Schlagwort: MaRisk

Simplyfying IT-Compliance

Digi­ta­li­sie­rung Risi­ko­ma­nage­men­t/-sys­te­me Ban­ken – Ant­wort auf zuneh­men­de Bedro­hun­gen durch Cyber-Risi­ken und stei­gen­de Kos­ten durch IT-Compliance

Moder­nes Ban­king ist digi­tal. Eine leis­tungs­star­ke IT-Platt­form und effi­zi­en­te IT-Pro­zes­se sind der Erfolgs­trei­ber für die Geschäfts­mo­del­le der Zukunft. Die Anfor­de­run­gen an das IT-Manage­ment der Ban­ken sind immens. Neben strik­ter Kos­ten­kon­trol­le rücken ange­sichts der Bedro­hung durch Cyber-Angrif­fe Infor­ma­ti­ons­si­cher­heit und IT-Risi­ko­ma­nage­ment in den Fokus. Die Insti­tu­te sehen sich mit immer stren­ge­ren, zuneh­mend tech­ni­schen regu­la­to­ri­schen Vor­ga­ben (BAIT, EBA, MaRisk, ISO 27000) und strik­terer Aus­le­gung sowie effek­ti­ven Umset­zungs­kon­trol­len im Rah­men von Sonderprüfun­gen kon­fron­tiert. Ent­schei­der im IT-Manage­ment benö­ti­gen daher zukünf­tig „auf Knopf­druck“ voll­stän­di­ge Trans­pa­renz über das aktu­el­le IT-Risi­ko bzw. die Gefähr­dungs­si­tua­ti­on ihrer Orga­ni­sa­tio­nen als Gesamt­über­blick mit Wech­sel­wir­kun­gen, Abhän­gig­kei­ten, Redundan­zen, gemappt auf die aktu­ell gül­ti­gen Vor­ga­ben, um effek­tiv steu­ern zu kön­nen. Der Im­pact von Ver­än­de­run­gen regu­la­to­ri­scher Rah­men­be­din­gun­gen soll­te sofort sicht­bar und effek­ti­ve Maß­nah­men zur Umset­zung der neu­en Vor­ga­ben und Miti­ga­ti­on der insti­tuts­spe­zi­fi­schen Risi­ko­po­si­ti­on ableit­bar sein. Auf­grund der herr­schen­den Kom­ple­xi­tät der IT-Struk­tu­ren der Häu­ser und der anwend­ba­ren Regu­lie­rung bie­tet ein digi­ta­les Frame­work „Digi­tal Regu­la­to­ry Com­pli­an­ce“, DIRC, mit leis­tungs­star­ker Soft­ware­un­ter­stüt­zung (Platt­form­tech­no­lo­gie) hier­bei erheb­li­che Effizienzvorteile.

Ein aktu­el­ler Fach­bei­trag von ban­kon Manage­ment Con­sul­ting GmbH & Co. KG zusam­men mit fin­leap con­nect GmbH und der fin­leap Toch­ter 42Stages GmbH als Reg­Tech-Spe­zia­list in der Fach­zeit­schrift „die bank“ beschreibt die zuneh­men­den Her­aus­for­de­run­gen für Ban­ken durch Cyber-Risi­ken sowie stei­gen­de regu­la­to­ri­sche Anfor­de­run­gen und zeigt pra­xis­er­prob­te digi­ta­le Lösungs­an­sät­ze (Link):

https://​www​.die​-bank​.de/​h​o​m​e​/​b​a​n​k​e​n​-​s​i​n​d​-​a​u​f​-​d​i​g​i​t​a​l​e​-​r​i​s​i​k​o​m​a​n​a​g​e​m​e​n​t​s​y​s​t​e​m​e​-​a​n​g​e​w​i​e​s​e​n​-​2​0​0​37/

Fazit und Aus­blick
Die Digi­ta­li­sie­rung der IT-Com­pli­an­ce ist für Ban­ken unver­zicht­bar. Nur durch intel­li­gen­ten Ein­satz von Platt­form­tech­no­lo­gie kön­nen die Kos­ten­syn­er­gien geschaf­fen wer­den, die lang­fris­tig die Ren­ta­bi­li­tät und Wett­be­werbs­fä­hig­keit der Insti­tu­te sichern. Der Erfolg liegt in der Kom­bi­na­ti­on von Bank­fach­lich­keit und Tech­no­lo­gie. Ein Frame­work wie DIRC kann die effi­zi­en­te Umset­zung unterstützten.

Die Digi­ta­li­sie­rung steht auch im Bereich IT-Com­pli­an­ce erst am Anfang ihrer Mög­lich­kei­ten. Mittelfris­tig ist davon aus­zu­ge­hen, dass das DIRC-Frame­work um eine wei­te­re Ebe­ne „Pro­filing“ erwei­tert wird. Durch Ein­satz von Mus­ter­er­ken­nung und künst­li­cher Intel­li­genz (KI) sol­len orga­ni­sa­to­ri­sche Schwach­stel­len früh­zei­tig iden­ti­fi­ziert und vor­aus­schau­end Risi­ken z. B. aus ver­än­der­ten regu­la­to­ri­schen Rah­men­be­din­gun­gen ein­ge­schätzt wer­den können.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


Wei­te­re Autoren:

Patrick Gie­sen

Mana­ging Direc­tor | 42Stages GmbH

Patrick Gie­sen beglei­te­te als Prü­fer und Bera­ter vie­le Ban­ken im Kon­text von Auf­sichts­prü­fun­gen, war CISO und GW-Beauf­trag­ter und ent­wi­ckelt das hier vor­gestellte Framework.

