Die Regulationsschraube wird immer fester angezogen. Dabei haben die bisherigen regulatorischen Änderungen meist fachliche Pro­zesse und Vorgaben, Eigenkapitalunterlegung oder Wertpapierbera­tungs­prozesse im Blick gehabt.

Nahezu sämtliche Vorgaben mussten zum weit überwiegenden Teil informationstechnisch umgesetzt werden – durch Änderungen an vorhandenen Systemen, neue Schnittstellen und IT-gestützte Prozesse. Seitdem die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröf­fent­licht worden sind, gibt es sehr konkrete und detaillierte Anforde­run­gen an ein in das allgemeine Risikomanagement eingebundenes IT-Management.

Hier finden Sie weitere Beiträge aus den Betriebswirtschaftlichen Blättern (BBL)

⇒ Infotipp: Setzen Sie auf diesen Link ein Bookmark – und Sie haben jederzeit einen Überblick über die Betriebswirtschaftlichen Blätter.

Feststellungen in Sonderprüfungen gemäß §44 KWG deuten darauf hin, dass die Umsetzung dieser Anforderungen in vielen Instituten noch nicht abgeschlossen ist. In der ersten BAIT-Fassung ist der Begriff „Informa­tions­verbund“ (4 x genannt) erstmals eingeführt worden.

Im aktuellen Bearbeitungsstand der BAIT-Novelle wird der Begriff „Informations­ver­bund“ bereits zwölf Mal verwendet und deutlich konkretisiert – vor allem in den Tz. 3.1, 3.3. und 3.4 zum Informationsrisikomanagement sowie in Tz. 5.1 zur operativen IT-Sicherheit. Daraus wird deutlich, dass ein Infor­mationsverbund für die Aufsicht von großer Bedeutung ist.

Leistungen im Informationsverbund

Aber was muss dieser ominöse „Informationsverbund“ genau leisten? In Tz. 3.1 der BAIT-Novelle ist definiert:

• IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestand­teile des Informationsverbunds müssen die Integrität, die Verfüg­barkeit, die Authentizität sowie die Vertraulichkeit der Daten sicher­stellen (vgl. AT 7.2 Tz. 2 MaRisk).

Und weiter in Tz. 3.3:

• Zu einem Informationsverbund gehören beispielsweise geschäfts­relevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen. Abhängig­keiten und Schnittstellen berücksichtigen auch die Vernetzung mit anderen Unternehmen.

BBL

Abbildung 1 zeigt die Kernelemente des Informationsverbunds bzw. der Strukturanalyse: Ausgehend von den zu schützenden Daten/Informa­tionen über die Prozesse, die hierfür genutzten Anwendungen, die Infrastruktur (Systeme) und Netze, auf denen die Anwendungen laufen, bis zu den Gebäuden bzw. Räumen, in denen diese Infrastruktur betrie­ben wird.

BBL

Über die Stichworte „Abhängigkeiten“ und „Schnittstellen“ sind dann auch die Verträge und Steuerung der dahinterstehenden Dienstleister adressiert. Nach den Erfahrungen des Autors sieht die Realität in vielen Banken und Sparkassen jedoch nicht immer so „sortiert“ aus (vgl. dazu Abb. 2). Häufig gibt es in der Praxis die folgenden Herausforderungen:

• Elemente und Inhalte des Informationsverbunds finden sich in unterschiedlichen Datenhaushalten (vielfach IDV, wodurch zusätzliche Problemfelder bestehen). Verteilte Datenablagen und unterschiedliche Dokumentationsformen sind zur Darstellung des Informationsverbundes zwar zulässig. Dies kann in der Praxis allerdings häufig nicht an die Integrität und Konsistenz einer CMDB (Configuration Management Database) heranreichen. Entspre­chen­de Prüfungsfeststellungen sind dann die Folge.
• Die Datenlage innerhalb dieser Datenhaushalte ist vielfach unvoll­ständig, veraltet und nur schwer zueinander in Beziehung zu setzen. Ein Beispiel dafür sind Verträge mit Dienstleistern, die häu­fig dezentral in den Instituten verteilt, zum Teil nicht aktuell und über verteilte Verantwortungen nur schwer zu verifizieren sind. Daraus ergeben sich in der Folge weitere Herausforderungen in der Dienstleistersteuerung, im Lizenzmanagement und für eine entspre­chende plausible Risikobewertung.
• Es existieren oft verteilte und unklare Verantwortungen und Rollen für die Objekte des Informationsverbunds. „Systemverantwortliche“ sind oftmals Technikexperten, die die Anwendungen nicht fachlich beurteilen können. Die Schnittstelle zum Fachbereich ist nicht im­mer ausreichend definiert.

