Cyber Security & IT-Governance

Neue Impulse für IT-Service-Management und Compliance

Ein standardisierter Ansatz bessert Schwachstellen bei Finanzdienstleistern aus.

Spätestens mit Voranschreiten der Digitalisierung ist IT-Service-Management (ITSM) bei Finanzdienstleistern zu einem zentralen Bereich geworden. Immer mehr neue digitale Tools und Services werden entwickelt, implementiert und wollen gepflegt werden. Entsprechend muss das ITSM versuchen, die Anforderungen von Kund:innen, Aufsichtsbehörden und Mitarbeitenden mit den eigenen Standards in Einklang zu bringen.

Vielen Finanzinstituten und Versicherungen gelingt es jedoch nicht, sich diesen höheren Ansprüchen anzupassen und vernachlässigen damit einen Bereich, der heute als wichtiger Wettbewerbsfaktor gilt. Auch wenn es immer wieder aktualisiert und verfeinert wird, ist das ITSM leider oft weder effektiv noch effizient, sondern kostenintensiv und ein Bremsklotz bei der Umsetzung vitaler Anforderungen der Institute.

Die Gründe dafür sind vielfältig:

  1. Es fehlt ein vollständiger Service-Katalog. Ein vollständiger Service-Katalog analysiert, strukturiert und standardisiert alle IT-Services im Hinblick auf ihre Abnehmer, zu denen Mitarbeiter:innen und Kund:innen gehören. Ein Mangel in diesem Punkt hat nahezu universelle Auswirkungen auf die Leistungsfähigkeit und die Wahrnehmung des Unternehmens – intern wie extern.
  2. IT und Fachbereiche sind schlecht verzahnt. Die IT konzentriert sich zu sehr auf sich selbst, anstatt die Anforderungen des Unternehmens, seiner Kund:innen und Mitarbeiter:innen entlang eigener Standards aufzunehmen und umzusetzen.
  3. Veraltete Tools kosten Effizienz. Es sind Tools im Einsatz, die eigentlich das Ende ihrer Lebenszeit erreicht haben. Dass sie nicht ersetzt werden, liegt oft am Budget: Die potenzielle zukünftige Ersparnis lässt sich in Zahlen nur schwer darstellen und als Argument für die Umstellung nutzen. Auch bleiben bei einem nur halbherzigen Wechsel die mit dem Tool verbundenen veralteten Prozesse bestehen. Der Effizienzgewinn fällt dann weniger groß aus als bei einer ganzheitlichen Umstellung, die zugleich auch die Prozesse optimiert.
  4. Die gelebte Prozessdokumentation entspricht nicht der geplanten. Das jahrelange Wachstum der IT-Landschaft wirkt sich auch auf die Ausführung der Prozesse selbst aus. Selbst wenn einzelne Schritte anfangs noch sauber dokumentiert wurden, entwickelt sich mit der Zeit häufig eine davon abweichende gelebte Praxis. Dies kann schnell zu einem Compliance-Problem werden, wenn dabei gegen geltende Vorschriften verstoßen wird.
  5. Die manuelle, prozessinterne Dokumentation verursacht unnötige Aufwände. Für Veränderungen an Tools braucht es oft die Zustimmung vieler interner Stellen der Finanzinstitute sowie externer Akteure. Oft werden diese Genehmigungen per E-Mail eingeholt und mit hohem Aufwand einzeln ins Tool integriert. Moderne Tools schaffen das über ein Ticketing-System, das die Bestätigungen ohne manuelle Aufwände nachhält.
  6. Entscheidungen werden mit Fokussierung auf Regulatorik getroffen. Statt die Prozesse mit einem Fokus auf Wirtschaftlichkeit von Grund auf zu optimieren, wird versucht, mit punktuellen Nachbesserungen den Prüfer für den Moment zufriedenzustellen. Häufen sich jedoch diese „Patches“, verliert die Applikation nach und nach an Zuverlässigkeit und Benutzerfreundlichkeit. Gerade durch den gegenwärtigen Kostendruck bei Finanzinstituten und Versicherungen ist dieser „Flickenteppich“ häufig zu finden.
  7. Ein zeitgemäßer Leistungsschnitt erfordert optimale Koordination. Seit einigen Jahren entwickelt sich ein Trend weg von einem technologisch getriebenen hin zu einem logischen Zuschnitt der Leistungen des ITSM. Services werden von verschiedenen Cloud-Anbietern geleistet, damit ist die IT-Abteilung anders als früher global verteilt – mit unterschiedlichen Ansprechpartner:innen und Dienstleister:innen. Diese Vielfalt erfordert einheitlich vereinbarte Vertragsbestandteile – wie beispielsweise die Verfügbarkeit. Bei der Auslagerung der Prozesse besteht überdies die Chance, sie in diesem Zuge durch angepasste, verbesserte Prozesse zu ersetzen.

