Nur eine konstruktive GRC-Politik vermag das komplexe Organisieren und Monitoring der sensiblen Daten zu erleichtern. Sie allein kann die Lücke zwischen nationalen wie internationalen Datenschutzbestimmungen und dem notwendigen Zugriff auf GRC-Daten für Auditprozesse schließen. Da solche Lösungen meist IT-lastig sind, hat das Rechenzentrum einen hohen Stellenwert.
Die Idee vom Rechenzentrum als geschlossenem, sicheren Raum mit großen Servern gehört der Vergangenheit an: Unabhängig davon, wo und in welchem Netzwerk GRC-Daten abgelegt sind, wollen internationale Kunden in Echtzeit auf Auditdaten und -dienste zugreifen. Behörden wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder die europäische Finanzmarktaufsicht ESMA wollen dies ebenfalls. Das Resultat ist eine Flut an Richtlinien. Diese zwingt Finanzunternehmen, ihre IT-Infrastrukturen und Rechenzentren stärker proaktiv auszurichten: Um einerseits das Einhalten der Richtlinien zu ermöglichen und um andererseits Risiken und Kosten zu minimieren.
GRC-Daten auf Wachstumskurs
Neuesten Schätzungen zufolge wird sich die Datenmenge – allein für Unternehmen – zwischen 2008 und 2013 verfünffachen. Das GRC-Datenvolumen wächst überproportional hierzu. Ende 2013 wird es sich verdoppelt haben und rund 30 Prozent der Gesamtdaten ausmachen (IDL, Mai 2011). Die Aufgabe liegt nun darin, Auditverantwortlichen punktgenaue Echtzeitanfragen zu ermöglichen. Datensicherheit und gesetzliche Bestimmungen zu Geldwäsche, Aktienhandel und Insiderhandel dürfen hierbei nicht außer Acht gelassen werden.
Gefragt ist eine IT-Infrastruktur, die all diese Anforderungen erfüllt, auch wenn der Zeitpunkt etwas ungünstig scheint: Allzu sehr müssen Finanzdienstleister Kosten senken und effizienter werden, sind Kundendienst und Informationszugriff zu verbessern. Hier kommt das Rechenzentrum als Herzstück der IT-Infrastruktur ins Spiel.
Doch die meisten Rechenzentren, Geschäftsbereiche und ihre Anwendungen sind immer noch als in sich geschlossene Strukturen angeordnet, die keine Verbindung zueinander haben. Diese Struktur macht Audits und Reporting in Echtzeit zu teuren, komplexen und langwierigen Prozessen. Oft sind Reportdaten schon bei Abruf veraltet oder enthalten nicht die für effektives Entscheidungs- und Risikomanagement nötigen Informationen.
Datacenter als
strategisches Asset
Da Daten das A und O der Finanzwelt sind, sind Rechenzentren nicht mehr nur Aufgabe der IT-Abteilung. Unternehmensbereiche müssen darauf bauen können, dass diese Zentren ihre Anforderungen erfüllen und die GRC-Datenpolitik unterstützen. Nur so ist effektive Organisation innerhalb enger Richtlinien möglich. Überdies haben noch andere bankinterne wie -externe Entscheider (Auditoren, Berater, Risikomanager, Geschäftsführer, Complianceverantwortliche) Einfluss darauf, was das Rechenzentrum können muss. Proaktivität ist für alle unabdingbar. Dennoch birgt GRC-Datenmanagement immer noch Risiken und ist nicht vollständig alltagstauglich. Hierdurch wachsen Kosten und Zeitaufwand. Wie also können Rechenzentren alle Anforderungen erfüllen? Folgende Finanzrichtlinien zeigen die Herausforderungen an die Netzwerkarchitektur sehr konkret:
▷2013 tritt in der Europäischen Union die AIFM-Richtlinie zur Regulierung geschlossener Fonds in Kraft sie soll mehr Transparenz in Hedge Fonds, außerbörsliche Unternehmensbeteiligungen und andere Investmentfonds bringen. Darüber hinaus soll sie mögliche Systemrisiken erkennen und vermeiden helfen. Ihre Umsetzung wird im ersten Jahr wohl 1,3 bis 1,9 Milliarden Euro kosten, größtenteils für die Anpassung der IT-Infrastruktur.
