Compliance: Das Drei-Stufen-Maturity-Modell – Software-Ergonomie, RPA, KI

Banken reagieren auf zunehmende Compliance-Fallbearbeitung in der Regel durch inkrementelle Optimierungen der Prozesse und IT-Systeme sowie Anpassung der Personalkapazitäten. Neue technologische Möglichkeiten zur Prozessautomatisierung sind ein Impuls, das zu ändern. Benjamin Rische und Christian Kuhröber stellen das drei-Stufen-Modell von Sopra Steria Consulting vor, das helfe schnelle Erfolge zu erzielen und sich schrittweise zu verbessern.

von Benjamin Rische (Manager Banking – Anti Financial Crime IT) und Christian Kuhröber (AI Solution Architect) bei Sopra Steria Consulting

Die Com­p­li­an­ce-Prü­fung von Kun­den­be­zie­hun­gen und Trans­ak­tio­nen auf mög­li­che Geld­wä­sche, Be­trug oder Ter­ro­ris­mus­fi­nan­zie­rung ist im Ban­ken­sek­tor die Auf­ga­be gan­zer Hun­dert­schaf­ten von Er­mitt­lern, so ge­nann­ter In­ves­ti­ga­to­ren, un­ter­stützt durch viel­fäl­ti­ge Alert- und Case­ma­nage­ment-Werk­zeu­ge so­wie Fall­da­ten­ban­ken, in de­nen Auf­fäl­lig­kei­ten ver­wal­tet wer­den. Die Be­ar­bei­tung der Fäl­le ist auf­wän­dig.

Hun­dert­schaf­ten prüfen GW-Alerts

Eine große Bank prüft monatlich allein mehrere tausend systemisch generierter Geldwäsche-Alerts. Situationen wie nach der Veröffentlichung der Panama Papers führen in Peaks zusätzlich zu einem spürbar steigenden Volumen. Teams von 30 bis 50 Investigatoren sind keine Ausnahme in Großbanken. Während der Aufwand pro Fall wächst, erwartet die Aufsicht zudem, dass Fälle innerhalb weniger Tage abschließend geprüft sind.

Verbesserungen und Einsparungen bei der Fallbearbeitung nahmen Banken in der Vergangenheit punktuell vor, beispielsweise durch Optimierung der False-Positive-Rate im Transaktionsmonitoring – also die Reduktion der Fälle, die im Fahndungsraster letztlich als legitimes Transaktionsverhalten bewertet werden. Daneben arbeiten Banken laufend daran, Abläufe zu vereinfachen und Arbeitsschritte zu parallelisieren. Klassische Methoden allein werden dem wachsenden Kostendruck jedoch nicht mehr gerecht. Für einen effizient gesteuerten Compliance-Apparat, der zukünftige Anforderungen erfüllt, brauchen Banken neue Ansätze.

Angesichts der steigenden technologischen Möglichkeiten auf dem Gebiet der Datenanalyse und der Automatisierung wachsen die Möglichkeiten der IT, bei der Optimierung der Alert- und Casemanagement-Systeme die Führung zu übernehmen.

Den technologischen Rundumschlag wird allerdings kaum eine Bank wagen. Deshalb bietet es sich an, den digitalen Reifegrad in der Compliance-IT schrittweise zu steigern und mit bewährten Verfahren die Basis für eine digitale Revolution zu initiieren.”

Stufe 1: Software-Ergonomie

Ein bewährter erster Schritt ist die Optimierung der Softwareergonomie unter Beibehaltung der bestehenden IT-Landschaft. Bei niedrigen Umsetzungskosten können Banken spürbare Verbesserungen erreichen.

Ziel ist, den Aufwand für die Investigatoren pro Arbeitsschritt zu reduzieren, um steigenden Fall-Volumen und Aufwänden Herr zu werden.”

Es ist einfach, geeignete Prozesse und Arbeitsschritte zu bestimmen. Interviews und Shadowing der Investigatoren, das Durchspielen konkreter Fallbeispiele im System und die Prozessdokumentation geben schnell Auskunft. Arbeitsschritte können nach ihrem Aufwand bewertet werden. Daraus leiten sich Handlungsfelder ab, die die größten Erfolge versprechen.

Verbesserungen lassen sich häufig schon mit dem Fokus auf Usability und Interaktionsdesign erreichen. Anwender und IT-Tool müssen so einfach wie möglich miteinander interagieren können. Für erste Effekte kann es zum Beispiel genügen, benötigte Kunden- oder Kontostammdaten per Live-Search im System darzustellen, sobald der Investigator eine ID eingibt. Eine aufwändige Klickstrecke wird somit vermieden.

