Compliance & Digitalization geht nicht ohne Datenmanagement

in Advisory, 23.11.2015

Das Bedürfnis der Regulatoren nach umfassenden Bankdaten nimmt weiter zu: Stress-Tests, Rechtsfälle, Audits, Ausweise für ausländische Steuerbehörden und Nachweise ordentlich durchgeführter Handelsgeschäfte sind nur ein paar Beispiele, welche rasch und vieldimensional darstellbare, akkurate und sichere Bankdaten erfordern.

Die diversen Regulatorien bilden eine substantielle Belastung für all diejenigen Finanzinstitute, deren Daten und Applikationen nicht auf diese Anforderungen ausgelegt sind. Die hohen Compliance-Kosten lassen heute bereits in vielen Fällen keinen Platz mehr für Innovationsbudgets. Sie sind mittlerweile so hoch, dass sich kleinere Banken in ihrer Existenz bedroht sehen.

Gelingt es jedoch einer Bank, sich applikations- und datentechnisch so aufzustellen, dass sie den kommenden regulatorischen Anforderungen genügt, hat sie damit auch die Basis für das zukünftige, durch Automatisierung und Fintech geprägte Bankgeschäft geschaffen.

Welches sind die anstehenden, regulatorischen Anforderungen?

Zusätzlich zu den bisher erlassenen Regulatorien haben sich die Aufsichtsbehörden für die kommende Zeit auf folgende Schwerpunkte fokussiert:

  1. Offenlegung von Kundenguthaben, um Transparenz bezüglich Steuerdisziplin von Bürgen herzustellen (z.B. AIA);
  2. Offenlegung von Handelsaktivitäten mit Finanzprodukten, um Transparenz und faire Bedingungen im Handel zu schaffen (z.B. MiFID II);
  3. Konsistente Datenaggregation, um inhaltlich korrekte Aussagen zu den eigenen Finanzen der Bank machen zu können (z.B. BCBS);
  4. Revidierte, klarere Kategorisierung von Finanzdaten, um die Kredit- und Marktrisiken korrekt und mit anderen vergleichbar machen zu können (z.B. neue IFRS Regelungen).

Nebst den oben genannten Schwerpunkten werden von den Regulatoren auch in den folgenden Bereichen erweiterte Anforderungen gestellt:

  • Know your Customer (KYC)
  • Informationsgehaltsanforderungen von Bankbelegen (z.B. für Steuernachweise und Konsumentenschutz)
  • Datenschutz (z.B. neues EU Datenschutzgesetz)
  • Rechtsauskünfte, insbesondere gegenüber Drittstaaten

Angesichts der zunehmenden Bedrohung durch Cyber-Kriminalität werden schliesslich auch in der Cybersecurity- und im Business-Continuity-Bereich verschärfte Vorschriften erlassen.

Die Vielfalt der von verschiedenen Behörden diverser Länder und Wirtschaftsräume erlassenen Vorschriften führen zwangsläufig zu konfliktären Compliance-Anforderungen. So regelt z.B. das durch die EU erlassene MiFID II die Zulassungskriterien von Handelsteilnehmern einer Börse anders als in den nationalen Gesetzen festgehalten. Für eine von MiFID II betroffene Börse stellt sich damit die Frage der eigenen Rechtssituation und insbesondere in einem zukünftigen Streitfall die Frage der Rechtssicherheit. Solche Beispiele gibt es leider viele und die Problemlösung wird den Banken oder deren Branchenverbänden überlassen.

Wer ist für Compliance-konforme Daten und Applikationen zuständig?

Wer ist für konforme Daten und Applikationen zuständig? Die Festlegung der umzusetzenden Compliance-Anforderungen sowie die Bereitstellung der hierfür nötigen finanziellen Mittel sind Sache des Top Managements. Da die Umsetzung der Anforderungen auf Ebene Daten und Applikationen erfolgen muss, spielt die IT immer eine tragende Rolle. Die Vorgaben an die IT müssen jedoch zuerst durch Experten aus den Bereichen Legal, Risk, Compliance, Security, Audit und den betroffenen Business Units erarbeitet werden. Die an der Lösungsfindung Beteiligten generieren damit eine zweite Top Management-Herausforderung – nämlich deren Orchestrierung und die Sicherstellung der Lieferergebnisse zu minimalen Kosten.

Wie soll das Thema angegangen werden?

Oft nehmen sich die verschiedenen Bereiche einzelne Compliance-Anforderungen vor und kontaktieren anschliessend  unkoordiniert die IT, um Lösungen einzufordern. Die vielen unkoordiniert auf die IT hereinbrechenden Compliance-Anforderungen führen in der IT zu Zielkonflikten und zu mehrfachen Nachanpassungen, was nicht nur zu Frustration der IT-Mitarbeiter, sondern vor allem auch zu sehr hohen Kosten führt.

Um die erforderliche Compliance erfolgreich und zu minimalen Kosten umzusetzen, müssen gleich zu Beginn unter Führung des Top Managements alle Compliance-Anforderungen zentral zusammengetragen werden. Daraus resultiert ein Anforderungskatalog an Daten und Applikationen, mithilfe dessen die IT ein Datenmodell und eine entsprechende IT-Architektur bauen kann. Hierbei stehen die Datenkategorisierung, die Zugriffsregelung und der Schutz der Daten im Zentrum. Die Applikationen sind entgegen landläufiger Meinung erst sekundär zu betrachten, denn die darin enthaltenen Daten sind meist zu hoch aggregiert, um allen Anforderungen gesetzeskonform entsprechen zu können.

Solche holistisch angegangenen Compliance-Projekte dauern nicht zuletzt aus finanziellen Gründen mehrere Jahre und bedingen in der Regel einen fundamentalen Umbau der IT-Architektur. Obwohl der Aufwand zu Beginn sehr gross erscheint, ist dies der effizienteste Weg zum Ziel, da die erbaute Lösung danach rasch, kostengünstig und flexibel zusätzliche Compliance-Anforderungen zu bedienen vermag.

Wer den Schritt zu einem sauberen Daten- und Architekturmodell erfolgreich geschafft hat, rüstet sich damit auch gleich für die Zukunft. Die Automatisierung des Bankgeschäfts, die Fintech Initiativen sowie das „Internet of Things“ bedingen eine flexible, kontrollierte und vor allem gesetzeskonforme und geschützte Datenbereitstellung für Bankkunden (z.B. für Mobile Banking, Self Services) sowie für die verschiedensten bestehenden und neu dazukommenden Stakeholders (z.B. „peer to peer lending platforms“). Eine gute und gut gemanagte Datenbasis bildet die Grundlage, um Innovationen zeitgerecht umzusetzen und damit zukünftige Wettbewerbsvorteile zu erschliessen.

Lesen Sie weitere Informationen in unserer globalen Publikation: Evolving Banking Regulation – Part Three: Data and Technology: The Regulatory and Business Challenges

 

 

Weitere Informationen.