compliance-as-a-service für finanzdienstleister

CONTENT
COMPLIANCE-AS-A-SERVICE
FÜR FINANZDIENSTLEISTER
WHITEPAPER: ASG METADATA MANAGEMENT
CONTENT
COMPLIANCE-AS-A-SERVICE:
NEUE WEGE IN DER FINANZDIENSTLEISTUNG
MANAGEMENT SUMMARY
„Compliance-as-a-Service“ (CaaS) verbindet innovative und gleichzeitig hoch performante wie sichere
IT-Architekturen, direkt an der Schnittstelle zwischen Big Data, Private und Hybrid Cloud und vorausschauender Business Intelligence für die Risikoanalyse. Von einem hierfür standardisierten Berichtswesen
profitieren die Vorstände und Risikoabteilungen von Banken und Finanzdienstleistern gleichermaßen.
CaaS sorgt stets für den richtigen Überblick im Management, es mindert die Risiken und entlastet das
Kostenbudget, um alle Herausforderungen jederzeit im Griff zu behalten.
FINANZDIENSTLEISTER SIND DAZU
AUFGEFORDERT,
IN IHREN SYSTEMEN
EINE COMPLIANCEFUNKTION
ABZUBILDEN.
Durch die anhaltende Debatte um die NSA-Spionageaffäre und im Zuge der Diskussion zur Speicherung
von Vorratsdaten stehen nicht nur staatliche Institutionen und Unternehmen in der Kritik. Auch die großen
IT-Dienstleister sind dadurch in den Fokus gerückt. Mehr Transparenz in der Steuerung von sensiblen
Geschäftsprozessen lautet das Gebot der Stunde.
Compliance und Security Software „Made in Germany“ stehen dabei hoch im Kurs. Übertragen auf die
Bankenbranche besteht die oberste Priorität darin, verlorenes Vertrauen in der Bevölkerung und bei
anderen wichtigen Stakeholdern zurück zu gewinnen. Ein probates Mittel dazu: eine konsequent implementierte und nachhaltig gesteuerte Compliance.
Compliance definiert die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Standards sowie
die Erfüllung weiterer, in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen. Nationale wie internationale Regulierungsbehörden halten das Tempo weiterhin hoch.
Der akute Handlungsbedarf hat sich in den vergangenen Jahren deutlich erweitert und umfasst ein breites
Spektrum an Richtlinien. Bin ich compliant? Diese Frage lässt sich aus Sicht der Finanzbranche keineswegs per Mausklick pauschal beantworten. Eine nachhaltige Umsetzung erfordert deshalb neue Wege in
der Finanzdienstleistung.
Was sagt mein Management-Dashboard aus? Sind alle Daten vorhanden, um die Lage verlässlich und
umfassend zu beurteilen? Haben wir alle Bestimmungen eingehalten und können wir dies revisionssicher dokumentieren und nachweisen? Kurz: In den Vordergrund rückt eine vertiefte Rundumschau in
alle relevanten Zielsysteme hinein.
Fakt ist: Die Frage nach der Compliance lässt sich nicht vordergründig, sondern nur auf fundierter Datengrundlage beantworten. Die Finanzbranche wird sich intensiv mit der Frage auseinandersetzen müssen:
Erfülle ich heute bereits alle Vorgaben – und kann ich dies auch belegen – oder besteht noch akuter Handlungsbedarf für die Zukunft?
Der Begriff Compliance beschränkt sich dabei nicht nur auf das Einhalten von gesetzlichen Bestimmungen, Standards und Normen. Er umfasst auch Verstöße gegen selbst gesetzte Anforderungen im Sinne
einer nachhaltigen Unternehmensführung (Corporate Governance). Verstößt ein Unternehmen gegen das
Regelwerk, so drohen Imageschäden, Reputationsverlust und Strafgelder. Darin adressiert und gegebenenfalls sanktioniert sind beispielsweise grundlegende Regelverstöße wie Insiderhandel, Geldwäsche
oder Marktmanipulationen.
