzustellen und mit erforderlichen Tools zu etablieren. ITIL bildet eine Art Rezeptbuch und wird damit seinem Best-Practice-Ansatz gerecht. Die Bank hat aber entsprechend der individuellen Ausgangssituation aus IT-Komplexität, End-to-End-Reifegrad der IT-Prozesse, Ausgestaltung des IT-Auslagerungsportfolios sowie regulatorischem Status quo das Multiprovidermanagement auszugestalten. Hier unterstützt der Managementansatz SIAM und bietet Hilfestellung in der bedarfsgerechten Konzeption und Etablierung.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Management (ITIL), Providermanagement, IT-Services sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisations- und Providerstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Erfahrungen aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht ergänzen diese Praxiserfahrung um regulatorische Kompetenz.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Simplyfying IT-Compliance

Veröffentlicht am 13. Dezember 202115. Dezember 2021 von Carsten Wendt

Digitalisierung Risikomanagement/-systeme Banken – Antwort auf zunehmende Bedrohungen durch Cyber-Risiken und steigende Kosten durch IT-Compliance

Modernes Banking ist digital. Eine leistungsstarke IT-Plattform und effiziente IT-Prozesse sind der Erfolgstreiber für die Geschäftsmodelle der Zukunft. Die Anforderungen an das IT-Management der Banken sind immens. Neben strikter Kostenkontrolle rücken angesichts der Bedrohung durch Cyber-Angriffe Informationssicherheit und IT-Risikomanagement in den Fokus. Die Institute sehen sich mit immer strengeren, zunehmend technischen regulatorischen Vorgaben (BAIT, EBA, MaRisk, ISO 27000) und strikterer Auslegung sowie effektiven Umsetzungskontrollen im Rahmen von Sonderprüfungen konfrontiert. Entscheider im IT-Management benötigen daher zukünftig „auf Knopfdruck“ vollständige Transparenz über das aktuelle IT-Risiko bzw. die Gefährdungssituation ihrer Organisationen als Gesamtüberblick mit Wechselwirkungen, Abhängigkeiten, Redundanzen, gemappt auf die aktuell gültigen Vorgaben, um effektiv steuern zu können. Der Impact von Veränderungen regulatorischer Rahmenbedingungen sollte sofort sichtbar und effektive Maßnahmen zur Umsetzung der neuen Vorgaben und Mitigation der institutsspezifischen Risikoposition ableitbar sein. Aufgrund der herrschenden Komplexität der IT-Strukturen der Häuser und der anwendbaren Regulierung bietet ein digitales Framework „Digital Regulatory Compliance“, DIRC, mit leistungsstarker Softwareunterstützung (Plattformtechnologie) hierbei erhebliche Effizienzvorteile.

Ein aktueller Fachbeitrag von bankon Management Consulting GmbH & Co. KG zusammen mit finleap connect GmbH und der finleap Tochter 42Stages GmbH als RegTech-Spezialist in der Fachzeitschrift „die bank“ beschreibt die zunehmenden Herausforderungen für Banken durch Cyber-Risiken sowie steigende regulatorische Anforderungen und zeigt praxiserprobte digitale Lösungsansätze (Link):

https://www.die-bank.de/home/banken-sind-auf-digitale-risikomanagementsysteme-angewiesen-20037/

Fazit und Ausblick
Die Digitalisierung der IT-Compliance ist für Banken unverzichtbar. Nur durch intelligenten Einsatz von Plattformtechnologie können die Kostensynergien geschaffen werden, die langfristig die Rentabilität und Wettbewerbsfähigkeit der Institute sichern. Der Erfolg liegt in der Kombination von Bankfachlichkeit und Technologie. Ein Framework wie DIRC kann die effiziente Umsetzung unterstützten.

Die Digitalisierung steht auch im Bereich IT-Compliance erst am Anfang ihrer Möglichkeiten. Mittelfristig ist davon auszugehen, dass das DIRC-Framework um eine weitere Ebene „Profiling“ erweitert wird. Durch Einsatz von Mustererkennung und künstlicher Intelligenz (KI) sollen organisatorische Schwachstellen frühzeitig identifiziert und vorausschauend Risiken z. B. aus veränderten regulatorischen Rahmenbedingungen eingeschätzt werden können.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Weitere Autoren:

Patrick Giesen

Managing Director | 42Stages GmbH

Patrick Giesen begleitete als Prüfer und Berater viele Banken im Kontext von Aufsichtsprüfungen, war CISO und GW-Beauftragter und entwickelt das hier vorgestellte Framework.

