Projekt_IT-gestützte-Compliance

© Mosuno – Stocksy United
Bitkom Projekt
»IT-gestützte Compliance für
Banken und Versicherungen«
Konzept und Vorgehensweise
www.bitkom.org
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
Hintergrund und Ziel
Im Zuge der weltweiten Finanz- und Wirtschaftskrisen, der weiterhin auffallend zahlreichen Compliance-Verfehlungen
oder der Aktivitäten zur Bekämpfung der Geldwäsche oder der Kriminalität und des Terrorismus treibt der Gesetzgeber die
Regulierung der Banken-, Finanzdienstleistungs- und Versicherungsbranche sowie verwandter Branchen weiterhin zügig
voran. Dies fordert nicht nur Anpassungen und Veränderungen in den IT-gestützten Geschäfts-, Transaktions- und
Governance-Prozessen, sondern vergrößert ebenfalls den Adressatenkreis, der von der Aufsicht durch die BaFin, Deutsche
Bundesbank bzw. EZB betroffen ist.
Heute existieren keine adäquaten Compliance-Referenzmodelle und/oder Industriestandards zur Abbildung von
IT-gestützter Compliance im Banken- und Finanzsektor. Vor diesem Hintergrund ist das Ziel des gemeinsamen
Projektprogramms die Entwicklung einer strukturierten, praxisrelevanten Datenbasis der aufsichtsrechtlichen
Compliance im Banken- und Finanzsektor aus Bedarfs- und aus Angebotsperspektive. Diese bildet wiederum die
Grundlage für IT-gestützte Modelle zur wirksamen Umsetzung der Regulierungsanforderungen.
Das ↗Quadriga-Institut für Regulation und Management (QIRM) entwickelt in dem Kooperationsprojekt ↗IT-gestützte
Compliance mit der Bitkom Arbeitsgruppe ↗Financial Services Compliance ein Referenzmodell für die ComplianceOrganisation in der Finanzindustrie.
Wir bedanken uns bei den folgenden Sponsoren für die Unterstützung:
↗GFT Technologies SE
↗Van den Berg AG
↗Retarus GmbH
↗Actico GmbH
↗Atos Deutschland GmbH
↗KPMG AG Wirtschaftsprüfungsgesellschaft
↗Syracom AG
↗SKS GmbH & Co. KG
↗Fico GmbH
↗Accenture Deutschland GmbH
↗IBM Deutschland GmbH
2
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
Inhalte und Ergebnisse
Der zentrale Zweck des Referenzmodells ist die Strukturierung benötigter und existierender IT-Funktionalität zur
Realisierung von Compliance in der Finanzwirtschaft. Das Vorgehen zur Entwicklung des Modells soll explizit nicht in der
Auswertung und Strukturierung existierender Verordnungen und Gesetze bestehen, sondern es soll die Analyse der
etablierten Praxis in Finanzinstituten in den Mittelpunkt stellen, da die Vielzahl existierender zum Teil widersprüchlicher
Verordnungen als ungeeignet erscheint, um den Bedarf an IT-Funktionalität zu ermitteln.
Fachlicher Ausgangspunkt ist ein Datenstrukturmodell des QIRM, welches compliance-relevante Strukturen und Abläufe
kategorisiert und in Beziehung setzt. Zur Ermittlung von Information und Attributen werden die Know-Your-Prinzipien
(kurz: KY-Prinzipien; hier insbesondere KY-Institute, KY-Identity) herangezogen. Um das Datenstrukturmodell mit den
IT-Aspekten zu verbinden, soll sich das zu entwickelnde Referenzmodell konzeptionell an Unternehmensarchitekturen
orientieren.
