Fire-and-forget oder -track?
Komplexitätsgrad reduzieren mit Managed Services
Anbieter von Finanztechnologie konnten in den letzten Jahren eine stark zunehmende Nachfrage von Kunden nach Managed Services verzeichnen. Einige Unternehmen wollen ihre komplette IT-Infrastruktur auslagern – das geht von der rein technischen Bereitstellung bis hin zum funktionalen Anwendungsmanagement. Andere Kunden fragen nur punktuelle Services an, die sie entsprechend ihrer geschäftlichen Anforderungen und eventuell auch nur für einen bestimmten Zeitraum abonnieren möchten. Ob komplett ausgelagert oder als Modell einer hybriden Architektur genutzt, Managed Services werden im Idealfall über Cloud basierte-Plattformen bereitgestellt, da diese einige Vorteile bieten. Sie verhalten sich für eine Bank wie eine Art App Store für bestimmte Produkte. Beispielsweise unterstützt Finastras Plattform FusionFabric.Cloud eine stetig wachsende Community von Fintechs, Partnern, Software-Anbietern, aber auch Banken, die in dieser Umgebung eine Reihe von innovativen und cleveren Applikationen entwickeln und ihren Kunden über offene APIs zur Verfügung stellen.
Herausforderungen und Trends
Für Banken spielen der Mehrwert für den Kunden und die Time-to-Market unter den aktuellen regulatorischen Rahmenbedingungen eine wachsende Rolle, wenn es darum geht, im Wettbewerb mit Fintechs und Bigtechs zu bestehen. Um unter erschwerenden regulatorischen Bedingungen möglichst schnell neue Lösungen für Kunden bereitstellen zu können, sind sie auf innovative Entwickler und Drittanbieter angewiesen. Künstliche Intelligenz und intelligente Automation helfen dabei Businessprozesse zu modernisieren und in Form von Kosteneinsparungen und Effizienzoptimierungen entsprechende Mehrwerte für Kunden zu schaffen. „Im Backoffice-Bereich wollen Kunden beispielsweise STP-Raten von bis zu hundert Prozent erzielen“, sagt Jörg Heidtmann, Global Head of Integration Innovation, Product, Platform and Technology bei Finastra. Gleichzeitig müssen die Kosten pro Transaktion im Kundenhandel durch sehr effiziente und kostensparende Abläufe minimiert werden. Zudem gilt es Projektrisiken zur Erschließung neuer Geschäftsbereiche zu vermeiden.
Was sind Managed Services?
Die Betonung von Managed Service im Vergleich zu einer reinen Dienstleistung liegt auf „managed“. „Jemand bezieht eine Dienstleistung von einem Dritten und dieser wiederum sorgt in erster Linie für das notwendige Ergebnis“, erklärt Karim el Abiary, CIO Creditplus Bank AG. Managed Services reichen von Application Outsourcing, der reibungslosen Bereitstellung von Anwendungen über Produktentwicklungen, zum Beispiel durch die Nutzung externer Entwicklerplattformen, bis hin zur Integration von Fintech-Lösungen im Frontend, um Endkunden gewinnbringend in ihren Aktivitäten zu unterstützen. „Wenn eine Bank Teile ihrer Wertschöpfungskette nach draußen gibt, erwartet sie einen Provider, der es im Endeffekt besser macht als sie hinsichtlich Time-to-Market, Kostenaspekten, Flexibilität und Skalierbarkeit“, sagt el Abiary. Als Verantwortlicher der gesamten IT-Strategie der Creditplus Bank AG hat er Sorge dafür zu tragen, dass Businessprozesse und IT kontinuierlich optimiert werden. Services oder Kernkompetenzen, die eine Bank differenzieren, würde sie stattdessen niemals an einen externen Dienstleister herausgeben.
„Die Erwartungshaltung von Banken an einen Outsourcer gehen weit über die eigentliche Serviceerbringung hinaus. Die Bank muss verstehen, wie der Service, den sie an einen Provider herausgibt, hinsichtlich der Risiken, die bei Service-Erbringung bestehen, gemanagt wird“, fährt el Abiary fort. Wie sieht es mit Datenschutz und Information Security aus? Kennt sich der Outsourcer mit Themen der Regulatorik aus und kann sie bedienen? Gegenüber ihren Kunden und den Regulatoren sind die Banken für ihre Services verantwortlich – umso grundlegender ist es, dass sie ihre Outsourcing-Prozesse entsprechend überwachen. Für eine ausgelagerte Dienstleistung heißt das Prinzip demnach nicht fire-and-forget, sondern fire-and-track.
Als Haupttreiber für den Einsatz von Managed Services sieht Dr. Dirk Fuchs, Geschäftsführer von Be Shaping the Future | Germany, ganz klar das Thema Komplexitätsreduktion. Daneben spielen Innovation, Skalierung und Flexibilität im Scope eine Rolle. „Der Trend geht dahin einen kompletten Anwendungsbetrieb einer ganzen Applikations-Landschaft im Managed Service zu betreiben“, erklärt er. Das Vertrauen in die Cloud wächst – im Zuge dieser Entwicklung gehen mehr und mehr Banken dazu über eine fertige Plattform als einen Service zu nutzen, zum Beispiel ein komplettes Treasury-System. Von der fachlichen bis zur technischen Betreuung über das Hosting werden Anwendungen bereitgestellt, die der Kunde relativ schnell in den Betrieb nehmen kann.
Im Spannungsfeld zwischen Kosteneffizienz, Transitionsrisiko und Disruption
Die Migration eines internen Service zu einem externen Managed Services-Dienstleister schafft ein gewisses Spannungsfeld für den Kunden. Auf der einen Seite stehen Komplexitätsreduktion und Kosteneffizienz als Vorteile, auf der anderen steht eine möglichst reibungslose Transition mit möglichst geringem Risiko. Um letzteres zu minimieren, sollte der Wechsel auf Managed Services gerade am Anfang nicht zu umfangreich und komplex ausfallen. Gleichzeitig sollten Änderungen zur Optimierung kontinuierlich eingebunden werden. „Hier ist es wichtig einen geeigneten Trade-off zu finden“, erklärt Fuchs, „es kann durchaus nützlich sein, beim Übergang einige disruptive Einflüsse zuzulassen, wenn dies dafür die Service-Bereitstellung durch standardisierte Fach- und IT-Prozesse verbessert.“ Die richtige Mischung zur Migration auf Managed Services liegt also darin, in der ersten Phase zu stabilisieren, während zugleich jedoch der Mut zu disruptiven Maßnahmen als Basis für eine umfassende Prozessbereinigung und Standardisierung gefragt ist.
„Viele Organisationen wollen mit dem Einsatz von Managed Services neue Geschäftsbereiche erschließen. Um dieses Ziel zu erreichen, sollte jedoch nicht die komplette Organisation über den Haufen geworfen werden“, so Heidtmann. Banken sollten stattdessen ihre Aufbau- und Ablauf-Organisation an die Möglichkeiten, die sie jetzt neu haben, anpassen und auch optimieren, sagt er. Unterstützen können Provider, wie Finastra, mit Best Practice-Lösungen, die zum einen die Abläufe erklären, wie andere Kunden diese Probleme angehen, zum anderen aber auch die systemseitigen Einstellungen, Settings und Parametrisierungen erläutern, die zur Transition passen. „Wir stellen in unseren Projekten zusätzlich sogenannte Innovationsumgebungen zur Verfügung“, erklärt Heidtmann, „das sind im Grunde Sandbox-Systeme, die auf Basis von Best Practices bereits alle wesentlichen Parameter enthalten und auf denen unsere Kunden sofort testen und Dokumentationen anlegen können, um die Live-Einführung der neuen Workflows vorzubereiten.“
Effizienz und Innovation durch Standardisierung
Managed Service-Prozesse lassen sich grundsätzlich gut standardisieren. Das gilt vor allem in IT-Bereichen, in denen Standards wie COBIT und ITIL angewendet werden. Dadurch ist eine gewisse Einheitlichkeit und Transparenz gewährleistet, die sich gut über Tools abbilden und auswerten lässt. Sinnvoll sind SLA-Reportings oder das Messen von KPIs, um daraus Optimierungsmaßnahmen abzuleiten. Ein optimierter Change-Prozess mit einem vollautomatisierten Testverfahren wie beispielsweise der automatisierten Validierung von Reports ist ein gutes Beispiel dafür, wie Unternehmen während der Migration auf Managed Services von der Einbindung einer dedizierten Bereitstellungsplattform profitieren können. „Standardisierung mündet hier unmittelbar in das Thema Optimierung“, schließt Fuchs.
Besonders in Bereichen, die das Kernsystem betreffen, lassen sich durch standardisierte Managed Services Effizienzsteigerungen realisieren. So können Banken unter anderem auf Änderungen am Markt schneller reagieren. Generell ist das Freischalten und Implementieren von neuen Funktionen in kürzerer Zeit und effizienter möglich.
Innovationstreiber, die derzeit für Schub beim Thema Managed Services sorgen, sind Werkzeuge und Techniken, die unter dem Begriff Continuous Delivery zusammengefasst werden. Darunter fallen unter anderem Bereiche wie Testautomatisierung sowie Continuous Integration und Deployment. Ebenfalls stark im Trend liegen derzeit Analytics-Werkzeuge, zum Beispiel im Bereich Ticketanalyse und Identifikation von wiederkehrenden Issues. Und schließlich mit gewohnter Zuverlässigkeit die Cloud mit ihren Angeboten, weil man über Cloud-Anwendungen Infrastrukturen sicher und flexibel bereitstellen kann.
Die Bereitstellung von Managed Services über Plattformen schafft Offenheit für Innovationen. Über offene APIs können fremde Services einfach und sicher angebunden werden. „Bei Finastra haben wir unsere Anwendungen auf Microservices umgestellt, sodass auch fremde Applikationen alle Services, das Pricing und so weiter nutzen können. Außerdem verwenden wir Markstandards wie Kubernetes zur Visualisierung und Orchestrierung von Systemprozessen. Denn das ist es ja gerade, was Kosten einspart: wenn man ein System möglichst standardisiert betreiben kann“, erklärt Jörg Heidtmann.
Compliance-Anforderungen: Von KYC zu Know-Your-Supplier
Die Regulatorik fordert von Banken, dass sie egal ob Services intern oder extern erbracht werden, diese weiterhin aktiv als ihre Risiken verwalten. Somit müssen Banken auch Managed Service-Prozesse selber verantworten. „Compliance ist ein zentraler Aspekt“, so el Abiary. „Eine Plattform kann zwar gut und effizient sein, wenn Sie jedoch Compliance- und Regulierungsanforderungen nicht gerecht wird, ist sie für eine Bank nicht einsetzbar.“ Auch das Vertrauen der Kunden hängt letztendlich davon ab. Aus Sicht eines Managed Service-Providers ist es deshalb ein Muss, Banken entsprechend zu unterstützen. Ist ein Teil der Prozesse entsprechend der Compliance-Vorschriften aufgesetzt, dann sollte daraufhin ein internes Kontrollsystem definiert werden, um die Prozesse zu prüfen. Dies kann unter Umständen auch durch den ISAE-Prüfbericht eines Wirtschaftsprüfers erfolgen.
Finastra achtet bei der Entwicklung von Software penibel auf die Einhaltung bestimmter Verfahren und Standards – insbesondere wenn diese in der Cloud entwickelt wird. Das Entwicklungskonzept basiert auf zwei Säulen: Zum einen werden potenzielle Angriffspunkte vor der Softwareentwicklung genauestens analysiert und dokumentiert. Zum anderen werden Produkte und Workflows im laufenden Betrieb kontinuierlich getestet. Die Analyse der avisierten Software erfolgt von der dedizierten Einheit einer internen Compliance-Abteilung, die sowohl die Architektur als auch das Datenmodell auf mögliche Schwachpunkte abklopft und bewertet. Ist die Software gemäß den Vorgaben nicht zertifiziert, wird sie nicht implementiert. Das Testverfahren wiederum besteht aus zwei Teilen. Es besteht zum einen aus statischen Tests, wobei die Codebasis der Software von Standardapplikationen, die es bereits am Markt gibt, immer wieder überprüft wird. „Wichtiger sind jedoch dynamische Tests“, weiß Heidtmann. „Hierbei wird das System im laufenden Betrieb ständig angegriffen, um zu kontrollieren, ob irgendwelche Schwachpunkte bestehen.“ Auch von beauftragten Drittfirmen werden die neuen Systeme gezielt attackiert, um herauszufinden, wo Sollbruchstellen vorliegen und ob es jemandem gelingt, das System zu hacken. „Die Tests sind das entscheidende Kriterium, das darüber entscheidet, ob wir überhaupt eine Software freischalten und an die Kunden weitergeben können“, sagt Heidtmann.
Für Banken spielt also nicht nur Know-Your-Customer (KYC) eine bedeutende Rolle bei der Auswahl der richtigen Managed Services, die auch einen echten Mehrwert für den Kunden schaffen, sondern auch Know-Your-Supplier, da dieser für die Bank die Einhaltung der Regulatorik hinsichtlich der ausgelagerten Services gewährleisten muss.
Einsatz von Managed Services und Fazit
Die Bereitstellung einer Anwendung als Managed Service beinhaltet die folgenden Facetten: Der Bereich Application Management betrifft die Anwendung selbst oder Komponenten, die zusätzlich zur Anwendung eingesetzt werden. Zum möglichen Angebotsspektrum kommen weitere Kaufkomponenten oder individuell entwickelte Elemente bis hin zu einer kompletten Infrastruktur, die auf der Plattform betrieben wird, hinzu. Ein Managed Service beinhaltet eben nicht nur die Anwendung an sich, sondern operiert zudem auf Plattformebene und kann schließlich bei vollem Umfang auch das Hosting in einer Cloud-Umgebung beinhalten. Neben Front-, Mid- und Backoffice-Applikationen gibt es eine Reihe von Interfaces oder Integrationen in nachgelagerten Systemen – diese können entweder direkt vom Provider kommen oder auch von Partnern wie Fintechs, Software-Anbietern oder auch von Banken, die selbst solche Tools entwickelt haben und der Community zur Verfügung stellen.
Die Erfolgsfaktoren, die dazu beitragen, dass ein Managed Service zielführend beim Kunden eingesetzt werden kann, beginnen bei der Transition und gehen über die Standardisierung bis hin zur kontinuierlichen Umsetzung von Optimierungen und Innovationen. Dabei müssen sämtliche Faktoren zu jedem Zeitpunkt den Anforderungen der Compliance gerecht werden. Bestehende Prozesse, Altsysteme und Datenbestände werden erfasst und analysiert, um dann durch ein standardisiertes Migrationsverfahren einen leichten Wechsel von einem bestehenden System hin zu Managed Services auf Basis der Finastra Plattform zu erreichen. „Wir setzen im Rahmen unserer Managed Services Standardprozesse ein. Zudem steigern wir die Effizienz der eingesetzten Dienste und Anwendungen, indem wir Innovationstreiber aus dem Kontext der digitalen Transformation einsetzen“, fasst Fuchs zusammen. Das Kernschlagwort bleibt jedoch Compliance. Compliance ist der Garant in der Mensch-Service-Lösung, der gewährleistet, dass der Managed Service auch erfolgreich von der Bank verwendet werden kann.