IT-Abteilungen optimieren damit an vielen Stellschrauben, ohne den Fallbearbeitungsprozess ändern zu müssen. Geeignete Maßnahmen für eine bessere Softwareergonomie in der Fallbearbeitung sind:

1. Systembrüche vermeiden. Die Fallbearbeitung erfordert viel Recherche in anderen IT-Systemen sowie Kommunikation mit weiteren Abteilungen der Bank oder externen Stellen. Das führt zu langen Reaktionszeiten. Abhilfe schaffen zum Beispiel Funktionen, über die Transaktionen im Bestandssystem gesucht und importiert werden können. Der Investigator kann in Echtzeit und ohne extra Login im Stammdatensystem ermitteln, ob der Kunde schon einmal eine Zahlung per Überweisungsbeleg angewiesen hat. Muss eine Lastschrift zurückgewiesen werden, erfolgt dies direkt aus dem Casemanagement-System. Benötigte Schnittstellen werden durch zeitgemäße Messaging-Systeme oder einen Datentransformationsprozess (ETL-Prozess) bereitgestellt.

2. Kollaborationswerkzeuge anbieten. Die Integration von Skype oder Outlook im Casemanagement-System fördert schnelle Kommunikation und erhöht gleichzeitig die Transparenz. Kann ein Investigator Rückfragen zu einem Fall direkt aus dem System an den Kundenberater stellen, entfällt der lästige Mailverkehr.

3. Templates automatisch befüllen. Geldwäscheverdachtsmeldungen, interne Schadensmeldungen und Customer-Offboarding-Unterlagen enthalten viele Informationen, die im Casemanagement-System bereits vorliegen. Sie können durch das System vorab befüllt werden.

4. Monitoring-Systeme anbinden. Durch das Transaktionsmonitoring generierte Alerts können automatisiert in die Fallbearbeitung übertragen werden. Ein Abtippen ist nicht mehr notwendig.

Stufe 2: Prozess-Automatisierung und Robotic Process Automation (RPA)

Sind die IT-ergonomischen Möglichkeiten ausgereizt, können Banken ihre Compliance-IT-Landschaft mittels einer regelbasierten Automatisierung von Abläufen weiter verbessern.

Ziel ist, dass eine Software komplette Arbeitsabläufe übernimmt. Am Ende eines automatisierten Ablaufs muss nur noch die finale Entscheidung durch Menschen getroffen werden.”

Mittels RPA lassen sich beispielsweise Arbeitsschritte parallelisieren. Während der Sachbearbeiter die Entscheidung für Fall A trifft, bereitet das System schon Fall B vor. Zudem können Softwareroboter Nachtzeiten nutzen und die Fallbearbeitung direkt im Anschluss an das nächtliche Transaktionsmonitoring beginnen. Dem Ermittler liegen am Morgen alle Daten bereits vor.

RPA ist vor allem zur Automatisierung von Hintergrundprozessen ohne Benutzerinteraktion geeignet, zum Beispiel die automatische Übertragung von Daten aus einem Backend-System in das andere. Die Automatisierung sich wiederholender Subprozesse ist ebenfalls möglich, beispielsweise die für Datenpflegeprozesse im Fallmanagement-Tool. Nützlich ist diese Maßnahme speziell bei der Interaktion mit Legacy-Bankanwendungen, bei denen eine Einbindung in eine modernere Infrastruktur nur sehr schwer möglich ist.

Eine Variante ist die Teilübernahme von Arbeitsabläufen, die unter Aufsicht des Mitarbeiters erfolgen.”

Langwierige, immer wiederkehrende, Eingaben im System können durch Attended RPA oder Robotic Desktop Automation (RDA) erledigt werden. RDA versteht sich als begleitete RPA und hilft immer dann, wenn der Mensch zwingend für die Bearbeitung erforderlich ist.

RDA eignet sich zur Automatisierung aufwändiger aber repetitiver Folgen von Arbeitsschritten mit geringer Komplexität. Beispiele hierfür sind Recherchen in internen Systemen. Dazu zählen die Ermittlung von Kunden-, Transaktions- oder Risikodaten sowie Abfragen in Auskunfteien, öffentlichen Registern und im Internet, beispielsweise zur Prüfung, ob eine Firma im Ausland tatsächlich existiert.

