Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

IT-Outsourcing: „MaRisk stellt bewährte Rahmenverträge auf die Probe“

Kaum eine Bank stemmt IT- und Anwendungssysteme heute noch ganz allein. Aufsichtsrechtliche Anforderungen und ein wirtschaftlicher Betrieb stellen hohe Hürden dar. Bei IT-Auslagerungen droht jetzt jedoch Ungemach: Die aktuelle MaRisk-Novelle verlangt eine strengere Kontrolle von Dienstleistern. Bestehende Rahmenverträge greifen wohlmöglich zu kurz, sagt Günther Heiß, Bereichsleiter Anwendungsentwicklung für die Basissysteme bei der SDV-IT. Interview: Philipp Scherber

Von Philipp Scherber - 25. Mai 2016

Günther Heiß ist Bereichsleiter Anwendungsentwicklung für die Basissysteme der Sparda-Datenverarbeitung. Das 1983 gegründete Unternehmen betreut als genossenschaftlicher IT-Dienstleister mehr als 8.500 Arbeitsplätze. Zu den Kunden zählen derzeit die 12 Sparda-Banken in Deutschland sowie die netbank.

BANKINGNEWS: Herr Heiß, welche Gefahren schlummern in Auslagerungsverträgen?

Günther Heiß: Im Grunde will die BaFin sicherstellen, dass Banken Herr über die eigene Geschäftsstrategie bleiben und sich nicht in die Abhängigkeit eines Dienstleisters begeben. Praktisch müssen die Banken bei der konkreten Ausgestaltung von in Anspruch genommenen IT-Services aktiv mitreden können. Davon war beim Abschluss vieler langjähriger Rahmenverträge jedoch nie die Rede. Klassisches Outsourcing basiert auf der Idee, eine bestimmte Leistung extern zu erbringen und das fertige Lieferprodukt innerhalb des Hauses weiterzuverarbeiten. Künftig erfordert das eine noch engere Zusammenarbeit.

Liegt das Heft des Handelns allein bei den Banken?

Teile der Bank-IT bei einem zentralen IT-Dienstleiter zu bündeln, ist heute alternativlos. Die Aufsicht erwartet, dass Bankanwendungen und die dafür benötigten IT-Systeme in hochsicheren und redundant aufgebauten Rechenzentren betrieben werden. Die Entwicklung von Bankanwendungen muss zudem transparenten Prozessen unter Einhaltung von Funktionstrennung an kritischen Stellen folgen. Diese Prozesse wiederum unterliegen einem bankinternen Kontrollsystem, sodass wir es mit unmittelbaren Auswirkungen auf die Aufbau- und Ablauforganisation zu tun haben. Die Gesamtverantwortung verbleibt also bei der Bank.

Woran macht sich diese Verantwortung fest?

Bei Betriebsprüfungen fragt die Aufsicht bei der Bank direkt nach Risiken, die sich aus Auslagerungen ergeben. Wem der Einblick in die Strukturen der Dienstleister fehlt, kommt dabei schnell in Erklärungsnot. Das erweist sich vor allem in Kontroll- und Kernbankbereichen als besonders brisant. Denn Artikel 9 MaRisk fordert, fundierte Kenntnisse und Erfahrungen vorzuhalten, nicht zuletzt um die ausgelagerten Aktivitäten gegebenenfalls zurückzuholen. Das funktioniert natürlich nur mit einer aktiven Mitsprache, und diese muss vertraglich geregelt sein.

„Profunde Sachkenntnis der Systeme erforderlich“

Reichen Service Level Agreements dafür nicht aus?

Wenn Sie ein zentrales Auslagerungswesen haben, das den Überblick behält und mögliche Fallstricke erkennt, dann ja. Beispiel Verfügbarkeit: Erfolgt die Messung beim IT-Dienstleister im Haus oder am Ort des Geschehens in der Bank? Solche Details sind wichtig, da die Institute daraus folgende Risiken qualitativ bewerten müssen.

Warum ist das so schwierig?

Viele Sachverhalte erfordern profunde Kenntnisse der zum Einsatz kommenden Systeme. Aus einem vereinbarten Schutzniveau für bestimmte Daten müssen IT-Dienstleister beispielsweise ein Konzept entwickeln, das auf systemtechnischer und prozessualer Ebene die Erfüllung der gewünschten Schutzaspekte belegt. Ohne dieses Verständnis kann eine Bankorganisation die darin eventuell verborgenen Risiken etwa bei Integrität, Vertraulichkeit und Authentizität der Daten gar nicht bewerten. Genau das aber verlangt die MaRisk: Eine qualifizierte Auskunft über alle Risiken. Ein einfacher Verweis auf die Vereinbarungen mit Dienstleistern gilt aufsichtstechnisch als unzureichend.

