Matrix Technology AG
Finsurance Blog > IT Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 1)

IT-Infrastrukturprojekte – Herausforderungen und Besonderheiten (Teil 1)

Stefan Mock

In seiner Rolle als Vorstand ist Stefan Mock für alle Berater und Projektmanager der matrix technology AG verantwortlich. Mit seinem Team bringt er die strategische Ausrichtung des Unternehmens in der Banken- und Versicherungsbranche, im speziellen für den Bereich Cloud-Lösungen, voran.

Alle Beiträge des Autors

Viele Unternehmen stufen ihren Reifegrad bei der Umsetzung von IT-Projekten in der Regel als hoch ein – doch nicht in jedem Fall trifft dies in der Praxis auch wirklich zu. Immerhin gehören IT-Projekte heutzutage zum täglichen Business. In Zeiten der allgegenwärtigen Digitalisierungsoffensive werden Unternehmen regelrecht gezwungen, sich als flexibles und dynamisches Unternehmen aufzustellen und den rasanten Änderungsanforderungen Ihrer Geschäftsmodelle für sich und ihre Kunden zu stellen (Time to market). 

Diese Herausforderungen treffen umso mehr Unternehmen im regulierten Umfeld. In Zeiten von Niedrigzinsen ist der Druck hoch, Geschäftsmodelle zu überdenken bzw. neue Produkte und Lösungen zu entwickeln und zeitnah auf den Markt zu bringen. Gleichzeitig werden regulatorische Anforderungen an die IT immer höher und bestehende Umgebungen müssen angepasst und verändert werden.   

Aber was genau fordert die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) als kontrollierende Finanzmarktaufsichtsbehörde in Deutschland genau? 

Die Arbeit der BaFin orientiert sich an Richtlinien wie BAIT oder VAIT 

Zunächst ist wichtig zu verstehen, dass sich die BaFin nicht an Normen, sondern an Richtlinien orientiert. Es gibt also keine „Kochrezepte“ für die Umsetzung von Regulatorik. Gesetzliche Grundlage für Banken, Versicherungen und Finanzdienstleister sind das Kreditwesengesetz KWG und das Versicherungsaufsichtsgesetz. Konkretisiert werden die gesetzlichen Rahmenbedingungen in den MaRisk (Verwaltungsanweisungen für die Mindestanforderungen an das Risikomanagement), den von der BaFin herausgegebenen Richtlinien BAIT, VAIT (s.u.) sowie dem Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI).  

All diese Vorgaben beschreiben Themenbereiche, die in regulierten Unternehmen umgesetzt sein müssen. Die BaFin orientiert sich bei Prüfungen an all diesen Anforderungen und deren Umsetzungsgrad. Wie die Themenbereiche im Unternehmen umgesetzt werden, ist eigenständig festzulegen und bei einer Prüfung nachzuweisen. Konkret prüft die Bundesanstalt dabei, ob …  

  • sich die Maßnahmen an der Unternehmensstrategie orientieren. 
  • es Vorgaben und Konzepte dafür gibt. 
  • die Risiken im jeweiligen Umfeld erfasst sind und gemanaged werden.  
  • ob durch Berichte und Prüfungen sichergestellt wird, dass die Maßnahmen wirksam sind und regelmäßig verbessert werden. 

Die Anforderungen an Kreditinstitute, Finanzdienstleistungsinstitute und Versicherungen sind also in den „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ und für Versicherungsunternehmen in den „Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)“ festgehalten.  

In beiden Regelwerken gibt es einen Abschnitt „IT-Projekte, Anwendungsentwicklung“ (Stand 12/2019). In diesem Beitrag möchte ich näher auf die Anforderungen an die Kredit- und Finanzdienstleistungsinstitute, wie sie in den BAITs definiert sind, eingehen. Sollten Sie in der Versicherungswirtschaft tätig sein und für Ihr Institut eigentlich die VAITs gelten, können Sie meine Ausführungen jedoch ebenso zur Orientierung heranziehen. Die Anforderungen, die in den VAITs zu diesem Thema definiert wurden, unterscheiden sich nämlich nur geringfügig von denen der BAITs.

