COMPLIANCE-AS-A-SERVICE FÜR FINANZDIENSTLEISTER

Transkript

1 C O N T E N T COMPLIANCE-AS-A-SERVICE FÜR FINANZDIENSTLEISTER WHITEPAPER: ASG METADATA MANAGEMENT

2 C O N T E N T COMPLIANCE-AS-A-SERVICE: NEUE WEGE IN DER FINANZDIENSTLEISTUNG MANAGEMENT SUMMARY Compliance-as-a-Service (CaaS) verbindet innovative und gleichzeitig hoch performante wie sichere IT-Architekturen, direkt an der Schnittstelle zwischen Big Data, Private und Hybrid Cloud und vorausschauender Business Intelligence für die Risikoanalyse. Von einem hierfür standardisierten Berichtswesen profitieren die Vorstände und Risikoabteilungen von Banken und Finanzdienstleistern gleichermaßen. CaaS sorgt stets für den richtigen Überblick im Management, es mindert die Risiken und entlastet das Kostenbudget, um alle Herausforderungen jederzeit im Griff zu behalten. FINANZDIENST- LEISTER SIND DAZU AUFGEFORDERT, IN IHREN SYSTEMEN EINE COMPLIANCE- FUNKTION ABZUBILDEN. Durch die anhaltende Debatte um die NSA-Spionageaffäre und im Zuge der Diskussion zur Speicherung von Vorratsdaten stehen nicht nur staatliche Institutionen und Unternehmen in der Kritik. Auch die großen IT-Dienstleister sind dadurch in den Fokus gerückt. Mehr Transparenz in der Steuerung von sensiblen Geschäftsprozessen lautet das Gebot der Stunde. Compliance und Security Software Made in Germany stehen dabei hoch im Kurs. Übertragen auf die Bankenbranche besteht die oberste Priorität darin, verlorenes Vertrauen in der Bevölkerung und bei anderen wichtigen Stakeholdern zurück zu gewinnen. Ein probates Mittel dazu: eine konsequent implementierte und nachhaltig gesteuerte Compliance. Compliance definiert die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Standards sowie die Erfüllung weiterer, in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen. Nationale wie internationale Regulierungsbehörden halten das Tempo weiterhin hoch. Der akute Handlungsbedarf hat sich in den vergangenen Jahren deutlich erweitert und umfasst ein breites Spektrum an Richtlinien. Bin ich compliant? Diese Frage lässt sich aus Sicht der Finanzbranche keineswegs per Mausklick pauschal beantworten. Eine nachhaltige Umsetzung erfordert deshalb neue Wege in der Finanzdienstleistung. Was sagt mein Management-Dashboard aus? Sind alle Daten vorhanden, um die Lage verlässlich und umfassend zu beurteilen? Haben wir alle Bestimmungen eingehalten und können wir dies revisionssicher dokumentieren und nachweisen? Kurz: In den Vordergrund rückt eine vertiefte Rundumschau in alle relevanten Zielsysteme hinein. Fakt ist: Die Frage nach der Compliance lässt sich nicht vordergründig, sondern nur auf fundierter Datengrundlage beantworten. Die Finanzbranche wird sich intensiv mit der Frage auseinandersetzen müssen: Erfülle ich heute bereits alle Vorgaben und kann ich dies auch belegen oder besteht noch akuter Handlungsbedarf für die Zukunft? Der Begriff Compliance beschränkt sich dabei nicht nur auf das Einhalten von gesetzlichen Bestimmungen, Standards und Normen. Er umfasst auch Verstöße gegen selbst gesetzte Anforderungen im Sinne einer nachhaltigen Unternehmensführung (Corporate Governance). Verstößt ein Unternehmen gegen das Regelwerk, so drohen Imageschäden, Reputationsverlust und Strafgelder. Darin adressiert und gegebenenfalls sanktioniert sind beispielsweise grundlegende Regelverstöße wie Insiderhandel, Geldwäsche oder Marktmanipulationen. Um die vielschichtigen Klippen auf der mittel- bis langfristigen Transformationsagenda zu überwinden, benötigen Banken und Finanzdienstleister eine einfach handhabbare, flexible und skalierbare Risikoberichterstattung. Den Grundstein dafür legt ein pragmatisches, systemübergreifendes Vorgehensmodell auf Ebene der Metadaten. Das nachfolgende Whitepaper zeigt praxisnahe Wege für die Bankenbranche und für Finanzdienstleister zur richtigen Umsetzung auf.