Andreas Reuß

CCO | finleap connect GmbH

Andreas Reuß verfügt als ehemaliger Partner einer WP-Gesellschaft und Betreiber einer Open Banking Plattform über umfangreiche Erfahrung mit der Umsetzung regulatorischer Anforderungen.

IAM – Fluch oder Segen

Veröffentlicht am 13. Oktober 2021 von Michael Jesch

Umsetzung regulatorisch erweiterter Anforderungen im Eigeninteresse der Banken

Verschärfung der BAIT bei IAM zwingt zum Handeln

Am 16. August 2021 hat die BaFin die neue Fassung ihrer Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht, welche noch am selben Tag in Kraft getreten sind.

Der Schwerpunkt der Neuheiten liegt hierbei nunmehr weniger auf grundlegenden Änderungen als vielmehr auf der Erweiterung und Anpassung diverser Anforderungen. Dieses gilt auch für das zentrale Themenfeld des Identity & Access Managements (IAM).

Die BAIT beschreibt detaillierte Anforderungen an IT-Berechtigungskonzepte, Genehmigungs- und Kontrollprozesse, Rezertifizierung der Berechtigungen sowie Nachvollziehbarkeit und Dokumentation sämtlicher Einrichtungs‑, Änderungs- und Deaktivierungsprozesse. Unter IAM fallen damit alle Funktionen und Arbeitsschritte im Zusammenhang mit der Administration von Identitäten und der Verwaltung von Zugriffsrechten sowie die damit verbundene Nachweisführung.

Von besonderer Bedeutung ist die vorgenommene Ergänzung des Abschnitts 6.1. Mit ihm wurde zusätzlich in die BAIT aufgenommen, dass jegliche Zugriffs‑, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen sollen, was konkret alle Berechtigungen von Betriebssystem- über Datenbank- bis Anwendungsebene betrifft, und zwar auch für technische Zugänge bzw. Nutzer.

Akuter Handlungsbedarf in der deutschen Finanzszene

Für Deutschlands Banken gilt mit Inkraftsetzung der neuen BAIT der Vorsatz „zeitnah agieren und nicht erst, wenn die Aufsicht an die Tür klopft“. Dies sollte nicht im Lichte eines Zugzwangs gesehen werden, sondern im ureigenen Interesse der Institute. Der Stand der technischen Entwicklung sowie der Digitalisierung erhöht das Risiko betrügerischer Systemzugriffe in erheblichem Maße. In der Vorbeugung und Bekämpfung betrügerischer Möglichkeiten sind koordinierende Maßnahmen erforderlich, die man mit Bordmitteln und einer „dezentralen teilmanuellen Lösung“ von Zugriffs- und Berechtigungskontrollen nicht mehr beherrschen kann.

Der aus diesen regulatorischen Anforderungen resultierende Investitionsbedarf sowie die Beanspruchung unternehmensinterner Ressourcen gehen in vielen Fällen über „das Machbare“ weit hinaus. Auch vor dem Hintergrund bereits erfolgter oder anstehender Verlagerungen von Anwendungen in eine Cloud-Lösung gilt es, effizient vorzugehen und effektive Ergebnisse zu erzeugen.

Im Kontext der weltweit zu begrüßenden positiven, aber auch bedrohlich negativen Effekte der fortschreitenden Digitalisierung, handelt es sich hier um eine notwendige, gerade aber auch für die mit hochsensiblen Daten operierende Finanzdienstleistungsbranche maximal sinnhafte Investition in die Zukunft.

Die sich in Summe ergebenden Vorteile überwiegen den vermeintlichen Aufwand und bringen sogar insgesamt mittelfristig Kostenvorteile, da wesentliche Prozesse automatisiert wiederverwendbar sind und die manuelle Administration in den Hintergrund rückt.

Was ist zu tun

Gemäß öffentlich zugänglichem Zahlenmaterial waren bis Ende 2020 etwa 60 % der Finanzinstitute intensiver mit dem Thema befasst, davon verfügte die Hälfte der Institute bereits über eingeführte IAM-Systeme. Hier ist, bezogen auf die gesamte Community, also noch ein deutlicher Weg zu beschreiten.

Wieder einmal handelt es sich um ein Thema an der Schnittstelle zwischen Fachlichkeit und IT, wobei IAM-Projekte keine primären IT-Vorhaben sind, sondern die Fachlichkeit mit klaren Vorgaben für User-Profile und Rollenbeschreibungen vorlegt.

