Die Unternehmens-IT in Abhängigkeit von den BAIT | IT-Governance
Für die IT von Kredit- und Finanzdienstleistungsinstituten in Deutschland gelten regulatorische Vorgaben. Ein wichtiger Teil dieser sind die „Bankaufsichtliche Anforderungen an die IT“ (BAIT).
Nachdem wir im letzten Beitrag beleuchtet haben, was die BAIT für die IT-Strategie bedeutet, wollen wir nun besprechen, was die BAIT für die IT-Governance bereithält.
>>> Lesen Sie dazu mehr im Beitrag "Die Unternehmens-IT in Abhängigkeit von den BAIT | IT-Strategie
BAIT-Anforderungen 2: IT- Governance
„Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Hierfür maßgeblich sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT 4.3.1 MaRisk), zum Informationsrisiko- sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk). Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen“ (vgl. AT 5 Tzn. 1 und 2 MaRisk).
Die IT-Governance (engl. „governance“ = Führung bzw. Steuerung) muss im Kontext zur Unternehmens-Governance gesehen werden, da diese den Input für die IT-Governance bereitstellt. Das Zusammenspiel habe ich Ihnen in der nebenstehenden Abbildung grafisch zusammengefasst.
Unternehmens-Governance für eine verantwortungsvolle Unternehmensführung
Unternehmens-Governance kann mit „Grundsätze der Unternehmensführung“ übersetzt werden. Sie umfasst alle externen Vorgaben, sowie die selbst festgelegten Werte, Leitsätze, Verfahren und Claims, die im Unternehmen zu beachten sind bzw. dort zum Einsatz kommen sollen.
Externe Vorgaben können gesetzliche Bestimmungen oder regulatorische Anforderungen, wie z.B. die MaRisk oder die BAIT sein. Weiterhin wirken auch der Wettbewerb und der Markt auf ein Unternehmen ein und veranlassen die Entscheidungsträger, bestimmte Maßnahmen im Unternehmen zu ergreifen. Die Best Practices geben Geschäftsprozesse, technische Systeme und Verfahren vor, die sich bewährt haben und kostengünstig sind.
Das Ziel der Unternehmens-Governance ist eine verantwortungsvolle Unternehmensführung und -kontrolle. Gesetze und Richtlinien sollen eingehalten (Compliance) und dadurch eine nachhaltige Wertschöpfung erreicht werden. Die Ressourcen des Unternehmens sollen zielgerichtet und verantwortungsvoll eingesetzt werden.
Die konkrete Ausgestaltung der Unternehmens-Governance mit ihren vielfältigen Aspekten ist kein triviales Unterfangen und bindet hochwertige Ressourcen, wie den Aufsichtsrat, die Unternehmensführung oder Mitarbeiter eines Stabs. Typischerweise ist die Geschäftsführung der Owner der Unternehmens-Governance.
Output der Unternehmens-Governance sind die Unternehmensstrategie, die Unternehmenskultur, die Governance-Vorgaben und die Technologie-Strategie.
Die Unternehmensstrategie und die Governance-Vorgaben definieren die
- Vision, also den langfristig zu erreichenden Zielzustand
- Mission als Dokumentation der Vision
- Unternehmensziele.
In der Unternehmenskultur ist beschrieben, welche organisatorischen Vorgaben und welche Regeln bzw. Prinzipien für die Zusammenarbeit im Unternehmen gelten sollen. Hier ist der Soll-Zustand beschrieben, der durchaus weit vom Ist-Zustand entfernt sein kann.
Leseempfehlung
Interessant mag hier das geleakte Mitarbeiter-Handbuch von Tesla sein, das „The Anti-Handbook Handbook“ heißt und statt Regeln stärker auf Prinzipien und auf ein bestimmtes Mind Set (Denkweise) setzt. Eine Bewertung zum Mitarbeiter-Handbuch können Sie hier nachlesen: https://t3n.de/news/tesla-mitarbeiter-handbuch-leak-1254511/ (abgerufen am 11.04.2022).
