Regulierungs-Druck auf die IT – wie reagieren?

Zuletzt gab es insbesondere im Finanzwesen eine Vielzahl an Regulierungen wie zum Beispiel die International Financial Reporting Standards (IFRS), Mindestanforderungen an das Risikomanagement (MaRisk) oder Maßnahmen durch Basel II und Basel III. Damit agieren Banken und Finanzdienstleister in ihren Kerngeschäftsfeldern laufend im Spannungsfeld zwischen Kunde und globalem Wettbewerb, und müssen ihre Aktivitäten entsprechend ausrichten. Aus der gesetzlichen Regulierung getriebene Anforderungen zusammen mit zunehmend komplexeren Geschäften setzen Banken und Finanzdienstleister unter Handlungsdruck.

Von Christian Fink (Head of Payments, NTT DATA) und Jörg Meyer (Senior Consultant, NTT DATA).

 

Vorgaben zentral zu bündeln und ihre Einhaltung termingerecht sicher zu stellen, ist für Finanzunternehmen eine Herausforderung. Neue Anforderungen treffen auf IT-Systeme und fachliche Prozesse, die angepasst oder etabliert werden müssen. Handlungsalternativen in diesem Spannungsfeld können Investitionen in Personal und / oder IT sein, welche entweder intern oder durch externe Unterstützung erfolgen können.

Methodischer Ansatz im Regulierungsumfeld

In der Praxis haben sich der Einsatz von Experten, ein bewährtes Prozessmodell mit standardisierten Bestandteilen und eine regelmäßige Bewertung der Risiken und Maßnahmen als wirksam erwiesen. dabei können interne als auch externe Experten behilflich sein. Sie stellen mit methodischem und fachlichem Know-How sowohl das notwendige Wissen als auch die Umsetzungskompetenz bei Regulierungsprojekten zur Verfügung. Weiterhin können Unternehmen durch externe Berater Praxiserfahrungen aus branchennahen Umsetzungsprojekten nutzen und Wissensvorsprünge generieren. Dadurch ergeben sich Kosteneinsparungspotentiale im Vergleich zur Schaffung interner Stellen. Externe Experten pflegen zudem häufig selbst den Kontakt zu Regulierungsgremien oder sind in diesen vertreten. Das Einbringen von Spezialwissen kombiniert mit bewährten Best Practice Ansätzen bietet Unternehmen messbare Vorteile.

Praxiserprobtes Vorgehensmodell

Methodisch empfiehlt sich im Regulierungsumfeld ein schrittweises Prozessmodell, das innerhalb des Unternehmens eine Ist- und Sollanalyse durchläuft, um Compliance sicher zu stellen. Es gliedert sich in fünf Schritte:

1. Compliance Scan
2. Compliance Assessment
3. Projektkonzeption
4. IT-Umsetzung / Implementierung
5. Laufende Beobachtung von Veränderungen im regulatorischen Umfeld

Vorgehensmodell zur Compliance-Umsetzung

Durch einen „Compliance-Scan“, der auf die Bedürfnisse des Geschäftsmodells zugeschnitten ist, kann der Reifegrad bezogen auf die Umsetzung regulatorischer Anforderungen bestimmt werden. Die Analyse stützt sich auf Risikogesichtspunkte, die auf externen und internen Treibern beruhen. Es werden sowohl die externen Vorschriften berücksichtigt, als auch die beteiligten Akteure und Handlungsträger untersucht. So wird beispielsweise analysiert, in welchem Geschäftszweig Kunden eines Unternehmens aktiv sind und ob das Unternehmen die externen Vorschriften bei der Erbringung seiner Dienstleistung einhält. Der Compliance Scan analysiert die relevanten Themenfelder noch nicht im Detail. Er stellt vielmehr fest, in welchem Ausmaß bestehende Tätigkeiten das Ziel der Compliance erfüllen. Für herausgearbeitete Handlungsfelder, kann im nächsten Schritt eine detaillierte Betrachtung – ggf. unter Hinzuziehung von Experten – erfolgen. Durch diese standardisierte Vorgehensweise mittels Scan kann eine neutrale Bewertung zur Compliance in kurzer Zeit erfolgen. Die derartige Ermittlung des Reifegrads der bestehenden Aktivitäten liefert ein messbares und vergleichbares Resultat. Durch die Bewertung entsteht eine Liste von Handlungsfeldern, aus der eine Roadmap zur Compliance entwickelt werden kann.