Solche Architekturen unterscheiden mehrere Ebenen (Abbildung 1):
◼◼
Geschäftsarchitektur – fachliche Sicht, die zum Teil aus dem Datenstrukturmodell abgeleitet werden soll
◼◼
Informationsarchitektur – Sicht auf die zu verarbeitenden Informationen und ihre Zusammenhänge, die
mit Ausgangspunkt der Know-Your-Prinzipien entstehen soll
◼◼
Anwendungsarchitektur – Sicht auf die IT-Anwendungen zur Unterstützung der fachlichen Sicht
◼◼
Technologiearchitektur – Sicht auf die eingesetzten Technologien, die nicht Gegenstand des Projekts ist.
Elemente und Ebenen der Referenzarchitektur
betriebswirtschaftliche
Perspektive
Geschäftsarchitektur
Geschäftsprozesse, Rollen
Strategie, Capabilities
Informationsarchitektur
Datenarchitektur
»anwenderorientiert«
Datenquellen,
Datenaustausch
Anwendungsarchitektur
Systemkomponenten,
Schnittstellen
Technologiearchitektur
»anbieterorientiert«
Infrastruktur, Netzwerke,
Kommunikation
→ TOGAF Sichtweise, ArchiMate als Modellierungssprache
→ Datenstrukturmodell
Abbildung 1: Übersicht Unternehmensarchitekturen
informationstechnologische
Perspektive
3
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
Für das Vorhaben wurde vom QIRM ein Phasenmodell erstellt, das die Grundlage für die Strukturierung der Arbeiten ist:
Phase 1: Bedarfsanalyse Ebene 1 bei Verbänden
Phase 2: Bedarfsanalyse Ebene 2 bei Instituten der Finanzwirtschaft
Phase 3: Potenzialanalyse bei Anbietern von Lösungen für IT-gestützte Compliance
Phase 4: Entwicklung des Referenzmodells
In Anlehnung an das Phasenmodell sind die folgenden Schritte geplant:
1. Definition einer initialen Referenzarchitektur
2.Vorbereitung und Durchführung der Bedarfsanalyse (Ebene 1, 2)
3.Vorbereitung und Durchführung der Potenzialanalyse
4.Weiterentwicklung und Verfeinerung der Referenzarchitektur
Diese Schritte werden nachfolgend kurz beschrieben.
4
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
1 Definition einer initialen Referenzarchitektur
Für die Durchführung von Bedarfs- und Potenzialanalyse ist es hilfreich, wenn bereits eine initiale Referenzarchitektur
existiert, anhand der die Analysen strukturiert werden können und in die die Analyseergebnisse eingeordnet werden (Abbildung 2). Daher wird eine initiale Referenzarchitektur entwickelt, die zunächst die typischen Referenzarchitektur-Ebenen
(Geschäfts-, Anwendungs- und Informationsarchitektur) umfassen wird. Die Elemente der unterschiedlichen Ebenen werden durch eine Analyse existierenden Materials ermittelt. Dies ist aus heutiger Sicht für die Geschäftsarchitektur das Datenstrukturmodell, für die Informationsarchitektur die Know-Your-Prinzipien (z. B. KY- Customer / -Transaction / -Process) und
für die Applikationsarchitektur die in der Fachliteratur veröffentlichen Informationen. Die Klärung der Zusammenhänge
zwischen den Ebenen, sowie eine Validierung der Inhalte der Ebenen, erfolgt in Zusammenarbeit mit dem QIRM und den
Konsortialpartnern. Die Referenzarchitektur wird in Form eines Architekturmodells und geeigneter Grafiken dokumentiert.
Zusammenhang Geschäftsarchitektur – Datenarchitektur: Regulationswirkungen auf unterschiedlichen Ebenen
Datenmodell
Institut
Identität
→ Daten
Transaktion
...
Datenobjekt
→ Informationen
Zuordnung
→ Ausprägungen
→ Regeln
→ Bewertung
Produkt
Bewertung
Unterobjekt
Verknüpfung
...
→ Maßnahmen
→ ...
Ausprägungen
→ Festlegung von Objektverknüpfungen und
-verbindungen
→ Erstellung von Ausprägungslisten
Input
◼◼
◼◼
Inhalt
Prozess
Output
◼◼
◼◼
Instrument
Akteur
→ Anwender- und Umsetzungsperspektive
Abbildung 2: Grundlagen für die initiale Referenzarchitektur
2 Vorbereitung und Durchführung der Bedarfsanalyse
Ziel ist es hier die bisherigen Praktiken der Compliance-Organisation in der Finanzindustrie, deren IT-Unterstützung und den
zukünftigen Bedarf aus Sicht der Unternehmen in der Branche zu ermitteln. Dazu werden Interviews (evtl. Workshops) mit
Verbänden bzw. Instituten der Finanzwirtschaft durchgeführt. Zur Vorbereitung dieser Datenerhebung werden zum einen
typische Compliance-Prozesse ausgewählt, modelliert und in die Referenzarchitektur eingeordnet und zum anderen ein
Fragekatalog erarbeitet.
Bedarfsanalyse Ebene 1: Bei der Durchführung der Datenerhebung werden die Verbände/Institute gebeten, die ausgewählten Prozesse aus ihrer Sicht darzustellen und den Bedarf an IT-Unterstützung systematisiert, im persönlichen Gespräch
5
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
anhand eines ausgearbeiteten Interviewleitfadens zu beschreiben. Dieses Gespräch soll mit einem Vertreter aus dem Verband/Institut gemeinsam mit Mitarbeitern vom QIRM durchgeführt werden. Der zu erwartende zeitliche Rahmen für das
Interview beträgt ca. 1-2 Stunden. Die Fragen beziehen sich auf die Identifizierung von Bedarfen IT-gestützter Compliance.
Dabei orientiert sich das Übersichtsinterview an ausgewählten Compliance-Prozessen, wie z.B. Meldeprozess, Geldwäsche
oder Gefährdungsanalyse.
Bedarfsanalyse Ebene 2: Die getrennten Interviews finden zu zwei separaten Themen statt, die sich aus den Ergebnissen der
Bedarfsanalyse Ebene 1 herauskristallisiert haben. Die Fragen beziehen sich auf den Prozess der Geldwäscheprävention bzw.
den Prozess Know Your Customer (KYC)/Identity und werden jeweils über einen separaten Fragebogen erfasst. Dabei
beleuchten die Fragen den Prozess aus organisatorischer, prozessualer und IT-Sicht. Für den Prozess der Geldwäscheprävention gibt es zwei Formate, sowohl eine telefonische Befragung als auch eine OnlineBefragung. Die Institute können das Format selber wählen.
◼◼
Das telefonische Gespräch soll mit entsprechenden Verantwortlichen aus den Instituten stattfinden. Dieses Interview
dient dazu, das Referenzmodell mit entsprechenden Inhalten zu konkretisieren. In der Regel dauert das Interview 1,5
Stunden und wird telefonisch mit einem Mitarbeiter aus dem QIRM durchgeführt.
◼◼
Parallel zur telefonischen Befragung findet die Online-Befragung mit weiteren ausgewählten Instituten in Absprache
mit den entsprechenden Verbänden statt.
Für den Prozess Know Your Customer (KYC)/Identity erfolgt die Befragung ausschließlich über einen Online-Fragebogen.
3 Vorbereitung und Durchführung der Potenzialanalyse
Ziel ist hier die Strukturierung und Erfassung des aktuellen Angebots und zukünftigen Potenzials von Softwareprodukten
zur Unterstützung von Compliance in der Finanzindustrie. Dazu werden zunächst ausgewählte IT-Unternehmen in diesem
Umfeld gebeten, ihr aktuelles Angebot an IT-Unterstützung von Compliance, den Bezug zu anderen Anwendungssystemen,
welche typischerweise bei ihren Kunden eingesetzt werden, und die aktuellen Herausforderungen in der Branche zu benennen. Die dadurch gewonnen Informationen und die ergänzende Analyse von Kernfunktionalitäten weiterer Softwareprodukte auf dem Markt werden dann zur Vorbereitung einer Umfrage verwendet. Diese Umfrage wird so konzipiert, dass die
aktuelle Architektursituation, der Handlungsbedarf und die wesentlichen Kernprozesse erkennbar werden.
