Schlagwort: Prozess

ITIL – Zaubermittel eines regulatorikkonformen Multiprovidermanagements?

Veröffentlicht am 9. März 2023 von Ralf-Michael Jendro

Aus der Sicht des IT-Managements bringt ITIL eine notwendige Zutat mit, die für ein „Zaubermittel“ unerlässlich ist – das notwendige Alter mit einem entsprechenden Reifegrad. Hierbei darf jedoch nicht verkannt werden, dass ITIL von seinem Ursprung Ende der 80er Jahre bis heute eine erhebliche Weiterentwicklung durchlaufen hat.

Ursprünglich bestand die Neuartigkeit von ITIL in der IT darin, auf die Erfordernisse der Kunden ausgerichtet zu sein. Effektive Prozesse und klar zugeordnete Verantwortlichkeiten standen im Fokus. Erste Weiterentwicklungen ergänzten weitere Prozesse, bis in einer grundlegenden Überarbeitung der Service LifeCycle in den Mittelpunkt rückte. Hierbei wurden weitere Prozesse ergänzt und die Zielsetzung von ITIL dergestalt geschärft, dass eine messbare, positive Wertschöpfung für den Kunden im Fokus steht und diese einen relevanten Mehrwert für das Unternehmen schafft. Schwerpunkte der weiteren Entwicklungsschritte zur aktuellen Version ITIL 4 waren neue Technologien und das Service-Management, die eingebunden wurden in das ITIL Service Value System (SVS).

Neben dem SVS erfolgte im Kontext des Service-Managements die Überführung der bestehenden 4 Ps von ITIL (Personen, Produkte, Partner und Prozesse) in ein Modell mit vier Dimensionen, die über die ursprünglichen 4 Ps hinausgehen:

Organisationen und Menschen
Informationen und Technologie
Partner und Lieferanten
Wertströme und Prozesse

Auf diese Weise hat ITIL in den vergangenen 35 Jahren seinen Best-Practice-Charakter stets an den aktuellen Veränderungen und Gegebenheiten des IT-Managements ausgerichtet.

Die Veränderung der IT in Banken und die Weiterentwicklung der Best Practices von ITIL verliefen zeitlich und inhaltlich vielfach im Gleichklang. Für die Banken-IT war diese gemeinsame Entwicklung essenziell. Verantwortlich dafür sind vor Allem vier Trends:

Ohne IT sind Bankdienstleistungen kaum noch zu erbringen
Die technische Komplexität und Heterogenität sind erheblich angewachsen
IT-Prozesse sind durch ein unternehmensübergreifendes Wertschöpfungsnetzwerk gekennzeichnet
Der Bedeutung entsprechend sind die regulatorischen Anforderungen an die Bank-IT erheblich gestiegen

Der erste Punkt ist einfach nachzuvollziehen. Die weiteren drei Punkte sind stark miteinander verzahnt. So führte die wachsende Komplexität und Heterogenität der Bank-IT vielfach dazu, dass wesentliche Teile an spezialisierte Dienstleistungspartner ausgegliedert wurden. Beispielhaft seien hier der Desktop Service, der Betrieb von Kernbanksystemen, die Bereitstellung von Cloud-Services sowie spezifische IT-Security-Leistungen genannt.

Die Steuerung des sich daraus ergebenden Wertschöpfungsnetzwerkes aus internen und extern erbrachten Leistungen und Prozessanteilen ist aktuell dominierende Kernaufgabe der IT Deutscher Banken. Auch den für Regulatorik von Banken zuständigen Instanzen in Europa und Deutschland (z. B. EBA, EZB, Bundesbank) ist dieses bewusst. In der Konsequenz werden die regulatorischen Anforderungen an die IT in Banken in immer kürzeren Abständen in Breite und Tiefe ausgebaut. Für die Auslagerung von IT-Leistungen der Banken an Dienstleistungspartner gelten gleich eine Vielzahl, sich in Teilen überschneidende, regulatorische Anforderungen. Nachstehende Darstellung verdeutlicht dieses:

Die Herausforderung für die Bank-IT ist damit definiert. Das Wertschöpfungsnetzwerk der IT-Prozesse ist effizient und konform zu regulatorischen Anforderungen zu gestalten und zu steuern. Eine ausschließlich providerorientierte Strukturierung ist hierfür nicht zielführend. Zum einen entspricht diese mehrheitlich nicht der aktuellen Situation des Auslagerungsportfolios der Banken, zum anderen gestattet sie nur wenig Flexibilität für eine providerunabhängige Erweiterung des Serviceportfolios.

Es wird deutlich, dass hier nur ein ganzheitlicher Ansatz mittels mit End-to-End-Ausrichtung zur Lösung beitragen kann. Welche Rolle kann ITIL hierbei spielen, und welche Lösungen kann ITIL anbieten?

Durch die systematische Weiterentwicklung unterstützt ITIL spezifische IT-Management-Prozesse, bietet aber auch prozess- und serviceübergreifende Steuerungsansätze über das gesamte IT-Universum der Bank. Dieses schließt auch Leistungen ein, die durch Dritte erbracht werden.

Mittels ITIL kann die erforderliche Transparenz geschaffen werden, die der Bank eine regulatorikkonforme und effiziente Steuerung der Gesamt-IT ermöglicht. Unterstützung bietet hierbei die Management-Methodik des Service Integration and Management, kurz SIAM.

SIAM ist nicht Inhalt von ITIL, sondern ist ausgelegt auf die Steuerung multipler Providerstrukturen, nutzt hierzu aber die Konzepte zum IT Service Management aus ITIL. Die Strukturen eines SIAM führen in einem Multiprovidermanagement die Geschäftsprozesse und die für ihre Leistungserbringung erforderlichen IT-Services zusammen. Seitens der IT bereitgestellte Services umfassen hierbei providerübergreifend sowohl Infrastrukturkomponenten, Netzwerkkommunikation, Datenhaltung, IT-Anwendungen/Applikationen als auch deren Bereitstellung am Arbeitsplatz. Entstanden ist SIAM im Jahr 2012 mit Erscheinen des XGOV Strategic SIAM reference set der britischen Regierung und basiert auf einem Best Practice-orientierten Vorgehen.

Welche Gestaltungsfelder für eine Serviceintegration und ein Servicemanagement ergeben sich daraus für die Bank, die im Rahmen der Einführung zu berücksichtigen sind? Die folgende Abbildung skizziert die aus unserer Sicht relevanten Felder:

I. Strategie

Das providerübergreifende, integrative Management der IT-Services ist notwendigerweise Bestandteil der IT Strategie sowie der darunterliegenden Ausprägungen z. B. einer Sourcing- oder Cloud Strategie. Dieses ist aufgrund der Ausrichtung der IT-Services auf die Geschäftsprozesse erforderlich, da die IT-Strategie die Verknüpfung zur Geschäftsstrategie bildet.