3 CORPORATE GOVERNANCE Das neue unternehmerische und regulatorische Umfeld Drei Elemente bilden ein gemeinsames Koordinatenkreuz, bei dem das Eine ohne das Andere nicht vorstellbar ist: Information Management, Data Governance und Compliance. Der Jahreswechsel 2013/2014 hat zahlreiche Änderungen mit sich gebracht. So sind alle Kreditinstitute und Finanzdienstleister dazu aufgefordert, in ihren operativen Systemen eine Compliance-Funktion abzubilden, um den Risiken aus der Nichteinhaltung von rechtlichen Regelungen und Vorgaben entgegenzuwirken. LAUFEND KOMMEN NEUE UND UMFASSENDERE REGULARIEN HINZU. Zuvor wurde das entsprechende Rahmenwerk, die Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk), zum 1. Januar 2013 durch die federführende Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Kraft gesetzt. Für alle Nachzügler gilt es nun, ebenso rasch wie mit Augenmaß und Umsicht zu handeln. Denn die Umsetzung der für die Finanzinstitute wesentlichen rechtlichen Regelungen und Vorgaben unter Berücksichtigung der maßgeblichen Risiken lässt sich nur individuell für jedes Unternehmen implementieren. So verweist die BaFin in ihren Erläuterungen zur MaRisk-Novelle exemplarisch auf neuralgische Schnittstellen, etwa die Vorgaben zu den Wertpapierdienstleistungen nach dem Wertpapierhandelsgesetz (WpHG) oder die Regelungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Ins Visier rücken aber auch allgemeine Datenschutzvorgaben, die Betrugsprävention und Belange des Verbraucherschutzes. Um mehr Transparenz in der gesamten IT-basierten Steuerung von Geschäftsprozessen herzustellen, führt deshalb ein lediglich formales Abarbeiten der Regulierungsagenda kaum ans notwendige Ziel, die Anforderungen wasserdicht zu erfüllen. Eine umfassende Compliance erfordert von der Informationstechnologie auf breiter Front die Anpassung aller relevanten Systeme an aktuelle aufsichtsrechtliche und gesetzliche Vorgaben wie Sarbanes Oxley, Basel III, Solvency II oder HIPAA (Health Insurance Portability and Accountability Act). In der Folge der jüngsten Banken- und Finanzkrise hat auch der Baseler Ausschuss für Bankenaufsicht ein deutliches Ausrufezeichen gesetzt. Das Dokument Principles for Effective Risk Data Aggregation and Risk Reporting (BCBS 239), das vom Ausschuss Anfang 2013 verabschiedet wurde, enthält insgesamt 14 Grundsätze (Prinzipien), die vor allem auf eine zeitnahe automatisierte Erstellung von Risikoberichten abzielen. Nach Ansicht des Baseler Ausschusses besteht eine der wichtigsten Lehren der globalen Finanzkrise darin, die Risikomanagement- und Compliance-Systeme zahlreicher Banken derart transparent zu gestalten, dass diese eine vollständig integrierte Risikosteuerung und erfassung ermöglichen und einer entsprechenden Prüfung auch standhalten. Um etwaige strategische und operative Defizite zu beheben und zu einer individuell maßgeschneiderten Risikoberichterstattung zu gelangen, haben die betroffenen Unternehmen nun bis Anfang 2016 Zeit für die Umsetzung. Anpassungsfähigen IT-Systemen fällt an der Schnittstelle zwischen Top-Management und Chief Compliance Officer die Aufgabe zu, in einem feinmaschigen Ansatz auf Metadatenebene alle relevanten Risikopositionen gezielt so zu orchestrieren, damit diese just in time einen aussagefähigen Risikobericht sowohl auf Konzernebene als auch für alle Geschäftsfelder und Gesellschaften ermöglichen. Compliancelösungen as-a-service stellen sicher, dass gesetzliche Vorgaben und eigene Verhaltenscodizes jederzeit überprüfbar sind. Damit kann für alle Stakeholder wie Anteilseigner, Kunden und Mitarbeiter ein weitreichendes Schutzniveau der Informationslandschaft garantiert werden. UMFASSENDE COMPLIANCE ERFORDERT DIE ANPASSUNG ALLER RELEVANTEN SYSTEME DURCH DIE IT.

4 C O N T E N T COMPLIANCE-AS-A-SERVICE: NEUE WEGE IN DER FINANZDIENSTLEISTUNG Durch bedarfsgerechte und individuell konfigurierbare Compliance-Lösungen können Unternehmen nicht nur einen besseren Datenschutz, sondern ein höheres Niveau an Informationssicherheit herstellen. Die Banken sind, unabhängig von ihrer Größenordnung, aufgrund des modularen Gestaltungsansatzes von ASG Software Solutions und IKB Data in der Lage, ihre Investitionskosten möglichst präzise zu taxieren. BIG DATA METADATEN- MANAGEMENT ÜBERNIMMT EINE WICHTIGE BRÜCKENFUNKTION ZWISCHEN SYSTEMEN. Die Herausforderung beim Datenmanagement Der Umgang mit verstreuten Informationen und zahlreich vorhandenen unstrukturierten Daten, kurz: Big Data, bleibt auch in der Finanzbranche das zentrale Thema dieser Dekade. Es stellt Unternehmen vor große Herausforderungen. Denn vielerorts fehlt es an Standards, Definitionen, einheitlichen Formaten und Codes, um der großen Datenflut Herr zu werden. Dies erschwert nicht nur die Analyse der alt hergebrachten Informationslandschaft, sondern verhindert auch das Erkennen zusätzlicher Geschäftspotentiale durch strategische Analyse zusätzlicher Business-Potenziale. Hier kann ein Metadaten-Management aus der Cloud eine wichtige Brückenfunktion bereitstellen, um Daten unterschiedlicher Herkunft und Ressourcen passgenau miteinander zu verbinden. Im Falle eines Auditverfahrens etwa werden dann die ursprünglichen Informationsquellen eines Berichts sofort per Knopfdruck zur Verfügung gestellt. Dafür wäre seitens einer möglichst breit verankerten Complianceas-a-Service die Fragestellung zu adressieren, wer nutzt welche Information wann und wie zu welchem Zweck? Gefordert ist auch die aktive Verständigung zwischen unterschiedlichen Fachabteilungen. Dies umso mehr vor dem Hintergrund, ein jederzeit transparentes Vorgehen der beteiligten Geschäftseinheiten herzustellen, um so etwaige Informationsdefizite rasch bis zur Wurzel einer Fragestellung zurück verfolgen zu können. Zusammengefasst: Damit Unternehmen den Umgang mit Big Data bewerkstelligen können, ist eine wissensbasierte Informationsarchitektur erforderlich, um Datenquellen, Anwendungen und Berichtswesen intelligent miteinander zu verzahnen. TO-DO-LISTE BCBS 239 SETZT DEFINIERT ANFORDERUNGEN AN DAS DATEN- MANAGEMENT. Schlussfolgerungen im regulatorischen Umfeld von Banken Globale wie national systemrelevante Banken (G-SIBs) sind dazu aufgefordert, die Vorgaben des Baseler Ausschusses für Bankenaufsicht Principles for Effective Risk Data Aggregation and Risk Reporting (BCBS 239) rasch umzusetzen. Diese werden mit Jahresbeginn 2016 in Kraft treten. Die daraus abgeleiteten Berichtsstrukturen an den Compliance-Verantwortlichen im Sinne eines Self-Assessments sind bereits seit dem vergangenen Jahr gültig. Das BCBS-Papier gibt ebenfalls vor, die Datenspeicherung und das Berichtswesen dementsprechend zu optimieren. Eine unternehmensweite Datensicht auf die gesamte IT-Prozesslandschaft sowie die damit verbundene Datenspeicherung wird zur verpflichtenden Vorgabe. Als weiterer Handlungstreiber erweist sich die bevorstehende Novellierung der EU-Datenschutzrichtlinie. Diese verlangt Unternehmen ein deutlich höheres Datenschutzniveau ab. Das Inkrafttreten des entsprechenden Regelwerks ist zwar noch ungewiss. Jedoch kommt auch hier auf den Chief Compliance Officer eine erhöhte Sorgfaltspflicht zu, insbesondere bei der Harmonisierung des grenzüberschreitenden Berichtswesens sowie hinsichtlich der Nachverfolgbarkeit von Datenmanipulationen.

5 Neben der Neugestaltung von IT-Prozessen besteht die Herausforderung für Banken zusätzlich darin, generell höhere Standards in Bezug auf Qualität, Konsistenz und Ownership über Risiko-bezogene Daten unternehmensweit zu implementieren. Darüber hinaus ist die Performance und Flexibilität des Berichtswesens zu steigern. Die oberste Führungsebene der Bank hat außerdem dafür Sorge zu tragen, etwaige Defizite in allen Aspekten der internen Kontrollmechanismen bis hin zur Datenaggregation zu beseitigen. Organisatorische und abteilungsbezogene Barrieren (z. B. durch kontraproduktives Silodenken) sind über unterschiedliche Fachabteilungen hinaus zu überbrücken, so dass sich Risiko-bezogene Daten sorgfältig über alle rechtlichen Einheiten zeitnah anhand eindeutiger Vorgaben sammeln und strukturieren lassen. Die Bankenbranche hat in diesem Kontext eine gleichermaßen valide wie akkurate Risikoberichtserstattung für die jeweiligen Interessengruppen sicherzustellen, auch um ggfs. in angemessener Reaktionsgeschwindigkeit verbindliche Entscheidungen und Maßnahmen einzuleiten. Die Risikoberichterstattung muss abschließend nicht nur vollständig, sondern auch verständlich abgefasst sein. Zudem muss sie alle sensiblen und unternehmenskritischen Aspekte enthalten, die die gesamte Organisation betreffen. Zusammengefasst: Operative Zielsysteme sind so zu gestalten, dass sie jederzeit das Zusammentragen von Risiko-bezogenen Daten einschließlich des Reportings ermöglichen, auch während einer akuten Stress- und Krisensituation. Was Banken zur Umsetzung der BCBS 239-Anforderungen benötigen Ein Grundverständnis der Risikoberichterstattung Einheitliche Terminologien über Organisationsgrenzen hinweg Passend dazu ein risikobezogenes Datenmodell mit gemeinsamen Begrifflichkeiten und Datenkonventionen Eine klare Definition des Data Owners, der die Verantwortung über das sprachliche Regelwerk trägt Permanente Verfügbarkeit über die jeweilige Datenquelle bzw. den Ursprung von Informationen und deren Auswirkungen Ein Werkzeug, um technische Reports innerhalb eines eng begrenzten Zeitfensters zu ermöglichen Ein automatisiertes Sammeln Risiko-bezogener Daten mittels definierter Prozessroutinen, die den manuellen Aufwand minimieren Letztlich eine einheitliche Datensicht über die singuläre Benutzeroberfläche bereitstellen Niedrige Produktivität durch mangelnde Steuerungsfähigkeit von Compliance-bezogenen Unternehmensprozessen ACHT-PUNKTE- PLAN FÜR EINE ERFOLGREICHE UMSETZUNG. Konsequenzen bei Nichteinhaltung der Regularien Werden die für die Compliance relevanten Vorgaben nicht oder nicht umfassend erfüllt, stehen den Unternehmen weitreichende Konsequenzen ins Haus: Zahlreiche redundante Prozesse und Informationslandschaften Unklare Folgekosten und nicht steuerbare Roadmap bei Veränderungen Langsame Reaktionsgeschwindigkeit auf regulatorische Initiativen und Änderungen (z. B. HIPAA, Sarbanes Oxley, Basel II und III, Solvency II)

6 C O N T E N T COMPLIANCE-AS-A-SERVICE: NEUE WEGE IN DER FINANZDIENSTLEISTUNG DER RICHTIGE LÖSUNGSANSATZ ASG-ROCHADE FÜR PLATTFORM- ÜBERGREIFENDES METADATEN- MANAGEMENT. Was leistet Metadaten-Management? Informationen durch konsequente Sprachterminologie intelligent nutzbar machen Die richtige Information am passenden Ort bereithalten und teilen Praxisnahe Gebrauchsanleitung, um Dateninseln zu kombinieren und zu teilen Zentralisierte Wissensbasis sorgt für mehr Transparenz und Überblick Das unternehmerische Gedächtnis des Unternehmens wird gestärkt Eingebauter Schutzmechanismus Disaster Protection gegen unberechtigten Zugriff und falsche Nutzung von Datenbeständen Sofortige Verknüpfung zur Governance sowie zum Compliance-relevanten Kontext Der passende Baustein: ASG-Rochade das weltweit führende Metadaten Repository ASG-Rochade ist das weltweit führende, bei Unternehmenskunden einsetzbare, skalierbare, flexible und offene Metadaten-Verzeichnis. Es basiert auf einer High Performance Architektur in einer heterogenen Client-Server-Umgebung. Kurz, ASG-Rochade hilft Unternehmen dabei, verteilte Datenbestände gezielt zu lokalisieren, zu verstehen und intelligent wieder zu verwenden, um so insgesamt das Sicherheitsniveau und die Verlässlichkeit der unternehmensweiten Informationslandschaft zu erhöhen. SAFE IN GERMANY: NACH BANKEN- STANDARDS ABGESICHERTES HOSTING. Dabei ist es von nachrangiger Bedeutung, wie komplex die einzelnen Datenbestände gelagert sind. Denn im technologieoffenen Ansatz (z. B. C&C++ API, Java API, SAX/XML API, Scripted [Web Services] API, Web Access) von ASG-Rochade lassen sich Metadaten anhand einer stetig erweiterbaren Liste von Interfaces nahezu beliebig im- und exportieren, integrieren, konfigurieren, analysieren und publizieren. Vorteil: Partnerschaft mit ikb Data erhöht Sicherheit und Leistungskraft Das jüngste Basler Papier zwingt die Finanzbranche rasch zu handeln. Dort, wo eigene Strukturen eine schnelle Einführung eines Metadaten-Management nicht zulassen, oder wenn strategische Gründe ein Outsourcing präferieren, kommt Compliance-as-a-Service zum Zug. Hierfür benötigen Finanzdienstleister neben der richtigen Applikation auch einen zuverlässigen Hosting-Partner wie die ikb Data. Der führende Spezialist für Hochsicherheitsumgebungen der Finanzbranche verfügt über ein Rechenzentrum, das sich über zwei Standorte erstreckt, inklusive sieben eigenständigen Brand- und Versorgungsabschnitten. Mehr noch: Der IT-Dienstleister unterhält gemäß der unternehmerischen Leitlinie Safe in Germany ein breites Leistungsportfolio zu allen Aspekten des Cloud Computings. Er erbringt seine Services vom Standort Deutschland aus, betreibt also keine IT-Standorte in rechtlich unsicheren Near- oder Offshore- Zentren. Diese exklusive Datencenter-Philosophie garantiert höchste Qualität in einer flexibel an die jeweiligen Kundenbedürfnisse anpassbaren Rechenzentrumsumgebung, von der einfachen Nutzung performanter und nach Bankenstandards abgesicherter Server bis hin zu Hochsicherheitslösungen für kritische Daten und Systeme mit einer entsprechenden Katastrophenvorsorge.

