Weiterbildungsangebote, Praxistipps und Expertenmeinungen bequem per E-Mail – für einen leichteren Alltag!
Nach einem Bericht zur „Digital Banking Experience“, der im Oktober 2022 veröffentlicht worden ist, scheint die digitale Transformation der Banken weltweit insbesondere bei kleinen und mittleren Banken zu stocken. Die Gründe sind vielfältig und können zwischen Technik- und Risikomanagement verortet werden. Dr. Claus Beckenhaub, Managing Director, zuletzt Divisional Control and Regulatory Officer bei der Deutsche Bank AG in Frankfurt/M., gibt Hinweise zur digitalen Transformation.
Die digitale Transformation ist für Banken von besonderer strategischer Relevanz, da sich fast alle internen Prozesse weitgehend digitalisieren lassen, die wiederum Voraussetzung für ein wettbewerbsfähiges Produkt- und Serviceangebot sind. Neben den branchenunabhängigen Herausforderungen einer digitalen Transformation müssen Banken zusätzlich hohe regulatorische Anforderungen zum IT- Management erfüllen, um dem branchenspezifischen Risiko Rechnung zu tragen.
Die Restrukturierung der IT im regulatorischen Rahmen ist dabei wesentliche Grundlage für die erfolgreiche Umsetzung der digitalen Transformationsagenda von Banken. Die Nutzung von Cloud-Diensten, agiles Arbeiten in der Risikotoleranz sowie das Einwerben und die Etablierung der richtigen Kompetenzen bzw. Kultur sind wiederum einige Bausteine für eine erfolgreiche Restrukturierung der IT.
Bei der Nutzung von Cloud-Diensten sind vielfältige Aspekte zu berücksichtigen, die sorgfältig adressiert werden müssen. Beispielsweise handelt es sich hierbei um:
Die vertragliche Ausgestaltung mit dem Cloud-Anbieter
Die Abstimmung mit den zuständigen Aufsichtsbehörden zu den Risiken eines (materiellen) Auslagerungsmanagements
Die Komplexität bei grenzüberschreitenden Sachverhalten
Die Etablierung eines effektiven Cloud Risk Management Standards
Eine Migrationsstrategie und operative Umsetzung wie IT-Applikationen und Daten in die Cloud kommen sowie
Die Strukturierung des Lebenszyklus der Softwareentwicklung und die Produktionsbereitstellung in der Cloud
Agiles Arbeiten erfordert möglichst präventive und automatisierte Kernkontrollen und eine möglichst vollständige Transparenz zum Risikoprofil bei IT-Assets und den damit verbundenen Prozessen, die innerhalb und außerhalb der Risikotoleranz liegen. Die Bafin hat hierzu in ihren bankaufsichtlichen Anforderungen an die IT die Mindestanforderungen an das Risikomanagement und auch an das Auslagerungsmanagement interpretiert und formuliert. Eine Antwort hierauf kann ein integriertes Risiko- und Kontrollsystem mit folgender Struktur sein:
Definition von Bedrohungslagen („Threats“) und anwendbarer regulatorischer Anforderungen
Zuordnung der Bedrohungslagen und Anforderungen zu den Risikotypen der Risiko-Taxonomie, die durch die Bank firmenweit verwendet wird
Bestimmung von Kontrollzielen, um das artikulierte Risiko der regulatorischen Anforderungen und der Bedrohungslagen in die Risikotoleranz zu bekommen
Anwendung der Kontrollziele auf IT-Assets, aber im Kontext des dazugehörigen („Front–to-Back“-)Prozesses, um darauf aufbauend, möglichst automatisierte und präventive Kontrollen zu definieren und zu implementieren
Berücksichtigung von Revisionsfeststellungen bzw. selbst identifizierter Probleme sowie Erkenntnisse, die man aus Vorkommnissen („Incidents“) wie IT-Ausfällen bzw. Cyber-Attacken gelernt hat, bei der Definition der spezifischen Kontrollen, und
Bereitstellung einer Managementinformation auf Basis des Risiko- und Kontrollinventars, um den Rahmen für agiles Arbeiten zu bestimmen und um ganz spezifische Verbesserungsprogramme aufzusetzen und bis zum Abschluss der Implementierung zu steuern.
Die richtigen Kompetenzen bzw. Kultur in der IT zu etablieren, setzt bereits bei der Frage zur Zusammensetzung des Teams an. Da es um Technik geht, sollte die IT durch Ingenieure geführt werden und die Mitarbeiter sollten zumindest überwiegend einen vergleichbaren Hintergrund haben.
Agiles Arbeiten als Teil der Kultur baut nahezu unverändert auf den Grundsätzen des Manifests für agile Softwareentwicklung aus dem Jahre 2001 auf. Während sich die SCRUM-Arbeitsmethode für einzelne Teams als hilfreich erwiesen hat, scheint es für die Abstimmung des „Teams der Teams“ weniger auf die genaue Anwendung eines spezifischen Models wie beispielsweise das Scaled Agile Framework (SaFe) oder das Spotify-Model anzukommen. Wichtig ist es allerdings, die Werte des autonomen Arbeitens zu leben, die zu hoher Motivation und kurzer Markteinführungszeit führen und die auf Vertrauen, Transparenz, Qualität und Fehlerkultur in Kombination mit einem effektiven Risiko- und Kontrollsystem basieren.
Nutzen Sie unser Weiterbildungsangebot speziell für Banken und Finanzinstitute, um sich zuverlässige Updates zu den aktuellen Anforderungen an Ihr Institut zu verschaffen. Profitieren Sie vom Know-how führender Finanzexperten und erhalten Sie Tipps für den sicheren Umgang mit Vorgaben, Technologien und Trends.
Es gibt keinen Geschäftsbereich mehr, der sich nicht mit dem Thema Digitalisierung auseinandersetzen sollte. Egal ob klein, groß oder nur 1-Mann Unternehmen. Wir merken alle, dass kein Weg daran vorbei führt.