Executive Summary
Die Frage ist nicht, ob ein Institut über kritisches Wissen verfügt, sondern ob dieses Wissen strukturiert, verfügbar und steuerbar ist.
Ein erheblicher Teil des betriebsrelevanten Wissens liegt in den Köpfen einzelner Mitarbeiter, in verteilten Ablagen oder in veralteten Dokumenten. Knowledge Management ist kein Dokumentationsprojekt. Es ist eine Voraussetzung für funktionierende IT-Governance, wirksames Business Continuity Management und die Einhaltung regulatorischer Pflichten unter DORA, MaRisk und BAIT.
Wissen als kritische Infrastruktur
Banken operieren in einem Umfeld zunehmender IT-Komplexität, regulatorischer Dichte und organisatorischer Veränderungsgeschwindigkeit. Neue Systeme werden eingeführt, Dienstleister angebunden, Mitarbeiter wechseln. Mit jedem dieser Ereignisse verändert sich die Wissenslandschaft. Betriebsrelevantes Wissen steckt in lokalen Dateiablagen, veralteten Wikis oder E-Mail-Archiven. Es existiert, aber es ist weder strukturiert noch steuerbar. Genau das macht es zum operativen Risiko.
Knowledge Management im Finanzsektor ist die Fähigkeit eines Instituts, sein betriebsrelevantes Wissen systematisch zu identifizieren, zu erfassen, verfügbar zu halten, zu pflegen und bei Bedarf zu transferieren. Es ist damit ein unverzichtbarer Baustein operativer Resilienz.
Regulatorischer Hintergrund: Die implizite Pflicht
Knowledge Management im Banking ist keine isolierte regulatorische Anforderung, sondern ergibt sich aus einer Vielzahl von Vorgaben, wodurch ein systematisches Wissensmanagement zur regulatorischen Querschnittspflicht wird. Insbesondere die Anforderungen aus DORA machen ein strukturiertes KM zwingend erforderlich. Art. 9 verpflichtet zur lückenlosen Dokumentation der IKT-Landschaft und der jeweiligen Abhängigkeiten. Art. 11 fordert IKT-Geschäftsfortführungspläne, deren Wirksamkeit nur dann gewährleistet ist, wenn das benötigte Wissen unabhängig von Einzelpersonen zugänglich ist. Zudem verlangt Art. 12 die Implementierung testfähiger Wiederherstellungsprozeduren, was eine Dokumentationsqualität voraussetzt, die es auch nicht eingeweihten Personen ermöglicht, die Verfahren durchzuführen.
Auch die MaRisk (Mindestanforderungen an das Risikomanagement) stellen klare Anforderungen an das Wissensmanagement, unter anderem durch die Forderung nach einer nachweislich angemessenen IT-Ausstattung (AT 6), der Verfügbarkeit von erforderlichem Fachwissen (AT 7.1/7.2) und der Sicherstellung der Handlungsfähigkeit im Krisenfall (AT 7.3). Die Prüfungspraxis zeigt hierbei, dass Abhängigkeiten von Einzelpersonen bei kritischen Systemen als signifikantes Risiko eingestuft werden.
Darüber hinaus verlangen die BAIT und EBA-Guidelines eine vollständige IT-Dokumentation als essenzielle Steuerungsgrundlage, während die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) Anforderungen an die Archivierung und Nachvollziehbarkeit stellen, die analog auf Wissensartefakte anzuwenden sind.
Governance statt Dokumentation
Die Gleichsetzung von Knowledge Management mit Dokumentation ist eine der hartnäckigsten Fehleinordnungen. Ein vollständig dokumentiertes System mit einer umfangreichen Dokumentation gibt falsche Sicherheit. Eine aktuelle Dokumentation, die niemand findet, ist operativ wertlos.
Funktionierendes Wissensmanagement braucht klare Verantwortlichkeiten: Wer identifiziert und erfasst Wissen? Wer sichert Qualität und Aktualität? Wer steuert den Zugang? Wer verantwortet den Transfer bei Personalwechseln? Diese Rollen müssen in die IT-Governance eingebettet sein. Wissenslücken sind operative Risiken, Personenabhängigkeiten sind Konzentrationsrisiken, veraltete Dokumentation ist ein Kontrollrisiko. Knowledge Management braucht definierte Prozesse, Eskalationswege und Verankerung auf Leitungsebene.
