Bitkom-Projekt treibt Entwicklung von IT-gestützten Compliance Standards für Finanzinstitute voran

Globale Finanz- und Wirt­schafts­krisen sowie die Zunahme von Finanzkriminalität haben im Finanzsektor einen wahren Regulierungs-Tsunami ausgelöst. Zahlreiche Neuerungen, vor allem zur Verhinderung von Geldwäsche und Terrorismusfinanzierung, zwingen Banken zu tiefgreifenden Anpassungen unzähliger IT-basierter Geschäfts-, Transaktions- und Governance-Prozesse. Doch welche Rechtsnormen und sonstigen Vorschriften sind für die IT des jeweiligen Finanzinstituts eigentlich relevant? Welche IT-gestützten Prozesse und Anwendungssysteme sind überhaupt betroffen und welche Anforderungen müssen diese erfüllen?

von Andreas Bongers, Practice Head Regulatorik & Compliance GFT Technologies

Bislang existieren im Finanzsektor keine Compliance Standards für eine IT-unterstützte Umsetzung gesetzlicher Anforderungen. Infolgedessen implementieren Banken punktuell Einzelmaßnahmen. Daraus können nicht nur hohe Folgekosten entstehen, sondern es droht auch die Gefahr zahlreicher Sonderprüfungen.

Mangel an (IT-)Compliance Standards im Finanzsektor

Warum Standards wichtig sind, zeigt das Beispiel Geldwäscheprävention: Die massiv erweiterten Bußgeldvorschriften des neuen Geldwäschegesetzes tangieren künftig weite Teile des Tagesgeschäfts, erweiterte Dokumentationspflichten der vorgenommenen Identitätsprüfungen lassen sich faktisch nur durch digitale Lösungen bewältigen, neue Verantwortlichkeiten und Berechtigungen müssen personell besetzt und IT-gestützt ausgeführt werden. Standards gehen weit über qualifizierte Dokumentenmanagementsysteme hinaus. Sie bieten Sicherheit, um einerseits im Regulierungsdschungel den Überblick zu behalten, andererseits aber auch die Gewissheit zu haben, jederzeit regelkonform zu sein.

Ein effizientes Compliance-Management erfordert ein tiefgreifendes Verständnis der institutseigenen Architekturen und Abhängigkeiten wie Anwendungssysteme, Datenstrukturen und Technologien. Genau hier setzt das von GFT zusammen mit weiteren Partnern aus Wirtschaft und Wissenschaft geführte Bitkom-Projekt „IT-gestützte Compliance im Finanzsektor“ an. Ziel ist die Entwicklung eines adäquaten Compliance-Referenzmodells. Das Modell orientiert sich an generischen Unternehmensarchitekturen. Die speziellen Prozesse, Abläufe und Strukturen von Compliance werden im Modell abgebildet und mit einem Tool unterlegt.

Die Unternehmenspartner im Projekt ermöglichten Kontakte zu Finanzinstituten, während das Quadriga-Institut für Regulation und Management (QIRM), Berlin die Befragung durchführte. Wissenschaftlich begleitet wird das Projekt vom Lehrstuhl für Wirtschaftsinformatik der Universität Rostock.

Bedarf und Potenzial untersucht: Compliance-Organisation und Softwareangebot

Zentrale Bausteine der Modellentwicklung waren eine umfangreiche Bedarfs- und Potenzialanalyse. Mit der Bedarfsanalyse wurden Praktiken der Compliance-Organisation in der Finanzbranche ermittelt. Dazu führte das Quadriga-Institut für Regulation und Management (QIRM) zwischen Mai und August 2016 Interviews mit 22 Finanzdienstleistungsinstituten durch. Betrachtet wurden typische Compliance-Bereiche wie Geldwäscheprävention oder Onboarding von Kunden aus organisatorischer, prozessualer und IT-Sicht.

Zwar ist für die Mehrheit der befragten Institute Softwareunterstützung Bestandteil ihrer Compliance-Organisation, doch fehlt es noch an durchgängig digitalen Prozessen. Beispiel Betrugsprävention: Problematisch ist, insbesondere bei der Risikoanalyse und -bewertung, der hohe Anteil an manuellen Teilprozessen sowie eine erhöhte Fehleranfälligkeit infolge von Medienbrüchen durch uneinheitliche Bewertungssysteme (vgl. „Studie zu Betrugsprävention: Banken sehen Nachholbedarf bei IT-Unterstützung“, in: CompRechtsPraktiker, Ausgabe 01-02/2017, S. f.).

Welche Softwareunterstützung hat der IT-Markt zu bieten? Kernfunktionalitäten von Softwareprodukten wurden im Rahmen der Potenzialanalyse untersucht. Dazu wurden IT-Unternehmen zu ihrem Angebot an IT-Unterstützung von Compliance und dem Bezug zu anderen Anwendungssystemen befragt sowie um eine Einschätzung aktueller Herausforderungen der Branche gebeten.

Entstanden ist ein differenziertes Bild der gängigen Praxis sowie des bestehenden Marktangebots. Die gewonnenen Erkenntnisse hinsichtlich der Geschäfts-, Anwendungs- und Informationsarchitektur wurden dazu verwendet, die Referenzarchitektur zu verfeinern. Die Entwicklung marktgerechter IT-Lösungen unterstützt Banken beim Aufbau einer ganzheitlichen Compliance-Organisation.

End-to-End-Tracking-Prozesse übersichtlich gestalten

Ein Beispiel dafür, wie Banken die zahlreichen Compliance-Anforderungen mit IT-Unterstützung auf ihre Relevanz hin überprüfen und deren Umsetzung kontrollieren können, ist der Regulatory Change Management Service (RCMS) von GFT – ein toolbasiertes Regulierungs-Navi. End-to-End-Tracking-Prozesse lassen sich so erstellen, dass alle Beteiligten fortlaufend den Überblick über die regulatorischen Herausforderungen behalten. Die Anwendung besteht aus drei Komponenten:

1. Der Regulatory Document Manager liefert fortlaufend Updates zu regulatorischen Änderungen. So lassen sich Auswirkungen jeder einzelnen Richtlinie bewerten, Maßnahmen planen und überwachen

2. Der GFT Architectural Visualiser verknüpft bestehende Geschäftsprozesse mit regulatorischen Anforderungen und leitet daraus automatisiert funktionsübergreifende Umsetzungsanforderungen und -vorschläge ab

3. Der GFT Regulatory Change Manager visualisiert den Umsetzungsfortschritt in einem Dashboard mit umfangreichen Konfigurationsmöglichkeiten

Über das Bitkom Projekt „IT-gestützte Compliance im Finanzsektor“

Ziel des Kooperationsprojekts ist die Entwicklung einer strukturierten, praxisrelevanten Datenbasis der aufsichtsrechtlichen Compliance im Banken- und Finanzsektor aus Sicht von Bedarf und Angebot. Die Analyse gängiger Praktiken von Finanzinstituten ist Grundlage für die Entwicklung IT-gestützter Modelle zur wirksamen Umsetzung der Regulierungsanforderungen.aj