Was bedeutet das konkret?

Verträge beschreiben den Regelzustand. Das Risiko steckt jedoch im Ausnahmezustand. Was passiert also, wenn vertragliche Vereinbarungen ins Leere laufen? Die Institute müssen nachweisen, dass sie über einen Notfallplan verfügen, falls Dienstleister ausfallen oder in Leistungsnotstand geraten. So will die Aufsicht vermeiden, dass einzelne Institute die Verantwortung für Prozesse oder IT einfach auslagern und sich allein auf das Leistungsversprechen des Dienstleisters verlassen. Deshalb finden die Prüfungen ausdrücklich ohne Berücksichtigung zivilrechtlicher Absprachen statt.

Was raten Sie Banken in der aktuellen Situation?

Die Risikobewertung hochspezialisierter IT-Systeme setzt absolutes Expertenwissen voraus. Eine enge Zusammenarbeit zwischen Bank und IT-Dienstleister ist deshalb unerlässlich. Das gilt umso mehr, als die technischen Möglichkeiten der IT unaufhaltsam steigen und auch die Komplexität der damit einhergehenden Risiken. Es geht schließlich nicht darum, die Banken zu ärgern, sondern ein stärkeres Bewusstsein für Risiken zu wecken.

Sie meinen den Begriff der Risikokultur?

Genau. Die Bank muss zeigen, dass sie im Sinne einer optimalen Risikosteuerung wirklich alles im Griff hat.

„Banken und Rechenzentren als Partner“

Sehen Sie dabei auch die Rechenzentren in der Pflicht?

Im Idealfall verstehen sie sich als Partner. Die Zusammenarbeit geht weit über den technisch-organisatorischen Aspekt wie den Aufbau der Rechenzentren hinaus. Wer IT-Systeme für Banken anbietet, erhält Einsicht in die Kundenprozesse und trägt dafür Sorge, dass das Angebot mit internen Kontrollsystemen sowie der Ablauf- und Aufbauorganisation des Kunden harmoniert. Denken Sie beispielsweise an Konto- oder Zahlungsverkehrsdienste, die eine Bank mit externen Partnern umsetzt. Das ist etwas mehr als eine Cloud-Lösung für MS Office.

Haben Sie ein Beispiel?

Fintechs platzieren derzeit mehrere durchaus auch für Banken attraktive Lösungen am Markt. Die Scan-Lösung für Smartphones, um Rechnungen per Foto zu begleichen, ließe sich etwa in eine moderne Banking-App einbinden. Dafür muss eine MaRisk-konforme Anbindung an IT und Prozesse gewährleistet sein. Die reine Entwicklungsarbeit bis zur Prototyp-Reife kommt dagegen weitgehend ohne regulatorischen Ballast aus. Für Organisatoren, die etwas bewegen wollen, ist das ideal, um Kernkompetenzen im Prozessmanagement voll auszuspielen und kundenorientierte Lösungen gemeinsam mit dem Fintech zum Leben zu erwecken. Aus Sicht eines Rechenzentrums bietet sich zudem eine tolle Chance. Denn wir können solche Lösungen MaRisk-konform entwickeln und bei Bedarf für alle Kunden ausrollen. Das minimiert Entwicklungsaufwände für das einzelne Institut.

Wie funktionieren dabei die Schnittstellen in die Bank?

Nach unserer Wahrnehmung fällt Organisationsabteilungen generell eine Schlüsselrolle bei Auslagerungen zu. Die Verantwortung für die Prozesse bleibt trotz externer Umsetzung ja weiterhin intern bestehen. Bankorganisatoren verändern sich damit von einer ausführenden zu einer steuernden Einheit. Diese Entwicklung haben viele Banken bereits vorgezeichnet, da die Bank-Organisation zunehmend auch zwischen Fach- und IT-Abteilungen im Haus vermittelt. Das setzt sich nun bei externen Dienstleistern fort.

„Bankorganisatoren als steuernde Einheit“

Wie macht sich Ihre genossenschaftliche Sonderrolle bemerkbar?