Andre­as Reuß

CCO | fin­leap con­nect GmbH

Andre­as Reuß ver­fügt als ehe­ma­li­ger Part­ner einer WP-Gesell­schaft und Betrei­ber einer Open Ban­king Platt­form über umfang­rei­che Erfah­rung mit der Umset­zung regu­la­to­ri­scher Anforderungen.

Fallschirm im Schnee

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

ban­kon berät seit Jah­ren sei­ne Kun­den in Ban­ken und Spar­kas­sen bei der Bewäl­ti­gung von regu­la­to­ri­schen Her­aus­for­de­run­gen, die wei­ter­hin mit einer nicht enden­den Dyna­mik die Orga­ni­sa­ti­ons- und Pro­zess­struk­tu­ren der Häu­ser tref­fen. Wir beob­ach­ten für unse­re Kun­den die regu­la­to­ri­schen Ent­wick­lun­gen und sind zu einem frü­hen Zeit­punkt nah an den Auf­sichts­be­hör­den und deren Anfor­de­rungs­ent­wick­lun­gen dran. Aktu­ell sind die Arbei­ten der BaFin und der Spar­kas­sen zum The­ma der 6. MaRisk-Novel­le Ände­run­gen AT 9 ‑Aus­la­ge­rung- in vol­lem Gan­ge. So bewer­ten wir für die Spar­kas­sen die sich nun­mehr kon­kre­ti­sie­ren­den Anfor­de­run­gen an das Out­sour­cing- und Aus­la­ge­rungs­ma­nage­ment, die Pro­vi­der­steue­rung sowie das Risikomanagement.

Für die Spar­kas­sen, die nicht der euro­päi­schen Ban­ken­auf­sicht unter­lie­gen, tre­ten die EBA-Leit­li­ni­en­/­neu­en Out­sour­cing-Stan­dards erst mit Über­füh­rung in natio­na­les Recht in Kraft. Die Über­füh­rung erfolgt sei­tens der BaFin über die Novel­le des Moduls AT 9 der MaRisk (6. MaRisk-Novel­le). Die­ser Pro­zess star­te­te im Herbst 2020 und wird im Jahr 2021 mit Hoch­druck weiterverfolgt.

Sich ver­än­dern­de The­men und Rah­men­be­din­gun­gen für die Spar­kas­sen wer­den hier von ban­kon nur exem­pla­risch benannt:

  • Aus­dif­fe­ren­zie­rung in der Kate­go­ri­sie­rung von großen/komplexen vs. kleinerer/weniger kom­ple­xer Insti­tu­te im Sin­ne der MaRisk-Novellierung
  • Para­me­ter zur Gestal­tung Risi­ko­ana­ly­se und Ergän­zung einer Sze­na­rio­ana­ly­se (qua­li­ta­ti­ve Ansät­ze vs. inter­ne und exter­ne Verlustdatensammlung)
  • Kon­kre­ti­sie­rung Rol­le zen­tra­ler Aus­la­ge­rungs­be­auf­trag­ter und wei­te­rer Rol­len wie z. B. Revision
  • Gestal­tungs­spiel­räu­me für zen­tra­le Erleich­te­run­gen nutz­bar gestal­ten (gemein­sa­me Not­fall­plä­ne, Aus­la­ge­rungs­re­gis­ter, etc.)
  • Gestal­tung und Nut­zung von Auslagerungsmusterverträgen

Die deut­schen Spar­kas­sen haben unter der Regie des Spit­zen­ver­ban­des DSGV und der Regio­nal­ver­bän­de reagiert und haben Ende 2020 ein Pro­jekt mit dem Ziel auf­ge­setzt, Rah­men­be­din­gun­gen, Vor­ga­ben und Hilfs­mit­tel zur Umset­zung der Vor­ga­ben aus der 6. Novel­le für ihre Mit­glieds­in­sti­tu­te zu ent­wi­ckeln und die­se in der Fol­ge nutz­bar für die Häu­ser zu gestalten.

Der DGSV und die Regio­nal­ver­bän­de stel­len bereits heu­te und in über­ar­bei­te­ter Form zukünf­tig den Spar­kas­sen zen­tral Hand­bü­cher, Instrumente/Tools zum Aus­la­ge­rungs­ma­nage­ment sowie einen Aus­la­ge­rungs­mus­ter­ver­trag über die Kanä­le wie z. B. InDok+ und den Umset­zungs­bau­kas­ten zur Ver­fü­gung. Dar­über hin­aus kön­nen die Spar­kas­sen im Rah­men eines indi­rek­ten Steue­rungs­an­sat­zes sog. „Wer­tungs­hil­fen“ für Dienst­leis­ter über die Regio­nal­ver­bän­de in Anspruch nehmen.

Die Spar­kas­sen müs­sen heu­te und auch nach der Novel­lie­rung in Eigen­ver­ant­wor­tung die Maß­nah­men und Akti­vi­tä­ten zum Aus­la­ge­rungs­ma­nage­ment umsetzen.

