YAML statt Word: Governance, bevor der Code live geht

. Warum erst handeln, wenn das Kind schon in den Brunnen gefallen ist? Je komplexer das Projekt, desto hilfreicher ist eine von Anfang an mitgedachte, fortlaufende Audit Prüfung. Wer Kontrolle intelligent integriert und automatisiert, verschafft sich einen Wettbewerbsvorteil. von Doktor Kai Uwe Gawlik und Bjoern Eckmayer, Expleo.Mit Continuous Governance findet Kontrolle schon während der Entwicklung statt und nicht erst mittels punktueller Prüfungen am Ende.”Dadurch verschmelzen Softwareentwicklung und Qualitätssicherung miteinander und Compliance wird zum integralen Bestandteil des Lebenszyklus. Regulatorische Vorgaben werden nicht mehr manuell interpretiert oder in Checklisten übertragen, sondern in maschinenlesbare Formate wie JSON oder YAML überführt, strukturierte Textformate, die Software direkt verarbeiten kann, und von Policy Engines kontinuierlich ausgewertet. . Die Systeme prüfen, ob Anforderungen eingehalten werden, erkennen Abweichungen frühzeitig und erzeugen lückenlose Audit Trails. So wird aus fehleranfälliger Last Minute Prüfung ein technischer Kontrollmechanismus, der bei jeder Codeänderung automatisch greift. Compliance Checks werden dadurch reproduzierbar, versionierbar, automatisierbar und damit skalierbar. CI/CD Pipelines: Prüfung bei jeder Codeänderung!. . In der Praxis durchläuft jede Codeänderung automatisierte Prüfungen – und zwar nicht in isolierten Testzyklen am Ende, sondern kontinuierlich in der Pipeline.”Governance Artefakte werden dabei ebenso überwacht wie der Code selbst, und Dashboards machen Abweichungen transparent. Dieser Ansatz erfordert jedoch einen kulturellen Wandel. Statt Compliance erst bei der Abnahme zu prüfen, verlagert sich die Verantwortung in die frühen Entwicklungsphasen (Shift Left). Regulatorische Anforderungen werden parallel zur fachlichen Konzeption analysiert und in testbare Regeln überführt. Was früher erst kurz vor dem Go Live sichtbar wurde, wird nun während der Umsetzung adressiert. Die Idee dahinter: „Klein scheitern, schnell beheben!” Also Probleme erkennen, bevor sie kostspielig werden. Speziell im Finanzsektor stellt sich dabei eine zusätzliche Herausforderung: Die Ai Tieh Transformation ist oft noch nicht abgeschlossen. Monolithische Kernbankensysteme oder historisch gewachsene Versicherungsplattformen laufen parallel zu neuen containerisierten Anwendungen. Das sorgt für heterogene Testumgebungen, unterschiedliche Datenqualitäten und erhöhten Aufwand bei Regressionstests. . Gerade hier zeigt sich der Vorteil von Policy as Code: Regulatorische Prüfregeln lassen sich zentral definieren und auf unterschiedliche Plattformen übertragen, unabhängig davon, ob eine Anwendung Cloud nativ ist oder aus Legacy Komponenten besteht.Die Governance Logik bleibt konsistent, auch wenn die technische Basis heterogen ist.”. Von der Theorie zur Praxis: Äi ähm L als Testfall!. . Wie sich dieser Ansatz konkret bewährt, zeigt ein Beispiel aus dem Äi ähm L Bereich: Eine internationale Großbank musste Geldwäschemeldungen (Suspicious Transaction Reports, STRs) aus über 200 Filialen manuell konsolidieren. Der Prozess war zeitaufwendig, fehleranfällig und lieferte keine reproduzierbaren Nachweise für Audits. Die Lösung folgte dem Continuous Governance Prinzip: Regulatorische Anforderungen wurden als Policy as Code abgebildet, Ka I Modelle analysierten und konsolidierten STR Daten, und die gesamte Prüflogik wurde in die CI/CD Pipeline integriert. Verdächtige Transaktionen konnten dadurch mit hoher Präzision von 93 Prozent identifiziert werden, Berichte wurden automatisch dokumentiert und versioniert, Durchlaufzeiten sanken von Stunden auf Minuten. Gleichzeitig ermöglichte prädiktive Analyse das Erkennen