Im Kontext der MaRisk profitieren vor allem Kundenbanken, da sie gleichzeitig die Eigentümer der SDV-IT sind. Die Dienstleistersteuerung erfolgt dabei unmittelbar über den Aufsichtsrat. Damit ist neben der operativen Steuerung auf Organisationsebene auch die strategische Steuerung sichergestellt.

Bleiben die Banken dabei denn noch flexibel genug?

Entscheidend sind verschiedene Zugangswege. Durch unsere Gremienstruktur lassen sich sowohl auf Führungs- wie auch Fachebene unterschiedliche Erwartungen an die IT aufeinander abstimmen, um unterschiedliche Anforderungen zu erfüllen und die gewünschten Features wirtschaftlich zu realisieren und auch langfristig zu betreiben. Zusätzlich binden wir die Fachebene auf zwei Ebenen ein. Expertenteams bereiten Sachverhalte aus der Bankpraxis passgenau auf und Kompetenzteams bewerten die Vorschläge im Gesamtkontext der Anforderungen.

Bieten Sie IT-Lösungen auch eigenständig am Markt an?

Wir bieten unsere Dienstleistungen gerne auch einem Institut außerhalb der Sparda-Gruppe an, wenn das Geschäftsmodell zu uns passt.

Lesen Sie auch

Die DNA des Erfolgs

Die Sparkassen denken aktuell über eine eigene Direktbank[…]

Redaktion

Aus purer Verzweiflung

Deutsche Commerz? Ernsthaft?

Thorsten Hahn

Risiken und Prozesse digital integriert

Ein Praxisbericht zur Prozessdokumentation unter Einbeziehung operationeller Risiken[…]

Karl Hartinger
Dr. Alexander Bethke-Jaenicke, Gründer und geschäftsführender Partner von Horn & Company

Data Analytics: „Andere Branchen sind deutlich weiter“

Die Industrialisierung von Prozessen steht weit oben auf[…]

Philipp Scherber

Banca Carige wird zwangsverwaltet

Neues Jahr, neue Führung, neues Glück? Nach dem[…]

Tobias Schenkel

Wenn Digitalisierung einfach intelligent ist

Zukunftsweisend, papierlos, nachhaltig – diese Aspekte fehlten bis[…]

Siegfried Fichtler

Das Ziel

Autoren: Eliyahu M. Goldratt (Verfasser), Dwight Jon Zimmerman[…]

Daniel Fernandez

Vabanque-Spiel

Die Deutsche Bank holt die Beratungstruppe Cerberus Operations[…]

Thorsten Hahn

Rezension: Digital Work Design

Der Begriff der „Digitalisierung“ ist heutzutage nicht mehr[…]

Dalia El Gowhary

Agiles Projektmanagement in Banken – eine Utopie?

In der Bankenwelt greift seit einigen Jahren mehr[…]

Christoph Lütchens

German Dream in der Deutschen Bank

Ein Ende zieht auch immer einen neuen Anfang[…]

Christian Grosshardt

Von Säulen, Telefonzellen und Dinosauriern

Bis zum Jahr 2030 soll es in Deutschland[…]

Christian Grosshardt

Mit „Systemischem Projektmanagement“ sicher durch den Sturm navigieren

„Was hat der Mars mit dem Berliner Flughafen[…]

Kurt-Walter Langer

Inhouse Consulting – der kleine Unterschied

Viele Banken beschäftigen externe Unternehmensberater. In der Commerzbank[…]

Andrea Dreyer

Bänkchen, wechsel dich

Von Banken werden agile Methoden und Transformation gefordert,[…]

Thorsten Hahn

Fehler sind erlaubt – ein Scheitern nicht

Nachbericht zum Fachkongress "Zukunft der Bankorganisation" am 20.[…]

Philipp Scherber

Wie die KfW Bankengruppe die interne Kommunikation auf Dialog ausrichtet

Seit drei Jahren setzt die KfW Bankengruppe auf[…]

Christian Chua

BANK VISIT 2017 – US-Orden für Verdienste im Finanzumfeld

„For the fifth time“ – am 10. August[…]

Markus Müller

Digitale Kollaboration im Social Intranet

Die Sparda-Bank West macht sich fit für die[…]

Heike Szary-Bogdon

Die Prozesslandkarte der BayernLB

Die in der Bankbranche weit verbreitete aufbauorganisatorische Sicht[…]

Sven Trautner

Kommentieren, empfehlen, bloggen – Social Business macht’s möglich

Qualitativ hochwertiger Austausch und schlanke Prozesse sind kein[…]

Alex Bering

Geht es auch ein bisschen schlanker?