Dabei wer­den die Spar­kas­sen aut­ark ent­schei­den müs­sen, in wel­chem Umfang sie auf die zen­tra­len Emp­feh­lun­gen und Instrumente/Tools der Ver­bands­sei­te zurück­grei­fen. Juris­ti­sche und kauf­män­ni­sche Bewer­tun­gen sowie Risi­ko­aspek­te wer­den von den Spar­kas­sen wei­ter­hin indi­vi­du­ell ver­ant­wor­tet wer­den müssen.

Die Gesamt­ver­ant­wor­tung für das Aus­la­ge­rungs­ma­nage­ment ver­bleibt auch nach er 6. Novel­le der MaRisk AT 9 bei der jewei­li­gen Spar­kas­se. Eine voll­stän­di­ge Ver­la­ge­rung der Ver­ant­wor­tung auf eine zen­tra­le Steue­rungs­ein­heit ist mit gro­ßer Wahr­schein­lich­keit nicht möglich.

Dem­nach müs­sen alle Spar­kas­sen in Deutsch­land nach der Been­di­gung der vor­be­rei­ten­den Ver­bands­pro­jek­te, die Umset­zung der 6. MaRisk-Novel­le Ände­run­gen AT 9 aktiv gestal­ten, die zen­tral vor­ge­ge­be­nen Emp­feh­lun­gen ihres Spit­zen­ver­bands bewer­ten und mit Blick auf die Indi­vi­dua­li­tät ihres Hau­ses die Nut­zung jeweils umsetzen.

Ger­ne hel­fen wir Ihnen bei der Bewer­tung, der Umset­zungs­ent­schei­dung und der ope­ra­ti­ven Imple­men­tie­rung der not­wen­di­gen Metho­den und Pro­zes­se und schaf­fen somit gemein­sam die opti­ma­le Aus­rich­tung Ihres Hau­ses auf die regu­la­to­ri­schen Anforderungen.

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text der MaRisk sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Background.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


Horizont

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Als 2017 die Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT, kurz BAIT, als Kon­kre­ti­sie­rung der in den MaRisk gere­gel­ten regu­la­to­ri­schen Anfor­de­run­gen an die Infor­ma­ti­ons­tech­nik von Ban­ken ein­ge­führt wur­den, ging ein Rau­nen durch die Com­mu­ni­ty. In der BAIT wur­de erst­mals kon­kret vor­ge­ge­ben, wie die Auf­sicht sich die regu­la­to­rik­kon­for­me Aus­ge­stal­tung der Ban­ken IT vor­stellt. Zwar galt für die BAIT das Pro­por­tio­na­li­täts­prin­zip, das eine Aus­ge­stal­tung anhand der kon­kre­ten Situa­ti­on des jewei­li­gen Insti­tuts zuließ. Prü­fungs­er­fah­run­gen von EZB, Bun­des­bank, BaFin, aber auch der haus­ei­ge­nen Revi­si­ons­ab­tei­lun­gen haben jedoch gezeigt, dass die BAIT nicht als gestal­tungs­frei­er „Papier­ti­ger“ ver­stan­den, son­dern als „umzu­set­zen“ vor­ge­ge­ben wer­den. Die spe­zi­fi­schen Anfor­de­run­gen für kri­ti­sche IT-Struk­tu­ren in dem im Jahr 2018 ergänz­ten KRITS-Modul mach­ten deut­lich, dass der mit der BAIT ein­ge­schla­ge­ne Weg sei­tens der BaFin kon­se­quent fort­ge­führt wird.

Zwei Jah­re sind seit­dem ver­gan­gen. Vie­le Insti­tu­te sind auch heu­te noch damit beschäf­tigt, die auf Grund­la­ge der BAIT erfolg­ten Fest­stel­lun­gen aus inter­nen und exter­nen Prü­fun­gen zu bear­bei­ten und ihre IT com­pli­ant zu gestal­ten. Da steht auch bereits eine signi­fi­kan­te Erwei­te­rung der Anfor­de­run­gen aus der BAIT in den Start­blö­cken. 2020 erfolg­te die Kon­sul­ta­ti­ons­pha­se mit den Insti­tu­ten. Für das kom­men­de Jahr 2021 ist vom Go-live der neu­en Ansprü­che auszugehen.

Drei neue Kapi­tel ergän­zen die bestehen­den Anfor­de­run­gen, von denen die ope­ra­ti­ve IT-Sicher­heit und das IT-Not­fall­ma­nage­ment die bei­den bedeut­sa­me­ren sind im Ver­gleich zum Kapi­tel Kun­den­be­zie­hun­gen zu Zahlungsdienstleistern.

Mit dem neu­en Kapi­tel „ope­ra­ti­ve IT-Sicher­heit“ wer­den die bis­he­ri­gen Anfor­de­run­gen an Netz­werk­si­cher­heit, Sys­tem­här­tung, Pene­tra­ti­ons- und Schwach­stel­len­test geschärft und in einem eige­nen Kapi­tel gebündelt.