Eine oft anzutreffende aber überwindbare Einstiegshürde ist fehlende praktische Erfahrung mit RPA. Viele Banken bauen das nötige technologische Know-how gerade auf. Die frühzeitige Umsetzung von Prototypen tragen zum Wissensaufbau und zur Akzeptanz im Compliance-Fachbereich bei. Dennoch sollten Banken beachten, dass RPA den Menschen nicht vollständig ersetzt.

Technisch ist eine vollautomatisierte Geldwäscheverdachtsprüfung zukünftig denkbar, dennoch gilt der Grundsatz: Der Mensch muss in der Prüfkette die Entscheidungsgewalt behalten.”

Stufe 3: Künstliche Intelligenz

Softwareergonomische Maßnahmen und RPA erleichtern den Bankmitarbeitern vor allem die operative Arbeit. Darüber hinaus ist anzustreben, Geldwäscheexperten auch bei der Entscheidungsfindung zu unterstützen. Hier kommt künstliche Intelligenz (KI) ins Spiel. Ziel von KI-Lösungen ist, den Aufwand für das Treffen von Entscheidungen zu reduzieren. Der Investigator soll durch Analyseergebnisse und Empfehlung einer Software schneller die richtige Entscheidung treffen können.

Kognitive Systeme helfen zudem, exakter zu entscheiden und die False-Positive-Rate zu senken.”

Entscheidend beim Einsatz von KI ist, dass der Weg zur Entscheidung immer transparent bleibt. Ist eine KI-Empfehlung nicht vollständig nachvollziehbar, machen sich Banken rechtlich angreifbar.

KI-Systeme können Investigatoren bei Bewertungen von Geldwäsche- und Betrugsverdachtsfällen einige Arbeiten abnehmen. Häufig anzutreffen sind simple Klassifizierungsentscheidungen. Hier stuft eine Software einen Fall in vorher definierte Kategorien ein, um sie effizienter zu bearbeiten. Eine KI-Lösung kann beispielsweise Fälle analysieren und in die Kategorien „wahrscheinlich false positive“, „wahrscheinlich Eskalation an die Behörden“ und „Kandidat für manuelle Ermittlungen“ vorsortieren. Denkbar ist auch eine automatische Verteilung an den zuständigen Geldwäscheprüfer basierend auf dem Sachverhalt des Falls.

Machine-Learning-Verfahren gehen einen Schritt weiter. Hier kommen statistische Modelle und mathematische Funktionen zum Einsatz, aus denen unter anderem Risiko-Scores ermittelt werden. Der Ermittler in einer Bank bekommt somit beispielsweise einen Anhaltspunkt, welcher Fall einer besonders intensiven oder zeitnahen Prüfung bedarf.

Beim Deep Learning werden neuronale Netze verwendet. Ein System erkennt selbst weniger offensichtliche Zusammenhänge. Die KI-Lösung erhält dadurch mehr Handlungsspielraum. Gleichzeitig wird es komplexer, Entscheidungen nachzuvollziehen. Ein neuronales Netz lässt sich nur schwierig transparent darstellen und erschwert die Dokumentation der getroffenen Entscheidung. Es ist daher genau zu bewerten, welche Szenarien tatsächlich für Deep-Learning-Verfahren geeignet sind.

Die Integration von künstlicher Intelligenz in die Compliance-Arbeit einer Bank erfordert Vorarbeiten bei den IT-Landschaften und Prozessen.

Ein hoher Datenqualitätsstandard ist ebenso notwendig wie ausreichende historische Daten.”

Zudem müssen Daten und Fälle zumindest hinreichend klassifiziert vorliegen oder mit entsprechenden Informationen verknüpfbar sein. Beispielsweise muss das KI-System erkennen können, ob ein Fall in der Vergangenheit eskaliert oder verworfen worden ist oder ob eine Transaktion tatsächlich betrügerischen Hintergrund hatte.

Compliance-Zukunft: Anti-Financial-Crime-Frühwarnsystem

KI-Verfahren bieten das Potenzial, die Fallbearbeitung nicht nur effizienter zu gestalten, sondern auch sonst unentdeckte Betrugsfälle zu identifizieren. So wird es möglich sein, dass eine künstliche Intelligenz Zusammenhänge zwischen existierenden Fraud-Meldungen findet und so hilft, sonst unerkannte Betrugsnetzwerke oder komplett neue Betrugsmuster aufzudecken. Im Ergebnis können Banken den Trend zu personell immer größeren Compliance-Abteilungen aufhalten. Aus einem Fallbearbeitungssystem entwickeln Banken damit ein „mitdenkendes“ Anti-Financial-Crime-Frühwarnsystem.aj