Parallel dazu erfolgt der Abschluss der Systemauswahl. Eine Vielzahl der Anbieter von IAM-Systemen waren in der Vergangenheit US-amerikanisch geprägt. Inzwischen haben sich aber in den letzten fünf bis zehn Jahren im deutschsprachigen Raum eine Reihe von Lösungsanbietern etabliert.

Insgesamt bietet sich die Chance zum „Aufräumen“ durch Löschung von überholten Zugängen (Mitarbeiter sind gar nicht mehr im Haus oder haben die Positionen und damit Aufgabenzuständigkeiten gewechselt) und Schaffung einer klaren und sicheren Struktur mit sich selbst steuernden Mechanismen.

Vorgehensmodell

Von Vorteil ist die Einschaltung einer erfahrenen und unabhängigen Instanz in die Auswahlprozesse und vorbereitenden Aktivitäten, um die Umsetzungsphase eines IAM-Projekts möglichst kompakt zu gestalten. Immer wieder hat sich gezeigt, dass die Komplexität eines solchen Vorhabens deutlich unterschätzt wird. Sowohl den gesetzlichen als auch den eigenen Anforderungen des Hauses ist in ausreichendem Maße Rechnung zu tragen. Insgesamt geht es darum, innovativ in die Zukunft zu investieren (State of the Art), aber gleichzeitig den Bogen nicht zu überspannen und mit Blick auf Cost-Value-Faktoren eine angemessene Lösung mit verträglicher Projektlaufzeit zu implementieren, welche auch für kleinere und mittelgroße Häuser geeignet ist (maximale Nutzung vorhandener, aber vor allem erforderlicher Funktionalitäten).

Das folgende Schaubild illustriert die wesentlichen Eckpfeiler eines voll integrierten IAM-Lösungsansatzes:

Im Projektablauf geht es u. a. um das Aufsetzen einer IAM-Strategie, die Durchführung von Vorarbeiten wie Bestandsanalyse, Bestandsbereinigung sowie die Konzeption und Überarbeitung des Rollenmodells (IT vs. Business) unter Beachtung geforderter Funktionstrennungen. Weitere Handlungsfelder betreffen die technische Anforderungsaufnahme (z. B. Integrität in die Umsysteme, User Experience, Workflows), die Prozessgestaltung, die Erstellung und Auswertung von RFI/RFP, die Systementscheidung sowie die Konzeption der Systemanbindungen (z. B. HR). Nach Installation und Umsetzung der technischen Konzepte in der Entwicklungsumgebung, einer ausreichenden technisch/fachlichen Test- und Abnahmephase (Nutzung agiler Projektmethodik) sowie der zeitgerechten Durchführung von Anwenderschulungen kann „die neue IAM-Welt“ in Produktion an den Start gehen.

Je nach geleisteter Vorarbeit und Komplexität der Unternehmens- und Anwendungsstruktur kann das Projektvorhaben einen Zeitraum von sechs bis 18 Monaten in Anspruch nehmen. bankon begleitet Sie als neutraler Partner bei der Systemauswahl, Vorbereitung und Umsetzung Ihres IAM-Projekts.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„Agilität in Regulatorikprojekten – Widerspruch oder Chance?“

Veröffentlicht am 19. April 202119. April 2021 von Ralf-Michael Jendro

Anzahl und Komplexität von Regulatorikprojekten in Banken steigen ständig. Immer mehr Ressourcen, personell und finanziell, werden mit der Sicherstellung einer regulatorikkonformen Governance gebunden. Leider ist der Beitrag zur unternehmerischen Wertschöpfung von Regulatorikprojekten nahezu „Null“. Aus diesem Grund kommt der effektiven Bearbeitung regulatorischer Anforderungen sowie dem effizienten Management von Regulatorikprojekten eine hohe Bedeutung zu. Können hier agile Methoden oder gar Scrum helfen?

Zur Klärung einer Eignung von Scrum für die Durchführung regulatorischer Projekte in Banken empfiehlt sich ein Blick auf die Charakteristika von Projekten, bei denen Scrum idealtypisch eingesetzt wird.