In der Technologie-Strategie ist festgehalten, welche Aktivitäten zur Erreichung von technologischen Zielen durchgeführt werden sollen. So können in der Technologie-Strategie für die IT beispielsweise folgende Aspekte definiert sein:
- Einsatz und – falls erforderlich – Anpassung von Standard-Software, so dass keine Eigenentwicklungen durchgeführt werden müssen
- Schwerpunkt auf den Einsatz von offenen Standards - wie z.B. Open-Source - setzen, um IT-Systeme kostengünstig bereitzustellen und zu betreiben
- Anwendung einer „Best of Breed“-Strategie, bei der die jeweils besten am Markt verfügbaren IT-Systeme ausgewählt, bereitgestellt und über Schnittstellen miteinander integriert werden
- Einsatz eines umfassenden, intern verzahnten IT-Systems, bei dem möglichst wenige Schnittstellen vorhanden sind
- Auslagerung von Anwendungen in die Cloud
- Verbesserung der IT-Agilität
IT-Governance - aktives Management von Chancen und Risiken der IT
Oft ist die IT bereits durch den IT-Betrieb voll ausgelastet und wird zusätzlich durch die Anforderungen der Fachbereiche getrieben. Dabei reagiert die IT mehr, als dass aktiv neue Themen angegangen werden.
Auch existiert meist eine Vielzahl von unterschiedlichen IT-Architekturen und Plattformen, für die Know-how vorgehalten und ggf. ein kostenintensiver Betrieb erfolgen muss. Daten werden teilweise redundant gehalten. Bei Beschaffungen können keine Skaleneffekte erreicht werden.
Die IT-Governance will nun die Chancen und die Risiken der IT aktiv managen. Dabei orientiert sie sich an den Inputs, die von der Unternehmens-Governance kommen und unterstützt damit die Geschäftsprozesse des Unternehmens, so dass sich die Unternehmensziele erreichen lassen.
Dabei werden Beziehungen und Prozesse geschaffen, wodurch die IT eines Unternehmens gelenkt und kontrolliert wird. Die Rechte und Pflichten der Beteiligten, wie z.B. das Unternehmens- und das IT-Management sowie die Mitarbeiter der Fachbereiche und der IT werden definiert. Auch die Art der Zusammenarbeit mit externen Dienstleistern wird festgeschrieben.
Die IT-Governance umfasst somit Ressourcen, Strukturen und Prozesse. Diese unterstützen die Unternehmensstrategie sowie die Erreichung der Unternehmensziele und schafft Transparenz.
Der Owner der IT-Governance kann ein Competence Center, der IT-Leiter oder ein dafür eingerichteter Stab sein.
Expertentipp: IT-Governance Framework COBIT
Es gibt zwar Referenzmodelle für die IT-Governance, allerdings keine Standards für die konkrete Einführung oder Ausgestaltung.
Bei der Einführung oder dem Ausbau der IT-Governance ist vor allem die Änderung des Mindset der Beteiligten wichtig. Die Beteiligten sollen die Stoßrichtung und die Ziele verstehen und unterstützen.
Hier bietet es sich allgemein an, in drei Schritten vorzugehen:
- Klären, was getan werden soll
- Bewerten und entscheiden
- Klären, wie es umgesetzt werden soll
Da diese Tätigkeiten oft neben dem Tagesgeschäft durchgeführt werden müssen, sollte dies Schritt für Schritt durchgeführt werden und kein Zeitdruck vorhanden sein.
Ein gebräuchliches und weltweit anerkanntes Referenzmodell ist das IT-Governance Framework COBIT (Control Objectives for Information and related Technology), welches als Basis für die Einführung und die Optimierung von IT-Governance dienen kann. Es wird vom IT Governance Institute und der Information Systems Audit and Control Association (ISACA) veröffentlicht.
Bei COBIT handelt es sich um ein sehr umfassendes Framework, das auch Beschreibungen zu Überwachungsaktivitäten sowie eine Vielzahl an Kontrollzielen und Aktivitäten zur Überprüfung der Compliance-Einhaltung aufweist.
IT-Aufbau-Orga und IT-Ablauf-Orga - Definition von Ressourcen und Strukturen
Im Folgenden sehen wir uns an, welche Outputs bzw. Aktivitäten die IT-Governance bereitstellt bzw. umfasst.
Die Ressourcen und Strukturen der IT-Governance spiegeln sich in der IT-Aufbau-Organisation und der IT-Ablauf-Organisation wider.
Die IT-Aufbau-Organisation beschreibt den statischen, hierarchischen Aufbau der IT-Abteilung. Sie benennt und beschreibt die Stellen sowie Positionen in ihr, definiert den vertikalen Fluss von Vorgaben und Informationen und wird grafisch oft als Organigramm dargestellt.
Dagegen zeigt die IT-Ablauf-Organisation, welche dynamischen, horizontalen Arbeitsprozesse in der IT vorhanden sind.