Das neue Kapi­tel IT-Not­fall­ma­nage­ment trägt der Tat­sa­che Rech­nung, dass sich die EBA-Gui­de­li­nes expli­zit mit die­sem Hand­lungs­feld befas­sen und ergänzt die BAIT um Inhal­te des IT-Not­fall­ma­nage­ments sowie des Busi­ness-Con­ti­nui­ty-Manage­ments. Neben der Identifi­kation der für Not­fäl­le rele­van­ten Res­sour­cen und Pro­zes­se ste­hen Maß­nah­men zur Gewähr­leis­tung der Fort­füh­rung des Geschäfts­be­triebs im Fal­le von Not­fäl­len im Fokus die­ses Kapi­tels. Hin­zu kom­men Anfor­de­run­gen an die Durch­fü­gung von Tests und Übun­gen zur Sicher­stel­lung der Wirk­sam­keit der defi­nier­ten Vorkehrungen.

Über die neu­en Kapi­tel hin­aus wur­den auch bestehen­de Stel­len kon­kre­ti­siert oder erwei­tert. Eine wesent­li­che Ver­än­de­rung im Ver­gleich zu der bestehen­den BAIT liegt im pro­zes­sua­len Betrachtungsgegenstand.

Stan­den bis­her die IT-Pro­zes­se sowie die IT-Sys­te­me als Infor­ma­ti­ons­ver­bund im Mit­tel­punkt der Betrach­tung, sind jetzt sämt­li­che Geschäfts­pro­zes­se im Fokus, und zwar hin­sicht­lich ihrer Unter­stüt­zung mit­tels IT-Anwen­dun­gen, Infra­struk­tu­ren und Daten. Die­ses ist neu und erwei­tert den Scope nach­hal­tig. Vor allem auch des­halb, weil die Ein­bin­dung von exter­nen Dienst­leis­tungs­part­nern nicht mehr pri­mär auf das Hand­lungs­feld Sourcing/Dienstleister­steuerung beschränkt ist. Viel­mehr sind die IT-rele­van­ten Ele­men­te ihrer Leistungsunter­stützung im Pro­zess rele­van­te Scopes. Der Infor­ma­ti­ons­ver­bund als Betrach­tungs­ge­gen­stand erhält so eine ande­re Kom­ple­xi­tät, die es in der Bank regu­la­to­risch zu mana­gen gilt.

Eben­so eine Aus­wei­tung erfah­ren die Anfor­de­run­gen an IT-Ser­vice­pro­zes­se. So sind mit der Erwei­te­rung der BAIT die bei­den ITIL-Pro­zes­se Capa­ci­ty-Manage­ment und Avai­la­bi­li­ty-Manage­ment in den Insti­tu­ten zu etablieren.

Das Capa­ci­ty-Manage­ment sichert die Kapa­zi­tät der IT-Ser­vices sowie der IT-Infra­struk­tur. Ziel ist, dass alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Kapa­zi­täts- und Per­for­mance­zie­le errei­chen, auch unter Berück­sich­ti­gung zukünf­ti­ger Anforderungen.

Das Avai­la­bi­li­ty-Manage­ment stellt die Ver­füg­bar­keit der IT-Ser­vices sicher, in dem alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Ver­füg­bar­keits­zie­le erreichen.

Wich­tig ist hier­bei der Bezug zu den oben beschrie­be­nen Aus­wei­tun­gen in der Defi­ni­ti­on des Infor­ma­ti­ons­ver­bun­des. Dadurch wird deut­lich, dass eine bank­in­ter­ne Betrach­tung der bei­den neu­en Pro­zes­se zu kurz greift und die betei­lig­ten Dienst­leis­tungs­part­ner ein­zu­bin­den sind.

Nach­ste­hen­de Abbil­dung fasst die­se neu­en, respek­ti­ve ver­schärf­ten Ansprü­che der BAIT-Anfor­de­rung zusam­men und zeigt, wel­che Effek­te die­se auf die Insti­tu­te erwar­ten lassen.

Schon auf den ers­ten Blick wird deut­lich, dass die neu­en eben­so wie die erwei­ter­ten Anfor­de­run­gen der BAIT nicht mit­tels eines „Quick Hit“ zu bewäl­ti­gen sind. Zu umfang­reich waren und sind die Her­aus­for­de­run­gen aus den 2017 und 2018 for­mu­lier­ten Anfor­de­run­gen der BAIT für die Banken.

Ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on des Insti­tuts und dem Grad der für die eige­ne IT gewähl­ten Stan­dar­di­sie­rung gibt es hin­sicht­lich des Umset­zungs­ho­ri­zonts kurz­fris­ti­ge Aspek­te, grund­sätz­lich aber eher eine lang­fris­ti­ge Per­spek­ti­ve. Durch die Aus­wei­tung des Infor­ma­ti­ons­ver­bun­des sind die BAIT kein aus­schließ­li­ches IT-The­ma mehr, son­dern ein Pro­zess­the­ma, das die IT-Unter­stüt­zung des jewei­li­gen Pro­zes­ses im Fokus hat. Damit sind neben den Spe­zia­lis­ten des eige­nen IT-Bereichs zuneh­mend sol­che der rele­van­ten Dienst­leis­tungs­part­ner ein­zu­bin­den. Dar­über hin­aus sind auch Exper­ten aus den Fach­be­rei­chen der Bank zu involvieren.

Damit wird deut­lich, dass ins­ge­samt ein hoher Auf­wand für die Insti­tu­te mit der Umset­zung der Neue­run­gen in der BAIT ver­bun­den ist.