Bei Prüfungen führt das sehr leicht zu entsprechenden Feststellungen:

• Keine eindeutige Datenbasis (CMDB)
• Mangelnde Datenklassifikationen/-kategorien
• Unvollständige Daten und Inkonsistenzen zwischen den Daten(-beständen)
• Fehlen eines übergeordneten Prozesses und einer „ordnenden Hand“ (die das Thema Informationsverbund gesamthaft „orchestriert“)
• Unsaubere Definition oder Fehlen klarer Rollen und Verantwort­lichkeiten im Informationsverbund
• Sich widersprechende Dokumentationen (z. B. bei Richtlinien, Arbeitsanweisungen, Prozessdokumentationen oder Handbüchern)
• Prozesse sind niedergeschrieben, werden aber anders gelebt
• Fehlende Nachvollziehbarkeit kompetenzgerechter Änderungen.

Empfehlung zur Vorgehensweise

Wie die Erfahrung bei Banken und Sparkassen zeigt, lassen sich drei wichtige Erfolgsfaktoren bei der Konzeption und Implementierung des Informationsverbunds erkennen:

1. Einführung einer geeigneten Standard-Software
2. Weitgehende Nutzung vorhandener Standards der Sparkassen-Finanzgruppe
3. Schaffung klarer Verantwortlichkeiten unter Einbezug von IT und Fachbereichen.

Einführung einer geeigneten Standard-Software
Das Problem bei der Implementierung des Informationsverbunds ist, genau diesen Verbund darzustellen und damit die konsistente Verknüp­fung aller Daten zu den Elementen der Strukturanalyse sicherzustellen. Dies geschieht häufig in separaten Verantwortlichkeiten mit entspre­chend eigenen Systemen bzw. Software.

Prozesse werden etwa häufig in Anwendung A abgebildet, Anwendun­gen und Systeme in Anwendung B, Verträge in Anwendung C, IT-Steue­rung erfolgt in Anwendung D etc. Das führt dann zum Aufbau eigener IDV zur Datenzusammenführung und/oder zu entsprechenden Inkon­sistenzen. Am Ende sind diese Lösungen in Summe auch kost­spielig.

Nach konzeptioneller Vorarbeit des DSGV im Rahmen des BdZ-Projekts zu „ORG/IT-Steuerungsprozesse“ hat man innerhalb der Sparkassen-Finanzgruppe die Anwendung RiMaGo (vormals SIMON Plus) von SIZ/Tricept als Standardanwendung ausgewählt.

BBL

Ursprünglich als Tool für IT-Steuerung und -Kostencontrolling entwickelt, hat sich durch die regulatorischen Anforderungen der Markt und auch die Software entsprechend verändert. Mit spezifischen Modulen, die vor al­lem die Elemente der Strukturanalyse vollständig abdecken, ist es mit RiMaGo (s. Abb. 3) möglich, ein integriertes System zur Abbildung des Informationsverbundes zu nutzen. Damit können alle Verantwortlichen und Beteiligte im Prozess von den entsprechenden Verknüpfungen unter den Elementen und der konsis­tenten Datenbasis profitieren.

Weitgehende Nutzung vorhandener Standards der S-Finanzgruppe
Die Sparkassenorganisation hat mit der Festlegung auf eine Standard­anwendung wichtige Weichen gestellt. Die entsprechende Umset­zungs­verantwortung liegt jetzt aber bei jeder einzelnen Sparkasse. Das „Man­tra“ ist dabei: Standard, Standard, Standard. Aber was heißt das genau bzw. welche Möglichkeiten gibt es hier neben oder bei der Nutzung von RiMaGo?

• Zunächst sollte die Sparkasse möglichst ohne individuelle Anpas­sungen die PPS Prozesslandkarte nutzen. Die Prozesse sind der Dreh- und Angelpunkt des Informationsverbunds und wer hier un­nötig individualisiert, verschenkt viel Standardisierungspotenzial.
• Zweiter wichtiger Faktor ist die Anwendungsstandardisierung. Nur durch einen Anwendungsfokus auf OSPlus und wenig individuelle Anwendungen sind nachhaltige Regualtorikeffizienzen möglich.
• Für die Definition der Strukturanalyse und der Schutzbedarfsbe­stimmung gibt es den „Leitfaden Strukturanalyse und Schutzbe­darfsfeststellung“ des SIZ. Hier empfiehlt sich eine möglichst nahe Anlehnung an die genutzten Formulierungen und Begriffe.
• Der Sparkassenverband Niedersachsen hat in seinem Begleitdo­kument „Schutzbedarf auf Prozess- und Informationsebene“ bereits viele Standards übernommen und konkrete Zuordnungen und Schutzbedarfseinwertungen von Datenkategorien zu Prozessen (Standard-PLK) bis zu einer Auswahl von Standardanwendungen vorgenommen. Dies kann für die Institute eine erhebliche Arbeits­erleichterung und Orientierung sein. Nichtsdestotrotz muss jede einzelne Einwertung und Verknüpfung im Informationsverbund separat geprüft werden.
• Daneben werden die Anforderungen des SITB (Sicherer IT-Be­trieb) künftig nicht mehr in einer Excel-Datei weitergepflegt, son­dern direkt in RiMaGo umgesetzt. Damit drängt sich hier eine entsprechende Nutzung ebenfalls auf.
• Durch die Standardisierung der Prozesse und Anwendungen ist es möglich, die IT-Betriebsaufgaben mit Hilfe von Lösungen der Finanz Informatik (FI) ganz oder teilweise auszulagern (vor allem IT-ServicesComfort, ITSC). Durch diese Auslagerung ist es mög­lich das Thema Informationsverbund noch effizienter zu gestalten.

