Die Finanzwirtschaft wird auch in den kommenden Jahren weiterhin von den Spannungsfeldern der Regulatorik, dem Niedrigzinsumfeld sowie einer fortwährenden Digitalisierung geprägt sein. All diese Faktoren verstärken den Kostendruck auf die Institute und erschweren die Ertragsmöglichkeiten.
Um auch künftig ein relevanter Finanzpartner im Markt zu bleiben, müssen diesen anspruchsvollen Entwicklungen mit Kraft begegnet und richtungsweisende Entscheidungen hin zur konsequenten Standardisierung und Nutzung der Arbeitsteiligkeit im Verbund getroffen werden.
Vor allem um die steigenden regulatorischen Vorgaben (MaRisk, BAIT, DSGVO etc.) umzusetzen, sind immer aufwendigere Prozesse im Organisations- und IT-Management rund um die Verwaltung und Dokumentation von Prozessen, Verfahren, Hard- und Software sowie Auslagerungen und Dienstleistungsverträgen erforderlich.
Ein effizientes Management des Informationsverbunds ist ein Beispiel für die aktuellen Herausforderungen vieler Sparkassen. Das Vorhalten von Know-how (IT-Fachwissen) sowie die Konzentration auf zentrale Leistungsträger (Kopf-Monopole) im ORG/IT-Umfeld sind aus Personalsicht zunehmend kritisch zu bewerten. Der Bedarf für IT-Fachpersonal, um den IT-Betrieb sicherzustellen und zu steuern, steigt.
Die in den Sparkassen häufig anzutreffende hohe Prozessindividualität – gepaart mit einer großen Anwendungsvielfalt durch Implementierung unterschiedlicher Drittanwendungen und Eigenentwicklungen – sind wesentliche Gründe für eine steigende Komplexität.
Aus den vielen Abhängigkeiten in den Prozess- und IT-Management-Aufgaben resultieren hoher manuellen Aufwand sowie Sachkosten für Doppelpflege, redundante Datenhaltung, Inkonsistenzen und Bearbeitung von Prüfungsfeststellungen.
Dies führt zu einer erheblichen Ressourcenbelastung und gleichzeitig Fehleranfälligkeit in den ORG/IT-Bereichen der Institute. Eine Systematisierung betroffener Bereiche ist für eine schlanke Erfüllung der regulatorischen Notwendigkeiten (BAIT, DSGVO, Notfallplanung, IKS etc.) daher sinnvoll.
Systematik aufsichtskonforme ORG/IT-Steuerungsprozesse
Mit den neun ORG/IT-Steuerungsfeldern, die im Rahmen des DSGV-Projekts „Betriebsstrategie der Zukunft (BdZ)“ in Zusammenarbeit mit Eurogroup Consulting (EGC) erarbeitet worden sind, verfügen die Institute jetzt über eine Systematik für effiziente und aufsichtskonforme ORG/IT-Steuerungsprozesse. Dabei sind die regulatorischen Anforderungsgrundlagen aus dem ITM-Radar zugrunde gelegt und um betriebswirtschaftliche Aspekte ergänzt worden.
Die Anforderungen und Aufgaben in den Steuerungsfeldern (inklusive deren Abhängigkeiten und Schnittstellen) sind zudem der PPS-Prozesslandkarte und damit dem zentralen Prozessmodell für Sparkassen zugeordnet worden. Zur technischen Abbildung der Steuerungsfelder setzt die Sparkassen-Finanzgruppe mit dem Tool RiMaGo (Risk, Management und Governance) des IT-Dienstleisters SIZ auf einen einheitlichen Standard, welcher sämtliche Steuerungsfelder abdeckt.
ORG/IT-Steuerungsfelder
Der Wirkungskreis der ORG/IT-Steuerungsfelder kann als das Herzstück von Organisation und IT sowie deren Steuerungsprozesse aufgefasst werden. Ausgehend von der (ORG/IT-)Strategie verdeutlicht er die logische Wirkungsreihenfolge der einzelnen Steuerungsfelder.
Er veranschaulicht auf diese Weise, dass nur ein ganzheitlicher Ansatz erfolgversprechend ist: Nutzt man die Standards in einem ORG/IT-Steuerungsfeld nicht, unterbricht das Wirkungskreis (siehe Abbildung 1). Dies bedeutet für die weiteren Steuerungsfelder automatisch eine steigende Individualisierung.
