IT-Strategie
Übersicht
zuletzt besuchte Definitionen...
1. Begriff und Gestaltungsgegenstand: Die IT-Strategie einer Bank legt die langfristige Entwicklung der IT- und Organisationsleistungen (daher im Folgenden ORG/IT-Strategie genannt) für das gesamte Institut unter Berücksichtigung der aktuellen und künftigen fachlichen Anforderungen, der technischen Möglichkeiten sowie der geschäftsstrategischen Umfeldbedingungen fest. Hierbei greift eine alleinige Fokussierung auf die IT ohne Berücksichtigung der Organisation, im Sinne klassischer Entwicklung, Bereitstellung und Betrieb von IT-Systemen und Anwendungen, zu kurz, da:
a) die Entwicklung und Bereitstellung leistungsfähiger Lösungen neben technischem Wissen ein tiefgreifendes bankfachliches Verständnis der Produkte und Geschäftsprozesse voraussetzt;
b) Anwendungen, die ausschließlich durch einzelne Abteilungen oder Fachbereiche der Organisation ausgesucht (oder entwickelt) werden, zwangsläufig zu heterogenen IT-Landschaften und damit zu erhöhten Integrations- und Wartungsaufwänden führen, was einen wesentlicher Treiber von IT-Kosten und operationellen Risiken darstellt. Daneben mindert eine hohe Integrationskomplexität die Flexibilität auf zukünftige Anforderungen reagieren zu können;
c) Referenzmodelle und -prozesse für Banken häufig zusammen mit Standardsoftware ausgeliefert und implementiert werden, da Software-Hersteller auf die Wissensbasis ihrer Anwender zugreifen und hieraus konsolidierte Best-Practice-Ansätze als Standardkonfiguration ihrer Produkte entwickeln;
d) für viele operative Fragen des IT-Managements ein organisationsübergreifender Blick auf Fach- und IT-Themen benötigt wird (beispielsweise: Welche bankfachlichen Produkte sind von dem Ausfall eines bestimmten IT-Systems oder einer Anwendung betroffen? Welche IT-Lösungen unterstützen die margenstärksten Bankprodukte und sind daher besonders abzusichern?).
2. Erfolgsfaktoren: In der Konsequenz liegt ein wesentlicher Erfolgsfaktor für die Erstellung und Umsetzung einer ORG/IT-Strategie in der engen Verzahnung von Fachbereichen und dem für die ORG/IT-Strategie zuständigen Bereich. Operativ bedeutet dies eine enge Zusammenarbeit in der Entwicklung, der Bereitstellung und im Betrieb von IT-Systemen und Anwendungen, aber auch beispielsweise durch die gemeinsame Identifikation und Beschreibung des zu lösenden Problems sowie der Auswahl von Lösungen. Dabei bringen die Fachbereiche die fachlichen Anforderungen ein und priorisieren diese, während der ORG/IT-Bereich die Lösungsvarianten vor dem Hintergrund der technologischen und organisatorischen Gesamtaufstellung evaluiert und insbesondere auch die Kosten für die jeweiligen ORG/IT-Lösungsvarianten gegenüber den Fachbereichen transparent darstellt. Auf Basis des strategischen Wertbeitrags (fachlich, technologisch und organisatorisch) sowie der Wirtschaftlichkeit wird sodann eine gemeinsame Auswahl und Priorisierung der Leistungen ermöglicht.
3. „Run the Bank“ versus „Change the Bank“: Während IT-Manager der Banken in der Vergangenheit den Großteil ihres Budgets in Wartung und Betriebsleistungen („Run-the-Bank“) aufgewendet haben, steht das Projektgeschäft („Change-the-Bank“) heute nahezu gleichberechtigt daneben. In der Konsequenz verlagern sich die Aufwände innerhalb des ORG/IT-Bereichs vom reinen Betrieb stärker zur Planung und Konzeption. Treiber für Veränderungsprojekte im ORG/IT-Umfeld sind vielfältig:
a) Regulatorische Perspektive: Banken sind zur Umsetzung immer neuer rechtlicher und regulatorischer Anforderungen (z. B. PSD II, GDPR, BAIT, BCBS #239) verpflichtet.
b) Technologieperspektive: Während die im Betrieb befindliche IT-Landschaft eine kontinuierliche Wartung und Modernisierung bedarf, ermöglichen neue Technologien ggf. auch neue Geschäftsfelder und ORG/IT-Leistungen (z.B. Einsatz von Social Media oder Robo Advisory als Vertriebsinstrument im Privatkundenbereich-Bereich, Big Data zur Analyse des Kundenverhaltens und Nutzung der umfangreichen vorhandenen Datenbasis als Asset, Cloud Computing als Treiber innovativer Betriebskonzepte).
c) Geschäftsperspektive: Banken sind durch den aktuellen Digitalisierungstrend und den damit einhergehenden geänderten Nutzererwartungen (Digital Natives) stark gefordert. Zudem münden die durch die immer noch bestehende Niedrigzinsphase schwindenden Margen in Kostendruck auf die ORG/IT, andererseits verlangen verkürzte Innovationszyklen im Produktbereich nach erhöhter Flexibilisierung und verkürzter Time-to-Market.
d) Anbieterperspektive: Es ist eine zunehmende Verfügbarkeit ausgereifter Sourcing-Konzepte für ORG/IT- und bankfachliche Leistungen sowie zunehmende Spezialisierung und Professionalisierung am Anbietermarkt zu beobachten, z. B. Application Management, fachliches Sourcing (Business Process Outsourcing, BPO) für Zahlungsverkehr, Wertpapierabwicklung. Durch die sich inzwischen zunehmend etablierenden FinTechs entstehen weitere Anbieter für den Zukauf spezialisierter Leistungen (z. B. Künstliche Intelligenz für Foto-Überweisung) oder Kooperationsmodelle.
