Rahmenbedingungen
Die Beherrschung der Informationstechnologie ist selbst bei Finanzdienstleistern, die auf klassische Geschäftsmodelle und die persönliche Interaktion mit Kunden setzen, zu einer dominierenden Aufgabe geworden – im Kern können Finanzdienstleister als informationsverarbeitende Unternehmen bezeichnet werden, so dass der technologiegestützte Umgang mit der Ressource Information längst erfolgskritisch ist. IT besitzt zunehmend eine im Wettbewerb differenzierende Funktion als „Enabler“ oder „Verhinderer“ innovativer Geschäftsmodelle. Diese Erfolgskritikalität schlägt sich nieder in hohen IT-Budgets für die Beseitigung von „Altlasten“, insbesondere Legacy-Systemen, und für ständige Anpassungen an neue (regulatorische ebenso wie marktbezogene) Anforderungen, aber auch in den operativen Auswirkungen von IT-Fehlern und -Ausfällen auf den Geschäftsbetrieb.
Umso erstaunlicher ist es, dass die IT bei vielen Finanzdienstleistern als „interne Ressource“ und ausschließlich unter Effizienzaspekten oder über Budgets gesteuert wird. Die Aufsicht hat den Wandel der Informationstechnologie von der Basisinfrastruktur zur Schlüsseltechnologie dabei längst erkannt und erwartet eine deutliche Verstärkung des IT-Know Hows auf Geschäftsleitungsebene. Dies schlägt sich etwa nieder in der 2017 erfolgten Anpassung der Entscheidungsmaßstäbe für die Geschäftsleiter-Eignung, derzufolge ausgewiesenen IT-Fachleuten bereits nach einem deutlich verkürzten Zeitraum zur Sammlung bank- bzw. versicherungspraktischer Erfahrung der Sprung auf die Geschäftsleiter-Ebene ermöglicht werden kann.
Anforderungen
Neben den allgemeinen Anforderungen an den ordnungsgemäßen Geschäftsbetrieb existieren eine Vielzahl spezifischer Anforderungen, die in Ergänzung zu den MaRisk insbesondere in den Bank- bzw. Versicherungsaufsichtlichen Anforderungen an die IT sowie in weiteren Regelungen etwa zu systemkritischen IT-Infrastrukturen niedergelegt sind. Dazu treten unmittelbar geltende Regelungen auf europäischer Ebene, die – wie z.B. DORA (Digital Operational Resilience Act) – nicht vorwiegend materiell neue inhaltlich-fachliche Anforderungen beinhalten, aber dennoch die Komplexität der IT-Organisation weiter steigern. Zentrales Momentum sind dabei weniger „technische“ Anforderungen als vielmehr die Forderung nach einer wirksamen Governance aus Sicht des Gesamtunternehmens.
Ungeachtet der formalen Ordnungsmäßigkeit der IT-Organisation stammen die Herausforderungen in der Praxis dabei zumeist aus dem praktischen Zusammenspiel von IT- und Fachbereichen. So entstehen Kommunikationsprobleme oft aus nicht übereinstimmenden oder unsachgemäßen Erwartungshaltungen an die jeweils andere Rolle; diese wiederum entspringen typischerweise streng arbeitsteiligen Zusammenarbeitsmodellen, wie sie in traditionellen Projektmethodiken üblich sind bzw. waren.
Das Management der IT als integraler Teil des Geschäftsmodells erfordert vielfach eine geänderte Sichtweise: Eine wirksame IT-Governance betrachtet niemals die IT alleine, sondern stets das Zusammenspiel zwischen Infrastruktur, Anwendungen, Strukturen und Prozessen, Kunden und Produkten, also z.B.:
- Ein IT-Budget ist nicht losgelöst von Mitarbeiterressourcen optimierbar – die Kosten-Nutzen-Betrachtung muss immer auch die personalwirtschaftliche Umsetzbarkeit berücksichtigen.
- IT-Entscheidungen sind stets vor dem Hintergrund der Unternehmensstrategie zu treffen. Die bewusste Entscheidung für ein Standard-IT-System hat potenziell weitreichende Auswirkungen auf die Marktpositionierung, die etwaige IT-Kosteneffekte weit überwiegen können.
- Der Einsatz einer Standard-IT-Plattform erfordert neben wirksamer Dienstleistersteuerung eine IT-Organisation, die anstelle von klassischer Anwendungsentwicklung oder Infrastrukturbetrieb ein fachlich getriebenes Konfigurationsmanagement mit neuartigen Mitarbeiterprofilen aufbauen muss.
- IT-Strategie, IT-Architektur und -Bebauungsplan sowie Datenstrategie sollten nicht als „technische“ Details behandelt werden, sondern bedürfen der Aufmerksamkeit des Top-Managements.
Prüfungsgegenstand
Unsere Prüfungen zur IT-Governance und zum IT-Management umfassen im Regelfall:
- Formale Ordnungsmäßigkeit der IT-Organisation, ausgehend von bereits vorliegenden internen und externen Prüfergebnissen;
- Formulierung der IT-Strategie und Berücksichtigung in der Unternehmensstrategie;
- Konsistenz von IT-Strategie für Anwendungen und Infrastruktur, IT-Bebauungsplan und Datenstrategie zur Unternehmensstrategie;
- Verankerung der IT auf Top-Management-Ebene (Zuständigkeiten, fachliche Kompetenzverteilung, Diskussionsintensität und Entscheidungsverhalten);
- Bewusstsein für strategische und operative IT-Fragestellungen auf den verschiedenen Managementebenen;
- Gremienstruktur und Gremienbesetzung in der IT-Organisation;
- Instrumente und Verfahren zur Budgetsteuerung, zum Portfoliomanagement und zur Projektsteuerung.