Die ORG/IT-Strategie ist die notwendige Bedingung und Basis. Einerseits ist sie damit das verbindende Element zur Geschäftsstrategie und andererseits muss sie Leitlinien für die übrigen acht Steuerungsfelder geben. Diese Leitlinien müssen hinreichend konkret und messbar sein, sodass sich Steuerungsimpulse ableiten lassen. Die zentrale Maxime muss dabei das Commitment zum Standard sein.
Innerhalb der Wirkungskreislogik bestimmt das Bekenntnis zum Standard auch das Handeln im Prozessmanagement. Standardprozesse (PPS-Prozesse) innerhalb einer klaren Prozessarchitektur im Rahmen einer Prozesslandkarte zu etablieren, steht ganz klar im Vordergrund.
Diese Struktur macht den Umsetzungsstand von Releases transparenter und Prozessrisiken lassen sich besser bewerten. Weiterer Vorteil: Setzt man Standardprozesse ein, können auch Standardanwendungen und -infrastruktur genutzt werden.
Das Architekturmanagement und die Anwendungsbereitstellung knüpfen nahtlos an eine am Standard ausgerichtete Prozessarchitektur an. Dadurch lassen sich Standardanwendungen und -infrastruktur einsetzen. Die Notwendigkeit für Drittanwendungen und/oder Eigenentwicklungen, die sowohl aufsichtsrechtlich als auch aufwandstechnisch oft deutlich komplexer sind, wird reduziert.
Standardisierung reduziert Aufwand
Ein standardisiertes Prozess- sowie Architekturmanagement sind wiederum Basis für ein auf den Standard ausgerichtetes und damit effizientes Benutzerberechtigungsmanagement. Das zentrale Kompetenz- und Rechtesystem (Kurs) in OSPlus minimiert nicht nur den operativen Aufwand (zum Beispiel durch Bündelung von Einzelrechten und reduziertem Aufwand bei Rezertifizierungen), sondern wird gleichzeitig den aufsichtsrechtlichen Anforderungen als Single-Point of Administration (SpoA) gerecht.
Auf den IT-Betrieb wirken ebenfalls die Kräfte der beschriebenen Standardisierung ein. Durch die Standardisierung von Prozessen und Anwendungen lassen sich IT-Betriebsaufgaben mithilfe von Lösungen der Finanz Informatik (FI) ganz oder teilweise auslagern (insbesondere IT-Service-Comfort). Durch diese Auslagerung lassen sich operationelle Betriebsrisiken mindern sowie Kostentransparenz und -reduktionen realisieren.
Wird der IT-Betrieb an die FI ausgelagert, vereinfacht sich darüber hinaus das Vertrags- und Auslagerungsmanagement für die IT-Betriebsprozesse. Da nur ein Vertragspartner mit standardisierten Produkten und Standardkomponenten zu betreuen ist, wird die Durchführung des Vertragsmanagements entlastet und der jeweilige Aufwand für Steuerung sowie Überwachung minimiert.
Das neue Standard-Tool RiMaGo steuert übersichtlich verschiedene Vertragspartner im Sinne eines zentralen Dienstleistermanagements.
Das grundlegende Ziel des Steuerungsfelds Projektmanagement ist es, eine Portfolioübersicht über alle Projekte abzubilden sowie die Durchführung und Dokumentation einer Auswirkungsanalyse. Die Abbildung der regulatorisch erforderlichen Grunderfordernisse eines (Multi-)Projektmanagements kann ebenfalls über das Standard-Tool RiMaGo erfolgen.
Das Steuerungsfeld ISM/IRM, Datenschutz, Notfallmanagement profitiert von den Wirkungszusammenhängen der Steuerungsfelder, wenn diese konsequent der Logik des Standards folgen. Für die Themen ISM/IRM kann das in der Sparkassen-Finanzgruppe etablierte Produkt „Sicherer IT-Betrieb“ (SITB)“ der SIZ genutzt werden.
Es unterstützt die Umsetzung der regulatorischen Anforderungen und damit die Prüfungsfestigkeit hinsichtlich Revision und Aufsichtsbehörden. Das etablierte Prozessmanagement, die standardisierte Anwendungsarchitektur, aber auch eine übersichtliche Auslagerungslandkarte (Administration über das Tool RiMaGo) tragen ferner zur Prüfungssicherheit bei und senken gleichzeitig den operativen Aufwand im Informationssicherheitsmanagement.
Der ORG/IT-Wirkungskreis schließt mit dem Steuerungsfeld ORG/IT-Kostenmanagement, welches das Planen, Analysieren und Berichten der ORG/IT-Kosten verantwortet. Das Standard-Tool RiMaGo hilft auch hier dabei, die angefallenen Kosten so transparent wie möglich zu machen. Zum einen können die Kosten verursachungsgerecht zugeordnet werden, was innerhalb der Organisation zu einem verstärkten Kostenbewusstsein führt. Zum anderen ermöglicht diese Transparenz auch spezifische Steuerungsmöglichkeiten.
„Aufräumen“ vor dem Einsatz
Dezentral aufgestellte Organisationen, wie die Sparkassen-Finanzgruppe, haben bei der Einführung der Standardisierung naturgemäß zusätzliche Herausforderungen, die aus der Heterogenität der einzelnen Institute resultieren. Um die Voraussetzungen für die Nutzung der ORG/IT-Steuerungsprozesse zu schaffen, wird den Sparkassen daher empfohlen, sich zunächst intensiv mit den ORG/IT-Steuerungsfeldern zu beschäftigen.
Vor Einführung der ORG/IT-Steuerungsprozesse muss oftmals „aufgeräumt“ und für Transparenz gesorgt werden, da in vielen Instituten etwa die Anwendungsquote von OSPlus- oder Drittanwendungen nicht bekannt ist.
Im Zuge einer solchen Aufräumaktion ist auch eine Beschäftigung mit den (ORG/IT-)Kosten unverzichtbar: Wie hoch sind diese im Status quo und wie werden sich diese entwickeln? Daraus leitet sich ebenfalls die Fragestellung ab, welche der umfangreichen technischen Unterstützungen innerhalb der Sparkassen-Finanzgruppe bereits heute genutzt werden beziehungsweise noch adaptiert werden können.
Die grundlegende Maxime muss auch hier das Bekenntnis zum Standard sein, was durch die von EGC proklamierte „Beweislastumkehr“ gefördert wird. Diese sieht vor, dass die Standardlösung zunächst gesetzt ist und die Fachbereiche die Vorteilhaftigkeit der Alternativlösung nachweisen müssen. Im Klartext: Erprobte Standards müssen nicht mehr interpretiert, sondern konsequent und nachhaltig umgesetzt werden.
Um die Voraussetzung zur Einführung der ORG/IT-Steuerungsprozesse zu schaffen, bietet EGC den Sparkassen eine Unterstützung nach dem sogenannten ORG/IT-4.0-Ansatz an.
ORG/IT-Wirkungskreis als Strukturierungselement
Gemäß dem EGC-Verständnis von Ordnung und Wirkung werden aufbauend auf den zentralen ORG/IT-Steuerungsprozessen als Ordnungs- insbesondere auch Wirkungselemente der ORG/IT analysiert und bewertet und anschließend in ein spezifisches Zielbild überführt. Der EGC-ORG/IT-Wirkungskreis ist dabei ein Strukturierungselement, um einen holistischen Ansatz zu integrieren (siehe Abbildung 2).
Entscheidend für eine nachhaltige, erfolgreiche Implementierung ist aus Sicht von EGC, dass die strukturelle Ordnung mithilfe der Steuerungsfelder in den wesentlichen Themen hergestellt wird, aber vor allem durch die Wirkungselemente der Skills, der Kultur und der Zusammenarbeit ergänzt werden. Diese zusätzlichen Elemente tragen aus Sicht der Autoren wesentlich dazu bei, nachhaltig Wirkung in den ORG/IT-Steuerungsfeldern zu entwickeln.
Die ORG/IT-Mitarbeiter müssen in die Lage versetzt werden, die künftigen Steuerungsaufgaben wahrnehmen zu können. Dies gilt sowohl für die erforderlichen Fähigkeiten der ORG/IT-Mitarbeiter als auch für die strukturellen Voraussetzungen sowie die Akzeptanz der ORG/IT im Gesamthaus (Schnittstellen, Commitment). Speziell die Akzeptanz ist wichtig, um produktiv und Hand in Hand mit den Fachbereichen zusammenarbeiten zu können.
Fazit
Durch die Umsetzung der ORG/IT-Steuerungsfelder als Ordnungskriterium – gepaart mit den Wirkungselementen – wird eine nachhaltige Einführung der ORG/IT-Steuerungsprozesse erfolgreich etabliert. Neben einer effizienten Abbildung des Aufsichtsrechts gelingt damit auch die Weiterentwicklung der ORG/IT-Abteilung zum Steuerer und Berater – sowohl für die Fachbereiche als auch den Vorstand.
Autoren
Frank Trojahn ist Referent IT-Regulatorik beim Deutschen Sparkassen- und Giroverband (DSGV) in Berlin.
Heinrich Piermeier ist Partner bei der EGC Eurogroup Consulting AG in Frankfurt/M.
