Der Konflikt zwischen regulatorischen und agilen IT-Praktiken muss gelöst werden

Die Digitalisierung hat den Wandel in den letzten Jahrzehnten maßgeblich vorangetrieben und dafür gesorgt, dass große Technologieunternehmen zu den wichtigsten Akteuren der Welt herangewachsen sind. 

Ihr Wachstum und ihre anhaltende Bedeutung lassen sich eindeutig auf ihre agilen Kompetenzen zurückführen. Der Schlüssel zum Erfolg liegt darin, sich schnell verändern und anpassen zu können – das gilt für junge Unternehmen mit neuen Geschäftsmodellen genauso wie für etablierte Unternehmen, die sich einen Wettbewerbsvorteil sichern wollen. Auch der Bankensektor bleibt von dieser Tatsache nicht verschont.

Um in der Welt der Digitalisierung auch in Zukunft relevant zu bleiben, benötigen Banken anpassungsfähige Optimierungsprozesse, die sie letztendlich zu einem IT-Unternehmen mit Banklizenz machen. Dieses Ziel kann nur dann verwirklicht werden, wenn die IT als zentrale Unternehmenssäule verstanden wird – und nicht als reine Kostenstelle.

Bei der Umstrukturierung ihrer IT-Abläufe mit dem Ziel, die in der heutigen Welt geforderte Agilität zu erreichen, nutzen Banken die Best Practices von Technologieunternehmen wie Google, Netflix und Spotify.

DevOps ist das Modell für agile Unternehmen von Spotify und ein exzellentes Beispiel für eine Methode zur kontinuierlichen Bereitstellung, die von den großen Tech-Unternehmen der Welt übernommen wurde und nun auch in der Finanzdienstleistungsbranche Einzug gehalten hat. Diese Methode ist absolut einleuchtend, doch Banken unterscheiden sich grundlegend von den Tech-Unternehmen, aus denen Ansätze wie DevOps stammen. Ein wesentliches Unterscheidungsmerkmal ist die Tatsache, dass Banken sowohl bei ihren Geschäftsabläufen als auch bei ihren IT-Prozessen strengen Vorschriften unterliegen.

Oft geraten diese neuen Optimierungsprozesse mit den von den Banken zur Risikominimierung eingerichteten Kontrollmechanismen in Konflikt. Daraus resultieren häufig Behelfslösungen, die wiederum zu unnötiger Verschwendung und administrativem Aufwand und damit zu großer Unwirtschaftlichkeit führen.

Wer in diesem neuen Wettbewerbsumfeld relevant bleiben will, muss einige wichtige Branchentrends im Auge behalten:

• Kundenzentrierung. Im gesamten Finanzdienstleistungssektor hat sich das Bild der Kunden stark gewandelt. Bei vielen Geschäftsmodellen steht der Kunde heute im Mittelpunkt, denn es geht darum, sinnvolle, relevante Omnichannel-Erlebnisse in Echtzeit zu bieten. Viele etablierte Banken setzen jedoch nach wie vor auf Altsysteme, darunter auch auf batchbasierte Mainframe-Lösungen, die mit der steigenden Nachfrage nach solchen Erlebnissen nicht mithalten können.
• Neue Anbieter auf dem Markt. Neue Akteure wie die bereits erwähnten großen Tech-Unternehmen und FinTechs drängen auf den Bankenmarkt - manche mit völlig neuen Geschäftsmodellen, andere mit umfassenden Optimierungsansätzen. Durch die Einführung von Open Banking müssen Banken autorisierten externen Parteien Zugang zu ihren Systemen gewähren, damit diese im Namen ihrer Kunden Kundendaten abfragen (oder auch Transaktionen durchführen) können.
  
  Anders ausgedrückt: Die Kundendaten sind nicht mehr Eigentum der Banken, sondern des Kunden. Dies hat wiederum dazu geführt, dass FinTech-Unternehmen mit völlig neuartigen Geschäftsmodellen auf den Bankenmarkt drängen. Apple wird beispielsweise bis Ende 2022 seinen Dienst Apple Pay Later einführen, und die beiden Unternehmen Adyen und Stripe haben kürzlich ihre Zahlungsdienste um Bankfunktionen erweitert. Diese Tech-Unternehmen profitieren derzeit von Vorteilen, die traditionelle Banken bisher nicht nutzen konnten. Vor allem
  • sind sie in ihren IT-Prozessen im Vergleich zu traditionellen Banken nicht durch Brauchtum und veraltete Verfahren eingeschränkt.
    