7 DER MEHRWERT ASG Software Solutions verfügt mit ASG-Rochade über das leistungsstärkste Softwarewerkzeug am Markt, um die vielschichtigen unternehmerischen Herausforderungen in sinnvolle Teileinheiten zu partitionieren und einsetzbar zu machen. Rund um das Metadaten-Repository ASG-Rochade trägt ASG dafür Sorge, alle gesetzlichen und regulatorischen Anforderungen verlässlich abzudecken und auf dem neuesten Stand zu halten. Zudem sieht es das Softwarehaus als seine Aufgabe an, das Kostenbudget ohne ein großes Framework mit Overhead in einem Shared-Services-Ansatz zu entlasten. Dieser verbindet alle relevanten Informationsstränge zu einer interoperablen Gesamtschau. Gleichzeitig wird Benutzerfreundlichkeit groß geschrieben. Über ein simples Learning by doing finden sich Mitarbeiter rasch in der neuen Anwendung zurecht. EIN METADATEN- REPOSITORY BESCHLEUNIGT ANALYSEN UND HILFT, INKONSISTENZEN ZU VERMEIDEN. ZUSAMMENFASSUNG Bin ich compliant? Auf diese komplexe Frage gibt es mit Hilfe von ASG Software Solutions und ikb Data im Bereich der IT-Compliance klar definierte Antworten. Inkonsistente Datenbestände mit einem damit einher gehenden hohen Pflege- und Analyseaufwand lassen sich minimieren. Zudem lassen sich so Akquisitionen und Migrationen auf der Banken-Roadmap optimal vorbereiten. Schließlich dreht sich für Führungskräfte anhand von leistungsfähigen Compliance-as-a-Services alles darum, im individuellen Management Dashboard jederzeit einen aktuellen und nachvollziehbaren Status zu erhalten. Über ASG Software Solutions ASG Software Solutions bietet Lösungen für herstellerunabhängige Cloud-Umgebungen, für Content und für das Systems-Management. Das Unternehmen verbindet dabei anerkannte Fachkompetenz und Erfahrung mit Agilität und technologischer Effizienz. ASG unterstützt Kunden bei der Lösung der heute drängendsten Herausforderungen; dazu gehören die Senkung der operativen Kosten, die Steigerung der Arbeitsproduktivität und die Sicherstellung der regulatorischen Compliance. Über 70 Prozent der Global- Fortune-500-Unternehmen optimieren ihre bestehenden IT-Investitionen mit Lösungen von ASG, darunter American Express, British Airways, Coca-Cola, General Electric, HSBC, IBM, Lockheed Martin, Merrill Lynch, Procter & Gamble, Sony, Toyota, Verizon und Wells Fargo. Das 1986 gegründete, weltweit tätige Unternehmen mit Stammsitz in Naples, Florida, USA, beschäftigt mehr als 1200 Mitarbeiter. Weitere Informationen unter auf XING, LinkedIn, Twitter, Facebook oder YouTube. Über ikb Data Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT- Infrastruktur und Datensicherheit. Dabei wird das Wort IT-Full-Service wörtlich genommen: ikb Data entwickelt nicht nur die Konzepte, die sich nach den Anforderungen des Kunden richten. Der IT-Spezialist bietet auch die passenden Lösungen an und gewährleistet deren Betrieb. Und das in den Bereichen, in denen ein sensibler Umgang mit Daten erste Voraussetzung ist: Cloud Computing, Hosting, IT Compliance, IT Security/Datenschutz und ediscovery. Weitere Informationen unter

8 ASG Worldwide Headquarters or Third Avenue South Naples, Florida USA Copyright 2014 Allen Systems Group, Inc. All products mentioned are trademarks or registered trademarks of their respective holders. ASG_Managing_Enteprise_Content_WP_ en