neuer Muster, bevor sie zu systematischen Risiken werden.Entscheidend ist: Continuous Governance beschleunigt nicht nur Compliance Prozesse, sondern verbessert die regulatorische Qualität.”Dieser Ansatz lässt sich auf weitere Szenarien übertragen, von Käyh Why ßieh Checks und Fr-aud Detection im Zahlungsverkehr bis zu IFRS17 relevanten Datenpfaden in der Versicherungsbranche. Der Finanzsektor steht regulatorisch unter besonderem Druck!. . Die Bedeutung kontinuierlicher Prüfungen zeigt sich insbesondere im Finanzsektor, in dem die regulatorischen Anforderungen komplexer und umfassender werden. Banken sehen sich beispielsweise durch das DORA Regulierungspaket und verschärfte Kontrollen digitaler Betriebsmodelle einem deutlich erhöhten Anpassungsdruck ausgesetzt. Versicherer wiederum werden aufgrund von Gesetzesänderungen und regulatorischen Entwicklungen jetzt mit Prüfprozessen konfrontiert, die ihre traditionellen Organisationsstrukturen an ihre Grenzen bringen, insbesondere im Zusammenhang mit Cloud Migration, Modellrisiken und umfassendem Ai Tieh Outsourcing. Gleichzeitig sind Zahlungsdienstleister durch PSD3 und die Instant Payment Regulierung dazu verpflichtet, regulatorische Nachweise laufend und automatisiert zu erbringen. Der Wandel wird zusätzlich durch die Erwartung der BaFin getragen, jederzeit evidenzbasierte Nachweise zu liefern, ein Ziel, das durch Continuous Governance direkt adressiert wird. Allerdings kann die Einführung moderner Kontrollmechanismen nicht isoliert erfolgen. Fragmentierte Datenlandschaften, parallele Altsysteme und unterschiedliche Dokumentationsprozesse erschweren konsistente Prüfungen. Continuous Governance setzt deshalb voraus, Datenströme zu konsolidieren, Verantwortlichkeiten zu klären und die Datenqualität gezielt zu verbessern. Erst eine verlässliche Datengrundlage ermöglicht eine reproduzierbare Auswertung von Richtlinien, eine vorhersagende Qualitätskontrolle und skalierbare Compliance Prozesse entlang aller Geschäftsbereiche. KI richtig einsetzen: Effizienz ohne Kontrollverlust!. . Ein solider Datenhaushalt ist auch beim breiten Einsatz von Künstlicher Intelligenz (Ka I) von Vorteil, da er die neue Governance Methodik um innovative Werkzeuge ergänzt: LLMs generieren „Policy as Code”, Machine Learning identifiziert Muster in Echtzeit und Predictive QA prognostiziert Fehlerrisiken, bevor diese entstehen. Doch die zunehmende Automatisierung darf nicht zur Entkopplung von Kontrolle und Verantwortlichkeit führen. Mit einem „Expert in the Loop” Ansatz werden Qualität und Verantwortung gewährleistet.Das heißt: Ka I schlägt vor und setzt Routineaufgaben um, während Experten die Entscheidungen bewerten, validieren und steuern.”Durch iterativ angelegte Expert in the Loop Ansätze wachsen diese Kontrollpunkte mit der Systemreife zusammen, sodass die Governance flexibel und messbar bleibt, ohne an Qualität zu verlieren. Fazit!. . Continuous Governance ist mehr als eine Effizienzsteigerung. Sie wirkt als zentraler Hebel für Transparenz, Geschwindigkeit und regulatorische Souveränität in einem sich dynamisch wandelnden Finanzsektor.Unternehmen, die regulatorische Anforderungen konsequent als Code interpretieren, verkürzen ihre Durchlaufzeiten, -“– minimieren ihren Prüfaufwand und entwickeln resiliente Strukturen für Innovation und Wachstum. Unternehmen, die frühzeitig automatisierte Kontrollarchitekturen etablieren, sichern sich regulatorische und wettbewerbliche Vorteile und sind flexibel für neue Anforderungen gerüstet, von DORA und FIDA bis zum EU AI Act. Ein Audit Nachweis wird so zum kontinuierlichen Leistungsbeweis und nicht mehr zum Zufallsprodukt einzelner Prüfzyklen.Sie hörten einen Beitrag von “Doktor Kai Uwe Gawlik und Bjoern Eckmayer, Expleo/ aj”

