Herausforderung und Chance: IT-Governance im Banking

Kaum eine Branche ist so streng reguliert wie die Finanzindustrie. Und diese Regeln schlagen auch auf die IT-Ebene der Unternehmen durch, die heutzutage für so gut wie alle Leistungen und Prozesse einer Bank elementar ist. Umso wichtiger ist eine effektive regulatorische Governance der Software-Entwicklung bei einer Digital-Bank wie uns. Unser IT-Prozessmanager Roman macht klar: IT-Governance hat für Banken existenzielle Bedeutung, weil bei einem Verstoß die Lizenz und somit die Geschäftsgrundlage gefährdet wäre.

IT-Governance schafft Mehrwert

Regulatorische Compliance ist daher für unsere Software-Entwicklung im Banking ein zentrales Qualitätsmerkmal, nicht etwa ein lästiger administrativer Nachklapp. Darüber hinaus hat sie aber auch das Zeug zu einem Wettbewerbsvorteil, denn sie kann als Katalysator für technologische Entwicklungen wirken. Durch die – sowieso unerlässliche – Integration der Regulatorik in IT-Prozesse lässt sich also auch strategischer Nutzen ziehen. Zum Einsatz kommen neue digitale Ansätze und effizientere Prozesse, die eine leistungsfähigere Software-Entwicklung fördern und positive Veränderungen für die Organisation ermöglichen. „Regulatorik schafft nicht nur Regeln, sie bringt auch Qualitätsvorteile,“ so Roman: „Governance ist nicht nur Aufwand, sondern kann auch Mehrwert bringen.“ Dazu gehört beispielsweise, dass nun Überblicksstatistiken verwendet werden und dadurch die Einhaltung einheitlicher Standards gewährleistet werden kann. Das trägt auch zur Verbesserung der Datenqualität bei. Durch eine ServiceNow-ITIL-Strategie wird die Standardisierung der Entwicklung unterstützt. Die Software-Entwicklung und die IT insgesamt erhalten vom Governance-Management wertvolle Anstöße. „Es kann zwar durchaus auch sein, dass regulatorische Änderungen die Entwicklung verlangsamen“, erläutert Roman. „Aber wir müssen diese Probleme lösen. Von daher sehe ich mich auch als Prozess-Unterstützer.“ Zu Romans Aufgaben gehört nicht nur Regulatorik, sondern auch die Sicherstellung der Software- und Entwicklungsqualität. Da die Seiten Entwicklung und Betrieb heute unter dem DevOps-Paradigma ineinander übergehen, bewertet Roman die Entwicklungsqualität u.a. mit den vier DORA-Kennzahlen von Google: „Hintergrund ist, dass die Software-Entwicklung transparent und leistungsfähig sein sollte.“ Davon profitieren wir als ING insgesamt. Doch was sind eigentlich die Treiber, die hinter dem enormen Bedeutungszuwachs der Software-Governance stehen?

Gestiegene Ansprüche

Moderne Entwicklung in Banken muss heutzutage schlicht stark gewachsene Anforderungen erfüllen, erklärt Roman: „Kunden und Unternehmen haben ja sehr hohe Ansprüche. Die Software-Entwicklung ist nicht mehr so wie früher, es muss alles schneller sein, es muss immer leistungsfähiger werden.“ Auf den Markt treten neue Akteure wie FinTechs und schrauben die Erwartungen der Nutzer an den Funktionsumfang hoch. Kombinierte Angebote mit Auswertungen oder Bezahldienste erfordern komplexe Lösungen, eine sofortige Rückmeldung ist erwünscht. Digitale Produkte bekommen auch aus Sicht der schrumpfenden Margen im traditionellen Kerngeschäft höhere Bedeutung. Weitere Faktoren sind steigende Qualitätsanforderungen an Betrieb und Lebenszyklen sowie Security-Trends wie die Ablösung des Firewall-Ansatzes oder die Konzentration auf „Advance Persistant Threat“-Angreifer. Besonders einflussreich ist für Roman aber die wachsende Bedeutung von Microservices, der Abschied von herkömmlichen Release-Zyklen und DevOps. Als Antwort auf diese Herausforderungen werden wir bei der ING im Rahmen der „Next Gen Tech“-Initiative Tooling und Entwicklungsprozesse optimieren. CI/CD-Ansätze erhöhen Effizienz und Qualität: „Die Software wird dabei nicht erst beim Release getestet, sondern schon bei jeder Code-Änderung,“ erklärt Roman. Auch Trends wie Low-Code müssen beachtet werden. Durch diesen Enabler findet Entwicklung heute bei uns auf verbreiterter Basis statt: Die Business-Seite bringt Fachbereichswissen in digitalisierte Prozesse ein.

Komplexe regulatorische Landschaft

Im Mittelpunkt der Governance stehen die Vorgaben durch Regulatoren, bei denen es ständig zu neuen Entwicklungen kommt. „Die Regeln staatlicher Governance müssen natürlich eingehalten werden,“ führt Roman an. „Wir übererfüllen sie jedoch häufig. Gleichzeitig müssen wir eine gleichbleibende Leistungsfähigkeit der Entwicklung sicherstellen, sonst läuft uns die Konkurrenz davon.“ Die Regulation wird immer komplexer und hat auch eine ausgesprochen internationale Dimension. Das beginnt beim SOX, dem US-Gesetz Sarbanes-Oxley Act (2002), das als Reaktion auf Skandale wie den Enron-Fall eine Vielzahl regulatorischer Bestimmungen festlegt, die auch für Banking-IT relevant sind. In Deutschland sind die BaFin-Vorgaben BAIT (Bankaufsichtliche Anforderungen an die IT) und MARisk (Mindestanforderungen an das Risikomanagement (BA)) zu beachten. Auf EU-Ebene kommen zur EBA-Guideline das Urteil Schrems II mit seinen Implikationen für die Auslagerung von Software (Cloud), und natürlich die Datenschutzverordnung (DSGVO/GDPR). „Der Punkt, den ich hier machen will: Staatliche Governance ist heute so gut wie immer auch ein Software-Thema“, fasst Roman zusammen. „Die ING hat hier als systemrelevante Bank natürlich besonders hohe Anforderungen zu erfüllen.“

