Neben den Versorgungsunternehmen sind vor allem Banken und Versicherungen immer häufiger und heftiger von regulatorischen Bestimmungen betroffen. "Standen in der Vergangenheit meist Kredit- und Marktrisiken im Vordergrund aufsichtsrechtlicher Betrachtungen, so sind es seit Inkrafttreten von Basel II eher die operationellen Risiken", hat Commerzbank-CIO Stephan Müller erkannt. Die Bankenkrise habe den Ruf nach mehr Transparenz immer lauter werden lassen. Die Folge sei ein schwer durchschau- und erfüllbares Konglomerat von Regularien, die Unternehmens-Governance betreffend.
Der IT kommt dabei ein wachsender Stellenwert zu. So enthalten die "Mindestanforderungen an das Risiko-Management" (MaRisk), die das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) seit 2012 stellt, explizite Forderungen an den IT-Betrieb. Und das leuchtet ein, wenn man bedenkt, dass das Geschäft der Banken zu einem immer größeren Teil reine IT ist. Defizite in der IT sind demnach quasi gleichbedeutend mit geschäftlichen Sicherheitsrisiken, was zugleich immer mehr Augenmerk auf eine funktionierende IT-Governance lenkt.
Auf der anderen Seite ist die IT aber auch ein Mittel zum Zweck der Risikoverringerung, indem sie es ermöglicht, Anforderungen an die Fachprozesse und -funktionen zu erfüllen. Müller spricht in diesem Zusammenhang von "Regulatorik mit Außenwirkung" und erinnert daran, dass beispielsweise der Börsengang des sozialen Netzwerks Facebook beinahe an technischen Problemen gescheitert wäre.
Darüber hinaus haben Themen wie der einheitliche europäische Zahlungsverkehr (SEPA) sowie hoheitliche Aufgaben wie das Abführen von Zinssteuern die Banken-IT um eine politische Dimension erweitert. Schon aus dieser Perspektive erscheint es dringend erforderlich, den Finanzinstituten auf die Finger zu sehen. Und last, but not least rücken die Verflechtungen zwischen unterschiedlichen Banken, wie sie beispielsweise im Derivatehandel wirksam werden, zunehmend ins Blickfeld der Aufsichtsorgane.
Jenseits jeder Priorisierung
Für die Banken-CIOs ist die steigende Regulationsflut ein Albtraum - oder zumindest "eine echte Herausforderung", wie es Müller vorsichtig formuliert. Zum einen entzögen sich Projekte zur Umsetzung von Regularien aufgrund ihres Muss-Charakters jeder Priorisierung, weshalb sie im Zweifelsfall jede IT-Planung sprengen können. Zum anderen seien diese Vorhaben hochkomplex."Das Problem sind nicht die einzelnen Bestimmungen, sondern deren Kumulierung", führt Müller aus: "Und um den Bestimmungen Genüge zu tun, müssen wir immer an die Kerndaten heran." Angesichts der schieren Masse der betroffenen Daten bekomme der Begriff "Big Data" eine ganz neue Bedeutung: Analyse- und Reporting-Tools sowie In-Memory-Technik erführen im Bankenumfeld derzeit "einen Härtetest".
Wohl dem Unternehmen, das seine IT- und Datenarchitektur bereits einigermaßen im Griff hat. Das ist allerdings umso schwieriger, je weiter die IT-Unterstützung des Business zurückreicht. Gerade bei alteingesessenen Banken steht hier beinahe ein halbes Jahrhundert zu Buche. "Auch bei uns ist vieles historisch gewachsen", räumt Müller ein.