IT-seitige Umsetzung mit regulatorischen Anforderungen vergleichen

Das Compliance Assessment findet im Anschluss für die durch den Compliance Scan identifizierten Handlungsfelder statt. Es vergleicht die regulatorischen Anforderungen mit der IT-seitigen Umsetzung. Dabei werden die bestehenden als auch die zukünftigen Verarbeitungen in Betracht gezogen. Es entsteht ein individueller Maßnahmenkatalog, den ein externer Anbieter in Teilen bereits im Vorfeld als Werkzeug einbringen kann. Durch die Kategorisierung der Risiken und eine standardisierte Vorgehensweise im Compliance Scan und Assessment kann die Vielfalt der Prozesse reduziert und die Kosten im Griff gehalten werden.

Im Anschluss an diese beiden Schritte erfolgt die Konzeption des Projekts. Die durch den Compliance Scan und Assessment ermittelten Anpassungsbedarfe sind Aufsatzpunkte, um die Compliance im folgenden Projekt sicher zu stellen. Durch die Projektleitung und Steuerung kann auf Grundlage der vorherigen Schritte ein realistisches Projekt terminiert werden. Dabei stehen die relevanten Prozesse und Produkte des Unternehmens im Fokus.

In der IT – Umsetzung sind die herausgearbeiteten Anforderungen in die Prozesse und Produkte des Unternehmens einzuarbeiten. Hier können zum Zweck von Prüfungsdokumentationen, Reportings oder Überwachung von laufenden Prozessen die Erweiterungen von Data-Warehouse Lösungen oder die Nutzung von BIG Data Gegenstand der abgeleiteten Maßnahmen sein. In dieser Phase sind laufend Systemadjustierungen vorzunehmen. Je nach Dauer und Ausgestaltung der IT-Projektumsetzung kann ein erneuter Scan notwendig werden, der in der Regel nur durch externe Änderungen der Regulierung angestoßen wird.Die fortwährende Beobachtung der regulatorischen Vorhaben ist sowohl vor, während als auch nach einem Projekt als kontinuierliche Aufgabe im Unternehmen zu etablieren. Ihre Veränderungen können sich kurz-, mittel- oder langfristig auf gegenwärtige als auch auf zukünftige Projekte auswirken. Die regelmäßige Bewertung der Risiken und Maßnahmen bedeutet, den Wandel durch Änderungen und Anforderungen proaktiv zu gestalten. Dabei sind Maßnahmen zu berücksichtigen, die nicht unmittelbar mit dem Projekt verknüpft sind, wie zum Beispiel kontinuierliche Schulungsmaßnahmen für Mitarbeiter.

Notwendigkeit für standardisierte Lösungen

Regulatorische Herausforderungen gepaart mit unternehmerischen Aktivitäten und Kundenerwartungen auf globalen Märkten erhöhen auch zukünftig den Druck auf Finanzdienstleister. Dies führt zu einem Bedarf an standardisierten Lösungen in einem volatilen Umfeld, um effizient Compliance herzustellen. Ziel bei der Sicherstellung von Compliance ist ein effizientes Vorgehen, um Handlungsfelder zu identifizieren und abgeleitete Maßnahmen umzusetzen. Einen solchen Ansatz liefert das beschriebene Modell mit besonderem Fokus auf den Compliance Scan. Er nutzt praxisrelevante Risikokategorien, standardisiert deren Analyse und liefert individuelle sowie belastbare Resultate. Im Anschluss an einen Scan steht der Implementierungsprozess, der einem klassischen Projektansatz folgt. Experten sind im Rahmen der Compliance während des gesamten Prozesses erforderlich. Dabei können Finanzdienstleister auf externe Berater zurückgreifen, was die Realisierung der aufgezeigten Vorteile verspricht. Sie können auf allen Ebenen von Complianceprojekten fachliche und IT-technische Unterstützung bieten. Durch das beschrieben Vorgehensmodell werden Risiken, die aus regulatorischen Anforderungen erwachsen, frühzeitig erkannt und beherrscht.