II. Organisation

Wesentlicher Fokus ist hier das Scoping und damit die Identifikation der relevanten IT-Services. Hierbei sind Business- und Infrastrukturperspektive miteinander zu verbinden. Die organisatorische Verankerung des integrierten Multiprovidermanagements geschieht über spezifische Rollen, die mit dem bestehenden Rollenmodell zu verknüpfen sind. Mit diesen Rollen einhergehende Aufgaben werden verantwortlichen Personen zugeordnet. Dieses Vorgehen verbindet Rollen, Verantwortlichkeiten und Aufgaben in einer Matrix, welche wesentliche Grundlage für die quantitative Personalplanung ist.

III. Prozesse

Wesentliches Element ist die providerübergreifende Orchestrierung der IT-Serviceprozesse im Sinne eines End-to-End-Gedankens. Sie ist Voraussetzung einer Unterstützung dieser Prozesse mittels etablierter IT-Managementprozesse wie Incident‑, Problem- oder Change-Management. Entsprechend der Kritikalität der Prozesse sind Reporting- und Kontrollverfahren zu etablieren, die durch geeignete KPIs unterlegt werden müssen.

IV. Tools

Erfolgskritisch ist in erster Linie die Verfügbarkeit der für die IT-Serviceprozesse End-to-End erforderlichen Informationen. Diese müssen an einer zentralen Stelle gebündelt sein, an die jeder Provider seine Daten zuliefert und aktuell hält. Dieser Datenpool wird im Rahmen der IT-Managementprozesse genutzt und ist Basis für eine workfloworientierte Prozessbearbeitung unter Einbindung der Provider. Hierfür bietet es sich an, eine marktgängige Plattform zu verwenden, die sowohl die Datenhaltung als auch die prozessualen Workflows unterstützt. Offene Standardschnittstellen ermöglichen die flexible Einbindung weiterer Provider und Assets.

V. Verträge

Idealerweise sind die Vertragsinformationen in der obigen Plattform hinterlegt und stehen als Information zur Verfügung. Neben dem Informationscharakter ist jedoch vor allem sicherzustellen, dass die für ein Multiprovidermanagement erforderlichen technischen, prozessualen und regulatorischen Sachverhalte Inhalt der Vertragswerke von Bank und Provider sind. Besonders sei an dieser Stelle darauf hingewiesen, dass ein flexibles Multiprovidermanagement nicht nur ein Onboarding von Leistungen des Providers erfordert, sondern auch die Häufigkeit eines Offboarding erhöht ist. Dafür erforderliche Exit-Vereinbarungen sind aus diesem Grund eine Komponente, die vertraglich geregelt sein muss.

Bietet ITIL nun das Wundermittel für ein regulatorikkonformes Providermanagement, gegebenenfalls unter Hinzufügen einer „Prise“ SIAM?

Obige Ausführungen machen deutlich: Der Zaubertrank für ein regulatorikkonformes Multiprovidermanagement ist ITIL nicht. Aber ITIL enthält die dafür erforderlichen Zutaten. Diese sind in der IT der Bank unter Zusammenwirken mit weiteren relevanten Stakeholdern wie z. B. Einkauf oder Compliance zusammenzustellen und mit erforderlichen Tools zu etablieren. ITIL bildet eine Art Rezeptbuch und wird damit seinem Best-Practice-Ansatz gerecht. Die Bank hat aber entsprechend der individuellen Ausgangssituation aus IT-Komplexität, End-to-End-Reifegrad der IT-Prozesse, Ausgestaltung des IT-Auslagerungsportfolios sowie regulatorischem Status quo das Multiprovidermanagement auszugestalten. Hier unterstützt der Managementansatz SIAM und bietet Hilfestellung in der bedarfsgerechten Konzeption und Etablierung.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Management (ITIL), Providermanagement, IT-Services sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisations- und Providerstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Erfahrungen aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht ergänzen diese Praxiserfahrung um regulatorische Kompetenz.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

DORA – Neue regulatorische Anforderungen für europäische Banken

Veröffentlicht am 27. September 202227. September 2022 von Ralf-Michael Jendro

Zielsetzung und Inhalt von DORA:

DORA (Digital Operational Resilience Act) ist der europäische Verordnungsentwurf zur digitalen operationalen Resilienz im Finanzsektor. Es ist einer von vier regulatorischen Bausteinen zu dessen Digitalisierung. 2020 wurde DORA von der Europäischen Kommission vorgelegt. Das Inkrafttreten der Verordnung ist um den Jahreswechsel 2022/2023 zu erwarten.

Im Fokus von DORA steht die digitale Betriebsstabilität als Fähigkeit von Finanzunternehmen, IT-Systeme aufzubauen, deren Betrieb sicherzustellen und zu überprüfen. Eingesetzte Informations- und Kommunikationstechnologien dürfen nicht durch betriebliche Störungen, wie z. B. technische Ausfälle oder Cyberangriffe, die Erbringung von Finanzdienstleistungen gefährden. Diese Anforderung schließt auch die direkt oder indirekt von Drittanbietern genutzten Dienste ein. Finanzunternehmen haben, insbesondere auch im Zusammenwirken mit ihren Dienstgebern, die erforderlichen Vorkehrungen zu treffen, um auf alle denkbaren Beeinträchtigungen und Bedrohungen in der IT vorbereitet zu sein und Zwischenfälle zu überstehen.

Mit DORA verfolgt die europäische Union drei Kernziele:

Vereinheitlichung bestehender nationaler und europäischer Standards und Vorgaben
Gewährleistung, dass alle erforderlichen Maßnahmen zur Absicherung gegen Cyberrisiken und ‑angriffe getroffen werden
Schaffung eines Rechtsrahmens zur direkten Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, sobald diese für Finanzunternehmen tätig sind

Inhaltlich umfasst DORA sechs Schwerpunkte

IKT-Risikomanagement – Finanzunternehmen sollen über einen „geeigneten Rahmen“ an Risikomanagementwerkzeugen für ihre Informations- und Kommunikationstechnik (IKT), ausreichend Kapazitäten und Ressourcen verfügen. Diese sind zu dokumentieren sowie deren Aktivitäten zu protokollieren, um den Aufsichtsbehörden darüber zu berichten. Dafür muss im Unternehmen eine eigene verantwortliche Stelle eingerichtet sein.
Berichterstattung – Die durchgeführten Tests sind zu protokollieren. Die Berichterstattung hat bereits vorzusehen, dass mögliche Vorfälle bzw. Störungen zu klassifizieren und zu clustern sind (wie viele Betroffene, in welchem Gebiet, welche Daten betroffen, etc.). Für die Durchführung der Dokumentation und Berichterstattung sollen Standards vorgegeben werden.
Regelungen für Tests – In regelmäßigen Abständen – mindestens einmal pro Jahr – müssen die Systeme einem Test unterzogen werden. Grundlage sind die Regelwerke der Bank. Im Rahmen der Tests sind unterschiedliche Bedrohungsszenarien zu berücksichtigen und anhand von Testfällen zu simulieren. Auf Grundlage der Erkenntnisse aus der Testdurchführung sind institutsindividuelle Präventionsmaßnahmen zu spezifizieren. Diese setzen bereits im Erkennen von Bedrohungen an und reichen bis zu Regelungen von Backupmaßnahmen.
IKT-Drittanbieter – Das Risikomanagement von Dienstleistungspartnern in der IT steht hier im Mittelpunkt. Der Scope geht aber über die vertraglichen Regelungen zur Auslagerung hinaus. Eine besondere Regelung erfahren sogenannte kritische Dienstleister, die ausgelagerte digitale Leistungen für Institute erbringen. Abgezielt wird hier z. B. auf die Angebote von „Big Techs“ im Kontext Cloud-Computing-Leistungen. Hier ist für die europäischen Aufsichtsorgane die Berechtigung vorgesehen, auf Dokumente zuzugreifen, Vor-Ort-Prüfungen durchzuführen, Empfehlungen oder Anweisungen auszusprechen sowie Maßnahmen zur Abhilfe zu fordern. Hierfür ist die Breitstellung eines Mechanismus vorgesehen, der die Kritikalität von Dienstleistungsanbietern bestimmt.
Informationsaustausch – Regelungen zum Informationsaustausch über Cyberbedrohungen inklusive der Regelung, wie Vereinbarungen dazu gestaltet sein müssen.
Governance - Für die Durchsetzung des geplanten Regelwerks sind die Aufsichtsbehörden vorgesehen, die bereits jetzt für die Aufsicht der im Anwendungsbereich befindlichen Unternehmen zuständig sind.