Immerhin hat die Commerzbank - mehr oder weniger gezwungenermaßen - bereits gewaltig aufgeräumt: Nach der Fusion mit der Dresdner Bank im Jahr 2009 musste sie damals noch unter Müllers Vorgänger Peter Leukert mehr als zwei Jahre lang ihre IT konsolidieren und standardisieren. So braucht sie sich zumindest nicht mehr mit zwei unterschiedlichen IT-Welten herumzuschlagen. Außerdem wurde im Rahmen der Vereinheitlichung auch "verschüttetes Wissen" über die IT-Struktur wieder aufgedeckt, sagt Müller. Und die Notwendigkeit, eine große Menge neuer Kunden in die vorhandenen Datenbanksysteme aufzunehmen, habe dazu geführt, dass die Commerzbank-IT erfolgreich über Skalierungsmöglichkeiten und Zugriffsoptimierung nachgedacht habe.
Trotzdem ist der Anteil der regulatorischen Themen am Gesamtportfolio der IT-Aufgaben "kontinuierlich gestiegen", wie Müller bestätigt. Mittlerweile mache er etwa ein Drittel des Projektbudgets aus, also knapp 15 Prozent der jährlichen IT-Aufwände. Die damit verbundene Komplexität erforderte zudem weitere strukturelle Eingriffe in die IT-Architektur.
Zur Person Stephan Müller
Foto: Commerzbank AG
Nach dem Studium der Betriebswirtschaft übernahm der gelernte Bankkaufmann Stephan Müller ab 1994 verschiedene Aufgaben im Firmenkundengeschäft der Dresdner Bank AG.
Seit 2004 verantwortete er als CIO die IT im Privat- und Firmenkundengeschäft.
In der neuen Commerzbank leitete Müller von 2009 an als Bereichsvorstand die Group Banking Operations.
Seit etwa zwei Jahren ist Stephan Müller nun Group CIO der Commerzbank und Bereichsvorstand Group Information Technology. Damit zeichnet er im Konzern verantwortlich für Anwendungsentwicklung und IT-Produktion.
Agile Projektmethoden wären hilfreich
Wichtig sei dabei vor allem, die Agilität der IT zu verbessern. Neue Gesetze und Regulierungen entständen häufig sehr langsam, unter anderem deshalb, weil die Banken als Betroffene Gelegenheit erhielten, die Entwürfe mit ihren Anmerkungen zu versehen. Last-Minute-Änderungen seien damit an der Tagesordnung. Die Zeit für die Umsetzung hingegen ist denkbar knapp bemessen. "Eigentlich bräuchten wir dazu agile Projektmethoden", sagt Müller, "unsere bankinternen Projekte hingegen erfordern das Wasserfall-Modell".
Dieses Manko müsse durch Antizipation und das "richtige" Timing wettgemacht werden, so der Commerzbank-CIO weiter. Aber was ist "richtig"? Wer das Fundament zu früh baut, läuft Gefahr, aufs falsche Pferd zu setzen; wer zu spät beginnt, gerät unter Termindruck. Er selbst habe für die Commerzbank entschieden, ein gewisses Risiko in Kauf zu nehmen und schon in der Diskussionsphase mit der Implementierung zu beginnen, verrät Müller. Und die Erfahrung habe ihm recht gegeben.
Einheitliches Basissystem für Portale
Die regulatorischen Aufgaben beanspruchen immer häufiger Men- und Womenpower, die laut Müller an anderer Stelle fehlt: "Wir machen ja, Gott sei Dank, nicht nur Regulatorik, sondern auch fachliche Projekte." Dazu gehöre neben einer Tablet-App und der "Photo-TAN" auch Pflege und Weiterentwicklung des neuen Online-Portals, das zum einen für die Privatkunden und zum anderen für die meist mittelständischen Firmenkunden ausgelegt wird.
Dabei nimmt die Commerzbank-IT vorrangig den Zahlungsverkehr der Privatkunden ins Visier. Doch achtet sie darauf, dass sie möglichst viele Teile des Systems für die Firmenkunden wiederverwenden kann. Dazu hat sie ein Basissystem gebaut, auf dessen Grundlage die Entwicklung beider Portale von Anfang an synchron verläuft - auch wenn das schon mal Einschränkungen für beide Seiten nach sich ziehen mag. Auf diese Weise lassen sich aber die knappen Ressourcen bestmöglich nutzen.