  • Ihre gesamten Angebote sind von Anfang an kundenorientiert.
    
  • Die Automatisierung war von Anfang an eine wichtige Voraussetzung für ihren Erfolg.
    
  • Sie sind in die IT-Systeme mehrerer Banken integriert.
    

Das Ergebnis ist eine hoch komplexe Landschaft, in der Banken operieren müssen. Anstelle einer geschlossenen, kontrollierten Umgebung müssen sie sich nun in einem globalen, sich schnell verändernden und vernetzten Ökosystem behaupten.

• Agilität. In der Vergangenheit war die Größe eines Unternehmens einer der wichtigsten Indikatoren für seine Marktrelevanz. Unternehmensgröße und Marktrelevanz sind heute kaum noch von Bedeutung. Die Flexibilität, sich in einer sich rasant wandelnden Welt anzupassen und zu reagieren, entscheidet heute über die Relevanz eines Unternehmens.
• Grundlegende Vorschriften. Die Vorschriften und Gesetze, an die sich eine Bank halten muss, werden jedes Jahr umfangreicher und strenger. Der Bankensektor ist stark reguliert und die Banken wissen, dass sie sich an diese sich ständig ändernden Gesetze und Vorschriften anpassen müssen. Da sie sich jedoch gezwungen sehen, mit großen Technologieunternehmen und FinTechs mitzuhalten, macht die rasche Anpassung an diese neuen Gesetze und Vorschriften den Unterschied zwischen einer hochmodernen Bank und traditionellen Banken, die zunehmend an Bedeutung verlieren.
• Das Ringen um Talente. Etablierte Banken entwickeln sich immer mehr zu IT-Unternehmen mit Banklizenz und sehen sich einem harten Wettbewerb ausgesetzt, wenn es darum geht, qualifizierte IT-Experten anzuwerben und zu halten. Das Gehalt ist nicht mehr der Hauptanreiz, denn die meisten IT-Experten möchten etwas bewirken und eine sinnvolle Tätigkeit ausüben. In vielen Banken sind die bestehenden Prozesse nicht ausreichend auf die Ansprüche und Wünsche der Fachkräfte von heute ausgerichtet.

In letzter Zeit haben die Banken viel investiert, um ihre Prozesse an die der großen Tech-Unternehmen und FinTechs anzupassen.

Allerdings sind die traditionellen Banken in puncto Schnelligkeit und Agilität deutlich im Rückstand. Die strenge Reglementierung der Banken führt dazu, dass der erforderliche Dokumentationsaufwand und die Berichtspflicht zu Verzögerungen führen. Eine Bank unterscheidet sich natürlich von einem großen Technologieunternehmen wie Netflix. Das Risiko, das Netflix beispielsweise durch den Ausfall oder die Zahlungsunfähigkeit von Kunden eingeht, hat ganz andere Konsequenzen als für eine Bank. Daher wäre es für eine Bank sehr unklug, die Arbeitsweise von großen Technologieunternehmen einfach zu übernehmen.

Die Banken sind sich sehr wohl der Risiken bewusst, die sie tragen. Die Einhaltung aller Gesetze und Vorschriften und die Risikominimierung sind für eine Bank von größter Bedeutung. Immerhin können die Sanktionen für ein Missachten der Vorschriften bis zum Entzug der Banklizenz reichen.

Das heißt, dass sich die Arbeit in puncto Compliance- und Risikomanagement bis heute nicht wirklich verändert hat und als solche nicht unbedingt von innovativer Technologie geprägt ist. Vermutlich wollen die Experten von heute vielmehr einen sinnvollen und relevanten Beitrag für den Verbraucher leisten – ein Aspekt, der mindestens genauso wichtig ist wie die Höhe ihrer Vergütung.

Auf den ersten Blick scheinen die Praxis der IT-Experten und die Vorschriften, an die sich Banken halten müssen, in Konflikt zueinander zu stehen. Das muss aber nicht sein!

Die Herausforderung besteht darin, die agile Arbeitsweise mit der regulierten Geschäftspraxis der Bank abzustimmen. Diese Aufgabe ist nicht ganz einfach und erfordert einen enormen Aufwand. Hierzu gehört auch die Automatisierung der Einhaltung von Richtlinien zu Risiko- und Regulierungsfragen.