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/237663

Dr. Kai-Uwe Gawlik, Global Head of Service Management bei Expleo, betont die Bedeutung von Governance in komplexen Projekten. Eine frühzeitige und kontinuierliche Audit-Prüfung kann helfen, Probleme zu vermeiden, bevor sie entstehen. — Dr. Kai-Uwe Gawlik, Global Head of Service Management, ExpleoExpleo

Warum erst handeln, wenn das Kind schon in den Brunnen gefallen ist? Je komplexer das Projekt, desto hilfreicher ist eine von Anfang an mitgedachte, fortlaufende Audit-Prüfung. Wer Kontrolle intelligent integriert und automatisiert, verschafft sich einen Wettbewerbsvorteil.

von Dr. Kai-Uwe Gawlik und Bjoern Eckmayer, Expleo

Mit Continuous Governance findet Kontrolle schon während der Entwicklung statt und nicht erst mittels punktueller Prüfungen am Ende.”

Dadurch verschmelzen Softwareentwicklung und Qualitätssicherung miteinander und Compliance wird zum integralen Bestandteil des Lebenszyklus. Regulatorische Vorgaben werden nicht mehr manuell interpretiert oder in Checklisten übertragen, sondern in maschinenlesbare Formate wie JSON oder YAML überführt – strukturierte Textformate, die Software direkt verarbeiten kann – und von Policy-Engines kontinuierlich ausgewertet.

Bjoern Eckmayer, Sales Director bei Expleo, präsentiert sich vor einem lila Hintergrund. Die Governance im Softwareentwicklungsprozess wird durch kontinuierliche Prüfungen und Audit-Trails optimiert, um Abweichungen frühzeitig zu erkennen. — Wirtschaftsinformatiker Bjoern Eckmayer, Sales Director, ExpleoExpleo

Die Systeme prüfen, ob Anforderungen eingehalten werden, erkennen Abweichungen frühzeitig und erzeugen lückenlose Audit-Trails. So wird aus fehleranfälliger Last-Minute-Prüfung ein technischer Kontrollmechanismus, der bei jeder Codeänderung automatisch greift. Compliance-Checks werden dadurch reproduzierbar, versionierbar, automatisierbar und damit skalierbar.

CI/CD-Pipelines: Prüfung bei jeder Codeänderung

In der Praxis durchläuft jede Codeänderung automatisierte Prüfungen – und zwar nicht in isolierten Testzyklen am Ende, sondern kontinuierlich in der Pipeline.”

Governance-Artefakte werden dabei ebenso überwacht wie der Code selbst, und Dashboards machen Abweichungen transparent.

Dieser Ansatz erfordert jedoch einen kulturellen Wandel. Statt Compliance erst bei der Abnahme zu prüfen, verlagert sich die Verantwortung in die frühen Entwicklungsphasen (Shift-Left). Regulatorische Anforderungen werden parallel zur fachlichen Konzeption analysiert und in testbare Regeln überführt. Was früher erst kurz vor dem Go-Live sichtbar wurde, wird nun während der Umsetzung adressiert. Die Idee dahinter: „Klein scheitern, schnell beheben!” Also Probleme erkennen, bevor sie kostspielig werden.

Speziell im Finanzsektor stellt sich dabei eine zusätzliche Herausforderung: Die IT-Transformation ist oft noch nicht abgeschlossen. Monolithische Kernbankensysteme oder historisch gewachsene Versicherungsplattformen laufen parallel zu neuen containerisierten Anwendungen. Das sorgt für heterogene Testumgebungen, unterschiedliche Datenqualitäten und erhöhten Aufwand bei Regressionstests.

Autoren Dr. Kai-Uwe Gawlik und Bjoern Eckmayer, Expleo

Dr. Kai-Uwe Gawlik studierte Physik und begann seine berufliche Laufbahn bei SQS. Nach seiner Tätigkeit bei Expleo (Website) als Head of Technical Quality übernahm er die Rolle des Global Head of Service Management. Derzeit ist er Senior Manager für Business Strategy and Innovation und verantwortet strategische Initiativen sowie Innovationsprojekte im internationalen Umfeld.

Wirtschaftsinformatiker Bjoern Eckmayer ist Sales Director bei Expleo (Website) insbesondere im Finanzsektor (Banking, Financial Services & Insurance). Nach seinem Studium der Wirtschaftsinformatik an der Clemson University, SC USA und der FH Ludwigshafen am Rhein begann er seine Karriere bei SAP, wechselte anschließend zu Diebold Nixdorf und ist heute bei der Expleo Group tätig.

Gerade hier zeigt sich der Vorteil von Policy-as-Code: Regulatorische Prüfregeln lassen sich zentral definieren und auf unterschiedliche Plattformen übertragen – unabhängig davon, ob eine Anwendung Cloud-nativ ist oder aus Legacy-Komponenten besteht.

Die Governance-Logik bleibt konsistent, auch wenn die technische Basis heterogen ist.”

Von der Theorie zur Praxis: AML als Testfall

Wie sich dieser Ansatz konkret bewährt, zeigt ein Beispiel aus dem AML-Bereich: Eine internationale Großbank musste Geldwäschemeldungen (Suspicious Transaction Reports, STRs) aus über 200 Filialen manuell konsolidieren. Der Prozess war zeitaufwendig, fehleranfällig und lieferte keine reproduzierbaren Nachweise für Audits.