Zur Erreichung dieser sechs Zielvorgaben der Aufsicht stehen für die Finanzinstitute folgende Themen im Fokus der Umsetzung, da sie in Teilen über die bestehenden regulatorischen Anforderungen herausgehen:

Stärkung der operationellen digitalen Resilienz der Banken mittels Vorgaben zum Digital Operational Resilience Testing (inklusive Penetrationstests)
Sicherstellung einer stringenten und konsequenten Überwachung ausgelagerter Dienstleistungserbringung in der Informations- und Kommunikationstechnik
Ausweitung von Meldepflichten zu schwerwiegenden IKT-Incidents auf den gesamten Finanzsektor
Erweiterung der Anforderungen an das Management von Informationsrisiken und Informationssicherheit

DORA für Banken in Deutschland:

Diese auf die IT-Sicherheit einzahlenden Schwerpunkte werden mit DORA detaillierter beschrieben als in bestehenden regulatorischen Regelungen wie BAIT oder ISO 27xxx und darüber hinaus auf eine europäische Ebene gehoben, um einen einheitlichen Standard zu forcieren.

Besonders die geforderten Maßnahmen zur Steuerung des mit der Auslagerung von ITK-Leistungen an Dritte verbundenen Risikos sind deutlich spezifischer. Dazu wird die Fokussierung auf eine geringe Anzahl von Schlüssel-Dienstleistern als kritisch betrachtet. Dieses gilt sowohl für das einzelne Institut als auch für die Branche insgesamt.

Im Hinblick auf eine Umsetzung der Vorgaben von DORA ist jedoch zu berücksichtigen, dass in Deutschland bereits in jüngster Vergangenheit wesentliche Verschärfungen der Anforderungen mittels aufsichtsrechtlicher Vorgaben umgesetzt wurden.

Beispielhaft genannt sei das Handlungsfeld der Auslagerungen von Dienstleistungen der Banken an Dritte. Im Mittelpunkt stehen hier die aus der Erweiterung der BAIT sowie dem Finanzmarktintegritätsstärkungsgesetz (FISG) resultierenden Vorgaben.

Banken sind auf dieser Basis nicht mehr nur verpflichtet, inhaltliche, vertragliche oder steuernde Prozesse zu ihren Dienstleistungspartnern zu etablieren, sondern ebenso dazu, wesentliche Auslagerungen bei der Aufsicht anzuzeigen (Auslagerungsregister). So führt die BaFin an, dass die Konzentration auf sogenannte Mehrmandantendienstleister (MMDLs), die für mehrere Banken tätig sind, Risiken für den Gesamtmarkt implizieren. Über das Auslagerungsregister hinaus besteht auch eine Verpflichtung zur Meldung schwerwiegender Vorfälle in der Auslagerungsbeziehung zwischen Bank und Dienstleistungspartner.

Der durch die Meldungen der Institute geschaffene Überblick über die Auslagerungsbeziehungen deutscher Banken ermöglicht der Bankenaufsicht, diese MMDLs zu identifizieren, hinsichtlich des Risikos zu bewerten und zu überwachen.

Darüber hinaus gibt der gesetzliche Rahmen der Aufsicht die Möglichkeit, direkt auf den Auslagerungspartner der Bank zuzugehen, um einen Missstand zu vermeiden oder zu beheben.

Diese Anforderung trägt der zunehmenden, branchenweiten Bedeutung einzelner Dienstleistungsanbieter und dem damit verbundenen Risiko Rechnung.

Spezifische Aspekte für Verbundstrukturen:

Die in DORA formulierten Regelungen für IT-Dienstleister von Banken basieren wahrscheinlich auf Überlegungen, die z. B. Anbieter von Cloudlösungen wie Amazon, Google oder Microsoft im Fokus hatten. Im Hinblick auf Cybersicherheit und die Kritikalität einzelner Anbieter für den gesamten Bankensektor ist dieses sicherlich ein sachgerechtes Vorgehen.

Das Universum der Banken in Deutschland ist jedoch in starkem Maße von Sparkassen und Genossenschaftsbanken geprägt. Hier bestehen Verbundstrukturen.

Diese Strukturen sind durch zwei Komponenten gekennzeichnet:

Eine inhaltliche Komponente, in der tendenziell eher kleineren Instituten zentrale Dienstleistungen und digitale Angebote ebenso zur Verfügung gestellt werden wie stabile Governance-Prozesse
Eine rechtliche Komponente, in der sich die zentralen Anbieter dieser Institutsgruppen in deren Besitz befinden und durch diese kontrolliert werden. Die einzelnen Institute, welche die Leistungen nutzen, sind gleichzeitig Eigentümer des Leistungserbringers

Durch diese Strukturen ist die Gefahr konkurrierender Interessen zwischen Bank und Dienstleister nahezu ausgeschlossen.

Das bedeutet auch, dass regulatorische Anforderungen aus DORA an die Institute (Darlegung, wie sie mit den Gefahren von Abhängigkeiten umgehen, die bei der Auslagerung von Dienstleistungen entstehen) im Falle von Verbundstrukturen auf vollständig andere Voraussetzungen treffen als bei Instituten außerhalb der Verbünde.

Im Handlungsfeld der Auslagerungen haben bestehende regulatorische Vorgaben wie die MaRisk auf Basis der EBA-Leitlinien für Sourcing Erleichterungen für die IT-Auslagerung auf Verbundebene vorgesehen, die in DORA so nicht enthalten sind.

In diesem Kontext besteht noch abschließender Klärungsbedarf durch die Verbände mit der Aufsicht, um für die Verbundinstitute Handlungssicherheit sicherzustellen.

Unabhängig von diesem verbundspezifischen Aspekt, besteht für die Banken in Deutschland die Erfordernis, sich der Umsetzung von DORA zu widmen.

Aber was heißt das im „Dschungel“ der regulatorischen Vorgaben denn genau?