BAIT Kapitel 6: IT-Projekte, Anwendungsentwicklung

Der Abschnitt „IT-Projekte, Anwendungsentwicklung“ umfasst insgesamt 14 Anforderungen, welche im Rahmen von IT-Projekten oder der Anwendungsentwicklung (üblicherweise ebenfalls ein IT-Projekt) zu erfüllen sind. Zum Teil werden Beispiele aufgezeigt, wie die aufgeführte Anforderung erfüllt werden kann. Im Folgenden werde ich zunächst den Zweck von Projekten im regulatorischen Kontext erläutern und dann auf jede einzelne Anforderung eingehen und diese mit weiteren Lösungsbeispielen hinterlegen. 

Die Anforderungen unterteilen sich in allgemeine Anforderungen an IT-Projekte im Unternehmen und in Anforderungen, welche sich speziell auf die Entwicklung und Fortschreibung von Anwendungen fokussieren. Der Fokus der BAIT liegt dabei immer darauf, ein Risikobewusstsein für die relevanten Themen zu schaffen. 

Dokumentation und Risikominimierung durch strukturiertes Projektmanagement  

Warum also wählen wir für die Umsetzung bestimmter gewollter Veränderungen Projekte, die gewissen unternehmensspezifischen Regelungen unterliegen als Mittel zum Zweck? Wir könnten ja die Veränderungen auch einfach „machen“ und uns den ganzen organisatorischen Overhead eines Projekts sparen. Oder etwa nicht?  

Regulatorische Richtlinien fordern, dass die Unternehmensleitung strategische Vorgaben für das Unternehmen macht, deren Einhaltung sie regelmäßig prüft und sicherstellt. Zudem muss die Unternehmensleitung sicherstellen, dass alle Vorhaben ausreichend mit Ressourcen unterlegt sind, um erfolgreich umgesetzt werden zu können. 

Ist das Unternehmen beispielsweise ein Dienstleister in der Finanzbranche, hängt der Unternehmenserfolg (auch) davon ab, dass alle Dienstleistungen für die Kunden MaRisk- und BAIT-konform erbracht werden und so zur finanziellen / risikomäßigen Stabilität der Kunden sowie zum Erreichen/zur Verbesserung des Vertrauen der Endkunden in die Finanzbranche beitragen. Dies wiederum senkt das Risiko der Kunden in der Finanzbranche.  

Jede Veränderung in der IT stellt ein Risiko für die Stabilität und Verfügbarkeit der IT dar. Vertrauen in solche Veränderungen setzt also Transparenz und Zuverlässigkeit voraus. An dieser Stelle kann durch ein gutes Projektmanagement sichergestellt werden, dass die notwendigen Methoden, Risikobetrachtungen, Verschriftlichungen und Kontrollmechanismen zum Einsatz kommen, um die geordnete Durchführung von Veränderungen zu ermöglichen und die Möglichkeit eines Fallbacks zu haben. Deshalb müssen Projekte den Kern des Veränderungsmanagements beim IT-Dienstleister und deren Kunden bilden, in den jeweiligen Strategien verankert sein und operativ umgesetzt werden.  

Es ist immer erforderlich, die Größe und den Umfang des Projekts risikoorientiert festzulegen. Das bedeutet, dass nicht jede Veränderung mit maximalem Projektmanagement zu begleiten ist, sondern mit einem angemessenem. Die Angemessenheit wiederum lässt sich am einfachsten an der Klassifizierung der Daten festmachen, die durch das Projekt verändert werden. Daten werden über den Schutzbedarf klassifiziert, der die vier Aspekte Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität betrachtet. Die Klassifizierung der Projekte kann im Projektmanagement Framework definiert und nach Kriterien festgelegt werden. Wird beispielsweise ein Change an Kontodaten durchgeführt, welche die Basis jeglichen Zahlungsverkehrs sind und maximalen Schutzbedarf in allen vier Kategorien haben, ist ein sehr sorgfältiges Vorgehen im Rahmen des Projektmanagements zu wählen. Geht es nur um öffentlich zugängliche Darstellung der Kontoführungsgebühren einer Bank, kann mit deutlich abgespeckten Maßnahmen gearbeitet werden. Dies korrespondiert mit dem Grundsatz der „doppelten Proportionalität“, nach der die Steuerungsinstrumente einer Bank und auch die Intensität der Überwachung durch die Bankenaufsicht proportional zu den Risiken der Bank sein sollen. 