4 Weiterentwicklung und Verfeinerung der Referenzarchitektur
Parallel zu den beschriebenen Schritten läuft die kontinuierliche Weiterentwicklung der initial entstandenen Referenzarchitektur. Die Ergebnisse der Bedarfsanalyse und die Analyse ausgewählter IT-Unternehmen (Potenzialanalyse) werden Erkenntnisse bringen, die die Strukturen und Elemente der unterschiedlichen Ebenen der Referenzarchitektur verändern oder bestätigen. Die Einarbeitung dieser Erkenntnisse auf den Ebenen der Geschäfts-, Anwendungs- und Informationsarchitektur führt
zu neuen Versionen der Referenzarchitektur. Wichtigste Gestaltungskriterien sind dabei die funktionale Klarheit, Übertragbarkeit und Abgrenzbarkeit der Elemente.
6
Bitkom Projekt »IT-gestützte Compliance für Banken und Versicherungen«
Konzept und Vorgehensweise
Umsetzung
Die oben gemachten Ausführungen der Arbeitspakete umschließen den Zeitraum bis 31.12.2016. Grundsätzlich ist das Projekt
bis Ende 2017 ausgelegt. Zur Umsetzung der Arbeitspakete ist derzeit eine wissenschaftliche Mitarbeiterstelle finanziert. Die
Aufgabenteilung erfolgt gemäß der Abbildung 3.
Quadriga
Institut Management & Regulation
Mitarbeiter des
QIRM
◼◼
◼◼
Projektorganisation und
-dokumentation
Aufbau Managementansatz
und Datenstrukturmodell
◼◼
Konzeption Datenerhebung
◼◼
Durchführung Analysen
◼◼
◼◼
Strukturierung
Methodenansätze
Wissenschaftliche Führung
und Anleitung
Wissenschaftlicher Bereich
Abbildung 3: Aufgabenteilung Bitkom Projekt »IT-gestützte Compliance«
Sponsoren:
Institute:
Bitkom Arbeitsgruppe
Compliance for Banking and Finance
Projektmitarbeiter
der Arbeitsgruppe
Bitkom
◼◼
◼◼
◼◼
Ansprechpartner für
operative Projektarbeit
Praktische Reflektion
Fragebogen
(Managementansatz,
Datenstrukturmodell
Implementierungskonzept)
Bereitstellung personeller
und finanzieller Ressourcen
zumAufbau und zur
Umsetzungdes Projektes
Anwendungsbereich
7
Bitkom vertritt mehr als 2.300 Unternehmen der digitalen Wirtschaft, davon gut 1.600 Direktmitglieder. Sie erzielen mit 700.000 Beschäftigten jährlich Inlandsumsätze von 140 Milliarden
Euro und stehen für Exporte von weiteren 50 Milliarden Euro. Zu den Mitgliedern zählen
1.000 Mittelständler, 300 Start-ups und nahezu alle Global Player. Sie bieten Software, IT-Services,
Telekommunikations- oder Internetdienste an, stellen Hardware oder Consumer Electronics
her, sind im Bereich der digitalen Medien oder der Netzwirtschaft tätig oder in anderer Weise Teil
der digitalen Wirtschaft. 78 Prozent der Unternehmen haben ihren Hauptsitz in Deutschland,
9 Prozent kommen aus Europa, 9 Prozent aus den USA und 4 Prozent aus anderen Regionen.
Bitkom setzt sich insbesondere für eine innovative Wirtschaftspolitik, eine Modernisierung des
Bildungssystems und eine zukunftsorientierte Netzpolitik ein.
Bundesverband Informationswirtschaft,
Telekommunikation und neue Medien e. V.
Albrechtstraße 10
10117 Berlin
T 030 27576-126
F 030 27576-400
[email protected]
www.bitkom.org

Download Report