Umsetzungsempfehlungen

Für Banken, die regulatorische Anforderungen in der Vergangenheit bereits kontinuierlich umgesetzt haben, heißt es auch bei DORA – kein Grund zur Panik.

Für Institute, die eine Umsetzung der Anforderungen der BAIT 2017 und 2021 nur homöopathisch begonnen haben und wesentliche Dienstleistungen an Dritte ausgelagert haben, steigt durch DORA der Handlungsdruck noch einmal.

Gerade in Bezug auf das Management von Auslagerungen kann sich eine „Bugwelle“ erforderlicher Umsetzungsaktivitäten aufbauen, die sich finanziell und kapazitativ zu einer kritischen Herausforderung entwickelt und unmittelbaren Handlungsbedarf erfordert.

In diesem Kontext gilt es, die bereits bestehenden Anforderungen Dokumentations- und Meldepflichten sowie das Risikomanagement in den besonderen Fokus zu rücken.

Bestehende Verträge mit Dienstleistungspartnern, an die speziell IT-Leistungen ausgelagert wurden, gilt es zu prüfen, ob diese den bestehenden und zukünftigen Anforderungen genügen. So sind beispielsweise Prüfungen durch die Bank erforderlich, ob die Dienstleister im Bereich Business Continuity oder Notfallmanagement die relevanten Vorgaben eingehalten haben. In vielen Fällen sind diese Prüfungen in den bestehenden Verträgen nicht vorgesehen. Da Anpassungen in der Regel zeitaufwändig sind, ist hier ein relevanter Ansatzpunkt, der nicht aufgeschoben werden sollte.

Generell gilt bei DORA, wie auch bei den vorangegangenen regulatorischen Veränderungen und Verschärfungen, eine GAP-Analyse des Status quo gegen die Vorgaben als probates Mittel. Praxisbewährte und risikoorientierte Checklisten, die auch die Prüfungsschwerpunkte der Bankenaufsicht in ihrer Priorisierung berücksichtigen, sind hier ein empfohlenes Hilfsmittel zur Ermittlung des Handlungsbedarfs und der Ableitung einer Umsetzungsroadmap.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.

Aus der Vorbereitung, Begleitung und Nachbereitung von Prüfungen der Bankenaufsicht verfügt bankon über eine umfangreiche Praxiserfahrung, die in Best Practices und Checklisten eingeflossen sind und den Kunden von bankon in der effizienten Umsetzung einer regulatorikkonformen IT helfen.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Change-Management in (weiterhin) turbulenten Zeiten für Finanzdienstleister

Veröffentlicht am 14. Juli 202214. Juli 2022 von Michael Jesch

Bei Komplexität und Tempo sich ändernder Geschäftsmodelle die Mitarbeiter nicht verlieren

Der Slogan „Miss es oder vergiss es“, als Direktive bekannt aus dem Prozessmanagement, beschreibt einen Anspruch bzw. eine Herangehensweise an eine von vielen Managementaufgaben in Unternehmen, die einem eher rational veranlagten Manager, und das ist vermutlich weiterhin die Mehrheit im Markt, nachvollziehbar und wichtig erscheint. Die Bedeutung von eher qualitativ gearteten Disziplinen, wie die aktive Gestaltung von Veränderungsprozessen, wird nach wie vor noch eher stiefmütterlich behandelt, was den angestrebten Projekterfolg oft schmälert oder sogar verhindert. Das Change-Management zählt heute zu einem der wichtigsten Themen in der Finanzbranche.

Gerade die Bankenwelt sieht sich weiterhin einem immensen Druck ausgesetzt, um digitalen Innovationen, geändertem Kundenverhalten, neuen Wettbewerbern und Vertriebswegen, überholten technischen Architekturen, dem Umgang mit Big Data, Regulatorikanforderungen und einem unveränderten Kostendruck adäquat zu begegnen. Die Anzahl und Priorisierung der (meistens) zahlreich parallel laufenden Projektvorhaben und neuer Geschäftsmodelle überfordert oftmals die Belegschaft und senkt die Produktivität. Zudem sorgt der Einzug von agilen Methoden im Projektmanagement für eine weitere Herausforderung an die Belegschaft.

Vor diesem Hintergrund kommt einem proaktiv gesteuerten Change-Management in der Bankenwelt auch weiterhin bzw. gerade jetzt eine zentrale Bedeutung zu und sollte Teil eines jeden Transformationsprozesses sein. Die Frage „Und wer kümmert sich um das Change-Management?“ beim Setup eines Transformationsvorhabens sollte noch viel öfter gestellt werden und vor allem nicht mehr unbeantwortet bleiben.

Unternehmensbezogene Treiber als Challenger im Change-Management

Mit dem Einzug der Digitalisierung verändern sich die Anforderungen an die Kompetenzen der Mitarbeiter. Dies bedeutet zum einen Skillaufbau und Änderungsbereitschaft in Zeiten des Fachkräftemangels, zum anderen auch das Freisetzen von überholten Prozessen und Funktionen, ohne dabei im Übergang Schiffbruch zu erleiden.

Nicht zuletzt die Pandemie unter Nutzung des technisch Möglichen sorgt für neue Ansätze bei den Arbeitsmodellen. Homeoffice und mobile Plug-In-Arbeitsplätze gehören vermehrt zum Alltag einer jeden Organisation, wobei dieser Wandel neben den erforderlichen Betriebsvereinbarungen auch eine Fülle sozialer Veränderungsaspekte mit sich bringt. Veränderungsbereitschaft und ‑fähigkeit, sowohl beim Einzelnen als auch mit Blick auf die gesamte Organisation, sind zentrale Pfeiler der Kulturveränderung, die es zu stärken und zu begleiten gilt. Dies betrifft z. B. neue Systemeinführungen, Cloud-Verlagerungen, die Digitalisierung der Kundenbetreuung oder auch Innovationen der internen Kommunikation.

Die Schaffung des Bewusstseins für die notwendige Begleitung und Steuerung von Change-Prozessen ist ein wesentlicher Baustein für den nachhaltigen Unternehmenserfolg.

Vier wesentliche Erfolgsfaktoren weisen den Weg

Vier Faktoren bestimmen gemeinhin wesentlich den Erfolg in Veränderungsprozessen. Neben einer klaren und transparenten Kommunikation, einer geschlossenen, befähigten und überzeugten Führungsmannschaft zur Anleitung des Change-Prozesses sowie einer umfassenden und verständlichen Zieldefinition geht es vor allem auch um die adäquate Einbindung der Mitarbeiter. Diese benötigen ausreichend Raum und Möglichkeiten, sich persönlich einzubringen und die Veränderungsprozesse mitzugestalten. Diese Integration schafft Verständnis und Akzeptanz und steigert die Motivation auf allen Hierarchieebenen.

Das folgende Schaubild zeigt die Treiber und wesentliche Strukturkomponenten eines erfolgreichen Change-Managements:

Die Risiken nicht unterschätzen

Veränderungsmanagement ist ein dynamischer und fortlaufender Prozess, der immer wieder neuen Herausforderungen unterliegt. Die Entwicklung von Change-Zielen bestimmt die daraus abzuleitenden Bereiche und Maßnahmen für den erfolgreichen Change-Prozess. Nur hiervon überzeugte und gegenüber Stakeholdern und Mitarbeiter überzeugende Führungskräfte schaffen den Wandel und den erfolgreichen Umgang mit auftretenden Widerständen.