Vor die­sem Hin­ter­grund sind zwei Tätig­kei­ten von her­aus­ge­ho­be­ner Bedeu­tung. Ers­tens die Iden­ti­fi­ka­ti­on des Infor­ma­ti­ons­ver­bunds für die betrof­fe­nen Geschäfts­pro­zes­se, um den Hand­lungs­rah­men und die ein­zu­bin­den­den Par­tei­en trans­pa­rent und voll­stän­dig zu iden­ti­fi­zie­ren. Zwei­tens die dar­auf auf­bau­en­de Ablei­tung einer Umset­zungs­road­map, die auch den aktu­el­len Sta­tus quo des Insti­tuts berücksichtigt.

Um die­ses so ziel­ge­rich­tet wie mög­lich zu tun, ist nicht nur die Kennt­nis der regu­la­to­ri­schen Anfor­de­run­gen ent­schei­dend. Wesent­lich bedeut­sa­mer ist die umfang­rei­che Pra­xis­ex­per­ti­se zu Bank­pro­zes­sen sowie der in den Pro­zes­sen ein­ge­setz­ten IT-Sys­te­me und ihrer Schnitt­stel­len unter­ein­an­der. In Kom­bi­na­ti­on mit Erfah­run­gen aus Audit- und Umset­zungs­pro­jek­ten im Kon­text Ban­ken­re­gu­la­to­rik stel­len sie die kri­ti­schen Erfolgs­fak­to­ren dar, eine effi­zi­en­te Umset­zung der BAIT-Neue­run­gen zu pla­nen und durchzuführen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet in der Iden­ti­fi­ka­ti­on aller betei­lig­ten Assets am Infor­ma­ti­ons­ver­bund, der effi­zi­en­ten Erstel­lung einer Umsetzungs­roadmap für die BAIT-Neue­run­gen sowie der Umset­zung selbst.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


Heizung

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

EBA-ICT, MaRisk 6. Novel­le, BAIT – von allen Sei­ten wer­den die IT- und Gover­nan­ce-Spe­zia­lis­ten der Ban­ken im Moment mit neu­en oder teil­wei­se ver­schärf­ten regu­la­to­ri­schen Anfor­de­run­gen kon­fron­tiert. In kei­ner Wei­se soll die posi­ti­ve Absicht hin­ter die­sen Maß­nah­men in Abre­de gestellt wer­den. Aber es stellt sich den­noch die Fra­ge, wie­viel die­ser regu­la­to­ri­schen Vor­ga­ben durch die deut­schen Ban­ken bewäl­tigt wer­den kön­nen und wie. Ver­schärft wird die­se Fra­ge durch die Tat­sa­che, dass vie­le Insti­tu­te aktu­ell Pro­jek­te und Vor­ha­ben durch­füh­ren, die noch vor­an­ge­gan­ge­ne Anfor­de­run­gen umset­zen oder die Eta­blie­rung im Lini­en­be­trieb sicherstellen.

Regulatorik - Neue Anforderungen RJO
Regu­la­to­rik – Neue Anforderungen

Erschwe­rend kommt eben­falls noch hin­zu, dass die Umset­zung durch die Auf­sichts­gre­mi­en in zuneh­mend enge­rer Tak­tung kon­trol­liert wird. EZB, Bun­des­bank und BaFin sind umfang­reich in den Insti­tu­ten vor Ort, um die erfolg­rei­che Umset­zung zu ver­pro­ben. Erfolg­reich heißt hier­bei jedoch nicht nur die Doku­men­ta­ti­on eines abge­schlos­se­nen Pro­jek­tes, son­dern die ope­ra­ti­ve Nach­weis­füh­rung, dass die ein­ge­führ­ten oder ver­än­der­ten Pro­zes­se in der Linie eta­bliert sind und kon­se­quent durch­lau­fen wer­den. Dar­auf auf­bau­en­de KVP- oder Les­sons-Lear­ned-Pro­zes­se wer­den dabei als obli­ga­to­risch imple­men­tiert vorausgesetzt.

Die Prü­fun­gen mani­fes­tie­ren damit eine deut­lich gestie­ge­ne Anfor­de­rungs­qua­li­tät an den in den Insti­tu­ten ver­an­ker­ten regu­la­to­ri­schen Reifegrad.

Nun lässt sich zwar fest­stel­len, dass vie­le der regu­la­to­ri­schen Vor­ga­ben auf­ein­an­der auf­bau­en. Anfor­de­run­gen aus der euro­päi­schen Per­spek­ti­ve (EBA-ICT) wer­den im Rah­men der 6. MaRisk-Novel­le in natio­na­le Vor­ga­ben über­führt und in den BAIT kon­kre­ti­siert. Die­se poten­zi­el­le Syn­er­gie gilt aber nicht in aller Voll­stän­dig­keit für Insti­tu­te jeder Grö­ßen­klas­se. Dar­über hin­aus blei­ben auch unter Berück­sich­ti­gung die­ser Fak­to­ren erheb­li­che Umset­zungs­an­for­de­run­gen für die Ban­ken. Die Her­aus­for­de­run­gen, die sich für die Insti­tu­te dar­aus erge­ben, sind unterschiedlich:

Grö­ße­re Insti­tu­te, vor allem mit inter­na­tio­na­ler Aus­rich­tung, erreicht die „vol­le Wucht“ der regu­la­to­ri­schen Anfor­de­run­gen. Die­se tref­fen aber auch auf Zen­tral­be­rei­che der IT, Gover­nan­ce oder Com­pli­an­ce, die grund­sätz­lich über die zur Bewäl­ti­gung die­ser Anfor­de­run­gen erfor­der­li­che Qua­li­fi­ka­ti­on und quan­ti­ta­ti­ve Aus­prä­gung verfügen.