4. Wertschöpfungstiefe: In der Festlegung der optimalen Wertschöpfungstiefe sehen sich Banken einem breiten Angebot externer Dienstleister gegenüber. Entscheidungen, welche Teile der IT besser extern zugekauft werden sollen, werden durch verschiedene Faktoren beeinflusst. Neben Kostensynergien im Betrieb sind auch Aspekte der IT-Sicherheit und IT-Compliance entscheidungsrelevant. Nachdem sich Sourcing-Aktivitäten in der Vergangenheit stark auf Wartung und Betriebsleistungen beschränkt haben, rückt zunehmend die Flexibilisierung bankfachlicher Transaktionen im Rahmen des BPO in den Fokus. Bei BPO-Fragestellungen ist grundsätzlich zu klären, welche Bereiche hoch standardisiert ablaufen können und wo die Alleinstellungsmerkmale des Instituts liegen, die starke Individualisierung und eine hohe eigene Fertigungstiefe rechtfertigen. Eine starke Nachfrage nach digitalen Kundenangeboten und mangelnde Erfahrung der meisten Banken in diesem Umfeld fördern den Zukauf von innovativen Leistungen oder Kooperation von Banken mit FinTech-Startups. Auch der Einsatz von Cloud-Sourcing ist zur Optimierung der Wertschöpfungstiefe grundsätzlich geeignet. Hierbei bestehen aktuell jedoch noch größere regulatorische Hürden im Bereich der Anforderungen für wesentliche Auslagerungen (MaRisk) und den Regelungen zum Datenschutz. Durch die Virtualisierung in der Cloud sind die geforderten Kontrollpflichten nur schwer zu erfüllen.
5. Inhalt und Ausgestaltung der ORG/IT-Strategie: In Summe definiert die ORG/IT-Strategie die Positionierung der Organisations- und IT-Leistungen von der Anforderung bis zur Lösung. Dem Management von Komplexität der IT-Landschaft, der Umsetzungsgeschwindigkeit, der Einhaltung gegebener Standards im Bereich IT-Sicherheit und IT-Compliance und einem angemessenen Kosten-/Leistungsniveau kommen hierbei eine Schlüsselrolle zu.
Die MaRisk, und daraus abgeleitet die BAIT, definieren konkrete Anforderungen zu den Inhalten und dem Prozess der ORG/IT-Strategie-Formulierung. Wesentlich ist die Ausgestaltung folgender Handlungsfelder:
a) Die Gestaltung und das Management der Unternehmensarchitektur, bestehend aus IT-Architektur und Geschäftsarchitektur (Geschäftsprozesse, Produkte). Im Zuge dessen wird definiert, welche ORG/IT-Leistungen zur optimalen Abbildung der Geschäftsprozesse und Produkte notwendig sind, wie diese technisch realisiert werden und welche Abhängigkeiten untereinander bestehen.
b) Die Abwägung der optimalen Fertigungstiefe und die Definition der IT-Sourcing-Strategie vor dem Hintergrund der Wirtschaftlichkeit und strategischer Make or Buy-Kriterien.
c) Die Festlegung grundlegender Gestaltungsparadigmen für fachliche und technische Domänen der Bank, inklusive der Festlegung von Technologiestandards und Vendorenstrategien (abhängig von der Abwägung, in welchen Bereichen Standardisierung bzw. Individualisierung und Flexibilität angestrebt werden).
d) Die Sicherstellung der Beherrschbarkeit und Qualität (IT-Sicherheit, IT-Compliance, Stabilität, Performance) der ORG/IT-Leistungen durch entsprechende interne Steuerungs- und Kontrollmaßnahmen bzw. durch Service-Level-Agreements und Maßnahmen der durch die MaRisk definierten Dienstleistersteuerung.
e) Die integrierte Planung der langfristigen Veränderungen („Change-the-Bank“-Sicht), in der geplante Veränderungen im Zeitablauf in Gestalt von IT-Bebauungsplänen festgelegt werden.
f) Die Aufstellung der IT-Organisation zur Definition, wie und durch wen die ORG/IT-Leistungen erbracht werden (z. B. IT-Abteilung) und durch wen das IT-Management erfolgt.
g) Der Steuerungsansatz für die ORG/IT wird in der IT-Governance ausgestaltet. Im Zuge dessen werden ebenfalls die Positionierung des ORG/IT-Bereichs innerhalb der Bank und ein Zusammenarbeitsmodell mit den Fachbereichen mit entsprechenden Kommunikations- und Abstimmungswegen festgelegt. Analog wird hier die Zusammenarbeit mit und Steuerung von externen Dienstleistern geregelt.