Risikoanalyse per intelligenter Software – IT-gestützte Compliance-Lösungen
Finanzbetrug bedeutet für Banken nicht nur Reputationsverlust und rechtliche Probleme, sondern kann auch richtig teuer werden. Zum Schutz vor Geldwäsche und Co. vertrauen daher immer mehr Institute auf IT-gestützte Compliance-Lösungen. Doch wann lohnt sich die Investition im Sinne der Total Cost of Ownership? Denn die innovativste Software nutzt nichts, wenn sie den Praxistest nicht besteht.
von Dr. Lars A. Ludwig, Targens
Banken und Finanzinstitute sind wahre Jonglierkünstler: Sie müssen die Wahrscheinlichkeit minimieren, ein schwarzes Schaf in den eigenen Kundenkreis aufzunehmen und jederzeit vor illegalen Aktivitäten wie Geldwäsche und Terrorismusfinanzierung auf der Hut sein. Zugleich erwarten die Kunden, dass eine Kontoeröffnung oder ein Kreditantrag möglichst schnell und reibungslos abgewickelt wird. Hinzu kommt, dass die Compliance-Abteilungen in der Regel in einem eng gesteckten Zeit- und Kostenrahmen agieren. All diese Bälle in der Luft zu halten, ist keine geringe Aufgabe, wenn man bedenkt, dass sich hinter jedem Kunden-Onboarding ein Zusammenspiel aus hoch komplexen Abläufen im IT-Backend verbirgt. Denn es müssen nicht nur die üblichen Personenangaben aufgenommen, sondern auch potenzielle und bestehende Risiken abgeklärt werden. Die erfassten Kundendaten werden dann sowohl für den Dialog im Rahmen des Onboardings als auch im Batch für die gesamte Kunden-Bestandsprüfung zur Risikoberechnung und Erfüllung von Sorgfaltspflichten genutzt.Die Herausforderung: Die zugrundeliegenden Risikomodelle sollten im Optimalfall ständig gepflegt, immer wieder angepasst und erweitert werden.”
Schließlich ist es für Finanzinstitute wichtig, schnell agieren zu können, wenn zum Beispiel neue EU-Gesetze zur Geldwäsche in Kraft treten. Nur so ist sichergestellt, dass die geänderten regulatorischen Anforderungen im Risikomanagement abgebildet werden.
Technologie ist für die Menschen da und muss den Mitarbeitenden helfen, Risikomodelle flexibel, schnell und revisionssicher erstellen und anpassen zu können.”
Intelligente Softwarelösungen können dazu beitragen, diese Prozesse im Geschäftsalltag nicht nur sicher, sondern auch mit vertretbarem Zeit-, Personal- und Kostenaufwand abzuwickeln. So erfasst, kategorisiert und bewertet eine IT-gestützte Gefährdungsanalyse zuverlässig und automatisiert die potenziellen und bereits vorhandenen Bedrohungen im Unternehmen.
Ob Geldwäsche, Terrorismusfinanzierung oder Betrugsrisiken – die Technologie deckt auf, wann erhöhte Sorgfalt geboten und wann ein vereinfachtes Vorgehen vertretbar ist.”
Auch bei der Dokumentation kann eine Softwarelösung den Compliance-Verantwortlichen das Leben erleichtern, indem sie die Gefährdungssituation objektiv und nachvollziehbar darstellt – für interne Zwecke wie etwa als Bericht an Gremien ebenso wie für externe Wirtschaftsprüfer.
Compliance-Risiken erkennen, objektiv einordnen und bewerten
Autor Dr. Lars A. Ludwig, TargensDr. Lars A. Ludwig ist Vorsitzender der Geschäftsführung bei Targens (Website) und verantwortet die Bereiche Strategie, Finance, Sales & Marketing sowie die targens Suisse SA. Er baut auf langjährige Expertise in der IT für Finanzdienstleister und verfügt über fundierte Beratungserfahrung in der Top-Management-Beratung Droege & Comp. Als CIO der Privatbank Donner & Reuschel hat er die komplexen IT-Landschaften zweier Bankhäuser integriert. Er war Geschäftsführer in der EOS-Gruppe, wo er die digitale Transformation des Kerninkassosystems verantwortete. Zuletzt war Dr. Lars A. Ludwig Geschäftsführer und CTO der Serrala Group. Er ist Diplom-Physiker, hat in Wirtschaftsinformatik über Artificial Intelligence promoviert und ist Absolvent des Advanced Management Program der Harvard Business School.Eine mehrstufige Risiko- und Gefährdungsanalyse startet in der Regel mit einer strukturierten Abbildung sämtlicher Risiken. Diese Risikostruktur ist die Voraussetzung dafür, dass die Anwender sämtliche Daten später automatisiert analysieren können. Doch woraus besteht eine solche Risikostruktur? Zum einen betrachtet man damit die Kunden an sich, sowie die Produkte und Transaktionen, die von den Kunden genutzt beziehungsweise durchgeführt werden. Zum anderen werden die Kunden-, Transaktions- und Produktrisiken in mehrere sogenannte Risikodimensionen (Risikofaktoren) wie beispielsweise Branchen, Länder oder Rechtsformen untergliedert.
Den Input für den Aufbau dieser Struktur liefern Typologien, Schadensfälle und internes Wissen.”
Den Input für den Aufbau dieser Struktur liefern Typologien, Schadensfälle und internes Wissen.”
Jede Dimension besteht wiederum aus einer beliebigen Anzahl von Elementen, zum Beispiel Nationalität, Adresse oder die verschiedenen Faktoren für die Klassifikation der Sorgfaltspflichten aus der EU-Richtlinie.
Im nächsten Schritt lässt sich dann das jeweilige Risiko berechnen: Grundlage ist ein vordefinierter Fragenkatalog mit Risikoindikatoren, die unternehmensweit zentral festgelegt werden. Als Abfrage für die Dimension „Länder“ könnte beispielsweise der Korruptions- und Drogenindex im betreffenden Land relevant sein sowie die Frage, ob es sich um ein Land unter Embargo oder eine Steueroase handelt. Hierfür können öffentlich zugängliche Ratings integriert werden, wie etwa der Länder-Korruptionsindex von Transparency International.
Jede Antwort trägt mit einem Risikograd auf einer Skala, etwa von 0 bis 10, zum Gesamtrisiko eines Kunden, eines Landes, eines Produktes oder einer Branche bei.”
Das Bild, das die Compliance-Verantwortlichen auf diese Weise gewinnen, spiegelt die potenziellen Risiken wider. Wer noch genauere Auswertungen aus dem Modell ziehen möchte, kann die bewerteten, potenziellen Risiken erweitern und mit dem aktuellen Kundenstamm, den Beziehungskunden und der aktuellen Produktnutzung zusammenführen. Für alle Risiken zeigen sich dann neben dem Risikograd zusätzlich die Häufigkeit ihres Auftretens und zeitliche Entwicklungen. Dadurch eröffnen sich weitere interessante Analysemöglichkeiten: Unter anderem können Finanzinstitute untersuchen und in Form von Diagrammen visualisieren, wie hoch das Produktrisiko in einem bestimmten Geschäftsbereich ist, wie hoch die Risiken für Geldwäsche an bestimmten Standorten sind und wie sich Branchen-, Länder- und Produktrisiken verteilen.
Aktuelle Gefährdung immer im Blick
Risiken identifizieren, analysieren, bewerten, gegensteuern und überwachen – der Risikomanagement-Prozess läuft zyklisch ab, so dass die Informationen über die Gefährdungslage, deren Einschätzung und der Umgang mit den Risiken immer auf dem neuesten Stand sind.
Die Compliance-Abteilung definiert zuerst alle im Unternehmen gültigen Vorkehrungen, Anweisungen, Systeme und Prozesse, die Geldwäsche, Terrorismusfinanzierung oder Betrug verhindern sollen.”
Die einzelnen Maßnahmen werden dabei wörtlich beschrieben und kategorisiert sowie in strukturierter Weise, das heißt nach Wirksamkeit, Frequenz und Intensität, dokumentiert. Diese Art der Beschreibung erlaubt es später, automatisierte Soll-Ist-Vergleiche durchzuführen.
Außerdem wird für jede Maßnahme festgelegt, welche Risiken von ihr adressiert werden. Auf diese Weise können Finanzinstitute den Maßnahmenkatalog mit der lokalen Ist-Situation automatisiert abgleichen und wertvolle Rückschlüsse ziehen: Wo etwa die Maßnahmen nicht ausreichen, wo die Durchführung verbessert werden muss oder besondere Risiken spezielle Vorkehrungen erfordern.
Individuell und flexibel anpassbar
Für das Compliance-Team kann es sinnvoll sein, bereits vor dem ersten Produktivlauf zu wissen, wie sich die Änderungen im Regelwerk tatsächlich auswirken werden. Mit Analytics-Funktionen lassen sich deshalb nachvollziehbare Simulationen durchführen. Diese können über einen Datenimport und einen nachgelagerten Bewertungslauf alle Ergebnisse schon im Vorfeld durchspielen. Das ermöglicht den Anwendern, bei Bedarf entsprechende Feinjustierungen vorzunehmen und die Risikomodelle optimal an die individuellen Bedürfnisse ihres Unternehmens anzupassen. Compliance-Verantwortliche wissen, wie wichtig diese Flexibilität ist.
Ein Risikomodell gegen Finanzkriminalität funktioniert nicht als statisches Konstrukt.”
Denn die Geldwäscher und Betrüger ruhen nicht und werden immer findiger darin, ihre Machenschaften durch neue Taktiken zu verschleiern. Entsprechend schärfen auch die Regulierungsbehörden mit weiteren Richtlinien und Initiativen kontinuierlich nach.
Bei der Entscheidung für eine IT-gestützte Lösung spielen also nicht nur die initialen Projektkosten und der Implementierungsaufwand eine Rolle. Wichtig ist auch, dass der laufende Betrieb der Software so kosteneffizient wie möglich ist und dass die Mitarbeitenden die Risikomodelle jederzeit und unkompliziert auf fachliche Anforderungen und regulatorische Änderungen anpassen können. Denn mit einem flexibel und einfach umsetzbarem Risikomanagement, das Gefahren erkennt und aushebelt, bevor sie akut werden, können Unternehmen rechtliche, finanzielle und Reputationsrisiken vermeiden – und dadurch letzten Endes sogar Geld sparen.Dr. Lars A. Ludwig, Targens
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/149086
Schreiben Sie einen Kommentar