Klei­ne­re Insti­tu­te mit eher regio­na­ler Aus­rich­tung sind von regu­la­to­ri­schen Anfor­de­run­gen unter­schied­lich betrof­fen. Eine wesent­li­che Unter­schei­dungs­kom­po­nen­te ist hier der Umfang aus­ge­la­ger­ter Tätig­kei­ten. Je höher und je indi­vi­du­el­ler der Aus­la­ge­rungs­grad, umso stär­ker die regu­la­to­ri­schen Berüh­rungs­punk­te. Ver­stär­kend kommt hier jedoch hin­zu, dass gera­de bei einer weit­ge­hen­den Aus­la­ge­rung das Exper­ten­wis­sen dadurch abge­baut wur­de. Viel­fach ist das zur Bewäl­ti­gung der regu­la­to­ri­schen Anfor­de­run­gen erfor­der­li­che Know-how nicht mehr in aus­rei­chen­der Quan­ti­tät in den Insti­tu­ten vorhanden.

Die Schluss­fol­ge­rung, dass in die­sen Fäl­len die erfor­der­li­che Exper­ti­se durch Ein­stel­lung neu­er Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter zuge­führt wer­den muss, ver­nach­läs­sigt eine wesent­li­che Kom­po­nen­te – den Fachkräftemangel.

Exper­ten in IT-Regu­la­to­rik, Gover­nan­ce oder Com­pli­an­ce sind am Markt stark gesucht und nicht in aus­rei­chen­der Quan­ti­tät vor­han­den. Die Wei­ter­bil­dung eige­ner Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in die­sen The­men ist eine eher lang­fris­tig aus­ge­rich­te­te Lösung. Das Wis­sen extern ein­zu­kau­fen ist aus Kos­ten­grün­den auch nicht ohne Wei­te­res möglich.

Wel­che Mög­lich­kei­ten gibt es aber, aus die­sem Dilem­ma zu ent­kom­men und den stei­gen­den regu­la­to­ri­schen Anfor­de­run­gen als Insti­tut gerecht zu werden?

Aus Sicht von ban­kon hat sich die Ein­rich­tung eines zen­tra­len Regu­la­to­rik-Office bewährt. Die­ses koor­di­niert insti­tuts­weit die Akti­vi­tä­ten zu regu­la­to­ri­schen Ver­än­de­run­gen sowie der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prü­fun­gen. In sei­ner Aus­ge­stal­tung ermög­licht es insti­tuts­in­di­vi­du­el­le Anpas­sun­gen vor dem Hin­ter­grund der Grö­ße sowie der Geschäfts- und Risi­ko­struk­tur der Bank. Es ist damit der Sin­gle-Point-of-Truth für regu­la­to­ri­sche The­men in der Bank.

Regulatorik-Office RJO

Die Abbil­dung der aktu­el­len regu­la­to­ri­schen Situa­ti­on der Bank erfolgt über ein zen­tra­les Regu­la­to­rik-Back­log. Des­sen Inhalt sind die insti­tuts­in­di­vi­du­ell bewer­te­ten regu­la­to­ri­schen The­men sowie die im regu­la­to­ri­schen Kon­text iden­ti­fi­zier­ten bank­spe­zi­fi­schen Defizite.

Owner die­ses Back­logs ist das Regu­la­to­rik-Office, das auch für die inhalt­li­che Befül­lung ver­ant­wort­lich ist. Im Rah­men von inter­nen und exter­nen Prü­fungs­hand­lun­gen iden­ti­fi­zier­te Defi­zi­te wer­den hier zen­tral abge­legt. Sie sind die rele­van­te Infor­ma­ti­ons­quel­le für das Auf­set­zen regu­la­to­ri­scher Vor­ha­ben oder Pro­jek­te im Rah­men des Projektplanungsprozesses.

Die Vor­tei­le die­ser orga­ni­sa­to­ri­schen und infor­ma­to­ri­schen Bün­de­lung lie­gen auf der Hand:

  • För­de­rung der bank­in­ter­nen Ver­zah­nung von Berei­chen, die mit regu­la­to­ri­schen The­men befasst sind, z. B. Unter­neh­mens­steue­rung, IT, Infor­ma­ti­ons­si­cher­heit, Orga­ni­sa­ti­on, Pro­jekt­port­fo­li­o­steue­rung, Not­fall­ma­nage­ment oder Dienstleistersteuerung
  • Mit­wir­kung bei über­grei­fen­den Initia­ti­ven, z. B. zum insti­tuts­grup­pen­spe­zi­fi­schen Umgang mit regu­la­to­ri­schen Anfor­de­run­gen im Kon­text Sourcing
  • Effi­zi­en­te Unter­stüt­zung inter­ner und vor allem exter­ner Prü­fun­gen durch die Wahr­neh­mung der Funk­ti­on eines zen­tra­len Prüfungs-Offices
  • Vor­aus­set­zung einer sys­te­ma­ti­schen, prio­ri­sier­ten Bear­bei­tung regu­la­to­ri­scher Defi­zi­te mit­tels Vor­ha­ben und Projekten
  • Sicher­stel­lung bank­in­ter­ner Ver­tre­tungs­mög­lich­kei­ten im Kon­text Regulatorik
  • Unter­stüt­zung der Aus­bil­dung bank­in­ter­nen Wis­sens zu regu­la­to­ri­schen Themen