Ängsten, Unsicherheiten und Überforderungen sollte mit Transparenz und offener Kommunikation begegnet werden. Die Einbeziehung von Mitarbeitern in Entscheidungen, Erfolge und Misserfolge erhöht das Vertrauen in die Verantwortlichen und steigert den Umsetzungserfolg.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung in Transformations-Großprojekten sichert praxiserprobtes Wissen. Dabei spielt der bewusste Einsatz der Bausteine eines erfolgreichen Change-Managements als ein Erfolgsfaktor unter vielen immer eine tragende Rolle.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

CoOpetition 2.0 – Banken müssen Ihre IT-Wertschöpfungsketten neu denken

Veröffentlicht am 23. August 20215. August 2021 von Ralf-Michael Jendro

Banken sehen sich nicht erst durch die Corona-Pandemie einer „stürmischen Wetterlage“ gegenüber. Bereits vor dem Virus standen Geschäftsmodelle und ihre Veränderung in Prozessen und Technik im Fokus der Aktivitäten in den Instituten.

Blicken wir vor diesem Hintergrund auf die Informationstechnik der Banken, dann wird folgendes deutlich:

Die technischen Bedrohungssituationen von außerhalb, aber auch von innerhalb der Bank, werden quantitativ und qualitativ spürbarer
Hierbei kann die Bedrohungssituation sowohl mittels krimineller Energie hergestellt worden sein als auch durch Unachtsamkeit befördert werden
Die Technologisierung der betroffenen Prozesse nimmt hierbei ständig zu – beispielhaft seien hier Blockchain oder Bitcoin genannt
Staat und Bankenaufsicht greifen mittels Vorgaben zur Eindämmung der Risiken regulatorisch ein

Zusammengefasst ergibt sich für die IT in Banken folgendes Bild:

Zwei potenzielle Missverständnisse gilt es hierbei von vorneherein zu vermeiden:

Unter Innovationskraft ist hier nicht zu verstehen, dass neben den Run-Aktivitäten noch ein Restanteil von Kapazität und Budget für Change-Aktivitäten verbleibt
Unter Management von Wertschöpfungsketten ist nicht die Erfüllung der Anforderungen aus den EBA-Guidelines zum Sourcing gemeint

Vielmehr ist es für die IT in Banken von essenzieller Bedeutung, neben der Gestaltung des Spannungsfeldes regulatorischer Anforderungen und der Abwehr technischer Angriffe von innen und außen parallel die Innovationskraft von Prozessen und Technik in der IT erheblich zu stärken. Hierzu ist es erforderlich, die bestehenden Wertschöpfungsketten grundlegend zu überdenken – Stichwort CoOpetition 2.0. Dieses kann keinesfalls unabhängig voneinander geschehen, da in der Neugestaltung der Make-or-Buy-Struktur für die Banken-IT der größte Hebel liegt, Innovationsfreiräume zu generieren.

CoOpetition 1.0

Der Begriff CoOpetition beschreibt die Dualität von Konkurrenz und Kooperation. Wesentlicher Inhalt von CoOpetition 1.0 war die Positionierung der Bank im Markt und in ihrer Funktion. In den Institutsgruppen der Genossenschaften und der Sparkassen lässt sich die Umsetzung gut identifizieren.

Beide Institutsgruppen haben viele Tätigkeiten für die Primärinstitute zentralisiert und auf einen oder wenige Anbieter verdichtet. So gibt es in beiden Gruppen jeweils nur noch einen Rechenzentrumsanbieter mit einem Kernbanksystem. Die Genossen haben nur noch ein Spitzeninstitut. Die Sparkassen haben nur noch zwei bedeutende Backoffice-Anbieter. Leistungsangebote, wie z. B. das Konsumentenkreditgeschäft, werden institutsübergreifend bereitgestellt – siehe S‑Kreditpartner GmbH.

Im Ergebnis fokussieren sich die Institute deutlich stärker auf Ihre Kernkompetenz und zwar den Verkauf von Bankprodukten einhergehend mit erforderlichen Beratungsleistungen.

CoOpetition 2.0

In der Weiterentwicklung zur CoOpetition 2.0 liegt der Schwerpunkt auf der IT. Sie ist der Enabler, um Verkaufs‑, Beratungs‑, Abwicklungs- und Steuerungsprozesse effizient zu gestalten.

Da es nicht die Kernkompetenz einer Bank ist, ein Rechenzentrum zu betreiben oder Software zu entwickeln, werden wesentliche IT-Leistungen von Drittanbietern bezogen. Strategische Partnerschaft versus Best-of-Breed ist hierbei die dominierende Frage. Die zentralen IT-Dienstleister der beiden großen Bankengruppen Deutschlands haben um den Betrieb des Kernbanksystems in ihren Rechenzentren hinaus ein umfangreiches Software- und Dienstleistungsangebot geschaffen, das sie obligatorisch zu strategischen Partnern der Institute macht.

Drei Handlungsoptionen haben sich in der Praxis als zielführend herausgestellt:

Option 1 (Standard):

Die Nutzung der Leistungsangebote des Rechenzentrums im Standard minimiert sowohl die Steuerungsaufwände als auch die Run-Kosten. Freie Kapazitäten und Budgets für technische und prozessuale Innovationen sind das Resultat. Eine Nutzung hierfür stünde aber im Widerspruch zu dem auf Standard gesetzten Fokus.

Andererseits kann der Schwerpunkt so verstärkt auf die Bereiche der Bank gelegt werden, in denen das Institut die Kernkompetenz besitzt – Beratung und Verkauf.

Darüber hinaus kann aus dem reichhaltigen Angebot von Standardleistungen und Tools das für das Institut bestmögliche Portfolio ausgewählt werden. Dieses kann aufgrund der standardisierten Nutzung umfangreicher ausfallen.

Bei einer Entscheidung für diese Option sind die IT-Prozesse inklusive des Anforderungsmanagements sowie die übergeordnete IT-Strategie entsprechend auszurichten.

Option 2 (Individualität im Standard):

Mit der Ergänzung des Standards um durch das Rechenzentrum angebotene Individualleistungen lassen sich prozessuale und technische Innovationen stärker umsetzen als in einer ausschließlichen Ausrichtung am Standard. Beispielhaft für Individualität kann der Einsatz leistungsstärkerer Analysetools für Datenauswertungen sein oder Software, welche die Abbildung komplexerer Produkte und Dienstleistungen ermöglicht.

Die zusätzlichen, individuellen Leistungen erlauben eine Unterscheidung vom Leistungsangebot des Wettbewerbs. Freiheitsgrade wie die Einbindung von Partnerprodukten außerhalb der Institutsgruppe oder das Angebot institutsindividueller, digitaler Leistungen sind hier aber nur eingeschränkt möglich.