Eine der Hauptaufgaben der Unternehmens-IT liegt für Müller darin, das Interesse der Gesamtorganisation im Auge zu behalten. Projekte werden "Front to back" entwickelt, also zunächst von der fachlichen Seite umgesetzt und erst im Nachgang mit dem Unternehmenssystem integriert. Das macht es umso wichtiger, die Partikularinteressen der Fachbereiche hintanzustellen oder vielmehr mit den Interessen des Unternehmens in Einklang zu bringen.
Daneben hat Müller herausgefunden, dass nicht alle Projekte mit regulatorischem Hintergrund "nur lästig" seien. Sie ließen sich bisweilen mit Vorhaben koppeln, die einen wesentlich größeren Effekt auf das Business haben. Ein Beispiel: Im Rahmen der Umstellung auf SEPA wurde deutlich, dass die Commerzbank-Kunden zum Teil große Schwierigkeiten mit der Umstellung hatten. Warum also sollte die Bank nicht die Konvertierung für eine Übergangszeit als Service anbieten? Solche Synergieeffekte sucht der CIO mittlerweile aktiv.
Die Rolle des CIO als Schützer des Bankenbetriebs ist folglich nicht als Rückzug ins Operative, sondern als Ergänzung zu seinen bisherigen Aufgaben zu interpretieren, so der Commerzbank-CIO. Es reiche nicht, die IT reibungslos am Laufen zu halten und das Business zu "enabeln". Darüber hinaus müsse die IT eine Gesamt-Governance für den Bankenbetrieb gewährleisten: "Wenn wir das Regulatorik-Thema nicht sinnvoll umsetzen, bricht uns das ganze Geschäft weg."
Appell an die Politik
Wichtig ist, dass diese Thematik auch ganz oben, in Vorstand und Aufsichtsrat, diskutiert wird. Zu dieser Diskussion sei er jederzeit bereit, erklärt der Commerzbank-CIO. Das Topmanagement höre auch durchaus zu, "wenn man die Themen appetitlich aufbereitet". Wie wichtig Verfügbarkeit und Verlässlichkeit der IT für den Unternehmenserfolg sind, habe sich mittlerweile ganz oben herumgesprochen.
Auch an die Politik richtet Müller einen Appell: "Damit wir regulatorische Aufgaben besser bewältigen können, sollten Gesetzgeber und Aufsicht die kumulative Wirkung verschiedener Regelungen bewusst berücksichtigen und die Banken früher in die Konsultationen einbinden", sagt er: "Planbare und praktikable Umsetzungsfristen sind aus Sicht eines CIO ebenso wünschenswert wie der Blick auf die zu erwartenden Umsetzungskosten."
Was der Commerzbank-CIO gelernt hat
Projekte zur Umsetzung von Regularien können leicht jede IT-Planung sprengen, weil sie sich als Muss-Vorhaben jeder Priorisierung entziehen.
Der Aufwand für solche Projekte lässt sich verringern, indem die IT-Struktur konsolidiert und die Datenbanksysteme auf Skalierung ausgelegt werden.
Agile Projektmethoden würden helfen, die Umsetzung zu beschleunigen. Aber die bankinternen Projekte benötigen aus Müllers Sicht das Wasserfall-Modell.
Es empfiehlt sich deshalb, schon in der Diskussionsphase einer neuen Regulierung mit der Implementierung zu beginnen, um hinten hinaus nicht unter Druck zu geraten.
Nicht immer sind Compliance-Projekte nur lästig; manchmal lassen sich damit Synergieeffekte erzielen, die einen größeren Effekt auf das Business haben.
Als eine Aufgabe der zentralen IT sieht Müller an, das Gesamtinteresse des Unternehmens im Auge zu behalten und Partikularinteressen damit in Einklang zu bringen.
Vor diesem Hintergrund ist auch die Rolle des CIO zu sehen: Als Verantwortlicher für eine funktionierende Governance des Bankbetriebs.