Automatisierung des Compliance- und Risikomanagements:
Es gibt einige Anforderungen an die Automatisierung des Compliance- und Risikomanagements, die erfüllt werden müssen:

• Sie muss in Echtzeit erfolgen und für alle Beteiligten relevant sein. Die meisten Banken haben es heute mit mehreren Aufsichtsbehörden und Regulierungsbehörden zu tun, oft auf internationaler Ebene. Die Aktualität des Informationsbedarfs dieser Akteure ist unterschiedlich, geht aber tendenziell in Richtung eines Echtzeitbedarfs. Durch die Bereitstellung der relevanten Informationen im Bereich Compliance- und Risikomanagement in Echtzeit entfällt die Notwendigkeit langwieriger Audits, wodurch die Banken einen entscheidenden Wettbewerbsvorteil erzielen. Die Daten, ihre Vollständigkeit und ihre Erhebung müssen geprüft werden, nicht aber die jeweils zugrunde liegenden Systeme.
• Schutzmechanismen dürfen für IT-Experten nicht erkennbar sein. Banken sind auf die besten IT-Talente angewiesen, und das ungeachtet ihrer Fachkenntnisse im Bankwesen. Abgesehen davon haben Banken ein völlig anderes Risikoprofil als große Technologieunternehmen. Damit IT-Experten auch ohne Fachkenntnisse in den Bereichen Compliance-, Risiko- und Regulierungsfragen tätig werden können, ist es wichtig, ihnen Fachwissen über Risiken und Compliance weitgehend vorzuenthalten. IT-Experten müssen im Bankensektor im Rahmen bestimmter Schutzmechanismen arbeiten. Diese Schutzmechanismen müssen jedoch so ausgelegt sein, dass sie den kreativen Entwicklungsprozess nicht einschränken.
• Die Schutzmechanismen müssen so eingerichtet sein, dass sie nicht umgangen werden können. Die Entwicklungsprozesse können bis zu einem bestimmten Grad flexibel sein, doch die eingerichteten Schutzmechanismen selbst müssen zuverlässig sein und regelmäßig überprüft werden. Die Einrichtung dieser Schutzmechanismen ist extrem wichtig, da sie sicherstellen, dass die IT-Experten alle erforderlichen Vorschriften und Standards einhalten. Wenn es keine Möglichkeit gibt, diese Schutzmechanismen zu umgehen, müssen sich die IT-Experten automatisch das erfüllen, was von ihnen verlangt wird. Der Eigentümer der Schutzmechanismen muss in diesem Fall sicherstellen, dass alle erforderlichen Nachweise gesammelt und den internen und externen Nutzern dieser Informationen rund um die Uhr zur Verfügung gestellt werden.

Dieser Ansatz erfordert oft eine Veränderung der gesamten Organisation. Die Banken müssen interdisziplinäre Teams aus IT-Experten, Rechtsexperten und Risikomanagern zusammenstellen. Diese Teams müssen dafür sorgen, dass alle Pflichten gegenüber den Aufsichtsbehörden und ähnlichen Akteuren automatisiert und vollständig nachvollziehbar sind. Wenn diese Voraussetzungen erfüllt sind, können alle Technikteams die Automatisierung nutzen und sich voll und ganz auf die Entwicklung kreativer Lösungen konzentrieren, die einen Mehrwert schaffen.

Eine agile IT-Praxis und Compliance gehen Hand in Hand, wenn sie korrekt umgesetzt werden Die Banken werden zwar durch regulatorische Vorschriften stark in die Pflicht genommen, doch wenn die IT-Prozesse unter Einhaltung dieser Vorschriften entwickelt werden, bleibt genügend Spielraum für Flexibilität. Wie sich gezeigt hat, reicht es nicht aus, einfach bewährte Praktiken von Technologieunternehmen zu übernehmen. Diese Praxis muss vielmehr an das gewünschte Unternehmensziel angepasst werden. Bei richtiger Umsetzung kann das Unternehmen jedoch unnötige Kontroll- und Verwaltungsaufgaben vermeiden, eine echte Leistungssteigerung erzielen, Spitzenkräfte aus dem Technologiesektor gewinnen und an sich binden und vieles mehr.