Es bleibt der Fokus auf die Kernkompetenzen Beratung und Verkauf. Da die Individualleistungen separat bepreist werden, ist die Nutzung dieser Möglichkeiten Bestandteil einer institutsspezifischen Kalkulation. In diese fließen neben den höheren Run-Kosten gegenüber der Option 1 auch erhöhte Aufwände für die Administration, Steuerung und Kontrolle der Individualleistungen ein.

Die Individualität im Standard muss somit einen messbaren ökonomischen Vorteil gegenüber dem reinen Standard aufweisen, um für die Bank sinnvoll zu sein.

Entsprechend ist auch bei einer Entscheidung für diese Option die IT-Strategie entsprechend zu formulieren und die IT-Prozesse strategiekonform auszurichten.

Option 3 (Individualität zusätzlich zum Standard):

Für Institute, die Ihr Produkt- und Dienstleistungsangebot um Leistungen von Drittpartnern oder FinTechs ergänzen wollen, ist die Erweiterung des Standards um individuelle Leistungen, die nicht durch das Rechenzentrum angeboten werden, eine Option.

Beispielhaft für eine solche Erweiterung sei hier die Einführung leistungsbezogener Produktökosysteme genannt. Diese können unter anderem im Kontext Bau (z. B. Angebote von Handwerkern, Architekten oder Behörden) oder Senioren (z. B. Angebote zu Pflegediensten, zur Freizeitgestaltung sowie Einkaufsservices) konzipiert werden.

Gleiches gilt aber z. B. auch im Kontext des Wertpapiergeschäftes. Schrittweise eingeführte institutsgruppenspezifische Angebote wie z. B. der Bevestor der DekaBank stehen hier neben Eigenentwicklungen von Instituten wie Smavesto der Sparkasse Bremen und Angeboten außerhalb der Institutsgruppe.

Für alle gemeinsam gilt jedoch, dass die Individualität dieser Angebote erheblich in die Gestaltung technischer und organisatorischer Prozesse in der IT ausstrahlt.

Institute, die solche Leistungen nutzen, benötigen personelle und technische Kapazitäten, um diese Angebote abbilden zu können. Steuerungs- und Betriebsprozesse sind inhaltlich und regulatorisch entsprechend auszugestalten. Sie sind in einer IT-Strategie zusammenzuführen sowie durch Vorgaben der IT-Architektur und ein Target Operating Model zu operationalisieren.

Eine Entscheidung für diesen Weg erfordert darüber hinaus, dass dadurch ein nachhaltig messbarer ökonomischer Mehrwert generiert werden kann.

Zusammenfassung:

Es gibt keine richtige oder falsche Entscheidung. Ausschlaggebend sind vor allem nachstehende fünf Handlungsfelder:

Die Geschäftsstrategie der Bank (wie positioniere ich mich gegenüber meinen Wettbewerbern)
Die Sourcingstrategie der Bank (wie affin bin ich für eine Auslagerung von Leistungen an Dritte und wie etabliert sind meine Prozesse für eine regulatorikkonforme Steuerung)
Größe und Wettbewerbsintensität des Instituts
Personelle Ausstattung (quantitativ und skillspezifisch)
Institutsindividuelle Governance

Aus diesen Handlungsfeldern ist die für das Institut optimale Option zur Gestaltung der CoOpetition 2.0 auszuwählen und auszugestalten.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus Strategie- und Transformationsprojekten, der Einführung neuer Geschäftsfelder und Produkte sowie der Sicherstellung von Governance- und Regulatorik-Anforderungen gewährleisten den erforderlichen fachlichen, prozessualen und technischen Hintergrund.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

Veröffentlicht am 15. Juni 202116. Juni 2021 von Ralf-Michael Jendro

„Früher oder später kriegen wir Euch alle“ mag die Finanzaufsicht (flapsig formuliert) gedacht haben, als sie mit den Zahlungsdienstaufsichtlichen Anforderungen an die IT (ZAIT) ihre aufsichtsrechtlichen Vorgaben auch auf Zahlungsinstitute und E‑Geld-Institute ausgedehnt hat.

Derzeit befinden sich die ZAIT in der Konsultation – jedoch ist nach Abschluss dieser unmittelbar mit einer Gültigkeit der ZAIT zu rechnen.

Unterstützt wird diese Annahme durch die Tatsache, dass die ZAIT das Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ formuliert, das nach der Konsultation auch Bestandteil der Bankenaufsichtlichen Anforderungen an die IT (BAIT) wird.

Die Begründung für die plakative Einleitung dieses Artikels gibt die Übersicht der aufsichtsrechtlichen Anforderungen, die seitens der Finanzaufsicht bisher vorgegeben wurden.

Wurden zu Beginn Banken und Versicherungen in den Mittelpunkt gerückt und entsprechende aufsichtsrechtliche Anforderungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und die Umsetzung der IT-Governance eingeführt, folgten bereits 2019 spezifische Anforderungen für Kapitalverwaltungsgesellschaften. Dazwischen wurde für besonders kritische IT-Systeme das KRITIS-Modul eingeführt. Im Jahr 2020 erfuhren die BAIT eine deutliche Erweiterung, die vor allem den Informationsverbund in den Mittelpunkt rückte und seine Definition gegenüber den bisher gültigen BAIT deutlich ausbaute.

Im Jahr 2021 befinden sich nun die ZAIT in der Konsultationsphase. Zunächst behandeln wir in diesem Artikel zwei Fragen:

Wen betreffen die ZAIT?
Wie unterscheiden sich die ZAIT von den anderen aufsichtsrechtlichen Anforderungen an die IT?

Wen betreffen die ZAIT?

Betroffen von den ZAIT sind Zahlungsinstitute und E‑Geld-Institute:

Zahlungsinstitute:
- Derzeit sind etwa 70 Zahlungsinstitute bei der Finanzaufsicht registriert
- Zahlungsinstitute betreiben gewerbsmäßig Zahlungsdienste wie z. B. Einzahlungs- oder Auszahlungsgeschäft, Lastschrift‑, Überweisungs- oder Zahlungskartengeschäft ohne Kreditgewährung oder Zahlungsgeschäft mit Kreditgewährung
- Auch Anbieter von Zahlungsauslösediensten oder Kontoinformationsdiensten zählen zu den Zahlungsinstituten
E‑Geld-Institute:
- Derzeit sind neun E‑Geld-Institute bei der Finanzaufsicht registriert
- E‑Geld-Institute begeben E‑Geld
- E‑Geld ist der elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des BGB durchzuführen

Somit handelt es sich quantitativ um eine eher kleine Zahl betroffener Institute, für diese erfahren die vorgegebenen Anforderungen aber eine deutliche Anspruchssteigerung.

Was sind die Gemeinsamkeiten und Unterschiede der ZAIT zu anderen aufsichtsrechtlichen Anforderungen?

Auch der grundsätzliche Aufbau beider Dokumente ist in seiner Struktur nahezu identisch. Ebenso steht der Informationsverbund bei den ZAIT im Mittelpunkt der Betrachtungen. Aus beiden Anforderungsdokumenten heraus gilt für die Institute das Proportionalitätsprinzip in der Umsetzung der geforderten Maßnahmen.