Nicht erst seit Big Analytics wissen wir, dass[…]

Barbara Laimer

Die MaRisk sind nicht alles

Vorschriften einzuhalten, ist keine Strategie!

Claudia Meier

Disruption trifft Tradition. Nicht.

Vom 5. Bis 6. April war Berlin Magnet[…]

Thorsten Hahn

„Banken wollen mehr Prozesse auslagern“

68 Prozent der deutschen Banken planen teilweise in[…]

Redaktion
Bank für Gemeinwohl

Geld mit Sinn: Die Bank für Gemeinwohl

Einen Wandel der Finanzlandschaft hin zum ethischen Banking[…]

Frederik Schorr

Banking unter sich wandelnden Wettbewerbsbedingungen

Egal, ob Privat-, Genossenschaftsbank oder Sparkasse – sowohl[…]

Jochen Ramakers

Revolution oder Evolution?

Bitcoin und Kryptowährungen sind eine Revolution des Geldwesens.[…]

Christoph Mann

Kreativität sticht Komplexität

Auf dem Weg zu Corporate Creativity.

Claudia Meier
Deutsche Bank Strategie

Über die Rückkehr zur Strategie

Im Jahr 1870 wurde die Deutsche Bank in[…]

Thorsten Hahn

Prozesskultur für Banken: Organisationen sich selbst verändern lassen

Studien belegen: Prozessmanagement erzeugt Widerstände, viele Mitarbeiter bekommen[…]

Florian Hutter

„Weichen neu gestellt“ – GLS Bank zieht positive Bilanz

Wesentliche Entwicklungsschritte verzeichnete die GLS Bank für das[…]

Christian Grosshardt

Die Großprojekte kommen

Banken dürfen sich nicht verstolpern.

Claudia Meier

Erfolgreiche Digitalisierung erfordert neue Prozessmanagement-Ansätze

Meist wird das Thema Geschäftsprozessmanagement vor allem mit[…]

Thomas Allweyer

Mit Multi-Projektmanagement Risiken minimieren

In vielen Branchen ist es State-of-the-art, in anderen[…]

Norman Frischmuth

Studie: Banken wünschen sich mehr Veränderungskompetenz

Vom Schlagwort zum Programm: 62 Prozent der Fach-[…]

Ralf Heydebreck

Brexit: Großbanken wollen Mitarbeiter aus London abziehen

Die Brexit-Pläne der britischen Regierung könnten Großbanken mit[…]

Daniel Fernandez

„Investmentprozess à la nextgen“

Rund 3.100 Privatstiftungen in Österreich verfügen über ein[…]

Manfred Wieland

Digitale Verantwortung

Das digitale Universum wird die Verantwortung nicht übernehmen.[…]

Thorsten Hahn

Großprojekte: „Ohne sauberes Prozessmodell sind Sie aufgeschmissen“

Deutsche Geldhäuser blicken pessimistisch in die Zukunft: Neun[…]

Christian Grosshardt

Holacracy

Ein revolutionäres Management-System für eine volatile Welt

Anna Stötzer

„Bankgeschäfte machen sicher weniger Spaß als Pokémon Go“

Das Fintech N26 hat jetzt eine Banklizenz. O2[…]

Christian Grosshardt

Auf das Kerngeschäft besinnen

Bankorganisatoren schaffen dafür die nötige Prozesslandschaft.

Claudia Meier

Management by trial and error

Jeder fünfte Arbeitsplatz soll bei der Commerzbank wegfallen.[…]

Thorsten Hahn

Hersteller treiben Integration der Banken-Software voran

Zwei Trends bestimmen das aktuelle Marktumfeld für BPM-Software:[…]

Nick Führer

Drum prüfe, wer sich ewig bindet…

Vor Jahrhunderten konnten sich die Mächtigen noch Pyramiden[…]

Thorsten Hahn

„Wir müssen weg vom Wildwuchs der Systeme“

In den kommenden drei Jahren steigt die Bedeutung[…]

Philipp Scherber

BPM-Software richtig einsetzen

Bankorganisatoren, die Prozesse leben, brauchen nur ein gutes[…]

Claudia Meier

High Noon in Düsseldorf

Die Gewinne in die Rücklagen fließen lassen oder[…]

Thorsten Hahn

Jammern auf hohem Niveau

Oder sind die aktuellen Bank-Quartalszahlen ein alarmierendes Signal?

Thorsten Hahn