Vielfältige Ansätze

Die praktische Herausforderung für Roman ist es nun, diese Anforderungen in Software-Prozesse zu übersetzen. Dazu gehört durchaus auch qualitative Textanalyse, zum Beispiel bei Neuauflagen von Regulationen. „Da werden auch Änderungen bei einzelnen Wörtern beachtet, denn die Regulatoren werden sich schon etwas dabei gedacht haben“, erläutert Roman. Beim Prozessmanagement berücksichtigt er auch privatwirtschaftliche Cloud-Governance durch Initiativen wie das Konsortium GAIA X und die Finanz-Cloud-Koalition ECUC. Wichtig sind außerdem die Governance unseres Mutterkonzerns in den Niederlanden und die IT-Architektur auf Gruppen-Ebene. Die Implikationen werden in unsere lokale deutsche Governance integriert, hierfür werden entsprechende Dokumente angelegt. Konkret geht es um die Sicherstellung eines einheitlichen Vorgehens in der Entwicklung, beim Betrieb und bei der Automatisierung. Maßnahmen wie das Vier-Augen-Prinzip, verpflichtende Input Validation oder verbesserte Scan-Konfigurationen werden eingeführt. „Das sind teilweise automatisierte Tests, die scannen, ob z.B. bestimmte veraltete Libraries oder problematische offene Schnittstellen verwendet werden,“ ergänzt Roman. Doch er hat noch mehr vor: Als Ausblick für sein Arbeitsfeld sieht Roman eine Unterstützung bei der automatisierten Erstellung von Skript Changes per API, und auch beim automatisierten Skript-Deployment. Neue Ideen und Ansätze zum Coding (Governance as Code) und zu Versionenkontrollsystemen treten ebenfalls auf den Plan. Lauter Projekte, von denen die Software-Entwicklung bei uns ganz allgemein profitieren wird, auch über das reine Governance-Thema hinaus. Was Roman aber schon konkret umgesetzt hat, ist ein Tool für die Development Journey, das durch visualisierte Prozess-Strecken Klarheit zu Governance-Vorgaben schafft – eine Art regulatorisches Expertensystem für die Software-Entwicklung.

Visualisierung im Prozess-Tool

Die Lösung bildet sämtliche Prozess-Schritte ab und hält an jedem Punkt der Development Journey relevante regulatorische Informationen bereit. Roman beschreibt dieses effiziente Werkzeug für die Software-Entwicklung: „Das Tool erfasst die Prozess-Strecke von A bis Z. Dabei geht es durchaus auch um eine Darstellung der Prozesse auf der Ebene von BPMN-Strukturen.“ (Business Process Model and Notation) Prozess-notwendige Aktivitäten, aber auch einschlägige Kontakte liefern unseren Nutzern den nötigen Kontext. Die Lösung ist eine wichtige Unterstützung bei der Entwicklung von Assets wie etwa den zahlreichen Microservices, die heute so häufig verwendet werden. Auch bei uns sind diese in Form sogenannter Self Contained Systems (SCS) immer verbreiteter. Worauf es dort bei der Entwicklung regulatorisch ankommt, wird in Dutzenden von Unterpunkten in einer detaillierten Baum-Struktur der Entwicklungsjourney dargestellt – etwa Tickets, Testintegration, Monitoring, Zertifikate, Jump Server zum Adminzugriff auf Produktionsumgebung, eigentliches Coding, Zusammenspiel der Assets und API-Deployment. Im Tool sind auch noch viele weitere Prozess-Arten abgebildet, bis hin zu dem eher simplen Vorgang, einen Desktop-Rechner Compliance-konform aufzubauen. Neue Prozesse werden ständig erarbeitet (aktuell z.B. SCS Operations, SCS Frontend Applikationen).

IT-Chancen bei der ING

Die Arbeitsfelder von Prozessmanager Roman bei uns im Unternehmen sind vielfältig: Neben Governance kümmert er sich auch noch um Automatisierung, statistische Auswertungen, Prozess-Entwicklung und die Berücksichtigung von Software-Trends. Bei seiner Tätigkeit ist ihm unsere Umgebung und unsere Kultur besonders wichtig. Zu den guten Prozessen bei uns als Digital-Bank kommt aus Romans Sicht eine grundsätzliche Wertschätzung: „IT wird nicht wie in anderen Unternehmen als Kostenfaktor betrachtet, sondern als Unterscheidungsmerkmal.“ Das zeigt sich auch in unserem individuellen Bildungsbudget: Gemäß dem Motto „do your thing“ wird die Entwicklung unserer Mitarbeitenden großgeschrieben. Roman selbst plant aktuell u.a. Zertifizierungs-Schulungen für Microsoft Azure. Doch die Rolle als Prozessmanager ist nur eines von vielen fordernden Gebieten, auf denen die IT-Profis bei uns arbeiten.