Um die vielschichtigen Klippen auf der mittel- bis langfristigen Transformationsagenda zu überwinden,
benötigen Banken und Finanzdienstleister eine einfach handhabbare, flexible und skalierbare Risikoberichterstattung. Den Grundstein dafür legt ein pragmatisches, systemübergreifendes Vorgehensmodell auf
Ebene der Metadaten. Das nachfolgende Whitepaper zeigt praxisnahe Wege für die Bankenbranche und
für Finanzdienstleister zur richtigen Umsetzung auf.
CORPORATE GOVERNANCE
Das neue unternehmerische und regulatorische Umfeld
Drei Elemente bilden ein gemeinsames Koordinatenkreuz, bei dem das Eine ohne das Andere nicht vorstellbar ist: Information Management, Data Governance und Compliance. Der Jahreswechsel 2013/2014
hat zahlreiche Änderungen mit sich gebracht. So sind alle Kreditinstitute und Finanzdienstleister dazu
aufgefordert, in ihren operativen Systemen eine Compliance-Funktion abzubilden, um den Risiken „aus
der Nichteinhaltung von rechtlichen Regelungen und Vorgaben entgegenzuwirken“.
LAUFEND
KOMMEN NEUE UND
UMFASSENDERE
REGULARIEN HINZU.
Zuvor wurde das entsprechende Rahmenwerk, die Neufassung der Mindestanforderungen an das
Risikomanagement (MaRisk), zum 1. Januar 2013 durch die federführende Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Kraft gesetzt. Für alle Nachzügler gilt es nun, ebenso rasch wie mit
Augenmaß und Umsicht zu handeln.
Denn die Umsetzung der für die Finanzinstitute wesentlichen rechtlichen Regelungen und Vorgaben unter
Berücksichtigung der maßgeblichen Risiken lässt sich nur individuell für jedes Unternehmen implementieren. So verweist die BaFin in ihren Erläuterungen zur MaRisk-Novelle exemplarisch auf neuralgische
Schnittstellen, etwa die Vorgaben zu den Wertpapierdienstleistungen nach dem Wertpapierhandelsgesetz
(WpHG) oder die Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung.
Ins Visier rücken aber auch allgemeine Datenschutzvorgaben, die Betrugsprävention und Belange des
Verbraucherschutzes. Um mehr Transparenz in der gesamten IT-basierten Steuerung von Geschäftsprozessen herzustellen, führt deshalb ein lediglich formales Abarbeiten der Regulierungsagenda kaum
ans notwendige Ziel, die Anforderungen wasserdicht zu erfüllen.
Eine umfassende Compliance erfordert von der Informationstechnologie auf breiter Front die Anpassung
aller relevanten Systeme an aktuelle aufsichtsrechtliche und gesetzliche Vorgaben wie Sarbanes Oxley,
Basel III, Solvency II oder HIPAA (Health Insurance Portability and Accountability Act).
In der Folge der jüngsten Banken- und Finanzkrise hat auch der Baseler Ausschuss für Bankenaufsicht
ein deutliches Ausrufezeichen gesetzt. Das Dokument „Principles for Effective Risk Data Aggregation and
Risk Reporting” (BCBS 239), das vom Ausschuss Anfang 2013 verabschiedet wurde, enthält insgesamt
14 Grundsätze (Prinzipien), die vor allem auf eine zeitnahe automatisierte Erstellung von Risikoberichten
abzielen.
Nach Ansicht des Baseler Ausschusses besteht eine der wichtigsten Lehren der globalen Finanzkrise
darin, die Risikomanagement- und Compliance-Systeme zahlreicher Banken derart transparent zu
gestalten, dass diese eine vollständig integrierte Risikosteuerung und –erfassung ermöglichen und einer
entsprechenden Prüfung auch standhalten. Um etwaige strategische und operative Defizite zu beheben
und zu einer individuell maßgeschneiderten Risikoberichterstattung zu gelangen, haben die betroffenen
Unternehmen nun bis Anfang 2016 Zeit für die Umsetzung.
