Einhaltung der IT-Governance – BaFin und EZB bringen Banken ins Schwitzen

IT-Governance: Aktuell nehmen die Prüfer von BaFin und EZB die technisch-organisatorische Ausstattung der IT in den Banken unter die Lupe. Wie können sich die Institute darauf vorbereiten? Wie bekommen sie Regeln und Struktur in die eigene IT-Organisation?

von Astrid Milde ist Senior Managerin, Cofinpro

Nervosität in der Finanzwirtschaft: Ende letzten Jahres hat die Bankenaufsicht angekündigt, verstärkt die IT der Banken zu überprüfen. Grundlage ist die aktuelle Regulierung, vor allem die letzte Version der Bankaufsichtlichen Anforderungen an die IT (kurz: BAIT). Die Behördenmitarbeiter nehmen die IT, die technisch-organisatorische Ausstattung und die genutzten Daten unter die Lupe und prüfen in erster Linie drei Punkte: Werden Anforderungen an Informationssicherheit und Informationsrisikomanagement erfüllt? Gibt es ein angemessenes Notfallkonzept? Sind externe Dienstleister ebenfalls in dieses Risikomanagement einbezogen?

Kritische Infrastrukturen erfordern IT-Governance

Zusammengefasst: Es geht um IT-Governance. Ein Thema, das vor allem durch die Weiterentwicklung zahlreicher Regulierungs- und Marktstandards – von Basel III über MaRisk und BCBS #239 bis hin zum Datenschutz und dem IT-Sicherheitsgesetz – immer wichtiger wird. Aber auch die fortschreitende Digitalisierung sowie die gestiegene Bedeutung in Bezug auf die Gewinnung und Verarbeitung von Daten erweisen sich hier als Treiber. Dies gilt nicht nur aus Sicht der Aufsichtsbehörden. Aufgrund der gesellschaftlichen Relevanz der Institute zur Sicherstellung der Versorgungssicherheit kommt einem ganzheitlichen Ordnungsrahmen für die IT eine besondere Bedeutung zu.

Gerade das IT-Sicherheitsgesetz ist ein gutes Beispiel dafür, wie dringend gut organisierte IT-Governance ist. Denn Banken als Betreiber kritischer Infrastrukturen müssen Sicherheitsvorfälle und erhebliche IT-Störungen sofort beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Aufgabe der Banken ist es also, Management, Organisationsstrukturen und Prozesse so auszurichten, dass die IT-Organisation die Strategien und Ziele des Unternehmens unterstützt und einen nachhaltigen Wertbeitrag liefert.”

Viele Fragen der Aufseher

Die CIOs der Banken sehen sich also einem dichten Regelungsgestrüpp gegenüber, das häufig nur schwer mit den in langen Jahren gewachsenen IT-Strukturen in Übereinstimmung zu bringen ist. Schlimmstenfalls stellen die Aufseher Fragen, die das Management nicht ohne weiteres beantworten kann. Ein einfaches Beispiel, das IT-Leiter oft ins Schwitzen bringt: „Haben Sie eine Prozesslandkarte, die auf dem neuesten Stand ist?“ Prozessuale und organisatorische Defizite sowie eine konzeptionell in die Jahre gekommene IT-Infrastruktur verhindern die rasche Beantwortung solcher Fragen. Wie kann eine Bank nun vorgehen, um im Vorfeld der Aufsichtsprüfung Regeln und Struktur in die eigene IT-Organisation zu bringen?

Zwei Governance-Modelle: ITIL und COBIT

Der erste Schritt ist die Auswahl des geeigneten Referenzmodells, an dem sich das Finanzinstitut orientieren will. Hier gibt es zwei wichtige Standards: ITIL (Information Technology Infrastructure Library) und COBIT (ursprünglich: Control Objectives for Information and Related Technology). Von ITIL ist vor kurzem die neue „ITIL 4 Edition“ erschienen. Das Framework gilt als Goldstandard für ein umfassendes IT-Servicemanagement. Es hat den Charakter einer „Prozessbibliothek“, die ganz oder in Teilen umgesetzt werden kann. COBIT 5 dagegen besitzt einen strengen Top-Down-Ansatz und unterscheidet stärker zwischen Governance und Management. Das Framework bietet eher Prinzipien und Steuerungsziele, weniger direkt anwendbare Verfahren.