Expertentipp: Ausrichtung IT-Aufbau-Organisation an Prozessen
Die IT-Aufbau-Organisation sollte sich primär an Prozessen ausrichten, wobei in Kernprozesse und unterstützende Prozesse unterschieden werden kann. Durch die Ausrichtung an Prozessen kann die IT-Abteilung die Geschäftsprozesse dezentral verantworten. Dabei muss allerdings dafür gesorgt werden, dass jeweils die gleichen Hauptziele verfolgt werden.
Was fordert nun die BAIT in Bezug auf die IT-Aufbau-Organisation und die IT-Ablauf-Organisation?
a) Für die Gestaltung der Organisationsstrukturen existieren klare Vorgaben. So wird in der BAIT-Anforderung 3 auf die MaRisk, AT 4.3.1 Aufbau- und Ablauforganisation verwiesen. Diese gibt folgende Punkte vor:
„1 Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden. Beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen.“
„2 Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei IT-Berechtigungen, dem Schutzbedarf verarbeiteter Informationen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.“
b) In der BAIT-Anforderung 3 wird auch auf die MaRisk, AT 7.1 verwiesen:
„1 Die quantitative und qualitative Personalausstattung des Instituts hat sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren. Dies gilt auch beim Rückgriff auf Leiharbeitnehmer.
2 Die Mitarbeiter sowie deren Vertreter müssen abhängig von ihren Aufgaben, Kompetenzen und Verantwortlichkeiten über die erforderlichen Kenntnisse und Erfahrungen verfügen. Durch geeignete Maßnahmen ist zu gewährleisten, dass das Qualifikationsniveau der Mitarbeiter angemessen ist.
3 Die Abwesenheit oder das Ausscheiden von Mitarbeitern sollte nicht zu nachhaltigen Störungen der Betriebsabläufe führen.“
c) Die BAIT-Anforderung 3 referenziert die MaRisk, AT 5 Tzn. 1 und 2 und gibt Regelungen für die IT-Aufbau- und IT-Ablauforganisation vor.
Bei Änderungen in der Organisationsstruktur müssen die Prozesse und Aktivitäten angepasst werden. Ebenso sollte eine turnusmäßige Überprüfung erfolgen. Sobald neuen Vorgaben veröffentlicht werden, muss in Assessments der Anpassungsbedarf bestimmt werden.
d) Die BAIT-Anforderung 6 verlangt,dass Interessenkonflikte und unvereinbare Tätigkeiten innerhalb der IT-Aufbau- und IT-Ablauforganisation zu vermeiden sind.
Hier sollte darauf geachtet und festgeschrieben werden, dass durch die Fachabteilungen selbst keine IT-Anwendungen bereitgestellt werden dürfen. Dies muss immer - nach einer erfolgten, positiven Prüfung einer Arbeitsanweisung zum IT-Einsatz - durch die IT-Abteilung oder gemeinsam mit der IT-Abteilung geschehen. Wichtig ist, dass die Verantwortung für die IT-Systeme immer bei der IT-Abteilung liegen muss.
Wichtig ist es auch, dass die Positionen des Datenschutzbeauftragten und des Informationssicherheitsbeauftragten außerhalb der IT angesiedelt sind.
Weitere Outputs der IT-Governance sind die Vorgaben für den Prozess „IT-Betrieb“ und für die Weiterentwicklung der IT-Systeme.
Die BAIT-Anforderung 3 sieht vor, dass die IT-Governance die Struktur zur Steuerung und zur Überwachung des IT-Betriebs vorgibt.
Dies könnten z.B. Vorgaben zur…
- …Applikations-Bereitstellung zur Geschäftsprozess-Unterstützung
- …Gewährleistung eines zuverlässigen und unterbrechungsfreien Betriebs
- …erforderlichen Skalierung von Anwendungen
- …Optimierung der Kosten bzw. Kostenreduktion in einem bestimmten Umfang
- …zum Monitoring von IT-Anwendungen
- …Ermittlung und dem Reporting von KPIs sein.
Diese Vorgaben müssen in geeignete Standards umgesetzt und die Umsetzung muss dokumentiert werden. Dabei entstehen für den Betrieb z.B. Betriebs-Dokumentationen und -Handbücher, Operator-Anweisungen, Notfallpläne, Monitoring-Beschreibungen und Auswertungen sowie vielfältige Reports zu KPIs. Bei der Weiterentwicklung sind Dokumente wie das Vorgehensmodell, die Architekturvorgaben, die Programmierrichtlinien, das Testverfahren und Vorgaben zum Konfigurationsmanagement relevant.