Die Lösung folgte dem Continuous-Governance-Prinzip: Regulatorische Anforderungen wurden als Policy-as-Code abgebildet, KI-Modelle analysierten und konsolidierten STR-Daten, und die gesamte Prüflogik wurde in die CI/CD-Pipeline integriert. Verdächtige Transaktionen konnten dadurch mit hoher Präzision von 93 Prozent identifiziert werden, Berichte wurden automatisch dokumentiert und versioniert, Durchlaufzeiten sanken von Stunden auf Minuten. Gleichzeitig ermöglichte prädiktive Analyse das Erkennen neuer Muster, bevor sie zu systematischen Risiken werden.

Entscheidend ist: Continuous Governance beschleunigt nicht nur Compliance-Prozesse, sondern verbessert die regulatorische Qualität.”

Dieser Ansatz lässt sich auf weitere Szenarien übertragen – von KYC-Checks und Fraud Detection im Zahlungsverkehr bis zu IFRS17-relevanten Datenpfaden in der Versicherungsbranche.

Der Finanzsektor steht regulatorisch unter besonderem Druck

Die Bedeutung kontinuierlicher Prüfungen zeigt sich insbesondere im Finanzsektor, in dem die regulatorischen Anforderungen komplexer und umfassender werden. Banken sehen sich beispielsweise durch das DORA-Regulierungspaket und verschärfte Kontrollen digitaler Betriebsmodelle einem deutlich erhöhten Anpassungsdruck ausgesetzt. Versicherer wiederum werden aufgrund von Gesetzesänderungen und regulatorischen Entwicklungen jetzt mit Prüfprozessen konfrontiert, die ihre traditionellen Organisationsstrukturen an ihre Grenzen bringen – insbesondere im Zusammenhang mit Cloud-Migration, Modellrisiken und umfassendem IT-Outsourcing. Gleichzeitig sind Zahlungsdienstleister durch PSD3 und die Instant-Payment-Regulierung dazu verpflichtet, regulatorische Nachweise laufend und automatisiert zu erbringen. Der Wandel wird zusätzlich durch die Erwartung der BaFin getragen, jederzeit evidenzbasierte Nachweise zu liefern – ein Ziel, das durch Continuous Governance direkt adressiert wird.

Allerdings kann die Einführung moderner Kontrollmechanismen nicht isoliert erfolgen. Fragmentierte Datenlandschaften, parallele Altsysteme und unterschiedliche Dokumentationsprozesse erschweren konsistente Prüfungen. Continuous Governance setzt deshalb voraus, Datenströme zu konsolidieren, Verantwortlichkeiten zu klären und die Datenqualität gezielt zu verbessern. Erst eine verlässliche Datengrundlage ermöglicht eine reproduzierbare Auswertung von Richtlinien, eine vorhersagende Qualitätskontrolle und skalierbare Compliance-Prozesse entlang aller Geschäftsbereiche.

KI richtig einsetzen: Effizienz ohne Kontrollverlust

Ein solider Datenhaushalt ist auch beim breiten Einsatz von Künstlicher Intelligenz (KI) von Vorteil, da er die neue Governance-Methodik um innovative Werkzeuge ergänzt: LLMs generieren „Policy as Code”, Machine Learning identifiziert Muster in Echtzeit und Predictive QA prognostiziert Fehlerrisiken, bevor diese entstehen.

Doch die zunehmende Automatisierung darf nicht zur Entkopplung von Kontrolle und Verantwortlichkeit führen. Mit einem „Expert-in-the-Loop”-Ansatz werden Qualität und Verantwortung gewährleistet.

Das heißt: KI schlägt vor und setzt Routineaufgaben um, während Experten die Entscheidungen bewerten, validieren und steuern.”

Durch iterativ angelegte Expert-in-the-Loop-Ansätze wachsen diese Kontrollpunkte mit der Systemreife zusammen, sodass die Governance flexibel und messbar bleibt, ohne an Qualität zu verlieren.

Fazit

Continuous Governance ist mehr als eine Effizienzsteigerung. Sie wirkt als zentraler Hebel für Transparenz, Geschwindigkeit und regulatorische Souveränität in einem sich dynamisch wandelnden Finanzsektor.

Unternehmen, die regulatorische Anforderungen konsequent als Code interpretieren, verkürzen ihre Durchlaufzeiten, …”

… minimieren ihren Prüfaufwand und entwickeln resiliente Strukturen für Innovation und Wachstum. Unternehmen, die frühzeitig automatisierte Kontrollarchitekturen etablieren, sichern sich regulatorische und wettbewerbliche Vorteile und sind flexibel für neue Anforderungen gerüstet – von DORA und FIDA bis zum EU AI Act. Ein Audit-Nachweis wird so zum kontinuierlichen Leistungsbeweis und nicht mehr zum Zufallsprodukt einzelner Prüfzyklen.Dr. Kai-Uwe Gawlik und Bjoern Eckmayer, Expleo/ aj