Der Knowledge Management Lifecycle
Wirksames Knowledge Management folgt einem strukturierten Vorgehensmodell mit sechs Phasen und integrierten Quality Gates.
- Identifikation: Welches Wissen ist kritisch? Viele Institute haben keinen vollständigen Überblick, wo welches Wissen liegt. Lücken werden erst im Störungsfall sichtbar.
- Erfassung und Strukturierung: Betriebshandbücher, Spezifikationen, Konfigurationsdaten und Erfahrungswerte müssen einheitlich erfasst werden. Unterschiedliche Formate und Systeme erschweren die Auffindbarkeit.
- Speicherung und Zugriff: Parallele Ablagen führen zu Inkonsistenzen. Der Grundsatz, Informationen nur an einer Stelle zu pflegen und zu verknüpfen, wird selten konsequent umgesetzt.
- Nutzung im Betrieb: Knowledge Management muss in Incident, Problem und Change Management integriert sein. Läuft es parallel statt verzahnt, verlassen sich Mitarbeiter auf informelle Wege.
- Aktualisierung und Pflege: Regelmäßige Review-Zyklen, anlassbezogene Aktualisierungen und eine Archivierungslogik nach PDCA-Prinzip sind Pflicht. In der Praxis fehlt häufig ein verbindlicher Trigger.
- Wissenstransfer (On-/Offboarding): Beim Onboarding entscheidet die Transferqualität über die Produktivität neuer Mitarbeiter. Beim Offboarding darüber, ob Wissen dem Institut erhalten bleibt. Strukturierte Übergabeprozesse sind die Ausnahme.
Quality Gates in jeder Phase stellen sicher, dass Wissen kontrolliert gepflegt wird, etwa als Prüfschritt vor Change-Freigaben oder in der Incident-Nachbereitung.
Die Herausforderungen sind in ihrer Grundstruktur erstaunlich gleichförmig: fragmentierte Wissenssilos ohne übergreifendes Verzeichnis, schleichender Verfall der Dokumentationsaktualität im Tagesgeschäft, Schlüsselpersonen mit exklusivem und undokumentiertem Wissen, unzureichend verknüpfte Systeme mit Doppelpflege und Inkonsistenzen, fehlende Rollenzuordnung und mangelnde Integration in operative Kernprozesse.
Audit- und Nachweisfähigkeit
Für Prüfer zählt nicht, was ein Institut zu wissen glaubt, sondern was es nachweisbar dokumentiert hat. Die Aufsichtsbehörden haben operative Resilienz als Prüfungsschwerpunkt definiert. Die Fragen sind konkret: Wie stellen Sie Aktualität der IT-Dokumentation sicher? Wie gehen Sie mit Schlüsselpersonenausfällen um? Wie weisen Sie Vollständigkeit nach?
Prüfungssicheres Wissensmanagement braucht messbare KPIs: Dokumentationsabdeckung, Aktualitätsquoten, Review-Durchführung, Vollständigkeit der On-/Offboarding-Prozesse.
Fazit
Knowledge Management im Finanzsektor betrifft IT, Prozesse, Personal und Governance gleichermaßen. Die Lücke zwischen regulatorischem Anspruch und operativer Umsetzung zu schließen, erfordert einen strukturierten Ansatz über den gesamten Wissens-Lifecycle, eine Governance mit klaren Verantwortlichkeiten und die Integration in operative Kernprozesse. Institute, die Knowledge Management mit einem ganzheitlichen Ansatz und externer Expertise angehen, gelangen schneller zu wirksamen Ergebnissen. Der regulatorische Rahmen ist gesetzt. Die Aufsicht prüft. Und der nächste Personalwechsel kommt bestimmt.
Wie ist das Wissensmanagement in Ihrem Institut aktuell organisiert? tomoro unterstützt Finanzinstitute dabei, Knowledge Management strategisch zu etablieren und operationell effektiv zu gestalten. Unser Leistungsspektrum reicht dabei von der detaillierten Bestandsaufnahme über die Definition von Governance-Strukturen bis hin zur gezielten Vorbereitung auf anstehende aufsichtliche Prüfungen.