Die BAIT-Anforderung 5 verlangt eine quantitativ und qualitativ angemessene Personalausstattung. Bzgl. der quantitativen Personalausstattung sollte überprüft werden, wie stabil oder wenig stabil der IT-Betrieb erfolgt. Wenn hier eine Häufung von Fehlern oder Incidents vorliegt, dann könnte die Ursache hierfür eine mangelhafte Personalausstattung oder fehlendes Know-how bzw. unzureichende Erfahrung sein. Auch ein Vergleich mit branchenüblichen Benchmarks kann helfen, eine Vorgabe für die geeignete Mitarbeiteranzahl zu definieren.
IT-Controlling und KPIs
Das IT-Controlling soll hier als IT-Projektcontrolling sowie als Produkt- und Infrastrukturcontrolling verstanden werden. Beim IT-Projektcontrolling werden die in IT-Projekten entstehenden Kosten ermittelt, geprüft und ggf. Kostenüberschreitungen gemeldet. Das Produkt- und Infrastrukturcontrolling kalkuliert die Kosten für die von der IT angebotenen Produkte und Dienstleistungen und sorgt für eine verursachungsgerechte Verrechnung.
Die BAIT-Anforderung 7 stellt auf quantitative oder qualitative Kriterien ab, die festzulegen sind und deren Einhaltung zu überwachen ist.
Damit das IT-Controlling den Arbeitsfortschritt in IT-Projekten oder bestimmte Erfüllungsgrade im IT-Betrieb ermitteln kann, werden Key-Performance-Indicatoren (KPI), also Leistungskennzahlen verwendet. Beispiele hierfür sind die Anzahl der IT-Projekte, die innerhalb des Budgets sind, die Verfügbarkeit von IT-Systemen, die Anzahl der Support-Mitarbeiter vs. der Anzahl der Endnutzer, die Anzahl der offenen Tickets pro Support-Mitarbeiter, die Mean Time To Repair und die IT-Kosten vs. Umsatz.
Expertentipp: Recherche von KPIs
Eine Internet-Recherche erbringt eine Vielzahl von möglichen KPIs. Damit kommt man bei der Definition von KPIs schnell in die Situation, zu viele Leistungskennzahl-Kandidaten zu haben. Konzentrieren Sie sich besser auf wenige, aber dafür relevante und aussagekräftige KPIs und ermitteln Sie hierfür sauber die Ausprägungen.
Wenn die KPIs definiert sind, dann übernehmen innerhalb von IT-Systemen dedizierte Überwachungstools die Ermittlung der Rohdaten zu den KPIs. IT-Controller erzeugen aus den Rohdaten und aus manuell ermittelten Daten die Ausprägungen der KPIs und vergleichen in einem letzten Schritt die Einhaltung.
Informationsrisiko- und Informationssicherheitsmanagement
Die BAIT-Anforderung 5 verlangt, dass für die Aufgaben zum Informationsrisiko- und Informationssicherheitsmanagement eine quantitativ und qualitativ angemessene Personalausstattung sicherzustellen ist und dass der Stand der Technik berücksichtigt werden muss.
Hier muss nachgewiesen werden, dass in der IT ausreichend qualifiziertes Personal vorhanden ist. Die quantitative Ausstattung kann durch eine Aufgaben- und eine Stellenbeschreibung der IT-Organisationseinheiten, kombiniert mit einer Personalbedarfskalkulation und der Darstellung der Ressourcenauslastung erfolgen. Bezüglich der qualitativen Ausstattung sollten eine Skills-Datenbank und ein Mitarbeiter-Schulungsplan vorliegen.
IT-Strategie
Die IT-Strategie beschreibt die Vision, Mission, Ziele und Wege dorthin und ist ein wesentliches Ergebnis der IT-Governance.
Die Hauptthemen einer IT-Strategie sind die Sicherung und Steigerung des Unternehmenserfolgs, die Verbesserung der IT-Leistungen und die Senkung der IT-Kosten. Der Umfang der IT-Strategie hängt dabei von der Größe des Unternehmens, insbesondere von der Bedeutung und der Größe der IT-Abteilung ab.
Wichtige Bestandteile bzw. Vorgaben der IT-Strategie sind dabei:
- Ausrichtung der gesamten IT auf die Unternehmensziele
- Erzielung einer hohen Nutzer-Zufriedenheit
- Vereinheitlichung und Vereinfachung der IT-Landschaf
- Ablösung oder Reengineering von veralteten Systemen
- Nutzung von offenen Standards oder Industriestandards
- Kostengünstige Bereitstellung der IT-Systeme, sowie das Heben von Skalenvorteilen und von Synergieeffekten
- Erfolgreiches Management von IT-Risiken
- Innovationsmanagement und Nutzung von neuen Technologien, wie z.B. der Cloud
Gemäß der BAIT-Anforderung 3 basiert die IT-Governance auf der IT-Strategie und die BAIT-Anforderung 4 verlangt, dass die Geschäftsleitung auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah anpasst. Es ist auch sicherzustellen, dass die Regelungen zur IT-Aufbau- und IT-Ablauforganisation wirksam umgesetzt werden.