BBL

Schaffung klarer Verantwortlichkeiten unter Einbezug von IT und Fachbereichen
Getreu dem Motto „A fool with a tool is still a fool“ ist die Einführung von RiMaGo kein alleiniger „Heilsbringer“. Nach Erfahrung des Autors sollte die Einführung der Anwendung und die Implementierung des Informa­tions­verbunds als klares Change-Projekt verstanden werden. Wesentliche Erfolgsfaktoren (vg. dazu auch Abb. 4) dafür sind:

• Gemeinsamer Kick-off mit allen Beteiligten, um ein gemeinsames Verständnis zu finden und offene Fragen zu klären.
• Einbindung der Verantwortlichen und Know-how-Träger (vor allem für die einzelnen Elemente des Informationsverbunds) von Anfang an und Übertragung der Verantwortung auch bereits in der Kon­zep­tions- und Umsetzungsphase.
• Zu präferieren ist eine Vorgehensweise mit agilen Elementen, das heißt definierten Sprints, in denen sich die einzelnen Teams jeweils mit dem Ist-Zustand und den zu nutzenden Datenquellen beschäf­tigen, die Verantwortlichen definieren, erste Schritte in der Anwen­dung unter Anleitung kennenlernen, die Datenqualität beurteilen/er­höhen, Pflegeprozesse definieren bis hin zum Entwurf der Umset­zungsplanung. Dabei sollten regelmäßige Abstimmungs­schleifen zwischen den Teams wie auch mit dem Datenschutz, dem/der ISB und der Revision eingeplant werden.
• Bei der Einführung empfiehlt sich ein iteratives Vorgehen – star­tend mit den klassischen Elementen der Strukturanalyse und den entsprechenden Modulen in RiMaGo. Im nächsten Schritt erweitert um die Risikoverwaltung und dann beliebig weiter auszu­rollen für die Module der IT-Strategie, IT-Steuerung und die Themen rund um Projektmanagement und Portfolioverwaltung (sofern gewünscht).

Fazit

Sparkassen können, indem sie den Informationsverbund unter Nutzung der Standardsoftware RiMaGo umsetzen sowie konsequent an den bereits definierten Standards der S-Finanzgruppe ausrichten, nicht „nur“ nachhaltig Prüfungsfeststellungen verringern. Zusätzlich lassen sich weitere Anforderungen realisieren:

• Kosten nachhaltig senken durch konsequentes Abschalten von Spezialanwendungen und ID.
• Effizienz deutlich verbessern durch einen konsistenten Datenhaushalt.
• Durchlaufzeiten verringern durch Aufhebung von Medien-, Anwendungs-, und Prozess­brüchen.
• Risiken senken durch einheitliche Anwendung von Bemessungsgrundlagen und Kriterien sowie eine konsistente Datenlage.

In laufenden Projekten ist ferner erkennbar, dass durch die genannten Maßnahmen das übergreifende Prozessdenken deutlich gestärkt wird und vorhandene Abgrenzungen zwischen den Bereichen sowie grund­sätzlich zwischen Fachbereich und IT reduziert werden.

Somit bietet sich die Chance mit der richtigen Implementierung des Informationsverbunds die Abbildung regulatorischer Anforderungen mit ei­nem Vorteil für die gesamte Sparkasse zu verbinden.

Autoren
Heinrich Piermeier ist Partner bei der EGC Eurogroup Consulting AG in Frankfurt/M.
Hauke Hinderlich ist Senior Manager bei der EGC Eurogroup Consulting AG in Frankfurt/M.

Hier finden Sie weitere Beiträge aus den Betriebswirtschaftlichen Blättern (BBL)

⇒ Infotipp: Setzen Sie auf diesen Link ein Bookmark – und Sie haben jederzeit einen Überblick über die Betriebswirtschaftlichen Blätter.