Die Syn­er­gien und Vor­tei­le sichern den Insti­tu­ten die Fähig­keit, regu­la­to­ri­sche Anfor­de­run­gen bewäl­ti­gen zu kön­nen. Die Bün­de­lung der Kräf­te ermög­licht den Ban­ken, und hier beson­ders mit­tel­gro­ßen und klei­ne­ren Insti­tu­ten, die Sicher­stel­lung der erfor­der­li­chen regu­la­to­ri­schen Governance.

Denn unab­hän­gig von der Fra­ge, wie­viel Regu­la­to­rik deut­sche Ban­ken ver­tra­gen, lässt sich die Ten­denz zur Aus­wei­tung regu­la­to­ri­scher Anfor­de­run­gen zumin­dest auf Ebe­ne von Ein­zel­in­sti­tu­ten nicht auf­hal­ten. Es kön­nen aber sehr wohl die Vor­aus­set­zun­gen geschaf­fen und opti­miert wer­den, mit die­sen Anfor­de­run­gen umzugehen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet im Set­up zen­tra­ler Regu­la­to­rik-Offices und der erfor­der­li­chen Über­füh­rung in einen Regel­be­trieb. Bei Bedarf unter­stützt ban­kon auch ope­ra­tiv im Betrieb des Regu­la­to­rik-Office z. B. in der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prüfungen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de


Gewinner-Verlierer

Deutscher Bankensektor: Quo vadis? – Gewinner oder Verlierer

Ver­än­de­run­gen im Ban­ken­markt – Sta­tus quo

Immer mehr regu­la­to­ri­sche Vor­schrif­ten (BAIT, EBA, ISO, MaRisk, BSI, Basel usw.), tech­no­lo­gi­sche Trends (Fin­Techs, Digi­ta­li­sie­rung …) und der Wan­del in ein bran­chen­über­grei­fen­des Öko­sys­tem sind wesent­li­che Trei­ber aktu­el­ler Ver­än­de­run­gen im Ban­ken­markt. Die Grund­satz­fra­ge nach der zukünf­ti­gen Rol­le von Ban­ken in einer digi­ta­len Welt beein­flusst die Aus­rich­tung des Geschäfts­mo­dells glei­cher­ma­ßen wie Inves­ti­tio­nen in die Ban­ken­ar­chi­tek­tur. Dabei wird dar­auf zu ach­ten sein, dass der Fokus nicht nur im „RUN the bank“ liegt, son­dern vor allem im „CHANGE the bank“. Das zukünf­ti­ge Ange­bot ori­en­tiert sich hier­bei sehr stark an den Bedürf­nis­sen von Kun­den, Mitarbeitern/Mitarbeiterinnen, Part­nern und Wett­be­wer­bern. Die Erfül­lung der Erwar­tun­gen unter­schied­li­cher Ziel­grup­pen (v. a. Fir­men­kun­den und Pri­vat­kun­den) ste­hen hier­bei im Mittelpunkt.

Erfolgsfaktoren
Erfolgs­fak­to­ren

Was sind nun wich­ti­ge Erfolgsfaktoren?

Die zukünf­ti­gen Geschäfts­mo­del­le der Ban­ken soll­ten auf fol­gen­de The­men ent­spre­chen­de Ant­wor­ten haben:

  • Bedürf­nis­se der Kun­den ken­nen, ver­ste­hen und die pas­sen­den Pro­duk­te und Ser­vices anbie­ten. Ein sen­si­bler Umgang mit Daten, der Mut zur Nut­zung von Inno­va­tio­nen und die Zusam­men­ar­beit mit Fin­Techs sind dabei wich­ti­ge Erfolgs­fak­to­ren. Das Ange­bot in der Filia­le wird dabei immer mehr durch Funk­tio­nen in der Smart­pho­ne App abgelöst.
  • Neben der Umset­zung von regu­la­to­ri­schen Vor­ga­ben geht es immer mehr um die Öff­nung der Ban­ken nach außen. Die Nut­zung der Inno­va­ti­ons­kraft neu­er Anbie­ter im Markt durch Fin­Techs oder GAFAs kann sich durch­aus posi­tiv aus­wir­ken. Neue Anbie­ter stel­len die Inter­es­sen und Gewohn­hei­ten der Kun­den häu­fig anders in den Mittelpunkt.
  • Die Trans­for­ma­ti­on der Ban­ken-IT in eine modu­la­re Inno­va­tions-IT mit immer kür­ze­ren Updatezy­klen muss mit der wach­sen­den Regu­la­to­rik und den zuneh­men­den Kun­den­er­war­tun­gen Schritt hal­ten. Dies eröff­net zudem Mög­lich­kei­ten, neue Ertrags­quel­len zu erschließen.
  • Betrach­tet man die ope­ra­ti­ve Kos­ten­si­tua­ti­on der Ban­ken, sind die Belas­tun­gen trotz unver­meid­ba­rer regu­la­to­ri­scher Inves­ti­tio­nen in den letz­ten Jah­ren nur leicht gestie­gen. Die Eigen­ka­pi­tal­ren­di­te deut­scher Ban­ken liegt im inter­na­tio­na­len Ver­gleich dage­gen auf einem sehr nied­ri­gen Niveau. Der aktu­el­le Kon­so­li­die­rungs­kurs im Ban­ken­sek­tor wird sich wei­ter ver­stär­ken. Dabei wer­den sich zen­tra­le Pro­dukt- und Platt­form­an­bie­ter für spe­zi­fi­sche kun­den- und markt­re­le­van­te The­men her­aus­kris­tal­li­sie­ren. Zusätz­lich wird es eine wei­te­re Ver­schmel­zung von IT-Dienst­leis­tern sowie eine Kon­so­li­die­rung von Markt­fol­ge­tä­tig­kei­ten geben. Zudem lässt sich auch die Bil­dung von sog. Kom­pe­tenz­zen­tren in Ver­bün­den beobachten.
  • Ein wei­te­rer wich­ti­ger Fak­tor ist die Ver­än­de­rungs­be­reit­schaft. Der Kul­tur­wan­del bzw. die Ver­än­de­run­gen und deren Akzep­tanz soll­te von gestal­te­ri­schem Han­deln von­sei­ten des Bank­ma­nage­ments geprägt sein.