Was unterscheidet die ZAIT von anderen regulatorischen Vorgaben wie z. B. den BAIT? Fünf Punkte fallen hier auf und sollen kurz betrachtet werden. Sie betreffen folgende Kapitel:

IT-Governance
Informationssicherheitsmanagement
IT-Projekte und Anwendungsentwicklung
Auslagerung und sonstiger Fremdbezug
Notfallmanagement

Im Zusammenhang mit der IT-Governance liegt die wesentliche Unterscheidung darin, dass eine Ausrichtung der IT an etablierten Standards zu erfolgen hat. Hier werden drei Standards explizit genannt (IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCIDSS)).

Im Informationssicherheitsmanagement besteht die Möglichkeit, die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Unternehmen zu kombinieren oder, in besonderen Fällen, auch außerhalb des Unternehmens anzusiedeln.

Für IT-Projekte und Anwendungsentwicklung gibt es explizite Anforderungen an die durchzuführende Auswirkungsanalyse und die Nutzung des Begriffs „wesentliche Veränderung“ im Zusammenhang mit Vorgaben für die Testdurchführung.

Das Kapitel Auslagerung und sonstiger Fremdbezug enthält deutlich umfangreichere Anforderungen in den ZAIT als in den BAIT, die es zu berücksichtigen gilt.

Im Notfallmanagement wird die Notwendigkeit zur Durchführung von Auswirkungsanalysen und Risikoanalysen gefordert.

Erste Schritte für Zahlungsinstitute mit den ZAIT:

In einem ersten Schritt gilt es für die Zahlungsinstitute und die E‑Geld-Institute, ihre individuelle Ausgangssituation vor dem Hintergrund der ZAIT zu kennen. Nur dann lässt sich der erforderliche Handlungsbedarf identifizieren.

Vorrangig gilt es, einen Überblick über das eigene Institut, die genutzten Auslagerungen sowie die Zahlungsdienstnutzer zu erhalten. Dieses schließt auch den Informationsverbund ein, der ein Nukleus der ZAIT ist.

Inhaltlich stehen fünf Handlungsfelder im Mittelpunkt der Erhebung.

In welchem Umfang sind bereits Vorbefassungen zu Regulatorikanforderungen im Institut erfolgt, z. B. durch eine interne Erstanalyse oder die Jahresabschlussprüfung des Wirtschaftsprüfers?
Wie steht es um die Governance des Instituts, z. B. in Bezug auf eine durchgängige und dokumentierte strategische Ausrichtung oder ein etabliertes internes Kontroll- und Prüfungswesen?
Wird heute bereits auf etablierte Standards zurückgegriffen, auch über die in der ZAIT genannten hinaus, z. B. ITIL oder Cobit?
Wie transparent sind die bestehenden Auslagerungen technisch und organisatorisch und in welcher Form sind diese in Kontrollprozesse eingebunden?
Welchen Stand hat die personelle und technische Ausstattung des Instituts quantitativ und qualitativ?

Die Ermittlung der Ausgangssituation kann mittels eines Quick-Checks erfolgen, um auf Grundlage dieser Informationen einen Überblick über den erforderlichen Handlungsbedarf zu erhalten und eine Indikation für die Ausgestaltung des Proportionalitätsprinzips zu gewinnen.

In einer Ausbaustufe kann sich eine Reifegradanalyse anschließen, für die es sich empfiehlt, diese bereits an einen etablierten Standard auszurichten, z. B. der ISO 27000-Reihe.

Neben der inhaltlichen Analyse zu den Kriterien des Standards ermöglicht ein solches Vorgehen auch eine Visualisierung für das Management.

Expertise bankon Management Consulting

Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung aus Projekten im Kontext der Banken-IT sichert praxiserprobtes Wissen. Erfahrungen aus einer Vielzahl von Regulatorikprojekten bei Finanzdienstleistern gewährleisten die Sicherstellung von Governance- und Regulatorik-Anforderungen. Langjährige Praxisexpertise aus Projekt- und Linientätigkeit bei Zahlungsinstituten schaffen den erforderlichen fachlichen, prozessualen und technischen Hintergrund.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Veröffentlicht am 11. Januar 202118. Februar 2021 von Ralf-Michael Jendro

Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.

Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.

Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.

Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.

Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.

Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.

Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.

Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.

Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.

Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.

Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.

Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.

Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.

Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.

Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.

Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.

Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.

Expertise bankon Management Consulting

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

Veröffentlicht am 26. November 202012. Februar 2021 von Ralf-Michael Jendro

EBA-ICT, MaRisk 6. Novelle, BAIT – von allen Seiten werden die IT- und Governance-Spezialisten der Banken im Moment mit neuen oder teilweise verschärften regulatorischen Anforderungen konfrontiert. In keiner Weise soll die positive Absicht hinter diesen Maßnahmen in Abrede gestellt werden. Aber es stellt sich dennoch die Frage, wieviel dieser regulatorischen Vorgaben durch die deutschen Banken bewältigt werden können und wie. Verschärft wird diese Frage durch die Tatsache, dass viele Institute aktuell Projekte und Vorhaben durchführen, die noch vorangegangene Anforderungen umsetzen oder die Etablierung im Linienbetrieb sicherstellen.

Regulatorik - Neue Anforderungen RJO — Regulatorik – Neue Anforderungen

Erschwerend kommt ebenfalls noch hinzu, dass die Umsetzung durch die Aufsichtsgremien in zunehmend engerer Taktung kontrolliert wird. EZB, Bundesbank und BaFin sind umfangreich in den Instituten vor Ort, um die erfolgreiche Umsetzung zu verproben. Erfolgreich heißt hierbei jedoch nicht nur die Dokumentation eines abgeschlossenen Projektes, sondern die operative Nachweisführung, dass die eingeführten oder veränderten Prozesse in der Linie etabliert sind und konsequent durchlaufen werden. Darauf aufbauende KVP- oder Lessons-Learned-Prozesse werden dabei als obligatorisch implementiert vorausgesetzt.

Die Prüfungen manifestieren damit eine deutlich gestiegene Anforderungsqualität an den in den Instituten verankerten regulatorischen Reifegrad.

Nun lässt sich zwar feststellen, dass viele der regulatorischen Vorgaben aufeinander aufbauen. Anforderungen aus der europäischen Perspektive (EBA-ICT) werden im Rahmen der 6. MaRisk-Novelle in nationale Vorgaben überführt und in den BAIT konkretisiert. Diese potenzielle Synergie gilt aber nicht in aller Vollständigkeit für Institute jeder Größenklasse. Darüber hinaus bleiben auch unter Berücksichtigung dieser Faktoren erhebliche Umsetzungsanforderungen für die Banken. Die Herausforderungen, die sich für die Institute daraus ergeben, sind unterschiedlich:

Größere Institute, vor allem mit internationaler Ausrichtung, erreicht die „volle Wucht“ der regulatorischen Anforderungen. Diese treffen aber auch auf Zentralbereiche der IT, Governance oder Compliance, die grundsätzlich über die zur Bewältigung dieser Anforderungen erforderliche Qualifikation und quantitative Ausprägung verfügen.

