Rückblick und Learnings: Die IT-Funktion in den Finanzdienstleistungen im Jahr 2020

Morgan Badoud Senior Manager Digital Assurance, PwC Switzerland 05 Jan 2021

Das Aufkommen neuer Technologien bewegt Finanzinstitute schon seit einigen Jahren dazu, ihre interne Organisation zu überdenken. Die Geschäftsstrategien dieser Unternehmen schaffen neue IT-Bedürfnisse. Die globale Gesundheitskrise 2020 hat Unternehmen dazu gezwungen, ihre Prioritäten anzupassen und Projekte zu initiieren oder zu beschleunigen, um die Qualität ihrer Dienstleistungen sowie die Geschäftskontinuität unter diesen aussergewöhnlichen Umständen zu gewährleisten.

Im Rahmen der Durchführung der aufsichtsrechtlichen Prüfungen hat PwC Schweiz im ersten Quartal 2020 die IT-Organisation und IT-Governance von 107 Finanzinstituten (FI) schweizweit bewertet. Die Bewertung schloss auch eine Analyse strategischer IT-Projekte dieser Finanzinstitute mit ein.

Wir haben unsere Ergebnisse aggregiert und anonymisiert, um eine Benchmark zu erstellen, die einen Überblick über die IT-Organisation und -Governance von Finanzinstituten gibt sowie die strategischen Aspekte der einzelnen Institute hervorhebt.

Unsere Bewertungen basieren auf professionellem Urteilsvermögen und nicht auf quantifizierbaren und objektiven Daten und sind somit subjektiv. Die von uns präsentierten Ergebnisse basieren auf der Analyse einer Gruppe von Finanzinstituten in der Schweiz, die sich wie folgt zusammensetzt:

Break down of FIs

Die IT überdenkt ihre Prioritäten

Unsere Bewertung zeigt, dass der Reifegrad der Finanzinstitute in Bezug auf die Organisation und Governance der IT-Abteilung den Erwartungen der Aufsichtsbehörde entspricht: Nur 10% der Institute haben die Rollen und Verantwortlichkeiten der Teams (Entwicklung, Infrastruktur, Helpdesk usw.) innerhalb ihrer IT-Abteilung nicht oder nur unzureichend definiert.
Wir beobachten auch eine Veränderung in der Gesamtorganisation des Unternehmens. Die IT-Manager haben in den letzten Jahren in der Tat ihre direkten Berichtslinien geändert. Wir stellen fest, dass derzeit 50% der IT-Manager dem Chief Executive Officer, 25% dem Chief Operations Officer und 25% der Konzernebene (bei lokalen Unternehmen eines internationalen Konzerns) unterstellt sind.

Direct reporting line of IT managers

Keiner der IT-Manager der 107 Finanzinstitute in unserer Umfragegruppe ist, wie früher, dem Chief Financial Officer unterstellt. Dies spiegelt einen Wandel in der Wahrnehmung der IT innerhalb dieser Organisationen wider. Die IT-Funktion wird nicht mehr nur als Kostenstelle betrachtet, sondern als vollwertige operative Abteilung, die den Einsatz eines Mitglieds der Geschäftsleitung und in einigen Fällen die Zusammenlegung von IT und Operations erfordert. Indem sie der Entwicklung neuer Lösungen Vorrang einräumen, ziehen es die FI vor, rein operative Aspekte auszulagern, entweder intern an Nearshore- oder Offshore-Standorte oder extern an spezialisierte Organisationen.

Die Sicherheit von Informationssystemen entwickelt sich weiter

Unsere Analyse untersuchte auch die Sicherheitsorganisation, insbesondere die direkte Berichtslinie der Information Systems Security Managers (ISSMs).

Wir stellen fest, dass unter den 107 Finanzinstituten in unserer Umfrage 45% der ISSMs dem Chief Executive Officer, 21% dem Chief Information Officer oder Chief Operations Officer, 27% der Gruppe (bei lokalen Unternehmen) und 7% dem Chief Risk Officer (nur „Grossbanken“) unterstellt sind.

