MaRisk: Hersteller von BPM-Software entdecken Banken als Kunden – Trend zu integrierten IT-Tools

Viele Institute investieren in eine prozessorientierte Auf­bau­organi­sation. Große Teile des Anweisungs­wesens lassen sich daher künftig mit BPM-Software abbilden. Unschlüssige Banken treibt zudem das Aufsichtsrecht bald zum Handeln, sagt Procedera Consult. Mit einem aktuellen (für Banken kostenfreien) Marktüberblick zu Technologien für Or­ga­ni­sa­tions­ab­teil­ungen wollen die Bankenberater helfen.

von Nick Führer, Procedera Consult

Bei der erstmaligen Entwicklung von Software für Prozessmanagement standen vor allem Kosten- und Effizienzüberlegungen im Vordergrund. Mit der Industrialisierung über alle Branchengrenzen hinweg haben diese Gedanken zwar auch in Banken Einzug gehalten, doch hinter dem aktuellen Trend zu integrierten BPM-Systemen, die auch Organisationsthemen abdecken, steckt zunehmend auch regulatorischer Druck.

MaRisk forciert prozessintegriertes Kontrollsystem

Aktuell steht die MaRisk-Novelle in den Startlöchern, die von Banken fordert, eine Risikokultur im Unternehmen zu verankern. Ein entscheidender Aspekt für die künftige Prüfungspraxis: Banken müssen im Zuge des Risikomanagements neben rein quantitativen Auswertungen auch qualitativ Auskunft über die Risikosituation der Bank abgeben. Das bedeutet, sowohl Risiken als auch zugehörige Kontrollen direkt den zugrundeliegenden Prozessen zuzuordnen. Ein prozessorientiertes Organisationshandbuch (OHB) beziehungsweise eine am Prozess ausgerichtete Schriftlich fixierte Ordnung (SfO) erleichtert dieses Vorgehen ungemein. Doch IT-seitig fehlt vielen Banken aktuell noch das nötige Rüstzeug, um ein prozessintegriertes Internes Kontrollsystem (IKS) zu realisieren. Die geforderte prozessimmanente Beschreibung von Risiken macht jedoch genau das erforderlich, wenn Banken dies aufsichtsrechtlich einwandfrei und wirtschaftlich tragfähig umsetzen wollen. Bereits in den kommenden drei bis fünf Jahren dürfte dieses Thema verstärkt in den Fokus der Prüfer rücken.

Viele Wahlmöglichkeiten beim BPM-Betrieb

Die gute Nachricht: Heute verfügbare Software-Lösungen lassen bereits zu, Risiken und Kontrollen direkt im BPM-System zu hinterlegen und nicht mehr aus separaten Anwendungen zusammentragen zu müssen. Produkte wie ibo.NET, Adonis NP, BIC Design oder Signavio Process Editor haben sich dabei bereits bewährt und verfügen zudem über ausreichend Flexibilität, um methodische Vorentscheidungen beispielsweise für eine bestimmte Modellierungssprache berücksichtigen zu können. Bei den für eine BPM-Software im Organisationsumfeld kritischen Auswahlkriterien schneiden diese Tools überdurchschnittlich gut ab. Darüber hinaus haben Banken häufig die Wahl zwischen einer Installation vor Ort (On Premise) oder einer SaaS-Lösung (Software as a Service) aus der Cloud. Cloud-Lösungen bieten gleich mehrere Vorteile:

1. Die sklavische Bindung an ein bestimmtes Betriebssystem oder Endgerät entfällt.
2. Skaleneffekte und eine flexible Bereitstellung von IT-Ressourcen lassen sich leichter realisieren.
3. BPM-System und Banknetz laufen getrennt voneinander.
4. Zugriffsmöglichkeiten für externe Projektmitglieder lassen sich einfacher einrichten.
5. Keine zusätzlichen Aufwände für Betrieb und Support etwa im Fall von erforderlichen Updates und Backups.

Neben diesen Big Five beim praktischen Einsatz von Cloud-basierten Lösungen spielt jedoch auch hier das Thema Regulierung eine entscheidende Rolle, wenn es darum geht, einen geeigneten Partner für den Cloud-Betrieb des BPM-Systems zu finden.

MaRisk-relevante Auslagerungen beachten

Cloud-IT stellt gemäß AT 9 MaRisk eine Auslagerung beziehungsweise Teilauslagerung dar. Das Problem: Im Cloud-Umfeld unterliegen Leistungsbeschreibungen und Vertragsunterlagen heute bereits einem sehr hohen Standardisierungsgrad, so dass möglicherweise benötigte Optionen für den aufsichtsrechtlich einwandfreien Betrieb der Systeme gar nicht zur Verfügung stehen. Mittelfristig müssen sich die Institute also darauf einstellen, ein zentrales Auslagerungsmanagement einzurichten und zumindest kurzfristig bei der Wahl des richtigen BPM-Betriebspartners ganz besonders auf das Kleingedruckte zu achten. Vor allem die Schlussverantwortung für die IT-Systeme, die sich auf keinen Fall auf Dienstleister auslagern lässt, muss gewahrt bleiben. In der Praxis bedeutet das Garantien zum Durchgriff des eigenen Risikomanagements, die auch bei Cloud-Lösungen sicherzustellen sind. Vor diesem Hintergrund empfiehlt sich, keine allzu großen Experimente zu wagen. Das gilt auch für Eigenentwicklungen. Inzwischen gilt als State-of-the-Art, zumindest den Kernbestandteil des BPM-Systems gemäß der eigenen Präferenzen an die Funktionen einzukaufen und bestenfalls die grafische Darstellung an die Gegebenheiten des Hauses anzupassen.

Rechenzentren bauen Kernbanksysteme aus

Banken, die an ein Rechenzentrum angeschlossen sind, profitieren von Weiterentwicklungen direkt durch den Anbieter am führenden IT-System – üblicherweise dem Kernbanksystem. Moderne IT-Lösungen erlauben BPM-Anbindungen an das Kernbanksystem. Die Relevanz des Themas haben viele Rechenzentren bereits erkannt. Vor allem Sparkassen und Genossenschaftsbanken, die das Kernbanksystem der Verbände nutzen, haben zudem die Möglichkeit, viele Vorgänge als Ablauf im Kernbanksystem zu gestalten. Mitarbeiter müssen dann nicht mehr Schritte, etwa für eine Kontoeröffnung, manuell durchführen, sondern können sich durch das System leiten lassen. BPM- und OHB-System bilden hierbei den anweisenden Rahmen, indem sie grundlegende Abläufe unter Berücksichtigung von Verantwortlichen vorgeben. Sie bilden damit die Grundlage für die Ausgestaltung der technischen Workflows. Entsprechend den Anforderungen des Unternehmens können im Rahmen des BPM zudem weitere Themen wie beispielsweise ein Internes Kontrollsystem oder Durchlaufzeiten abgebildet werden.aj