Anpassungsfähigen IT-Systemen fällt an der Schnittstelle zwischen Top-Management und Chief Compliance Officer die Aufgabe zu, in einem feinmaschigen Ansatz auf Metadatenebene alle relevanten Risikopositionen gezielt so zu orchestrieren, damit diese „just in time“ einen aussagefähigen Risikobericht sowohl
auf Konzernebene als auch für alle Geschäftsfelder und Gesellschaften ermöglichen. Compliancelösungen
“as-a-Service” stellen sicher, dass gesetzliche Vorgaben und eigene Verhaltenscodizes jederzeit überprüfbar sind. Damit kann für alle Stakeholder wie Anteilseigner, Kunden und Mitarbeiter ein weitreichendes
Schutzniveau der Informationslandschaft garantiert werden.
UMFASSENDE
COMPLIANCE
ERFORDERT DIE
ANPASSUNG ALLER
RELEVANTEN
SYSTEME DURCH
DIE IT.
CONTENT
COMPLIANCE-AS-A-SERVICE:
NEUE WEGE IN DER FINANZDIENSTLEISTUNG
Durch bedarfsgerechte und individuell konfigurierbare Compliance-Lösungen können Unternehmen nicht
nur einen besseren Datenschutz, sondern ein höheres Niveau an Informationssicherheit herstellen. Die
Banken sind, unabhängig von ihrer Größenordnung, aufgrund des modularen Gestaltungsansatzes von
ASG Software Solutions und IKB Data in der Lage, ihre Investitionskosten möglichst präzise zu taxieren.
BIG DATA
METADATENMANAGEMENT
ÜBERNIMMT
EINE WICHTIGE
BRÜCKENFUNKTION
ZWISCHEN SYSTEMEN.
Die Herausforderung beim Datenmanagement
Der Umgang mit verstreuten Informationen und zahlreich vorhandenen unstrukturierten Daten, kurz:
Big Data, bleibt auch in der Finanzbranche das zentrale Thema dieser Dekade. Es stellt Unternehmen vor
große Herausforderungen. Denn vielerorts fehlt es an Standards, Definitionen, einheitlichen Formaten und
Codes, um der großen Datenflut Herr zu werden. Dies erschwert nicht nur die Analyse der alt hergebrachten Informationslandschaft, sondern verhindert auch das Erkennen zusätzlicher Geschäftspotentiale
durch strategische Analyse zusätzlicher Business-Potenziale.
Hier kann ein Metadaten-Management aus der „Cloud“ eine wichtige Brückenfunktion bereitstellen, um
Daten unterschiedlicher Herkunft und Ressourcen passgenau miteinander zu verbinden. Im Falle eines
Auditverfahrens etwa werden dann die ursprünglichen Informationsquellen eines Berichts sofort per
Knopfdruck zur Verfügung gestellt. Dafür wäre seitens einer möglichst breit verankerten „Complianceas-a-Service“ die Fragestellung zu adressieren, wer nutzt welche Information wann und wie zu welchem
Zweck?
Gefordert ist auch die aktive Verständigung zwischen unterschiedlichen Fachabteilungen. Dies umso mehr
vor dem Hintergrund, ein jederzeit transparentes Vorgehen der beteiligten Geschäftseinheiten herzustellen, um so etwaige Informationsdefizite rasch bis zur Wurzel einer Fragestellung zurück verfolgen zu
können. Zusammengefasst: Damit Unternehmen den Umgang mit Big Data bewerkstelligen können, ist
eine wissensbasierte Informationsarchitektur erforderlich, um Datenquellen, Anwendungen und Berichtswesen intelligent miteinander zu verzahnen.
TO-DO-LISTE
BCBS 239
SETZT DEFINIERT
ANFORDERUNGEN
AN DAS DATENMANAGEMENT.
Schlussfolgerungen im regulatorischen Umfeld von Banken
Globale wie national systemrelevante Banken (G-SIBs) sind dazu aufgefordert, die Vorgaben des Baseler
Ausschusses für Bankenaufsicht „Principles for Effective Risk Data Aggregation and Risk Reporting”
(BCBS 239) rasch umzusetzen. Diese werden mit Jahresbeginn 2016 in Kraft treten. Die daraus abgeleiteten Berichtsstrukturen an den Compliance-Verantwortlichen im Sinne eines Self-Assessments sind
bereits seit dem vergangenen Jahr gültig.
Das BCBS-Papier gibt ebenfalls vor, die Datenspeicherung und das Berichtswesen dementsprechend zu
optimieren. Eine unternehmensweite Datensicht auf die gesamte IT-Prozesslandschaft sowie die damit
verbundene Datenspeicherung wird zur verpflichtenden Vorgabe.
Als weiterer Handlungstreiber erweist sich die bevorstehende Novellierung der EU-Datenschutzrichtlinie.
Diese verlangt Unternehmen ein deutlich höheres Datenschutzniveau ab. Das Inkrafttreten des entsprechenden Regelwerks ist zwar noch ungewiss. Jedoch kommt auch hier auf den Chief Compliance Officer eine
erhöhte Sorgfaltspflicht zu, insbesondere bei der Harmonisierung des grenzüberschreitenden Berichtswesens sowie hinsichtlich der Nachverfolgbarkeit von Datenmanipulationen.
Neben der Neugestaltung von IT-Prozessen besteht die Herausforderung für Banken zusätzlich darin,
generell höhere Standards in Bezug auf Qualität, Konsistenz und „Ownership“ über Risiko-bezogene Daten
unternehmensweit zu implementieren. Darüber hinaus ist die Performance und Flexibilität des Berichtswesens zu steigern. Die oberste Führungsebene der Bank hat außerdem dafür Sorge zu tragen, etwaige
Defizite in allen Aspekten der internen Kontrollmechanismen bis hin zur Datenaggregation zu beseitigen.
Organisatorische und abteilungsbezogene Barrieren (z. B. durch kontraproduktives Silodenken) sind über
unterschiedliche Fachabteilungen hinaus zu überbrücken, so dass sich Risiko-bezogene Daten sorgfältig
über alle rechtlichen Einheiten zeitnah anhand eindeutiger Vorgaben sammeln und strukturieren lassen.
Die Bankenbranche hat in diesem Kontext eine gleichermaßen valide wie akkurate Risikoberichtserstattung für die jeweiligen Interessengruppen sicherzustellen, auch um ggfs. in angemessener Reaktionsgeschwindigkeit verbindliche Entscheidungen und Maßnahmen einzuleiten. Die Risikoberichterstattung
muss abschließend nicht nur vollständig, sondern auch verständlich abgefasst sein. Zudem muss sie alle
sensiblen und unternehmenskritischen Aspekte enthalten, die die gesamte Organisation betreffen.
Zusammengefasst: Operative Zielsysteme sind so zu gestalten, dass sie jederzeit das Zusammentragen
von Risiko-bezogenen Daten einschließlich des Reportings ermöglichen, auch während einer akuten
Stress- und Krisensituation.
Was Banken zur Umsetzung der BCBS 239-Anforderungen benötigen
 Ein Grundverständnis der Risikoberichterstattung
 Einheitliche Terminologien über Organisationsgrenzen hinweg
 Passend dazu ein risikobezogenes Datenmodell mit gemeinsamen Begrifflichkeiten und Datenkonventionen
 Eine klare Definition des „Data Owners”, der die Verantwortung über das sprachliche Regelwerk trägt
 Permanente Verfügbarkeit über die jeweilige Datenquelle bzw. den Ursprung von Informationen und
deren Auswirkungen
 Ein Werkzeug, um technische Reports innerhalb eines eng begrenzten Zeitfensters zu ermöglichen
 Ein automatisiertes Sammeln Risiko-bezogener Daten mittels definierter Prozessroutinen, die den
manuellen Aufwand minimieren
 Letztlich eine einheitliche Datensicht über die singuläre Benutzeroberfläche bereitstellen
Konsequenzen bei Nichteinhaltung der Regularien
Werden die für die Compliance relevanten Vorgaben nicht oder nicht umfassend erfüllt, stehen den Unternehmen weitreichende Konsequenzen ins Haus:
 Zahlreiche redundante Prozesse und Informationslandschaften
 Unklare Folgekosten und nicht steuerbare Roadmap bei Veränderungen
 Langsame Reaktionsgeschwindigkeit auf regulatorische Initiativen und Änderungen (z. B. HIPAA,
Sarbanes Oxley, Basel II und III, Solvency II)
 Niedrige Produktivität durch mangelnde Steuerungsfähigkeit von Compliance-bezogenen Unternehmensprozessen
ACHT-PUNKTEPLAN FÜR EINE
ERFOLGREICHE
UMSETZUNG.
CONTENT
COMPLIANCE-AS-A-SERVICE:
NEUE WEGE IN DER FINANZDIENSTLEISTUNG
DER RICHTIGE LÖSUNGSANSATZ
Was leistet Metadaten-Management?
 Informationen durch konsequente Sprachterminologie intelligent nutzbar machen
 Die richtige Information am passenden Ort bereithalten und teilen
ASG-ROCHADE®
FÜR PLATTFORMÜBERGREIFENDES
METADATENMANAGEMENT.
 Praxisnahe Gebrauchsanleitung, um Dateninseln zu kombinieren und zu teilen
 Zentralisierte Wissensbasis sorgt für mehr Transparenz und Überblick
 Das unternehmerische „Gedächtnis“ des Unternehmens wird gestärkt
 Eingebauter Schutzmechanismus „Disaster Protection“ gegen unberechtigten Zugriff und falsche
Nutzung von Datenbeständen
 Sofortige Verknüpfung zur Governance sowie zum Compliance-relevanten Kontext
Der passende Baustein: ASG-Rochade – das weltweit führende Metadaten Repository
ASG-Rochade ist das weltweit führende, bei Unternehmenskunden einsetzbare, skalierbare, flexible und
offene Metadaten-Verzeichnis. Es basiert auf einer High Performance Architektur in einer heterogenen
Client-Server-Umgebung. Kurz, ASG-Rochade hilft Unternehmen dabei, verteilte Datenbestände gezielt
zu lokalisieren, zu verstehen und intelligent wieder zu verwenden, um so insgesamt das Sicherheitsniveau
und die Verlässlichkeit der unternehmensweiten Informationslandschaft zu erhöhen.
SAFE IN GERMANY:
NACH BANKENSTANDARDS
ABGESICHERTES
HOSTING.
Dabei ist es von nachrangiger Bedeutung, wie komplex die einzelnen Datenbestände gelagert sind. Denn
im technologieoffenen Ansatz (z. B. C&C++ API, Java API, SAX/XML API, Scripted [Web Services] API, Web
Access) von ASG-Rochade lassen sich Metadaten anhand einer stetig erweiterbaren Liste von Interfaces
nahezu beliebig im- und exportieren, integrieren, konfigurieren, analysieren und publizieren.
Vorteil: Partnerschaft mit ikb Data erhöht Sicherheit und Leistungskraft
Das jüngste Basler Papier zwingt die Finanzbranche rasch zu handeln. Dort, wo eigene Strukturen eine
schnelle Einführung eines Metadaten-Management nicht zulassen, oder wenn strategische Gründe ein
Outsourcing präferieren, kommt „Compliance-as-a-Service” zum Zug. Hierfür benötigen Finanzdienstleister neben der richtigen Applikation auch einen zuverlässigen Hosting-Partner wie die ikb Data.
Der führende Spezialist für Hochsicherheitsumgebungen der Finanzbranche verfügt über ein Rechenzentrum, das sich über zwei Standorte erstreckt, inklusive sieben eigenständigen Brand- und Versorgungsabschnitten.
Mehr noch: Der IT-Dienstleister unterhält gemäß der unternehmerischen Leitlinie „Safe in Germany“
ein breites Leistungsportfolio zu allen Aspekten des Cloud Computings. Er erbringt seine Services vom
Standort Deutschland aus, betreibt also keine IT-Standorte in rechtlich unsicheren Near- oder OffshoreZentren. Diese exklusive Datencenter-Philosophie garantiert höchste Qualität in einer flexibel an die jeweiligen Kundenbedürfnisse anpassbaren Rechenzentrumsumgebung, von der einfachen Nutzung performanter und nach Bankenstandards abgesicherter Server bis hin zu Hochsicherheitslösungen für kritische
Daten und Systeme mit einer entsprechenden Katastrophenvorsorge.
DER MEHRWERT
ASG Software Solutions verfügt mit ASG-Rochade über das leistungsstärkste Softwarewerkzeug am
Markt, um die vielschichtigen unternehmerischen Herausforderungen in sinnvolle Teileinheiten zu
partitionieren und einsetzbar zu machen. Rund um das Metadaten-Repository ASG-Rochade trägt ASG
dafür Sorge, alle gesetzlichen und regulatorischen Anforderungen verlässlich abzudecken und auf dem
neuesten Stand zu halten.
Zudem sieht es das Softwarehaus als seine Aufgabe an, das Kostenbudget ohne ein großes Framework
mit „Overhead“ in einem Shared-Services-Ansatz zu entlasten. Dieser verbindet alle relevanten Informationsstränge zu einer interoperablen Gesamtschau. Gleichzeitig wird Benutzerfreundlichkeit groß
geschrieben. Über ein simples „Learning by doing“ finden sich Mitarbeiter rasch in der neuen Anwendung
zurecht.
ZUSAMMENFASSUNG
Bin ich compliant? Auf diese komplexe Frage gibt es mit Hilfe von ASG Software Solutions und ikb Data
im Bereich der IT-Compliance klar definierte Antworten. Inkonsistente Datenbestände mit einem damit
einher gehenden hohen Pflege- und Analyseaufwand lassen sich minimieren. Zudem lassen sich so
Akquisitionen und Migrationen auf der Banken-Roadmap optimal vorbereiten. Schließlich dreht sich für
Führungskräfte anhand von leistungsfähigen „Compliance-as-a-Services“ alles darum, im individuellen
Management Dashboard jederzeit einen aktuellen und nachvollziehbaren Status zu erhalten.
Über ASG Software Solutions
ASG Software Solutions bietet Lösungen für herstellerunabhängige Cloud-Umgebungen, für Content
und für das Systems-Management. Das Unternehmen verbindet dabei anerkannte Fachkompetenz und
Erfahrung mit Agilität und technologischer Effizienz. ASG unterstützt Kunden bei der Lösung der heute
drängendsten Herausforderungen; dazu gehören die Senkung der operativen Kosten, die Steigerung der
Arbeitsproduktivität und die Sicherstellung der regulatorischen Compliance. Über 70 Prozent der GlobalFortune-500-Unternehmen optimieren ihre bestehenden IT-Investitionen mit Lösungen von ASG, darunter
American Express, British Airways, Coca-Cola, General Electric, HSBC, IBM, Lockheed Martin, Merrill
Lynch, Procter & Gamble, Sony, Toyota, Verizon und Wells Fargo. Das 1986 gegründete, weltweit tätige
Unternehmen mit Stammsitz in Naples, Florida, USA, beschäftigt mehr als 1200 Mitarbeiter.
Weitere Informationen unter www.asg.com, auf XING, LinkedIn, Twitter, Facebook oder YouTube.
Über ikb Data
Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich ITInfrastruktur und Datensicherheit. Dabei wird das Wort IT-Full-Service wörtlich genommen: ikb Data
entwickelt nicht nur die Konzepte, die sich nach den Anforderungen des Kunden richten. Der IT-Spezialist
bietet auch die passenden Lösungen an und gewährleistet deren Betrieb. Und das in den Bereichen, in
denen ein sensibler Umgang mit Daten erste Voraussetzung ist: Cloud Computing, Hosting, IT Compliance,
IT Security/Datenschutz und eDiscovery.
Weitere Informationen unter www.ikb-data.de.
EIN METADATENREPOSITORY
BESCHLEUNIGT
ANALYSEN UND HILFT,
INKONSISTENZEN ZU
VERMEIDEN.
ASG Worldwide Headquarters | 1.239.435.2200 or 1.800.932.5536
1333 Third Avenue South Naples, Florida USA 34102
Copyright © 2014 Allen Systems Group, Inc.
All products mentioned are trademarks or registered trademarks of their respective holders.
www.asg.com
ASG_Managing_Enteprise_Content_WP_20140217en