Kleinere Institute mit eher regionaler Ausrichtung sind von regulatorischen Anforderungen unterschiedlich betroffen. Eine wesentliche Unterscheidungskomponente ist hier der Umfang ausgelagerter Tätigkeiten. Je höher und je individueller der Auslagerungsgrad, umso stärker die regulatorischen Berührungspunkte. Verstärkend kommt hier jedoch hinzu, dass gerade bei einer weitgehenden Auslagerung das Expertenwissen dadurch abgebaut wurde. Vielfach ist das zur Bewältigung der regulatorischen Anforderungen erforderliche Know-how nicht mehr in ausreichender Quantität in den Instituten vorhanden.

Die Schlussfolgerung, dass in diesen Fällen die erforderliche Expertise durch Einstellung neuer Mitarbeiterinnen und Mitarbeiter zugeführt werden muss, vernachlässigt eine wesentliche Komponente – den Fachkräftemangel.

Experten in IT-Regulatorik, Governance oder Compliance sind am Markt stark gesucht und nicht in ausreichender Quantität vorhanden. Die Weiterbildung eigener Mitarbeiterinnen und Mitarbeiter in diesen Themen ist eine eher langfristig ausgerichtete Lösung. Das Wissen extern einzukaufen ist aus Kostengründen auch nicht ohne Weiteres möglich.

Welche Möglichkeiten gibt es aber, aus diesem Dilemma zu entkommen und den steigenden regulatorischen Anforderungen als Institut gerecht zu werden?

Aus Sicht von bankon hat sich die Einrichtung eines zentralen Regulatorik-Office bewährt. Dieses koordiniert institutsweit die Aktivitäten zu regulatorischen Veränderungen sowie der Vorbereitung und Begleitung regulatorischer Prüfungen. In seiner Ausgestaltung ermöglicht es institutsindividuelle Anpassungen vor dem Hintergrund der Größe sowie der Geschäfts- und Risikostruktur der Bank. Es ist damit der Single-Point-of-Truth für regulatorische Themen in der Bank.

Die Abbildung der aktuellen regulatorischen Situation der Bank erfolgt über ein zentrales Regulatorik-Backlog. Dessen Inhalt sind die institutsindividuell bewerteten regulatorischen Themen sowie die im regulatorischen Kontext identifizierten bankspezifischen Defizite.

Owner dieses Backlogs ist das Regulatorik-Office, das auch für die inhaltliche Befüllung verantwortlich ist. Im Rahmen von internen und externen Prüfungshandlungen identifizierte Defizite werden hier zentral abgelegt. Sie sind die relevante Informationsquelle für das Aufsetzen regulatorischer Vorhaben oder Projekte im Rahmen des Projektplanungsprozesses.

Die Vorteile dieser organisatorischen und informatorischen Bündelung liegen auf der Hand:

Förderung der bankinternen Verzahnung von Bereichen, die mit regulatorischen Themen befasst sind, z. B. Unternehmenssteuerung, IT, Informationssicherheit, Organisation, Projektportfoliosteuerung, Notfallmanagement oder Dienstleistersteuerung
Mitwirkung bei übergreifenden Initiativen, z. B. zum institutsgruppenspezifischen Umgang mit regulatorischen Anforderungen im Kontext Sourcing
Effiziente Unterstützung interner und vor allem externer Prüfungen durch die Wahrnehmung der Funktion eines zentralen Prüfungs-Offices
Voraussetzung einer systematischen, priorisierten Bearbeitung regulatorischer Defizite mittels Vorhaben und Projekten
Sicherstellung bankinterner Vertretungsmöglichkeiten im Kontext Regulatorik
Unterstützung der Ausbildung bankinternen Wissens zu regulatorischen Themen

Die Synergien und Vorteile sichern den Instituten die Fähigkeit, regulatorische Anforderungen bewältigen zu können. Die Bündelung der Kräfte ermöglicht den Banken, und hier besonders mittelgroßen und kleineren Instituten, die Sicherstellung der erforderlichen regulatorischen Governance.

Denn unabhängig von der Frage, wieviel Regulatorik deutsche Banken vertragen, lässt sich die Tendenz zur Ausweitung regulatorischer Anforderungen zumindest auf Ebene von Einzelinstituten nicht aufhalten. Es können aber sehr wohl die Voraussetzungen geschaffen und optimiert werden, mit diesen Anforderungen umzugehen.

Expertise bankon Management Consulting

Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet im Setup zentraler Regulatorik-Offices und der erforderlichen Überführung in einen Regelbetrieb. Bei Bedarf unterstützt bankon auch operativ im Betrieb des Regulatorik-Office z. B. in der Vorbereitung und Begleitung regulatorischer Prüfungen.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Chancen für den Dienstleistungssektor durch Corona?

Veröffentlicht am 27. Mai 202012. Februar 2021 von Sascha Neumann

Seit mehreren Wochen hält das Coronavirus die Welt in Atem. Die gesamte Wirtschaft inkl. den Beratungsfirmen und deren Kunden sind davon betroffen.

In der Krise hat sich gezeigt, dass sich neue Wege, Arbeitsweisen und damit verbunden auch neue Chancen entwickeln.

Wer hätte vor dem Shutdown daran gedacht seine Mitarbeiter im großen Stil ins Homeoffice zu schicken?

Wir als Unternehmensberatungsgesellschaft sehen hierin aber auch die Möglichkeit der langfristigen Kostenersparnis. Wenn es auch im Homeoffice funktioniert, brauche ich dann so viel teure Bürofläche? Kann ich meine Prozesse im Zuge einer kombinierten Digitalisierungs- und Optimierungsstrategie nicht auch überdenken und anpassen?

Auch nach der überstandenen Krise werden im Dienstleistungssektor und allen voran bei den Banken die Sorgen um den Ertrag in der Niedrigzinsphase weiter an erster Stelle stehen.

Wir können Sie dabei unterstützen die Kosten zu verringern, unsere Berater können Ihnen wertvolle Prozessoptimierung und damit auch Kostenersparnis aufzeigen und Sie bei der Umsetzung unterstützend begleiten.

Ergreifen Sie die Chance jetzt und überdenken jahrzehntelang gewachsene Strukturen und Arbeitsweisen.

Das Virus hat uns gezeigt, dass es auch anders funktionieren kann. Die Akzeptanz bei Mitarbeitern und Vorständen für Veränderungen sind gestiegen, warum nicht jetzt dort weitermachen und diese Potenziale heben?

Sichern Sie Ihren Erfolg und die Zukunft, wir sind an Ihrer Seite.

Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:

bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de

Schlagwort: Prozess

CoOpetition 2.0 – Banken müssen Ihre IT-Wertschöpfungsketten neu denken

ZAIT – Regulatorik für Zahlungsinstitute und E‑Geld-Institute

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

Chancen für den Dienstleistungssektor durch Corona?

Neueste News und Artikel

Archiv

Sie finden uns auch hier:

I. Strategie

II. Organisation

III. Prozesse

IV. Tools

V. Verträge

Neueste News und Artikel

Archiv

Schlagwörter

Sie finden uns auch hier: