Aufrufe
vor 5 Jahren

die bank 05 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Banking
  • Insbesondere
  • Beispielsweise
  • Anforderungen
  • Institut
  • Portfolio
  • Deutschen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT IT-Auslagerungen im Fokus der 44er-Prüfung BANKENAUFSICHT Die Sonderprüfung nach Paragraph 44 KWG ist eines der wesentlichen Kontrollinstrumente der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie der Deutschen Bundesbank, auf die die BaFin die Prüfungsdurchführung übertragen kann. Die Banken-IT rückt dabei immer stärker in den Fokus der Regulatoren. Inhaltliche Prüfungsschwerpunkte setzen die Behörden dabei vor allem auf die aufsichtsrechtlich konforme Umsetzung der IT-Strategie und der hieraus abgeleiteten IT-Governance. Auch wenn sich aus dem Gesetzeswortlaut zunächst anderes vermuten lässt, kann bei 44er-Prüfungen somit nicht nur das Auslagerungsunternehmen, sondern insbesondere auch das institutseigene Management ausgelagerter IT-Dienstleistungen auf den Prüfstand kommen. Branimir Brodnik | Stefan Wendt Keywords: Bankenaufsicht, IT- Risikomanagement, Compliance Der mit der Sonderprüfung für die Banken- IT verbundene Aufwand und die Intensität dürfen nicht unterschätzt werden, fallen sie doch regelmäßig deutlich höher aus als vergleichsweise in den internen IT-Revisionsprüfungen. Denn immerhin hat der Gesetzgeber die prüfenden Behörden hier mit umfangreichen Informations- und Kontrollrechten ausgestattet. Die zu prüfenden Institute haben dabei bekanntermaßen keine Wahl und sind ihrerseits verpflichtet, die von der Behörde nach § 44 KWG angeordneten Prüfungen zu dulden. Das kann im Übrigen auch ohne besonderen Anlass geschehen, nicht zuletzt um einem etwaigen Integritäts- und Vertrauensverlust der zu prüfenden Institute vorzubeugen. Kurzum, ausgelagerte IT-Leistungen müssen nicht erst kritische Ausfälle oder Störungen verursacht haben, bevor sie Gegenstand der Prüfung werden. In der Praxis haben sich die Annahmen der Banken bislang bestätigt: Die Prüfer legten tatsächlich ein verstärktes Augenmerk auf die ausgelagerten Leistungen und schauen weiterhin ganz genau hin. Die Verträge werden geprüft, die Dokumentation der (hoffentlich) regelmäßig stattfindenden Service-Meetings mit den Providern wird gesichtet. Prozesse des Providers werden hinterfragt. Die Ausfallsicherungsverfahren kommen unter die Lupe. Es hat schon Fälle gegeben, in denen die Service-Abrechnung in Augenschein genommen wurde. Der Blick auf die Dienstleister ist jedoch nur eine Seite der Medaille. Der moderne Bankenbetrieb ist ohne verlässliche und integre IT ohnehin nicht mehr vorstellbar, sei es im Online Banking oder am Geldautomaten, bei der Kreditfinanzierung oder dem Wertpapierhandel – alles Geschäftsbereiche, in denen sich Banken regelmäßig spezialisierter Fremdfirmen bedienen. Die unternehmensrelevante Abhängigkeit von ihren IT-Systemen ist im Bankenumfeld demnach immanent, vielleicht in dieser Ausprägung nur noch mit der Automobilbranche vergleichbar. Im Umkehrschluss sind also Integrität, Verfügbarkeit und Zuverlässigkeit ausgelagerter IT-Systeme und Geschäftsprozesse eine nicht unwesentliche Teilmenge potenzieller Risiken, die die Bankorganisation im IT- wie im Business Process Outsourcing gleichermaßen erkennen und beherrschen muss. Die Institute sind in der Folge zwingend verpflichtet, die IT in die Geschäftsstrategie einzubinden. Kündigt die Aufsicht eine 44er-Sonderprüfung an, kann die isolierte Sicht auf die reine Technologie zu kurz greifen. Mit rund 19 Prozent fragt die Bankenbranche gemessen am Gesamtmarkt weiterhin unangefochten am stärksten IT-Dienstleistungen in Deutschland nach, so das Marktforschungsunternehmen Lünendonk in einer fl Die unternehmensrelevante Abhängigkeit von ihren IT-Systemen ist im Bankenumfeld nur noch mit der der Automobilbranche vergleichbar. 2014 veröffentlichten Studie. IT-Dienste etwa aus dem Rechenzentrum oder für die Bürokommunikation sind hierbei längst etablierte Standardmaßnahmen der Fremdbeschaffung. Doch neben den technischen Auslagerungen gewinnt vor allem die Bankenfachlichkeit auch im Outsour- 60 diebank 5.2015