Im Folgenden möchte ich etwas genauer auf die in Kapitel 6 der BAIT festgeschriebenen Anforderungen eingehen und Ihnen zeigen, was die Formulierungen bedeuten.  

BAIT-Anforderung 31

Auswirkungsanalyse bei wesentlichen Veränderungen durch IT-Projekte

"Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5) MaRisk, AT 8.2 Tz. 1 MaRisk sowie AT 8.3 Tz. 1 MaRisk zu erfüllen."

Empfehlung

→ Im ersten Schritt muss zunächst einmal erkannt werden, dass tatsächlich ein Projekt gestartet wird. Hierfür ist es wichtig intern zu klären, wann es sich eigentlich um ein Projekt handelt. Dies geschieht in der Regel durch einen entsprechenden Initiierungsprozess, welcher im Rahmen eines Projektframeworks bzw. Vorgehensmodells im Unternehmen existiert und die Definition für ein Projekt vorgibt. Ein zentrales Thema dabei nimmt das Risikomanagement ein, welches in der Initiierungsphase mit den Unternehmensrisiko abgeglichen werden sollte und auch im weiteren Projektverlauf eine zentrale Rolle einnimmt.  Im o.g. Beispiel (Change der Kontodaten) ist ein Vorgehen mit umfangreichen Projektmanagementmaßnahmen zu wählen. In der Auswirkungsanalyse wird dann bewertet, wie sich die Projektergebnisse auf die Kontrollverfahren und die Kontrollintensität auswirken. 

BAIT-Anforderung 32

Regelung organisatorischer Grundlagen

"Die organisatorischen Grundlagen von IT-Projekten (inkl. Qualitätssicherungsmaßnahmen) und die Kriterien für deren Anwendung sind zu regeln." 

Empfehlung

→ Diese Anforderung bezieht sich auf eine organisatorische Einbettung von IT-Projekten in die Organisation. Diese ist zunächst von der obersten Leitung in der Unternehmens- und IT-Strategie zu verankern und dann in der Form einer Projektmanagementorganisation inkl. eines Projekt Portfolio Managements (PPM) sowie eines Projektmanagement Frameworks inkl. Regelungen zur Qualitätssicherung umzusetzen. Die Projektmanagementorganisation ist in der Verantwortung, das Framework als Regelwerk für die Umsetzung von Projekten zu erstellen, zu steuern und kontinuierlich weiter zu entwickeln. Dafür kann z.B. ein unternehmensweites Project Management Office (PMO) eingesetzt werden. 

BAIT-Anforderung 33

Steuerung von IT-Projekten

"IT-Projekte sind angemessen zu steuern, insbesondere unter Berücksichtigung der Risiken im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität von IT-Projekten. Hierfür sind Vorgehensmodelle festzulegen, deren Einhaltung zu überwachen ist."
 

Empfehlung

→ Die Steuerung und Kontrolle von IT-Projekten sowie die Ausstattung mit angemessenen Ressourcen ist ein wesentlicher Faktor bei der erfolgreichen Umsetzung von Projekten und ist gemäß ISO 2700X und allen regulatorischen Richtlinien von der obersten Leitung sicher zu stellen. Bei klassischen Projekten (z.B. nach der Wasserfallmethode) wird dies beispielsweise durch den sogenannten Projektmanagementplan sichergestellt, welcher die Komponenten scope, schedule, cost, quality, human resources, communications, risk, and procurement (nach PMI) enthält.  Dabei ist das Risikomanagement in Projekten ein wesentlicher Faktor und muss mit dem unternehmensweiten Risikomanagement sowie weiteren, parallellaufenden Projekten verknüpft werden.   