▷Die Basel-III-Richtlinien hinsichtlich der Erhöhung der Kapitalausstattung und der MiFID2-Erlass zur Transparenz der EU-Finanzmärkte zeigen, wie enorm hoch die Anforderungen an Risikomanagement und Compliance sind. Alle Auflagen erhöhen die Notwendigkeit für Monitoring, Analyse, Reporting und Archivierung. Wirksames Risikomanagement braucht also sofortigen Zugriff auf elektronische Daten und leistungsfähige Rechenzentren. Datenspeicherung ist eine weitere Herausforderung laut Basel III und EU MiFID2 sind alle Daten bis zu fünf Jahre vorzuhalten. Enorm wichtig ist daher, Speichernetzwerke und Archivierungssysteme in andere Auditsysteme und Applikationen zu integrieren.
▷Die US-Börsenaufsicht (SEC) reagierte per Erlass SEC 17 CFR Part 242 auf enge Zusammenhänge zwischen effektivem Risikomanagement und der Notwendigkeit elektronischer Audits in Echtzeit. Gleichzeitig macht das schnelle Wachstum des weltweit automatisierten, Richtlinien und Staatsgrenzen überschreitenden Börsenhandels die Nachverfolgung und Organisation von Daten zur Herausforderung. „Ein vollständiger Überblick über Insiderhandel, Marktmanipulation und Insidergeschäfte mit Aktienanteilen auf verschiedenen Märkten gleichzeitig ist oft nicht möglich, da marktexterne Orderdaten oder Positionslimite zu Großgeschäften nicht annähernd in Echtzeit elektronisch abrufbar sind“, erklärt ein IT-Spezialist aus der Finanzbranche.
Trotz der komplexen Situation versuchen Finanzdienstleiter, ihre GRC-Daten mit hoher Effizienz und Qualität zu handhaben – obwohl sie das Risiko unbestätigter externer GRC-Daten aus Verkäufen und Transaktionen nicht genau einschätzen können. Dies steigert die Nachfrage nach intelligenten Geschäftslösungen, von der sich Compliance- und Riskmanager besseren Einblick in Anwendungen und Datenquellen erhoffen, um Entscheidungsfindung und Datensteuerung zu optimieren.
Als Übergangslösung mag dies funktionieren, da das europäische Regelwerk vielerorts noch nicht voll funktioniert. Es zeigt aber, wie unerlässlich es ist, Rechenzentren in Finanzunternehmen GRC-fähig zu machen, um flexibler und sicherer agieren zu können. Kostspielige Fehler und manuelles Auditing lassen sich so vermeiden. Da die wachsenden Datenmengen auch weiterhin sicher verwaltet werden müssen, reicht es nicht, nur auf GRC-Anforderungen zu reagieren. Vielmehr müssen Unternehmen ihre GRC-Politik aktiv selbst bestimmen.
Proaktiv statt reaktiv
Ein erfolgreicher und nachhaltiger Umgang mit GRC-Unwägbarkeiten kann Aktienkurs, Kundenvertrauen, Wettbewerbsvorteile und Cashflow stark beeinflussen. Weiterhin birgt dies Risiken für die Reputation, wie die jüngste Finanzkrise gezeigt hat. Ähnlich verhält es sich mit Risikoanalysen durch Regulierer – sie bestimmen, wie oft Unternehmen künftig kontrolliert werden. Da jede Kontrolle enormen Personal- und Kostenaufwand verursacht, brauchen Unternehmen neue Rechenzentrumstrukturen, die nachhaltig und kosteneffektiv diese Anforderungen meistern.
Integration und Konsolidierung sind Schlüsselelemente der GRC-Politik. In der Praxis sind integrierte Lösungen einer Insellösung vorzuziehen, da Letztere zehnmal mehr Kosten nach sich zieht. Konsequenterweise sollten Daten direkt aus dem Storage Area Network (SAN) über hochvirtualisierte Umgebungen basierend auf Ethernet, Fibre Channel oder Fibre Channel over Ethernet (FCoE) transportiert und aussagefähig für Key-Risk-Indikatoren aufbereitet werden. Nur dann helfen sie, GRC-Entscheidungen wirklich zeitnah zu treffen.
Neue Technologien wie Ethernet Fabrics sind Grundlage der Rechenzentren von morgen. Durch einfachere, schnellere und stärkere Netzwerke helfen sie, die Produktivität zu steigern und zugleich Kosten zu senken. Auf diese Weise unterstützen derart erweiterte Netzwerkfunktionalitäten Finanzunternehmen in vielerlei Hinsicht: Komplett virtualisierte Infrastrukturen gestatten Auditprozesse in Echtzeit, ermöglichen die hohe Verfügbarkeit von Anwendungen und Netzwerkressourcen und vermeiden Downtimes. Außerdem halten sie Kosten und Nutzen im Gleichgewicht und schützen IT-Investitionen langfristig.
Autor: Frank Kölmel, Regional Sales Director DACH bei Brocade