BETRIEBSWIRTSCHAFT ó cing an Bedeutung: Zunehmend verfügen die Fachbereiche über eigene IT-Budgets, die sie direkt in anwendungs- oder prozessbezogene Lösungen investieren. Auch wenn hier die IT auf den ersten Blick nicht unmittelbar im Vordergrund der Auslagerung steht, ist sie doch immer auch ihre integrale, zwingende Voraussetzung. Banken verfolgen anhaltend vielfältige Varianten im Outsourcing, doch mit zunehmender Nähe zum Kerngeschäft wachsen Komplexität und Risikobehaftung. Schon lange wächst zudem in den Banken der Modernisierungsdruck auf die Anwendungslandschaft, vor allem bei den Kernbanksystemen, die etwa zur Bankprodukt-spezifischen Datenverarbeitung (Kontokorrent, Fest- und Tagesgeldkonten) und zur Verwaltung der Kundendaten genutzt werden. Banken-CIOs werden daher kurz- bis mittelfristig über den künftigen Grad von Eigen- versus Fremdfertigung entscheiden müssen, wenn sie den Investitionsstau hier auflösen wollen. Das geht nach dem Wortlaut der regulatorischen Mindestanforderungen an das Risikomanagement (MaRisk BA) soweit, dass in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen sind. Die IT-Strategie muss also unter strenger Berücksichtigung der geschäftlichen Anforderungen der Bank klar vorgeben, welche Leistungen (auch) künftig ausgelagert werden sollen und welche in Eigenverantwortung verbleiben. fl Schon längst wächst in den Banken der Modernisierungsdruck auf die Anwendungslandschaft, vor allem bei den Kernbanksystemen. Sourcing-Strategie als Teil der IT-Strategie Um den Maßstäben der 44er-Prüfung hier standhalten zu können, hat sich in der Praxis die Definition einer Sourcing-Strategie als Teil der IT-Strategie bewährt. Die Sourcing-Strategie sichert die künftigen Makeor-Buy-Entscheidungen der Banken-IT ab, immer mit engem Blick auf die fachlichen Anforderungen aus dem laufenden Bankgeschäft und ihrer Regulierung. Sie muss also übergeordnete strategische Vorgaben berücksichtigen und selbst Leitlinien zur Steuerung der künftigen Wertschöpfungstiefe vorgeben: ó Eine Sourcing-Strategie trifft dabei klare Aussagen über die Auslagerungspotenziale und bewertet diese Anteile der Eigen- versus (ausgelagerter) Fremdfertigung auf ihre fachlich-technische Umsetzbarkeit sowie mögliche Kosteneffizienzen. ó Die für die Auslagerungspotenziale jeweilige Fertigungsbreite und -tiefe sind präzise definiert, d. h. die Verantwortlichkeit in der Auslagerung ist zwischen dem auslagernden Institut und dem zu beauftragenden Dienstleister klar zugeordnet bzw. abgegrenzt; das lässt sich in einem späteren Auslagerungsvertrag mit dem Dienstleister auf Detailebene leicht spezifizieren. ó Darüber hinaus sollte unter deutlicher Bezugnahme der institutspezifischen Anforderungen herausgestellt sein, welche Leistungen sich aus Sicht der Bank als Marktstandard bzw. differenzierend darstellen („Commodity versus Individual Services“). ó Delivery- und Shoring-Modelle berücksichtigen die gesetzlichen Restriktionen der Auslagerung, an erster Stelle also die Vorgaben aus § 25 b KWG in Verbindung mit den auslegenden Ma- Risk BA, hier insbesondere Abschnitt AT 9.; „wo“ und „wie“ ausgelagerte Leistungen von der Bank bezogen werden, ergibt sich demnach bereits aus der Sourcing-Strategie, die beispielsweise beantwortet, ob im Rahmen der Auslagerung ein grenzüberschreitender Datenverkehr zulässig ist oder nicht, oder vorgibt, welche Banksysteme hochverfügbar sein müssen. ó Unter Berücksichtigung der Risikomitigationsmöglichkeiten gibt die Sourcing-Strategie zudem Auskunft über die Frage, ob mit den auszulagernden Leistungen einer oder mehrere Dienstleister beauftragt werden sollen („Single versus Multi-Provider-Modell”) Zusätzliche Herausforderungen in der Entwicklung der Sourcing-Strategie ergeben sich neuerdings durch die zahlreichen Cloud-Lösungen, die einerseits fachlichtechnisch innovativ, aber nicht minder risikobehaftet sein können. Sie reichen in der Erledigung banktypischer Geschäfte von der Bereitstellung zusätzlicher, bedarfsorientierter Rechenleistung, wie sie beispielsweise häufig zu den Quartals- und 5.2015 diebank 61

die bank