Eine etablierte Projektmanagementorganisation stellt die Erfüllung der aufgeführten Anforderungen sicher. Dabei wird der Umgang mit dem Risikomanagement, dem Ressourcenmanagement und dem Qualitätsmanagement in einem unternehmensweiten Framework beschrieben. Die Umsetzung und Einhaltung desselben durch eine entsprechende Organisation, wie z.B. ein unternehmensweites PMO geprüft und sichergestellt. Steuernde / überwachende Gremien rund um ein Projekt wie der Lenkungsausschuss oder Steuerkreis stellen die Einhaltung der vereinbarten Meilensteine sicher und wirken als Entscheidungsinstanz, falls notwendig (z.B. mittels Projekt Change bzw. Change Request). Der Projektmanager ist in die Projektorganisation eingebunden und für die Anwendung des Frameworks und die Bereitstellung der Projektergebnisse verantwortlich. 

BAIT-Anforderung 34

Angemessene Überwachung des Portfolios

"Das Portfolio der IT-Projekte ist angemessen zu überwachen und zu steuern. Dabei ist zu berücksichtigen, dass auch aus Abhängigkeiten verschiedener Projekte voneinander Risiken resultieren können." 
 

Empfehlung

→ In der Regel werden in einem Unternehmen mehrere IT-Projekte parallel umgesetzt bzw. für eine Initiierung geplant. Dabei müssen Abhängigkeiten bzgl. Ressourcen oder anderer Art erkannt und gesteuert werden (s.o. Verantwortung der obersten Leitung). Dies geschieht im Rahmen des Projekt Portfolio Managements (PPM).  Hilfreich ist eine elektronisch auswertbare Übersicht aller Projekte und ihrer Informationen, Ressourcen, Risiken und Rahmenbedingungen. Der zuständige Mitarbeiter wird damit die Lage versetzt, das Projekt-Portfolio angemessen zu managen. Wesentlich hierbei ist, dass bei der Auswahl von zu startenden Projekten die daraus entstehenden Abhängigkeiten und Risiken bewertet werden.  

Beispiel: Jede Projektverlängerung erzeugt Risiken. So können dadurch beispielsweise Vertragsstrafen fällig werden oder bereits für andere Projekte gebuchte Ressourcen nicht rechtzeitig verfügbar sein. In der Praxis hat sich ein Projekt Portfolio Management Board als zentrale Instanz zur Sicherstellung der erfolgreichen Umsetzung der Anforderungen etabliert. Auf diese Weise können Abhängigkeiten frühzeitig erkannt und Maßnahmen ergriffen werden. Auch können mögliche Ressourcenkonflikte rechtzeitig identifiziert und gelöst werden. 

BAIT-Anforderung 35

Bericht an die Geschäftsleitung und das Risikomanagement

"Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig und anlassbezogen zu berichten. Wesentliche Projektrisiken sind im Risikomanagement zu berücksichtigen."  

Empfehlung

→ Risikomanagement ist eine zentrale Komponente für regulierte Unternehmen und muss ganzheitlich gemanaged werden. Daher muss ein aktives Risikomanagement auch in Projekten umgesetzt und wesentliche Projektrisiken an das unternehmensweite Risikomanagement gemeldet werden. Durch eine entsprechende Projektorganisation und ein aktives Portfoliomanagement, welches z.B. durch ein zentrales PMO gesteuert wird, kann diese Anforderung sichergestellt werden. Idealerweise ist ein Projekt Portfolio Management Board etabliert, welchem die Geschäftsleitung beiwohnt, um ihre Verantwortung wahrnehmen zu können. Dort wird regelmäßig und anlassbezogen über den Status und die Risiken von Projekten berichtet.