Der Einsatz solcher Standards hat einen wichtigen Vorteil: Die dort vorgeschlagenen Abläufe sind oft bereits auf die Messung der Prozesseffizienz (als höchster Reifegrad bzw. Ausbaustufe) ausgerichtet, lassen also eine Ableitung adäquater KPIs zu.”

Dem gegenüber steht der Wildwuchs bei IT-Infrastruktur und -Prozessen im Status quo, der eine sinnvolle Effizienzmessung nicht erlaubt. Durch fehlende Reifegradmodelle und ungenügende Prozesssteuerung sind die Institute nicht in der Lage, die Qualität ihrer Prozesse hinreichend zu beurteilen und angemessen auf Veränderungen zu reagieren. Die Anwendung eines bekannten und bewährten Standards bringt beweisbare Effizienz und Prozessgüte.

Die Auswahl des richtigen Modells hängt von zahlreichen Faktoren ab. So ist die Größe des Instituts wichtig und sein Status, wie beispielsweise Vollbank, Investmentbank oder Privatbank mit einem eingeschränkten Kundenkreis.

ITIL eignet sich aufgrund der hohen Komplexität des Gesamtstandards eher für große Institute. COBIT dagegen ist durch die Offenheit der eigentlichen Prozessumsetzung auch für kleinere Banken geeignet und lässt sich – gemäß Proportionalitätsgedanken, der den Instituten bereits aus der Umsetzung von Regulierungsvorhaben wie MaRisk oder BAIT bekannt ist – größengerecht umsetzen.”

Da aber alle ITIL-Prozesse in COBIT darstellbar und überführbar sind, schließen sich die beiden Standards nicht gegenseitig aus, sondern ergänzen einander.

Von der Gap-Analyse zur Roadmap

Anschließend steht eine Bestandsaufnahme auf dem Programm, bei der das Referenzmodell als Grundlage für die Ermittlung des Status Quo eingesetzt wird. Die Analyse dient der Identifikation und Bewertung der Angemessenheit bereits vorhandener Prozesse, Rollen und Funktionen des gewählten Governance-Modells sowie der Ableitung von Handlungserfordernissen gegenüber der Sollvorgabe (Gap-Analyse). Dabei kann die Prüfung – neben Lücken zu Sollprozessen und Organisationsanforderungen – beispielsweise auch eine Übererfüllung von Prozess- oder Systemstandards dokumentieren. Die Gap-Analyse mündet in einem Stärken-Schwächen-Profil der aktuellen IT und verdeutlicht anhand der abgeleiteten Reifegrade die individuellen Verbesserungspotenziale.

Daraus kann das (IT-)Management eine Roadmap ableiten, mit der das Framework und die aktuellen Regulierungsvorhaben bezüglich IT und IT-Governance verwirklicht werden. Ein besonderes Augenmerk sollte dabei auf die Themen Informationsrisikomanagement, Informationssicherheit und Business Continuity Management liegen – inklusive beweisbar funktionierender Notfallpläne.

Es ist leicht zu erraten, dass die Prüfer angesichts aktuell bestehender Regulierungsvorgaben auf diese Aspekte besonderen Wert legen.”

Wichtig sind in diesem Zusammenhang zudem die Dokumentation der eingesetzten Prozesse (beispielsweise im Rahmen einer Prozesslandkarte) sowie die organisatorische Verankerung. Beides ist essenziell für eine funktionierende, effiziente IT-Organisation und die Sicherstellung der IT-Governance.

Doch das ist nicht alles: die IT-Governance muss in die Gesamtstrategie und Corporate Governance des Institutes integriert werden. Daraus ergibt sich eine übergreifende Gesamtverantwortung des Vorstands auch für die IT-Governance.”

Denn nur wenn unternehmensweit einheitliche Standards sichergestellt sind und ein gemeinsamer Ordnungsrahmen definiert ist, kann eine nachhaltige Organisationsentwicklung garantiert werden, die aktuellen Entwicklungen und zukünftigen Regulierungsinitiativen gerecht wird.Astrid Milde, Cofinpro