Kennzeichen von Projekten Scrum vs. Wasserfall

Aufgrund der gesetzlichen oder aufsichtsrechtlichen Vorgaben, an denen Regulatorikprojekte ausgerichtet sind, wird auf den ersten Blick deutlich, dass diese Art von Projekten nicht die Kennzeichen aufweisen, die ein Projekt charakterisieren, das sich gut für die Anwendung von Scrum eignet. Selbstverständlich lässt sich einwenden, dass Methodiken immer auch eine individuelle Interpretation oder Ausprägung aufweisen. Scrum lebt aber gerade von der Einhaltung des Methodenkanons, um seine Wirkung entfalten zu können. Methodische „Eingriffe“ stellen hier den Erfolg eines Scrum-Projektes schnell in Frage – die Anwendung von Scrum wird mit diesen Eingriffen abgebrochen.

Lösen wir uns vor diesem Hintergrund einmal von dem Begriff Scrum und rücken stattdessen Agilität in den Mittelpunkt der Betrachtung. Unter der Fragestellung, ob und wenn ja welche agilen Methoden für Regulatorikprojekte geeignet sind, ist eine Entkopplung von der Strenge der durch Scrum determinierten Vorgaben möglich.

Welche agilen Methoden gibt es, die in Scrum genutzt werden, und gibt es darüber hinaus geeignete Ergänzungen dieses agilen Toolsets – diese Frage soll im Folgenden betrachtet werden, um danach die Eignung für einen Einsatz in Regulatorikprojekten zu bewerten.

Die aus Scrum bekannten agilen Methoden lassen sich aus meiner Erfahrung grob in drei Schwerpunkte aufteilen. Sie unterstützen eine inhaltliche Strukturierung, eine zeitliche Strukturierung oder stellen die Interaktion der Beteiligten in den Mittelpunkt. Nachstehende Übersicht ordnet die in Scrum genutzten Methodenbausteine diesen drei Schwerpunkten zu.

Agile Methoden - Schwerpunkt Interaktion

Zu 1 – Inhaltliche Strukturierung

Mittels eines Backlogs können Anforderungen in unterschiedlicher Ausprägung und Dokumentationsform verwaltet werden
Neben der Beschreibung erfolgt für die Inhalte eines Backlogs eine Darstellung von Aufwand und Nutzen sowie eine Priorisierung
Entsprechend der Priorisierung wird die Beschreibung detaillierter spezifiziert
Das Kanban-Board visualisiert Arbeitsfortschritte
Aufgaben durchlaufen nach Arbeitsfortschritt gegliederte Rubriken, die je nach Einsatzzweck unterschiedlich gegliedert werden, z. B.:
- Zu tun | In Arbeit | Erledigt
- Backlog | Konzeption | Umsetzung | Test | Freigabe | Erledigt

Eignung für Regulatorikprojekte:

Eine strukturierte Sammlung von Anforderungen ist Inhalt jedes Projektes und damit auch für Regulatorikprojekte essenziell. User Stories werden sicherlich nicht die dominierende Bedeutung in der Zusammensetzung des Backlogs haben. Ebenso wenig wird die Summe der Anforderungen mittels eines Fachkonzepts und eines DV-Konzepts beschrieben, um dann mit dem Label Backlog versehen zu werden.

Unter Berücksichtigung eines modularen Aufbaus der Grundgesamtheit von Anforderungen in Regulatorikprojekten ist ein Backlog gut geeignet, um diese als Summe zu verwalten. Aus ihm lassen sich dann zusammenhängende Einzelanforderungen herausziehen und in einen Sprint-Backlog zusammenfassen. Denkbar sind hier beispielsweise Use-Cases zur Anbindung von Anwendungssystemen oder Infrastrukturkomponenten an ein SIEM (Security Incident and Event Management).

Zu 2 – Zeitliche Strukturierung

Sich für einen kurzen Arbeitszeitraum definierte Arbeitsinhalte vorzunehmen, die aus der Grundgesamtheit aller Anforderungen ausgewählt werden, ist unabhängig von Scrum ein sinnvolles Vorgehen zur Handhabung eines komplexen Anforderungsuniversums. Voraussetzung ist jedoch, dass die Inhalte eines Sprints keine zu feste Kopplung zu anderen Anforderungen außerhalb des Sprits aufweisen und damit eine unabhängige Bearbeitung ermöglichen.

Eignung für Regulatorikprojekte:

Folgende Beispiele aus Regulatorikprojekten seien zur Verdeutlichung genannt:

Anbindung von Anwendungen an ein PAM-Tool (privileged access management) zum Handling privilegierter Berechtigungen
Durchführung einer Business-Impact-Analyse für einen Kernprozess
Umsetzung gemeinsamer Schwachstellenscans mit einem IT-Provider

Gemeinsames Charakteristikum obiger Tätigkeiten ist, dass sie nicht durch eine Person allein durchgeführt werden, sondern nur personen‑, abteilungs‑, bereichs- oder firmenübergreifend bewältigt werden können. Mit ihrer losen Kopplung zu anderen Themen sind sie jedoch gut für eine Bearbeitung in Form eines Sprints geeignet.