Sicher­lich gibt es noch wei­te­re Fak­to­ren, die hier genannt wer­den kön­nen. Der ein­ge­setz­te Trend lässt sich jedoch ein­deu­tig erken­nen. Die­ser wird auch noch deut­lich an Fahrt zunehmen.

Wer sind nun die Gewin­ner bzw. Verlierer?

Betrach­tet man die Mög­lich­kei­ten der Markt­po­si­tio­nie­rung, bil­den sich unter­schied­li­che Ent­wick­lungs­sze­na­ri­en her­aus. Ein Schwer­punkt liegt hier bei der Fokus­sie­rung auf eine bestimm­te Regi­on oder in der Kon­zen­tra­ti­on auf ein spe­zi­el­les Pro­dukt. Bei die­sem Sze­na­rio wer­den die Geschäfts­mo­del­le adap­tiert. Loka­len Ban­ken steht hier die Mög­lich­keit offen, die geo­gra­phi­sche Nähe zum Kun­den aus­zu­spie­len. Durch die regio­na­le Ver­an­ke­rung bie­ten Sie ein umfas­sen­des Pro­dukt­an­ge­bot an. Die Bank besetzt hier die wich­ti­ge Kun­den­schnitt­stel­le und bin­det ande­re Dienst­leis­ter und Anbie­ter an. Dane­ben bleibt die Mög­lich­keit, sich über ein spe­zi­fi­sches Pro­dukt oder Dienst­leis­tungs­an­ge­bot am Markt zu posi­tio­nie­ren. Loka­le und über­re­gio­na­le Ban­ken haben hier ver­gleich­ba­re Ansät­ze und tre­ten in eine Kon­kur­renz­si­tua­ti­on. Ban­ken ohne regio­na­le Ver­an­ke­rung oder eine ent­spre­chen­de Posi­tio­nie­rung als Anbie­ter wer­den im Wett­be­werb frü­her oder spä­ter der fort­schrei­ten­den Kon­so­li­die­rung zum Opfer fallen.

Betrach­ten wir nun die Bezie­hung zwi­schen der tra­di­tio­nel­len Bank und den Kun­den. Hier kommt es zu einem schnel­len und nach­hal­ti­gen Durch­bruch neu­er Tech­no­lo­gien, die von Kun­den­sei­te genutzt wer­den. Ein nach­hal­ti­ger Nut­zen wird erreicht, wenn ein Anbie­ter einem Kun­den ein opti­ma­les Ange­bot erstellt, erklärt und lie­fert. Je bes­ser die tech­no­lo­gi­schen Mög­lich­kei­ten genutzt wer­den, umso ein­fa­cher kann es für den Kun­den sein. So ist bei vie­len Dienst­leis­tun­gen, z. B. im Zah­lungs­ver­kehr, kein Kun­den­kon­takt not­wen­dig. Alter­na­tiv kann sich die Bank als Anbie­ter für Pro­duk­te posi­tio­nie­ren, die aus Risi­ko­sicht nicht über Platt­for­men ange­bo­ten wer­den (z. B. Finan­zie­run­gen). Die Rol­le der Bank als Risi­ko­part­ner ist vor allem für über­re­gio­na­le Ban­ken auf­grund der Diver­si­fi­zie­rung inter­es­sant. Wenn es dann noch gelingt, Ska­len­vor­tei­le nut­zen zu kön­nen, sind die Vor­aus­set­zun­gen schon viel­ver­spre­chend. Wich­tig hier­bei wird jedoch sein, das Pro­dukt­an­ge­bot wei­ter zu erneu­ern und den Kun­den­nut­zen wei­ter­hin im Blick zu haben. Die Kun­den­nä­he, die nach tra­di­tio­nel­ler Art immer durch eine vor Ort-Prä­senz defi­niert wur­de, wird immer mehr durch die Digi­ta­li­sie­rung zurückgedrängt.

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Positionierung.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, damit die Bewer­tung der Zukunfts­trends wie­der aus­ge­gli­chen ist.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de