Jetzt Mitglied werden

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der Aufsicht mit geringstmöglichem Ressourceneinsatz „auszusitzen“, reagiert eben diese Aufsicht mit strengen, konkreten Forderungen. BCBS 239 ist dafür ein anschauliches Beispiel: Wo zunächst nur ein Anforderungsrahmen definiert war, stehen jetzt ganz explizite Vorschriften, wie die Regelungen umzusetzen seien. Jetzt wird auch die EZB in ihren Forderungen deutlich: Wer künftige Compliance-Anforderungen erfüllen wolle, brauche einen ordnungsgemäßen Umgang mit Daten und eine moderne, konsistente IT-Infrastruktur. Ein klares Signal für Transparenz und Industrialisierung in der IT. Die Zeit der Patchwork-Lösungen läuft ab.

Von Carsten Krah - 03. Februar 2016

Bildnachweis: scanrail via istockphoto.de

„Eine Bank hat eine interne Datenarchitektur und IT-Infrastruktur zu entwerfen, einzurichten und zu pflegen, die die Risikodaten-Aggregationskapazitäten und Verfahren zur Risikoberichterstattung nicht nur unter gewöhnlichen Umständen, sondern auch in Stressphasen oder Krisen vollumfänglich unterstützt, wobei die übrigen Grundsätze unverändert gelten.“ So konkret ist das Basel Committee im Grundsatz 2 der Richtlinie 239 (BCBS 239) geworden. Hier schreibt ein Regulierungsgremium also nicht nur abstrakte Ziele vor, sondern Weg und Mittel, mit denen diese Ziele zu erreichen seien. Das war 2013 ein Novum – und zugleich eine Art „Warnschuss“ für die gesamte Finanzwirtschaft: Die Aufsicht ist gewillt und in der Lage, den Marktteilnehmern präzise Vorschriften zu machen und ihren Handlungsspielraum sachlich wie zeitlich zu verengen. Das gilt insbesondere für Prozesse und Infrastrukturen, und dabei insbesondere für die IT.

Das nächste Signal in diese Richtung hat jetzt die EZB ausgesandt. In ihren „SSM (Single Supervisory Mechanism)-Priorities“ für das Jahr 2016  legt sie sehr exakt dar, welche Kategorien aus ihrer Sicht im Bereich Risiko und Compliance maßgeblich seien – und welche Maßnahmen die Banken zu ergreifen hätten, um den Ansprüchen zu genügen. Erstmals spielt dabei ganz explizit die Daten- und IT-Infrastruktur eine entscheidende Rolle. Wörtlich heißt es dort: „Finally, ensuring data quality and security necessitates state-of-the-art IT infrastructure. Therefore, IT risks will form part of the analysis.”

Das legt den Finger in eine Wunde, die viele Banken (und Versicherungen) zunehmend quält: Eine fragmentierte und teilweise unzweckmäßige IT – und die damit direkt verbundenen Mankos im Hinblick auf Transparenz, Sicherheit und Wirtschaftlichkeit. Nicht ohne Grund bemängelt der Co-Chef der Deutschen Bank, John Cryan,  im eigenen Haus „mangelhafte und ineffektive Prozesse, veraltete und nicht angemessene Technologien, zu viele manuell ausgeführte Tätigkeiten.“  Die schlechte IT wird auch dafür verantwortlich gemacht, dass die Bank nicht in der Lage war, beim US-Stresstest Daten für die Aufsichtsbehörden aufzubereiten.  Damit rückt auch das gute alte Operationale Risiko wieder in den Fokus.

Compliance ohne angemessene IT ist illusorisch

Das Problem liegt dabei nicht in der Leistungsfähigkeit einzelner vorhandener IT-Lösungen, sondern in der fehlenden Homogenität, die historisch bedingt ist. Das Nebeneinander der Infrastrukturen, insbesondere im Konzernumfeld, behindert nachhaltig die Digitalisierung des Kerngeschäfts, der Kundenbeziehungen und eben auch des gesamten Komplexes Governance, Risk und Compliance (GRC). Wo laut Kreditwesengesetz klassisch ein „ordnungsgemäßer Umgang mit Geldern“ gefordert ist, tritt zunehmend auch ein „ordnungsgemäßer Umgang mit Daten“ hinzu. Dafür wesentlich ist die Transparenz der Geschäftsdaten, aber auch die Nachvollziehbarkeit des Status Quo durch lückenlose Dokumentation. Hier sind nicht nur quantitative, sondern genauso qualitative Aspekte maßgeblich. Wie leitet sich die aktuelle Situation her? Was sind die Herausforderungen, was die Maßnahmen? Wer ist verantwortlich? Wie ist der Stand der Dinge? Mit welchen Prozessen hängt ein Sachverhalt zusammen? Weder bei  der Analyse der operativen Daten noch bei der Überwachung von GRC helfen innovative Einzelprozesse aus Sicht der Compliance und dem aufsichtsrechtlichen Reporting, wenn sie nicht jederzeit und lückenlos nachvollziehbar sind – und zwar über alle Bereiche einer Bank hinweg.

Anspruch für Riskmanagement muss sich erhöhen

Das bedeutet konkret, dass für den Gesamtkomplex Risiko im Hinblick auf Compliance der gleiche Anspruch gelten muss, der im Accounting längst selbstverständlich ist: gemeinschaftliches, standardisiertes Vorgehen auf Basis einer einheitlichen Infrastruktur. Im Operationalen Risiko gewinnen Herausforderungen wie Fraud, Cybersecurity, Geldwäsche (AML), aber z.B. auch Model Risk Management weiter an Gewicht. Sie sind zwar üblicherweise unterschiedlichen Abteilungen zugeordnet, im Sinne des Gesamtunternehmens ist aber eine gemeinsame Herangehensweise zu einem zentralen Risikomanagement wünschenswert. Noch gar nicht berücksichtigt sind dabei die Faktoren Wirtschaftlichkeit und Innovationspotenzial. Auch wenn schon BCBS 239 ein Tempo fürs Reporting fordert, das mit bestehenden Infrastrukturen schwierig bis gar nicht zu erreichen ist – der eigentliche Mehrwert  einer schlanken, schnellen IT  liegt in Bereichen, in denen Geld verdient und nicht ausgegeben wird: in effizienten Prozessen, der erleichterten Umsetzbarkeit von neuen Services und in mehr Überblick für die strategische Banksteuerung.

Auch wenn Basel und die EZB das nicht konkret aussprechen: Künftig führt im Bankenwesen kein Weg an der Einrichtung leistungsfähiger analytischer Plattformen vorbei. Nur damit sind Banken in der Lage, vom aufsichtsrechtlichen Reporting bis zu Szenariorechnungen und Simulationen auch im Sinne der Aufsicht (z.B. AnaCredit) umzusetzen. Dies gilt aber umso mehr auch für das Operationale Risiko und damit die Etablierung einer ganzheitlichen IT gestützten Enterprise Governance, Risk & Compliance Kultur. Beide Gesichtspunkte erlauben eine echte Industrialisierung von IT-Lösungen quer durch ganze Konzerne.

Lesen Sie auch

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keine Kurzfassung, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Das Onlinebanking-Konto kann mehr als Zahlungen: Mit Smart Data Fraud-Risiken minimieren

Die Betrugsrisiken nehmen im Bankenumfeld weiter zu: Zahlreiche[…]

Martin Schmid

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

„IS-Terroristen nutzten Flüchtlings- konto zur Finanzierung der Attentate“

Die Schlagzeile ist fiktiv, doch das Risiko ist[…]

Carsten Lang

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner

Compliance-Vorschriften und Probleme mit der Datenaufbereitung?

Die Einhaltung regulatorischer Vorgaben wird immer komplexer. Die[…]

Chris Atkinson

Wir korrumpieren eine Welt, die uns nicht gehört.

Die Sonne ist nicht über uns. Wir werden[…]

Julian Achleitner

Des Kunden innigster Wunsch – Ein Diskurs im Elfenbeinturm

Die Chefetagen verschiedener Kreditinstitute beraten darüber, wie sie[…]

Christian Grosshardt

Geldwäscheprävention, ein reines Bankenthema?

Bei Geldwäsche denken die meisten Menschen sofort intuitiv[…]

Thomas Hensel

Datenweitergabe immer noch Grauzone

Vor gut zweieinhalb Jahren veröffentliche 3sat auf seiner[…]

Christian Grosshardt

Cyberattacke – planen Sie Ihre Kommunikationsstrategie vor dem Angriff

Anfang 2015 haben Hacker bis zu eine Milliarde[…]

Claudia Böhnert

„Der Schutz und die Sicherheit von Daten ist das wichtigste Kundeninteresse!“

Offen gestaltete Filialen sind keine Seltenheit mehr in[…]

Christian Grosshardt

Illegal geht auch digital

Bargeld hat derzeit nicht den allerbesten Ruf bei[…]

Julian Achleitner

Risikofaktor „Risikomodell“

Enterprise Governance Risc Compliance (EGRC) gehört zu den[…]

Carsten Krah

Fraud im internationalen Umfeld einer Privatbank

Der Schutz vor Wirtschaftskriminalität gewinnt auch für Privatbanken[…]

Ramon Schürer

Fraud ist aktueller denn je

Betrügerische Handlungen versursachen hohe Kosten, wobei die Folgekosten[…]

Thorsten Almoneit

Insidergeschäfte aufgeflogen

Pressemitteilungen sind Millionen Wert, sofern man sie zu[…]

Julian Achleitner

„Was soll ich von einer Firma halten, die sich nicht um Datenschutz kümmert?“

Die Angst ist omnipräsent. Doch vergessen viele dabei,[…]

Julian Achleitner

Standards und APIs verbessern Compliance und Sicherheit!

Viele FinTechs haben die großen Chancen und Möglichkeiten[…]

Jan Wendenburg

Compliance ist der Schlüssel – glauben oder sterben?!

Wir lieben die großen FinTechs wie Paypal, Klarna[…]

Jan Wendenburg

Für Joseph hat sich das Blatt gewendet

Der 27. Mai 2015 darf als historisches Datum[…]

Christian Grosshardt