Lesen Sie dazu mehr in meinem Beitrag „Die Unternehmens-IT in Abhängigkeit von den BAIT | IT-Strategie“
Enterprise Architecture Management
Ein Teil der Aktivitäten der IT-Governance ist das Enterprise Architecture Management (EAM).
EAM ist ein ganzheitlicher Ansatz, bei dem IT-Architekturen geplant, entwickelt und umgesetzt werden. Im Fokus stehen dabei die Aspekte Geschäfts-, Technologie-, Anwendungs- und Datenarchitektur.
EAM dokumentiert den Ist- und den Soll-Zustand der IT-Landschaft in der Form von textuellen Beschreibungen oder als grafische Darstellungen und steuert die Weiterentwicklung der Enterprise Architecture. Auf diesen Ergebnissen setzen dann die Schutzbedarfsanalyse sowie die IT-Risikoanalyse auf. Das Ziel von EAM ist, die Transparenz zur Enterprise Architecture und zu den IT-Assets zu erhöhen und damit eine bessere Planbarkeit und Steuerbarkeit zu ermöglichen.
Das ist ganz im Sinne der BAIT: Ein wichtiger Aspekt der BAIT ist, die Transparenz innerhalb der IT zu erhöhen und eine Reflektion zu den IT-Assets zu erzwingen.
IT-Portfolio-Management
Das IT-Portfolio-Management ist ein weiterer Teil der Aktivitäten der IT-Governance. Die BAIT-Anforderung 3 verlangt eine Struktur zur Steuerung sowie zur Überwachung der Weiterentwicklung von IT-Systemen.
Hierzu trägt das IT-Portfolio-Management einen wesentlichen Teil bei. Die Kosten und das Nutzenpotenzial der einzelnen Projekte und die Abhängigkeiten zwischen den Projekten werden herausgearbeitet.
Damit gewährt das IT-Portfolio-Management eine hohe Transparenz zum Projekt-Portfolio. Dank der guten Informationslage kann in die „richtigen“ IT-Vorhaben investiert werden. Die Steuerbarkeit der IT-Weiterentwicklung ist hoch.
IT-Innovationsmanagement
Die Weiterentwicklung der IT-Systeme wird erleichtert, wenn im Unternehmen die Prozess-, Organisations- oder IT-Innovationen kontinuierlich beobachtet und in einem kleinen Umfang auch ausprobiert werden.
Die gemachten Erfahrungen und Ergebnisse können dann bewertet werden und es kann geprüft werden, wie diese in das Unternehmen integriert werden können. Dabei müssen auch die Fähigkeiten und die Skills der Mitarbeiter objektiv betrachtet werden.
Mit den Erkenntnissen können dann z.B. die Modernisierung der IT-Assets vorangetrieben oder durch den Einsatz neuer Technologien, wie z.B. der Cloud Kostenreduktionen erzielt werden.
Fazit
Wir haben gezeigt: Die IT-Governance hat die essenzielle Aufgabe, die Vorgaben seitens der Unternehmens-Governance in Strukturen und in Prozesse zu transformieren und diese dann sauber, stringent, vollständig und mit geeignetem Ressourceneinsatz umzusetzen.
Dies ist eine sehr wichtige Aufgabe, die viele Weichenstellungen für die IT vornimmt. Wenn wir hier zielführende und lückenlose Vorgaben tätigen, dann sollten wir eine nachhaltige Wertschöpfung generieren können und bei der Einhaltung der BAIT-Vorgaben auf der sicheren Seite sein.
Hilfreich sind Referenzmodelle, wie z.B. das IT-Governance Framework COBIT.
IT-Governance ist eine dauerhafte Aufgabe. Die Ergebnisse, Strukturen und Prozesse müssen ständig und zeitnah überprüft, angepasst und weiterentwickelt werden.
In den nächsten Artikeln werden wir uns mit den weiteren Kapiteln der BAIT beschäftigen und was diese Vorgaben für die Unternehmens-IT bedeuten.
Checkliste: Public Cloud im BaFin-regulierten Umfeld
In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht.