IT-Service-Management: Optimierung mit standardisierten Methoden

Gegen die typischen Probleme des IT-Service-Management in Finanzinstituten und Versicherungen helfen eine Reihe standardisierter Schritte. Erfahrungsgemäß führen sie zu Verbesserungen in allen genannten Problembereichen, auch wenn es von der konkreten Situation und Reife des Unternehmens abhängt, welche Schritte priorisiert oder auch vernachlässigt werden können.

Der folgende Standardkatalog von Methoden analysiert den Ist-Zustand der Prozesse. Dabei geht es weniger um die Identifikation von Schwachstellen, denn diese sind den meisten Instituten bereits bekannt. Der Fokus liegt auf ihrer Beseitigung. Die Orientierung an Standards vereinfacht das Vorgehen und die Unternehmen profitieren vom Abgleich mit Best Practices der Branche.

  • Leistungsmessung – Prüfung der Effizienz der einzelnen Prozesse;
  • Analyse vorhandener Tools und Beratung bei Auswahl der Tools;
  • Unterstützung bei der Einführung neuer oder verbesserter Tools;
  • Analyse der implementierten Rollen sowie ihrer Aufgaben und Verantwortlichkeiten;
  • Abgleich mit standardisierten Rollenprofilen und Schätzung der nötigen Ressourcen für ihre Anpassung;
  • Vergleich mit Best-Practice-Prozessen unter Berücksichtigung von Compliance-Anforderungen;
  • Definition von KPIs für die Optimierung bestehender und die Einführung neuer Prozesse;
  • Schulung der Maßnahmen sowie Steigerung der Awareness unter den Mitarbeitenden.

Mit diesem Vorgehen wird nicht nur der perfektionierte IT-Service-Management-Prozess aufgezeigt, es können auch Compliance-Themen berücksichtigt werden. Neben Kosteneinsparungen bietet es einen weiteren Vorteil: Die Institute fördern auch die Standardisierung der Leistungen ihrer IT, was zu mehr Transparenz und Effizienz führt.

Ein Ansatz verbessert das ITSM bei allen Arten von Finanzdienstleistern

Oft sind es konkrete Anlässe, die zu einer Optimierung des IT-Service-Managements führen. Das können anstehende Prüfungen durch die Finanzaufsichtsbehörden oder andere damit verbundene Maßnahmen sein. Veränderungen des Leistungsschnitts und des Servicemodells – wenn beispielsweise einzelne Services in die Cloud verlagert werden – machen ebenfalls Verbesserungen nötig oder bieten zumindest eine gute Gelegenheit dazu. Auch Kostenoptimierungsprogramme, wenn Applikationen das Ende ihres Lebenszyklus erreicht haben, oder wenn ein Wechsel auf C-Level ansteht, dienen als Anlass, das ITSM zu verbessern.

Das skizzierte Vorgehen eignet sich für alle Klassen und Arten von Finanzinstituten und Versicherungen. Dazu gehören die klassischen, etablierten Unternehmen der Branche wie Banken, Versicherungen, Asset- und IT-Dienstleister. Aber auch Start-ups wie Fintechs oder Insurtechs haben oft bereits nach wenigen Jahren ihres Bestehens mit ähnlichen Problemen zu kämpfen. Überdies rücken sie mit wachsender Größe in den Fokus der Finanzaufsichtsbehörden. Selbst Neugründungen von Banken profitieren von der standardisierten Analyse, indem die Anforderungen der Finanzaufsicht proaktiv beachtet und in Anlehnung an Best Practices umgesetzt werden.

 

Weiterlesen

Cyber Security & IT-Governance

Thema vertiefen

IT Compliance-Management

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse, eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen