Aufrufe
vor 5 Jahren

die bank 05 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Banking
  • Insbesondere
  • Beispielsweise
  • Anforderungen
  • Institut
  • Portfolio
  • Deutschen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT fl

ó BETRIEBSWIRTSCHAFT fl Für den Fall der 44er-Sonderprüfung ist die Bankenorganisation gut aufgestellt, wenn sie die in der Strategie definierten Ziele und Maßnahmen objektiv messbar gemacht hat. Jahresabschlüssen benötigt wird, bis hin zu kompletten Softwarelösungen aus dem Internet (Software as a Service, SaaS). Aus strategischer Sicht gehört auch dieser Aspekt dringend gewürdigt, soweit die Bank den Bezug solcher Cloud-Lösungen für sich in Erwägung zieht. Da hier jedoch klare aufsichtsrechtliche Vorgaben fehlen, empfiehlt sich im Rahmen der Entwicklung von IT- und Sourcing-Strategie die Orientierung etwa an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Sicherheitsempfehlungen für Cloud Computing. Der hilfsweise Rückgriff auf die BSI-Empfehlungen dürfte dabei ganz im Sinne des Grundtenors der MaRisk stehen, stellen ihre Erläuterungen doch im Kontext der Vorgaben zur technisch-organisatorischen Ausstattung nach Abschnitt AT 7.2 grundsätzlich auf gängige Standards ab, zu denen u. a. der IT-Grundschutzkatalog des BSI ausdrücklich genannt wird. Balanced Scorecard: Objektive Messbarkeit der Auslagerungsziele und Maßnahmen sicherstellen Es mag lapidar klingen, aber die Praxis zeichnet nicht selten ein anderes Bild: IT- und Sourcing-Strategie sind wenigstens jährlich auf etwaige, bankspezifische Änderungen und Ergänzungen zu reflektieren. Für den Fall der 44er-Sonderprüfung ist die Bankenorganisation dann gut aufgestellt, wenn sie die in der Strategie definierten Ziele und Maßnahmen objektiv messbar gemacht hat. Ein praxisbewährtes Instrument ist hierfür die Balanced Scorecard, deren Pflege häufig in der operativen Verantwortung des Dienstleisterbzw. Providermanagements als Zentralinstanz der etablierten IT-Governance liegt. Es empfiehlt sich, dabei zwischen stabilen Elementen (Struktur, Prozess, Messgrößen) und Variablen (konkrete Messwerte) zu unterscheiden. Im Idealfall müssen in den Folgejahren nur noch die Variablen (Plan, Forecast und Ist-Werte) in das System eingespielt werden, und die stabilen Elemente sind nur im Bedarfsfall anzupassen, etwa wenn sich die Ziele aus IT- oder Sourcing signifikant verändern. Als konkrete Messwerte kommen beispielsweise qualitative Aussagen über die Einhaltung der mit dem jeweiligen IT-Dienstleister vereinbarten Servicequalitäten in Form sogenannter Service Level infrage. Sie können zugleich erster Indikator für sich abzeichnende Risikotrends sein, etwa wenn wiederholt erkennbar wird, dass vereinbarte Rechenund Speicherkapazitäten bzw. Verfügbarkeiten auf Dauer für die Aufrechterhaltung des ausgelagerten IT-Betriebs nicht ausreichend sein werden. Neben konkreten Messgrößen lassen sich weitere qualitative Vereinbarungen mit der Scorecard nachhalten: Sie kann beispielsweise die von den Dienstleistern erbrachten Nachweise über vereinbarte Zertifizierungen zu Datenschutz und Sicherheit dokumentieren und für verstärkte Risikotransparenz in der Auslagerung sorgen. Die Balanced Scorecard kann somit insgesamt in der Prüfung verifizierbare Antworten auf beispielsweise folgende Fragestellungen geben: ó Welche Ziele hat die IT insgesamt zur Erfüllung der Geschäftsziele der Bank umzusetzen? ó Was trägt die IT in welcher Form dazu bei, dass aufsichtsrechtliche Vorgaben zeitnah und korrekt abgedeckt werden? ó Wie erreichen wir unter Risikoaspekten, dass (künftige) Auslagerungen allen gesetzlichen und regulatorischen Vorgaben entsprechen? 62 diebank 5.2015

BETRIEBSWIRTSCHAFT ó Der Fokus der Scorecard sollte damit insbesondere auch auf den mit der (ausgelagerten) Leistungserbringung verbundenen aufsichtsrechtlichen Anforderungen und deren Einhaltung bzw. Umsetzung liegen. Für die Prüfungssituation ist wichtig, dass der Nachweis eines mit der kontinuierlichen Aktualisierung und Pflege der Balanced Scorecard verbundenen Prozesses erbracht werden kann. Entscheidend sind hier in diesem Zusammenhang – wie für den übrigen Aufbau und dessen Abläufe in der IT-Governance – präzise Arbeitsanweisungen und Kompetenzregeln, die die Operationalisierung der strategischen Ziele erkennen lassen. Die Prüfer werden dabei neben der eigentlichen Dokumentation und organisatorischen Implementierung auf die effektive Wirksamkeit des strategischen Prozesses abstellen – und zwar immer mit Blick auf die Kopplung der bankfachlichen Anforderungen mit den technologischen Lösungen. IT-Governance Neben der IT-Strategie gehört zum internen Outsourcing-Management eine klare Vorgabe zur Kontrolle, Koordination und Steuerung der Auslagerungsverhältnisse, die die bankindividuellen Abläufe und Funktionen gleichermaßen berücksichtigt. Zwar haben sich im Laufe der Outsourcing-Generationen grundsätzliche, am Markt etablierte Governance-Modelle herausgebildet, wie beispielsweise in der grundsätzlichen Differenzierung zwischen strategischen, taktischen und operativen Arbeits-, Entscheidungs- und Eskalationsebenen aufseiten des auslagernden Instituts und ihrer Dienstleister. Jedoch lassen sich hier keine one-fits-for-all- Muster pauschal kopieren. Größe, Kultur und Portfolio geben hier wesentliche Anhaltspunkte für eine angemessene, aber wirkungsvolle Governance-Struktur. Die schriftlich fixierte Ordnung (SFO) fasst wie ein Mantel die für das Auslagerungsmanagement der Bank einschlägigen Rollen- und Prozessprofile, Arbeitsanweisungen und Organisationsrichtlinien, Vertrags- und Berichtsmuster zusammen. ó Vorgaben zur organisatorischen Ausrichtung der Governance-Struktur (beispielsweise zentrales Providermanagement in der IT versus dezentrale Providermanager in den einzelnen Fachbereichen). ó Kriterien zum (wettbewerbsorientierten) Vorgehen und zur Auswahl von IT-Dienstleistern einschließlich der Verwendung institutseigener, standardisierter Ausschreibungs-, Bewertungs- und Vertragsdokumente; gibt die Bank den Rahmenvertrag vor, kann sie selbst beispielsweise Art, Inhalt und Umfang der notwendigerweise zu vereinbarenden Kontroll-, Prüfungs- und Weisungsrechte bestimmen. ó Vorgaben für die Durchführung erforderlicher Risikoanalysen von geplanten bzw. erfolgten Auslagerungen, Umfeldanalyse und Bewertung etwaiger Restrisiken sowie für ein bankinternes Vorgehen bei den von Dienstleistern gegebenenfalls gemeldeten fl Entscheidend sind präzise Arbeitsanweisungen und Kompetenzregeln, die die Operationalisierung der strategischen Ziele erkennen lassen. Risiken; abgestimmt beispielsweise auf die im Zuge der Operationalisierung von IT- und Sourcing-Strategie eingeführten Balanced Scorecard. ó Abläufe zur Entgegennahme und Bewertung bankfachlicher Anforderungen (Demand Management), zur Kontrolle der vereinbarten Lieferqualitäten (Service Level Management) und Service-Abrechnungen (Financial Management) sowie zur Anpassung der laufenden Verträge bei neuen Anforderungen oder zur Vereinbarung aufsichtsrechtlicher Novellen (Contract Management) ó Checklisten für Auslagerungs-Vorhaben, die die institutsspezifischen oder aufsichtsrechtlichen Anforderungen beispielsweise zum Business Continuity Management, zum Datenschutz, zum IT-Security Management oder zum (IT-) Risikomanagement (abgeleitet aus dem KWG und den MaRisk BA) aufführen. Auch hier wird sich eine 44er-Prüfung neben Vollständigkeit, Konsistenz und Plausibilität vor allem immer auf die Wirksamkeit der beschriebenen Maßnahmen fokussieren. Hier ist Augenmaß gefragt. Viel wichtiger als eine bedingungslose Eins-zu-Eins-Dokumentation ist deren regelmäßige Pflege und Überprüfung. Die Bank sollte jederzeit in der Lage sein, nachzuweisen, hier nicht nur Schrank- Ware erzeugt zu haben, sondern vor allem die gelebte Praxis und künftigen Entwicklungen mit dem selbst auferlegten Handlungs- und Prozessrahmen abzugleichen. Objektiv betrachtet, muss die Bank also das „interne“ Management ihrer IT-Auslagerungen mindestens mit derselben Konsequenz verfolgen, wie sie im „externen“ Verhältnis die Dienstleistungsbeziehung gestaltet: Beide Dimensionen werden Gegenstand von 44er-Sonderprüfungen sein. Ein regelmäßig durchzuführendes Self-Assessment kann helfen, auf die nächste Prüfungssituation gut vorbereitet zu sein. Durch einen Soll-Ist-Abgleich der jeweiligen aufsichtsrechtlichen Anforderung und deren bankspezifischer Umsetzung lassen sich potenzielle Schwachstellen frühzeitig erkennen. ó Autoren: Branimir Brodnik ist Geschäftsführer, Stefan Wendt ist Partner bei der Microfin Unternehmensberatung, Bad Homburg. 5.2015 diebank 63

die bank