Deutlich wird anhand dieser Aufgaben jedoch die Notwendigkeit zur Interaktion in der Bearbeitung. Und genau hier liegt der dritte Schwerpunkt agiler Methodiken.

Zu 3 – Interaktion

„Miteinander reden“ hießen nicht nur die vier Standardwerke von Friedemann Schulz von Thun zur Kommunikationspsychologie, sondern auch in Projekten gilt dieser Leitsatz. Aus diesem Grund wurden in der Scrum-Methodik Vorgaben zum strukturierten Austausch umgesetzt, sei es der tägliche Standup oder Sprint-Review und Sprint-Retrospektive. Strukturelle und zeitliche Vorgaben stellen die Effizienz und Effektivität dieser Termine sicher.

Eignung für Regulatorikprojekte:

Die Eignung eines täglichen Standup für Regulatorikprojekte steht außer Zweifel, hat sich doch dieses kurze Meeting inzwischen weit über Scrum hinaus in den beruflichen Alltag ausgebreitet. Wichtig im Kontext von Regulatorikprojekten ist hier jedoch die Einhaltung der strukturellen und zeitlichen Vorgaben aus Scrum, um einen diffusen Informationsaustausch zu vermeiden. Das Ergebnis eines Sprints im Review zu betrachten und Verbesserungen daraus abzuleiten (Retrospektive), ist grundsätzlich auch außerhalb von Scrum wichtig. Die eng gefassten methodischen Vorgaben verlieren jedoch ein Stück weit an Bedeutung, wenn in Regulatorikprojekten nicht wie bei Scrum das Ergebnis eines Sprints produktiv gesetzt wird.

Zusammenfassung:

Zusammenfassend lässt sich sagen, dass Scrum als geschlossene Methodik sicherlich nicht geeignet ist für die Durchführung von Regulatorikprojekten. Aber eine Vielzahl von Elementen aus dem agilen Methodenbaukasten, den Scrum nutzt, lassen sich übertragen. Sie zahlen ein auf die schnelle Erzeugung verwertbarer Ergebnisse im Projekt, die Sicherstellung der Kommunikation sowie die Umsetzung der ganzheitlichen Zielsetzung des Projektes.

Hier haben Erfahrungen gezeigt, dass sich einzelne Elemente auch sehr gut miteinander kombinieren lassen. Explizit sei hier auf die Methodik des Scrumban hingewiesen, in der die Visualisierung mittels Kanban-Board um prozessuale Elemente erweitert wird. So informiert es über die Anzahl der Objekte, an denen das Team gerade arbeitet, sowie die Anzahl an Aufgaben, welche schon abgeschossen sind. Ziel ist hier die Stärkung von Verantwortungsbewusstsein und Kommunikation sowie die Visualisierung der bereits erzielten Leistungsergebnisse.

In einer fortgeschrittenen Ausbaustufe kann ein solches Scrumban-Board durch die inkrementelle Arbeitsplanung Sprints obsolet machen. Jedoch hat sich im praktischen Einsatz die Kombination von Sprints und Scrumban-Boards bewährt. Das Prinzipbild eines Scrumban-Boards zeigt nachstehende Abbildung.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Auf dieser Grundlage sowie mittels unseres langjährigen Erfahrungsschatzes in der erfolgreichen Anwendung traditioneller und agiler Methoden im Projekt wählen wir gemeinsam mit Ihnen den für Ihr Institut geeigneten Methodenmix aus.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Veröffentlicht am 11. Januar 202118. Februar 2021 von Ralf-Michael Jendro

Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.

Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.

Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.

Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.

Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.

Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.

Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.

Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.

Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.

Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.

Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.

Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.

Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.

Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.

Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.

Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.

Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.

Expertise bankon Management Consulting

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Schlagwort: Komplexität

Simplyfying IT-Compliance

„Agilität in Regulatorikprojekten – Widerspruch oder Chance?“

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Neueste News und Artikel

Archiv

Sie finden uns auch hier:

I. Strategie

II. Organisation

III. Prozesse

IV. Tools

V. Verträge

Neueste News und Artikel

Archiv

Schlagwörter

Sie finden uns auch hier: