Sie wollen mehr über das Leistungsspektrum der msg-Gruppe erfahren? Dann besuchen Sie die Internetseiten der msg und der msg-Gruppenunternehmen.
Sie nutzen eine AML-Lösung mit Regeln und Szenarien, die im Rahmen des Implementierungsprojekts aufgesetzt wurden. Sie generieren Warnmeldungen, sobald Transaktionen bestimmte Schwellenwerte überschreiten. Vielleicht haben Sie Ihre Kunden sogar bereits grob segmentiert – etwa in „Firmenkunden“ und „Privatkunden“, um diese Schwellenwerte besser zu steuern.
Klingt fortschrittlich, oder?
Sind alle Privatpersonen gleich? Verhalten sich alle Unternehmen identisch?
Spoiler: Tun sie nicht.
Schwellenwerte auf Basis solch grober Kategorien festzulegen, ist in etwa so sinnvoll wie ein einheitliches Tempolimit für Fahrräder und Sportwagen – das ergibt keinen Sinn. Und auch die Aufsicht wird diesen Ansatz kaum akzeptieren.
Durch die Analyse des tatsächlichen Transaktionsverhaltens Ihrer Kunden identifizieren wir aussagekräftige Untergruppen innerhalb jeder Kategorie. Stellen Sie sich statt nur „Unternehmen“ künftig „Sportwagen-Unternehmen“ und „Fahrrad-Unternehmen“ vor.
Wir nutzen fortgeschrittene statistische Methoden: Zunächst ermitteln wir relevante Korrelationsdimensionen, anschließend berechnen wir eine passende Anzahl an Clustern. Dabei kommt keine KI zum Einsatz – alles ist nachvollziehbar und prüferfreundlich.
Mit dieser verfeinerten Segmentierung können Sie:
Sobald die neuen Untergruppen definiert sind, folgt der logische nächste Schritt: Backtesting. Wir unterstützen Sie bei der Feinjustierung der Schwellenwerte für diese neu identifizierten Gruppen – damit Ihr AML-System nicht nur regelkonform, sondern auch effizient arbeitet.
Die Steigerung der Resilienz des Risk-&-Compliance-Programms ist eine zunehmende Anforderung der Prüfer und Regulatoren und in diversen Gesetzen verankert. Die Herausforderung liegt darin, dies effektiv digital zu gestalten und dabei die Effizienz bei stetig ansteigender Volatilität zu meistern. Automatisierung, der Einsatz von KI und gut abgestimmte Policies & Procedures helfen dabei, diesen Prozess zu optimieren.
Die internen Compliance-Regelungen zu steuern, ist anspruchsvoll, unabhängig davon, ob es sich dabei um nationale, internationale oder global agierende Unternehmen handelt. Zum einen müssen die verschiedenen Entitäten in dem komplexen Organisationsgeflecht koordiniert, zum anderen auch die regional unterschiedlichen, sich überschneidenden und nicht selten widersprechenden regulatorischen Anforderungen berücksichtigt werden. Dabei spielen auch die sich aus dem spezifischen Geschäftsmodell ergebenden Compliance Risiken eine wichtige Rolle.
Der Head of Compliance beziehungsweise die Compliance-Abteilungen meistern diese Aufgabe, indem sie sogenannte Policies & Procedures (P&P) erlassen. Das sind interne Regelungen, die es ermöglichen, eine gruppenweite Umsetzung, zum Beispiel von Embargo- und Sanktionsüberwachungsprozessen sicherzustellen. Dies erfolgt mittels textlich verfasster Dokumente, die die Richtlinien und Regeln für die Gruppe einheitlich darstellen. Die Aufgabe ist die erfolgreiche und vollständige Umsetzung in den jeweiligen Niederlassungen mit Hilfe von Kontrollpunkten, sogenannte Controls.
Für die Erstellung neuer beziehungsweise die Anpassung bestehender P&Ps gibt es zwei wesentliche Ursachen:
Neben der Fülle an Vorgaben und deren zunehmender Volatilität, sind vor allem Effektivität und Effizienz die wesentlichen Herausforderungen an das Compliance-Management. Auf der einen Seite darf man den Anschluss an den oder die Regulatoren nicht verlieren und muss bei immer enger werdenden Umsetzungszeiträumen auch den Umsetzungsprozess steuern können.
Auf der anderen Seite sollte dem Aufbau von Redundanzen vorgebeugt und durch die Bereitstellung der erforderlichen Transparenz die Effizienz in der Organisation gesteigert werden. Als positiver Nebeneffekt ergibt sich daraus die schnelle Bearbeitung von Anfragen aus der Revision, von externen Prüfern oder der Aufsichtsbehörde.
Mit der Formulierung und Anweisung zur Umsetzung der Policies & Procedures ist es allerdings nicht getan. Zum einen müssen die verschiedenen operativen Prozesse und Systeme aller betroffener Entitäten und Niederlassungen angepasst werden. Dabei ist in der Regel davon auszugehen, dass dies nicht zentral über Group Compliance erfolgen kann, sondern dezentral durchgeführt werden muss. Weiterhin müssen zusätzliche Anforderungen dieser dezentralen Einheiten und deren spezifischer gesetzlicher Situation berücksichtigt werden. Im schlimmsten Fall widersprechen sich die Anforderungen der Gruppe mit den juristischen Erfordernissen. Ein eingängiges Beispiel liefert die DSGVO, die in Europa strenge Anforderungen an den Datenschutz zu Grunde legt und durchaus im Widerspruch mit Transparenzvorschriften anderer Länder und deren Jurisdiktionen steht.
Die Organisation der strukturierten Umsetzung dieser Policies & Procedures stellt somit ein nicht zu unterschätzendes, komplexes Problem dar, das mit Hilfe der entsprechenden IT-Unterstützung sichergestellt werden kann.
Um den Prozess der strukturierten Abarbeitung und Umsetzung der Policies & Procedures für die Compliance Abteilung zu unterstützen, braucht es einen, an die Bedarfe der Gruppe anpassbaren Workflow. Dadurch werden die Aufgaben und deren Verantwortung transparent und sind übersichtlich einsehbar. Der Umsetzungszustand der Policies & Procedures kann jederzeit abgefragt werden, insbesondere im Rahmen externer Prüfungen.
Eine weitere wichtige Funktionalität stellt die Überführung der P&Ps als unstrukturierten Text in eine strukturierte und für weitere Aufgaben geeignete Darstellungsform. Dies kann in Form einer Control-Matrix (siehe Abbildung 1) erfolgen, die den Prüfobjekten (y-Achse) die Kontrollen (x-Achse) gegenüberstellt und dadurch eine übersichtliche Beschreibung der P&Ps ermöglicht. Die Befüllung der Matrix orientiert sich dann an den Inhalten der P&P’s.
Zusammen mit einem ausführlichen Reporting und einer vollständigen Logging Funktionalität, die jeden Schritt innerhalb des Workflows dokumentiert, ist man jederzeit in der Lage dem Regulator und den Wirtschaftsprüfern Auskunft zu erteilen. Dies stellt die Integrität der Gruppe und die Konsistenz des Risiko- und Compliance-Programms sicher, minimiert den Aufwand und die damit verbundenen Kosten und führt zu einer effektiven und effizienten Compliance-Organisation.
Abbildung 1 – Darstellung einer Control-Matrix, die die Prüfprojekte mit den erforderlichen Kontrollen verbindet und dadurch eine übersichtliche Darstellung der umzusetzenden Anforderungen ermöglicht
In aller Regel haben die Institute bereits eine Vielzahl bestehender Policies & Procedures im Einsatz. Die Überführung all dieser Dokumente in eine IT-Lösung wäre ein außerordentlich hoher Aufwand, der rein manuell nicht zu leisten ist. Hier kommt die KI ins Spiel. Mit Hilfe geeignet trainierter Large Language Models werden alle bestehenden P&Ps analysiert und in die Zielstruktur überführt. In einem nachgelagerten Qualitätssicherungsprozess können die Ergebnisse auf Vollständigkeit und Korrektheit überprüft werden. So ist man sehr schnell in der Lage, das System initial aufzusetzen. Der sogenannte Legal-Change-Prozess kann somit zu einem guten Teil digital automatisiert werden.
Weitere Funktionalitäten für die Analyse unstrukturierten Daten stehen dem Anwender ebenfalls zur Verfügung. Über die Summary-Funktion ist er in der Lage, bei neuen Gesetzestexten schnell eine inhaltliche Übersicht zu erhalten, die Diff-Funktion erlaubt es, zum Beispiel bei geänderten regulatorischen Anforderungen, die Neuerungen zu extrahieren und damit seine P&Ps entsprechend anzupassen. Die Plattform stellt somit ein Werkzeug bereit, mit dessen Hilfe man schnell und zuverlässig interne Richtlinien anpassen beziehungsweise erarbeiten kann, um sie dann nachvollziehbar umzusetzen.
Die Strukturierung der P&Ps ist nur ein erster Schritt. Um den Compliance-Prozess vollständig automatisiert zu unterstützen, ist der Aufbau beziehungsweise die Integration in eine zentrale Daten- und Anwendungsplattform erforderlich.
Dadurch wird es möglich, die in den operativen Systemen (AML, Sanktionsüberwachung, Betrug, …) befindlichen Regeln und deren Konfiguration zu harmonisieren. Dies führt zu einem Gleichklang der Überwachungssysteme, die in den verschiedenen Entitäten zum Teil unterschiedlich eingesetzt werden.
Ein weiterer Aspekt ist die Zusammenstellung gruppenweit relevanter Informationen für die Compliance, die in einem übersichtlichen Management-Board zusammengefasst werden und dadurch alle wesentlichen Ereignisse und Risiken „auf einen Blick“ ermöglicht.
Durch diesen Automatisierungsprozess wird die Aufgabe der Compliance-Abteilung – vom Compliance-Officer bis zum Geldwäschebeauftragten, vom Policy Advisor bis zum Business Analyst – wesentlich erleichtert. Es ermöglicht, das Unternehmen auf Basis qualitätsgesicherter Daten und Prozesse aus dieser Perspektive heraus zu steuern.
In diesem Blogbeitrag möchte ich einen Ausblick auf 2023 und Folgejahre geben, also die nahe Zukunft unserer Domäne, die sich der Bekämpfung der Finanzkriminalität verschreibt. Wie immer in solchen Ausblicken erheben diese keinen Anspruch auf Vollständigkeit, sondern stellen eine Mischung aus subjektiver Wahrnehmung und Beobachtung sowie objektiver Analyse dar.
Da es unterschiedliche Sichtweisen auf den Bereich „Anti-Financial Crime Compliance“ gibt, möchte ich zunächst einmal darstellen, was hierunter zu verstehen ist, ohne auf allzu viele Details einzugehen. Daran anknüpfend kann die Bewertung des Jahres 2022 und der Ausblick auf die nahe Zukunft erfolgen. Wir bei msg Rethink Compliance fassen die nachfolgenden Bereiche unter dem Begriff Anti-Financial Crime (AFC) zusammen. Dabei ist jeder Bereich eigenständig zu sehen, auch wenn es Schnittmengen untereinander gibt. Siehe hierzu auch unser Glossar.
Explizit ausgenommen sind in dieser Betrachtung die Bereiche Tax Evasion, also die Steuerhinterziehung, die Schnittmengen zu AML und KYC hat, sowie der Bereich Anti-Cybercrime, der im weiteren Sinne zur Betrugsprävention gehört, aber zum Beispiel in den Bereichen der Industriespionage ein eigenes Themenfeld darstellt. Diesem Sachverhalt tragen wir in der msg Gruppe Rechnung und bieten mit den msg security advisors Spezialkompetenz an.
Zum Jahr 2022 liefert die Plattform Financial Crimes News eine meines Erachtens sehr gute und strukturierte Übersicht und Analyse der Ereignisse samt interessanter Fragestellungen (Fighting Financial Crime in 2022 – Dashboard by FCN). Da auch nahezu jeder Softwareanbieter in dem Bereich nicht müde wird, die Geschehnisse des Jahres mal mehr, mal weniger zu kommentieren, möchte ich mich nicht in diesen Reigen einreihen.
Wir untersuchen fortlaufend und systematisch den Markt. Dafür haben wir unser AFC-Radar entwickelt, in dem wir alle Beteiligten genauer betrachten, Beobachtungen sammeln, Trends identifizieren und dann prüfen, inwieweit diese nachhaltige Auswirkungen für die AFC-Compliance haben. Hierzu gehören Politik, Regulatoren, Überwachungsorganisationen oder die betroffenen Branchen wie Banken, Versicherungen und andere. Wir berücksichtigen aber auch Veränderungen in der Art der Arbeit, Technologieverfügbarkeiten, Systemlieferanten und Softwareanbieter sowie die Einsatzmöglichkeiten der Anwendungen. Diese Beobachtungen versuchen wir über vier Betrachtungsperspektiven zu erhärten. Die nachfolgende Darstellung gibt einen groben Eindruck von der Vielzahl der betrachteten Treiber.
Grundsätzlich darf man annehmen, dass diesen Treibern die generelle Motivation zu Grunde liegt, eine Verbesserung der Bekämpfung von Wirtschaftskriminalität herbeizuführen. Einer aktuellen Diskussion um die künstliche Intelligenz (KI) folgend habe ich kürzlich ChatGPT, einen fortschrittlichen Prototyp eines Chatbots des US-amerikanischen Unternehmens OpenAI ausprobiert. Auf die Frage „Hast Du Ideen für die Verbesserung zur Bekämpfung von Wirtschaftskriminalität?“ lieferte der KI-gesteuerte Bot folgende Antwort[1]:
Das dahinterstehende Transformer-basierte Machine-Learning-Modell[2] wurde auf einem großen Datensatz von Konversationen trainiert. Mainstream dominiert hier, nicht zwingend Fakten. So können diese sechs von ChatGPT genannten Punkte nicht wirklich überraschen. Dies bleibt auch so, wenn man jeden einzelnen Aspekt der obigen Antworten weiter hinterfragt. Selbst auf die Frage, wie das umgesetzt werden kann, liefert das Modell Hinweise. Auf die besondere Bedeutung von Transformer-Modellen, inklusive der neueren Feedback-Transformer-Architekturen[3], für die regulatorische Compliance haben wir auf diversen Konferenzen bereits hingewiesen, ebenso wie auf die Probleme, vor allem in Bezug auf Wahrnehmungsverzerrungen („Bias“) von KI/ML. ChatGPT hat große Aufmerksamkeit geweckt und viel Zuspruch erfahren, jedoch sind für diese spezifische künstliche Intelligenz noch gänzlich andere Fragen kritisch zu stellen, die hier jetzt nicht verfolgt werden sollen. Aber sicherlich kann man voraussagen, dass im Bereich der AFC-Compliance der Technologieeinsatz − dazu gehört letztlich auch KI/ML − weiter zunehmen wird, um die Effektivität und Effizienz zu erhöhen.
Für die nähere Zukunft der AFC-Compliance sehen wir unter anderen auch die folgenden weiteren Themen, Signale und Trends:
Regulation & Aufsicht. Hierunter habe ich versucht, unsere wesentlichen Beobachtungen zu den Anforderungen und Verhaltensweisen der Regulatoren und Aufsichtsbehörden darzustellen, ohne hierbei auf neue oder Anpassungen bestehender Gesetze (AMLA, LkSG, EU Supply Chain Directive, EU AI Act und viele andere mehr) einzugehen. Ebenso habe ich spezielle Industriethemen unberücksichtigt gelassen wie Target2 im Zahlungsverkehr, welches in der EU dieses Jahr erfolgreich gelingen sollte, den Immobiliensektor, der sich einer verschärften Regulation und Aufsicht stellen darf, die sogenannten DNFBPs („Designated Non-Financial Businesses & Professions”), für die gleiches gelten wird, oder die Herausforderungen im Payments-Bereich und im eCommerce. Vielmehr behandele ich nachfolgend die allgemein gültigen Themen.
Im Bereich der Industrietreiber möchte ich aus der Summe der identifizierten Beobachtungen die nachfolgenden erwähnen:
Effektivität & Effizienz. Man ist geneigt, diesen Punkt immer als technologisch motiviert zu betrachten. Dem ist nicht so! Zwar nehmen in diesem Bereich die Themen Automatisierung und KI/ML einen großen Raum in der Diskussion ein, doch wäre es fatal anzunehmen, dass ausschließlich mittels Technologie eine Besserung der Situation herbeigeführt werden könne. Technologie – ob neu oder geändert – sollte immer auch eine Adaption der Prozesse und gegebenenfalls der Aufbauorganisation nach sich ziehen oder dies der Technologie gar vorausgehen.
Man könnte sehr viel mehr schreiben, doch stellen die oben angeführten Punkte meines Erachtens eine gute Mischung aus aktuell diskutierten und für die nahe Zukunft zu erwartenden Herausforderungen dar. AFC-Compliance bleibt, wenig überraschend, auch im Jahr 2023 ein anspruchsvolles Thema sowohl in Punkto Effektivität als auch notwendiger Effizienzverbesserung und Verhältnismäßigkeit der Mittel.
[1] ChatGPT Dec 15 Version in a Free Research Preview; Original Question: “Got any ideas to improve combatting financial crime?”
[2] Transformer bezeichnet ein Deep-Learning-Modell, welches auf sequentiellem Dateninput basiert, der aber parallelisiert werden kann und damit hilft, die Trainingszeit deutlich zu reduzieren.
[3] Der Begriff „Feedback Transformer“ entstammt einem Forschungspapier vom 25.01.2021 der Autoren Angela Fan, Thibaut Lavril, Edouard Grave, Armand Joulin, Sainbayar Sukhbaatar, sämtlich von Facebook AI Research, in dem Limitationen von herkömmlichen Transformer-Modellen ebenso aufgezeigt wurden wie die mögliche Beseitigung dieser Einschränkungen. Wir empfinden den Begriff tendenziell irreführend und verwenden in der Regel den Begriff „rekursiver Transformer. Hierbei werden alle Layer in einem Vektor pro Zeitschritt dem Modell-Gedächtnis zugeführt, nicht nur die Repräsentationen der niedrigeren Ebenen. Daraus entstehen deutlich leistungsfähigere Modelle.
[4] Vgl. Brunnermeier, M. K. (2021), The Resilient Society, 2nd Edition.
[5] Am 18.10.2022 urteilte das zuständige Gericht in Amsterdam, dass die Neobank bunq zur Bekämpfung von Geldwäsche sehr wohl auf Methoden der künstlichen Intelligenz zurückgreifen könne. Unter anderem das wurde von der niederländischen Zentralbank bislang abgelehnt. In dem Urteil werden allerdings auch Mängel der Bank in der Effektivität des Monitorings vor allem im Bereich der Kundenrisikoklassifizierung bestätigt. Sowohl die DNB als auch bunq sehen ihre Meinungen in dem Urteil bestätigt. In Bezug auf den Einsatz moderner Technologie zur Bekämpfung der Geldwäsche hat die DNB auf Basis des Urteils angekündigt, in den Dialog mit dem Finanzsektor zu gehen.
Es wird viel geschrieben und berichtet zum Thema Lieferketten-Compliance, ob zum deutschen Lieferkettensorgfaltspflichtengesetz (LkSG), der entsprechenden EU-Direktive, die dazu in Vorbereitung ist, oder den international schon länger gültigen und ebenfalls die Lieferkette betreffenden exterritorialen Gesetze wie den UK Bribery Act (UKBA) oder den US Foreign Corrupt Practices Act (FCPA). Meine Kolleginnen haben sich bereits inhaltlich mit den einzelnen Richtlinien wie auch den weiteren Kontext zu Bestechung, Korruption und ESG auseinandergesetzt und dies in anderen Blogbeiträgen veröffentlicht. [👉Pinar Karacinar-Gehweiler: Compliance-Anforderungen aufgrund des Lieferkettensorgfaltspflichtengesetzes; 👉Lea Ilina: ESG im Spannungsfeld der Korruption]. Dieser Blogbeitrag skizziert nun ein entsprechendes IT-System zur Unterstützung der Lieferketten-Compliance und zeigt auf, welche Komponenten wie und warum Teil eines solchen Systems sein sollten.