Wieder einmal beobachten wir eine Verschiebung in der Rolle der Sicherheit von Informationssystemen, die sich zunehmend von der IT-Abteilung löst. IT-Sicherheit – und insbesondere das Cyber-Risikomanagement – ist heute eines der wichtigsten operationellen Risiken von Finanzinstituten. Diese Elemente haben daher einen separaten und oft direkten Eskalationskanal zu den obersten Leitungsorganen der Institute.

Neue Technologien: Integration mit zwei Geschwindigkeiten

Die oben erwähnten Veränderungen in Bezug auf die IT spiegeln sich auch in den strategischen IT-Prioritäten wieder, die innerhalb der Finanzinstitute beobachtet werden.

Es zeigt sich, dass 65% der Institute mindestens eine Schlüsselaktivität (im Sinne des FINMA-Rundschreibens 18/03 „Outsourcing“) ihrer Informationssysteme an eine Drittpartei oder an ein Unternehmen der Gruppe auslagern, und dieser Prozentsatz hat in den letzten Jahren zugenommen. In der Tat gibt es innerhalb der Unternehmen einen sehr deutlichen Trend: Sie ziehen es nun vor, wiederkehrende Aufgaben wie die Verwaltung von Anwendungen oder Infrakstruktur auszulagern, und konzentrieren sich auf Forschungs- und Entwicklungsprojekte, um ihr Dienstleistungsangebot zu erweitern oder ihre Kosten zu senken.

Während Blockchain, Krypto, maschinelles Lernen und Roboter-Prozessautomatisierung (RPA) im Laufe der Jahre immer mehr Verbreitung gefunden haben, ist die Implementierung dieser Technologien auf wenige Institute beschränkt. Häufig von Gruppenstrategien getrieben, bleibt ihre Implementierung auf lokaler Ebene selten: RPA (6%), Blockchain (3%) und maschinelles Lernen (1%) erfordern eine relativ hohe Anfangsinvestition und können daher nur bei grossen Transaktionsvolumen rentabel sein. Ihre Implementierung und die Anpassung des internen Kontrollsystems an diese neuen Technologien schrecken kleinere Institute der Kategorie 4 oder 5 ab. Im Allgemeinen hinken Finanzinstitute in diesen Bereichen anderen Branchen hinterher und bevorzugen einen eher „indirekten“ Ansatz (z. B. Allianzen, strategische Investitionen usw.).

% of FIs that are implementing or have implemented the above initiatives

Die Auswirkungen der Gesundheitskrisen auf die IT-Strategien

Die Gesundheitskrise hat Unternehmen dazu veranlasst, ihre Arbeitsweise zu überdenken: Cloud-Lösungen wurden von mehreren Finanzinstituten rasch eingeführt, um die Kapazitäten als Reaktion auf die Zunahme der Fernarbeit zu verwalten oder Sofortkommunikationstools einzusetzen. Während beispielsweise im März 2020 noch 40% der Unternehmen eine Cloud-Lösung in Betracht zogen, waren es im November 2020 bereits 65%. Das Aufkommen von lokalen Cloud-Lösungen in der Schweiz, die es Finanzinstituten ermöglichen, von lokalen Servern zu profitieren und gleichzeitig die gesetzlichen Anforderungen zu erfüllen, ist ein wichtiger Grund für diesen Fortschritt.

Schliesslich hat sich in dieser Zeit der Gesundheitskrise die Entwicklung der Virtualisierung und des Homeoffice-Konzepts in der ersten Hälfte des Jahres 2020 stark beschleunigt. In unserer ersten Umfrage, im ersten Quartal 2020, erwähnten 17% der Unternehmen die Entwicklung der Fernarbeit in ihrer IT-Strategie. Im dritten Quartal 2020, während der Nachfolgephase unserer Analyse, berichteten 90% der FI, dass sie das Konzept des Arbeitens im Homeoffice in erheblichem Umfang übernommen haben.

Wirtschaftlicher Druck und technologischer Wandel drängen Institute dauernd dazu, ihre Organisationen neu zu überdenken. IT- und Sicherheitsabteilungen, die früher als reine Unterstützungsfunktionen fungierten, sind durch die Konzentration auf die Entwicklung neuer Lösungen zu Schlüsselakteuren in der laufenden Transformation von Finanzinstituten geworden.

Die Gesundheitskrise hat in den letzten Monaten einige organisatorische und strategische Veränderungen beschleunigt. Die meisten Unternehmen hatten jedoch bereits über diese Veränderungen nachgedacht, und diese aussergewöhnliche Situation hat die Realisierung strategischer Schlüsselprojekte möglicherweise einfach beschleunigt.

Handlungsempfehlungen

Wir empfehlen Finanzinstituten, bei der Projektumsetzung besonders auf die folgenden Aspekte zu achten:

Bei einem Transformations-/Integrationsprojekt müssen eine Vielzahl komplexer und strenger Vorschriften zum Bankgeheimnis, Datenschutz, zur Sicherheit und zum Outsourcing berücksichtigt werden. Stellen Sie sicher, dass Sie einen klaren Überblick über den Umfang Ihres Projekts haben, und ermitteln Sie die zu berücksichtigenden regulatorischen Anforderungen.

Sicherheit und Vertrauen sind kritische Aspekte bei der Entwicklung eines Transformationsprojekts. Nur wenige Banken erlauben die externe Speicherung sensibler Daten, und ebenso schwierig ist es, den Lieferanten zu vertrauen, dass sie eine angemessene Sicherheit bieten. Entwickeln Sie ein Informationssicherheitskonzept in Bezug auf das Projekt, in dem die Rollen, Verantwortlichkeiten und Sicherheitskontrollen klar definiert sind.

Der Einsatz von Dritten ist ein übliches Merkmal von IT-Projekten. Es sind eine Risikobewertung und ein Lieferantenmanagementverfahren erforderlich, um die Ausrichtung der Geschäftsziele und der vom Anbieter erbrachten Dienstleistungen zu gewährleisten. Identifizieren Sie die Risiken des Anbieters und implementieren Sie die zur Überwachung der Dienstleistungen des Anbieters erforderlichen Kontrollen.

Regulatorische und technologische Entwicklungen zwingen FI zur Anpassung ihrer IT-Systeme. Damit ein Transformationsprojekt erfolgreich ist und von der Integration einer neuen Technologie profitiert, müssen externe Abhängigkeiten und Interdependenzen in Ihrer Anwendungslandschaft identifiziert und Ihr Datenmodell überdacht werden.

Wie PwC Ihnen helfen kann

Als multidisziplinäres Unternehmen sind wir besonders gut aufgestellt, um Sie bei der Anpassung an ein sich veränderndes regulatorisches Umfeld zu unterstützen und Sie bei Transformationsprojekten oder bei der Implementierung neuer Technologien zu begleiten:

  • Cloud: Unsere kombinierte Expertise in den Bereichen Business, Technologie, Risiko und Kontrolle wird Ihnen helfen, besser zu verstehen, wie die Cloud Ihr Unternehmen verändern kann.
  • Blockchain: Wir fördern das Vertrauen in Ihre Lösung und Dienstleistungen, indem wir unabhängige Revisionen durchführen und die Sicherheit und Qualität Ihrer auf Blockchain oder digitalen Assets basierenden Lösung prüfen. Zudem nutzen wir unser fortschrittliches Analyseinstrument mit einer tiefgehenden Intelligenz, um Transparenzberichte für Ihre Transaktionen mit digitalen Assets und Blockchain zu erstellen.
  • Project management: Auf der Grundlage von zwölf Kontrollelementen ermöglicht Ihnen unsere Methodik „Excellence in Project Management“ eine präzise Bewertung der Qualität des Projektmanagements (Transformation, Implementierung usw.).

#social#

Kontaktieren Sie uns

Daniel Küng

Daniel Küng

Partner Digital Assurance FS, PwC Switzerland

Tel.: +41 58 792 2752

Yan Borboën

Yan Borboën

Partner, Leader Digital Assurance and Cybersecurity & Privacy, PwC Switzerland

Tel.: +41 58 792 84 59