die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
ó IT & KOMMUNIKATION
ó IT & KOMMUNIKATION BCM in Banken IT-DIENSTLEISTERSTEUERUNG Bereits seit einigen Jahren ist Outsourcing von Informationstechnologie ein wichtiges Thema für Finanzdienstleister. Durch diesen Schritt ist es möglich, sich auf das Kerngeschäft zu konzentrieren und somit von Kostenreduzierungen sowie Skalen- und Verbundeffekten zu profitieren. Beim Outsourcing kann grundsätzlich zwischen zwei verschiedenen Formen unterschieden werden: Durch externes Outsourcing werden die gesamte IT oder Teile davon an Fremdfirmen ausgelagert. Unternehmensinternes Outsourcing hingegen umfasst die Verlagerung der IT durch eine Ausgründung innerhalb des Konzerns. Beides erfordert eine Steuerung der IT unter BCM-relevanten Aspekten. Kevin Poleska Keywords: Outsourcing, Regulierung, IT-Notfallmanagement Die Steuerung des Dienstleisters erfolgt unabhängig von der Outsourcing-Form häufig im Rahmen des Supplier-Management-Prozesses. Ziel dieses Prozesses ist es, Lieferanten und dessen angebotene Dienstleistungen so zu leiten, dass die unternehmensinternen Geschäftsprozesse optimal unterstützt werden. Neben den eingangs erwähnten Vorteilen erfährt das auslagernde Unternehmen beim Outsourcing jedoch auch einen zentralen Nachteil: zunehmender Kontrollverlust über die IT. Dies gilt unter anderem auch im Rahmen des Business Continuity Managements (BCM), das für die Fortführung des Geschäftsbetriebs im Zuge eines Not- oder Krisenfalls zuständig ist. Im BCM wird durch die Business Impact Analyse (BIA) identifiziert, welche Ressourcen entscheidend für die Fortführung zeitkritischer Geschäftsprozesse notwendig sind. Hierzu zählen beispielsweise Personal, Informationen und Daten, Infrastruktur sowie IT. Während das auslagernde Unternehmen den unmittelbaren Einfluss auf die erstgenannten Ressourcen ausüben kann, bleibt der Einfluss auf die IT im Rahmen der Auslagerung stark eingeschränkt. Wird der IT-Dienstleister von einem Notfall oder einer Krise getroffen, ist er im schlimmsten Fall nicht mehr fähig, geschäftskritische IT-Services seiner Kunden zur Verfügung zu stellen. Eine planbare Fortführung des Geschäftsbetriebs in Ausnahmesituationen auf der Seite des auslagernden Unternehmens kann somit nur schwer oder gar nicht sichergestellt werden. Es ist daher von großer Bedeutung, dass Unternehmen frühzeitig Mechanismen entwickeln, um mit operationellen Risiken von IT-Outsourcing umzugehen. fl Regelmäßige Begehungen beim IT-Dienstleister helfen bei der Beurteilung, ob ein IT-Notfallplan greifen kann. Besonderheiten bei unternehmensinternem Outsourcing Beim unternehmensinternen Outsourcing ist oft zu beobachten, dass die Steuerung des neuen IT-Dienstleisters häufig nur sehr schwach ausgeprägt ist. Dies kann unter anderem dadurch begründet werden, dass an alten Strukturen festgehalten und das neu etablierte Dienstleistungsverhältnis unzureichend berücksichtigt wird. Daraus resultiert jedoch das unmittelbare Risiko des Steuerungsverlusts wichtiger IT-Leistungen. Rechtliche und regulatorische Anforderungen im Finanzsektor Neben unternehmensinternen Anforderungen sind Finanzdienstleister bekanntlich umfassenden regulatorischen Anforderungen ausgesetzt. Anforderungen bestehen hierbei auch im Hinblick auf die Auslagerung von IT-Dienstleistungen. Diese stammen beispielsweise aus dem Bundesdatenschutzgesetz (BDSG), dem Versicherungsaufsichtsgesetz (VAG) oder den Mindestanforderungen an das Risikomanagement (MaRisk). Eine unmittelbare Anforderung an die Abstimmung zum BCM-Themenfeld in Dienstleistungsverhältnissen findet sich in den MaRisk, die fordert, dass bei der Auslagerung von zeitkritischen Aktivitäten und Prozessen das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen haben (AT 7.3, 2). Nicht zuletzt werden IT-Prüfungen im Finanzsektor üblicherweise mittels etablierter Prüfungsstandards (z. B. IDW PS 330) durchgeführt, die sich häufig auch auf die Anwendung von Standards im IT- Umfeld stützen (z. B. ISO 27.00x oder Co- 62 diebank 1.2015 12.2014
IT & KOMMUNIKATION ó BIT). Auch hier sind Elemente des BCM integraler Bestandteil. Prüfungen bei IT- Dienstleistern im Finanzsektor durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind grundsätzlich jederzeit möglich. Zentrale Herausforderungen bestehen somit nicht nur in der aktiven Steuerung des IT-Dienstleisters, sondern auch in der kontinuierlichen Pflege und Bereitstellung von Unterlagen, die es einem Dritten, beispielsweise einem Wirtschaftsprüfer oder der internen Revision, ermöglichen, über die Abstimmung zum BCM zwischen auslagerndem Unternehmen und IT- Dienstleister informiert zu werden. Konzept zur Steuerung von IT-Dienstleistern unter BCM-Aspekten Wichtig bei der Steuerung von IT-Dienstleistern unter BCM-relevanten Aspekten ist, dass die Abstimmung beider Parteien als fortlaufender Prozess verstanden wird. Erster Schritt ist hierbei die Schaffung einer vertraglich vereinbarten Grundlage, in der gewisse Grundanforderungen an die Service-Verfügbarkeit und weitere BCM-relevante Anforderungen fixiert werden. Dies kann beispielsweise im Rahmen eines Service Level Agreements (SLA) erfolgen. Als Kernelement der fortlaufenden Abstimmung dient ein IT-Notfallkonzept. Es umfasst die Beschreibung aller getroffenen Vorsorgemaßnahmen des IT-Dienstleisters, welche die Fortführung von IT- Services in einem Notfall sicherstellen sollen. Darüber hinaus referenziert es alle Notfallhandbücher und -pläne, die der Fortführung der IT-Services dienen. Drittes Element des Konzepts ist die Aufrechterhaltung der Abstimmung zwischen auslagerndem Unternehmen und IT-Dienstleister. Die Sicherstellung des Austauschs kann beispielsweise über die Entwicklung eines Abstimmungsplans erfolgen. Die vertragliche Grundlage, das IT-Notfallkonzept sowie die kontinuierliche Abstimmung bilden daher die Basis für eine IT-Dienstleistersteuerung unter BCM-Aspekten ” 1. Vertragliche Grundlage schaffen Bereits bei der Vertragsgestaltung sollten BCM-relevante Aspekte Berücksichtigung finden. Dazu gehört auch die Festlegung der zu beziehenden IT-Services, deren Verfügbarkeit im Normalbetrieb und deren maximale Wiederherstellungszeiten nach einem Notfall. In der Anfangsphase sollte bereits vereinbart werden, dass in regelmäßigen Abständen Zertifikate oder Testate vorgehalten wer- Webinar Delegierter Rechtsakt zur Liquidity Coverage Ratio 29. Januar 2015, 14:00 bis 16:00 Uhr Infos und Anmeldung unter www.risiko-manager-trainings.com 1.2015 diebank 63