Auch wenn die oben genannten Regulatorien auf den ersten Blick wenig gemein zu haben scheinen, so verbinden sie doch alle mindestens die nachfolgenden Punkte:
Daraus ergibt sich kurz folgende Prozesssicht auf die Thematik:
Abb. 1: Prozessuale Sicht Geschäftspartner-Screening
Die Zusammenlegung der skizzierten Themen ermöglicht das Heben von Effizienz- und Produktivitätsvorteilen. Es lässt sich so ein einheitliches System für die Geschäftspartner-Compliance herstellen, welches die diesbezüglichen unternehmensspezifischen Risiken ganzheitlich abdeckt und darstellt. Neben Transparenzvorteilen ergibt sich hieraus vor allem eine Redundanzvermeidung in der Bearbeitung unternehmensintern wie auch auf Seiten des Geschäftspartners, also des Lieferanten. Die Unterstützung durch ein flexibles IT-System, der Einfachheit halber Lieferketten-Compliance-Lösung genannt, trägt weiter zur Kostensenkung durch Vermeidung von IT-Silos, redundanter Datenaufbereitung und -haltung und zur Verringerung der sonstigen direkten und indirekten Kosten einer solchen Softwarelösung im Vergleich zu mehreren Einzellösungen bei.
Aus den oben angeführten Überlegungen im Zusammenhang mit der prozessualen Sicht auf einen Geschäftspartner-Lebenszyklus ergibt sich für den Aufbau einer solchen, flexiblen Softwarelösung folgender schematischer Aufbau, angefangen mit den Kernprozessen:
Nachdem die Kernprozesse grob beschrieben wurden, ergibt sich die Frage der Akteure, die an bzw. mit einem solchen System arbeiten müssen, also die Frage nach Schnittstellen und Benutzerrollen. Auch hier ist die Auflistung schematisch zu verstehen.
Schnittstellen:
Zu den Schnittstellen ist zu bemerken, dass hier nicht auf spezielle, landes- oder industriespezifische Berichtsanforderungen zu Aufsichtsbehörden eingegangen wird, die gegebenenfalls eine weitere Schnittstellenanforderung darstellen können.
Benutzerrollen:
Zu den Rollen ist zu bemerken, dass diese immer unternehmensspezifisch einzurichten sind und sich diese wie auch die Rollenbezeichnungen durchaus anders darstellen können.
Daraus ergibt sich grob das folgende Use-Case-Diagramm für ein IT-gestütztes Lieferketten-Compliance-System:
Abb. 2: Use-Case-Diagramm eines IT-gestützten Systems für die Lieferketten-Compliance (ohne Ereignis-/Transaktionsmonitoring)
Die skizzierte IT-gestützte Umsetzung eines Geschäftspartner-Compliance-Systems ist generisch und kann in dieser Form die regulatorischen Compliance-Anforderungen zur Zusammenarbeit mit Geschäftspartnern allgemein (Vertriebspartner, Joint-Ventures, Forschungsinitiativen, HR-Partner, etc.) sowie Lieferanten im Speziellen unterstützen. Auf aufsichtsrechtliche Spezifika wurde aus Gründen der Übersichtlichkeit ebenso verzichtet wie auf industriespezifische Anforderungen. Im Rahmen dieser Blogreihe werden wir in Kürze auch Einblicke bzw. Beispiele geben zu Risikomodell, Prüfstrategie und Reporting. Es lohnt sich also, dem #rethinkcompliance Blog zu folgen und dranzubleiben.
msg Rethink Compliance GmbH
Amelia-Mary-Earhart-Str. 14
60549 Frankfurt am Main
+49 69 580045-0
info@msg-compliance.com
Die msg Rethink Compliance GmbH ist Teil von msg, einer unabhängigen Unternehmensgruppe mit mehr als 10.000 Mitarbeitenden.
Die msg-Gruppe ist in 34 Ländern in den Branchen Banking, Insurance, Automotive, Consumer Products, Food, Healthcare, Life Science & Chemicals, Public Sector, Telecommunications, Manufacturing, Travel & Logistics sowie Utilities tätig, entwickelt ganzheitliche Softwarelösungen und berät ihre Kunden in allen Belangen der Informationstechnologie.