Themenschwerpunkt Compliance

Unternehmensweite Compliance-Governance in Banken

Ein Artikel von Dirk Findeisen, Gründer und Geschäftsführervon msg Rethink Compliance und Dr. Heiko Möller, RegTech Data Scientist bei msg Rethink Compliance | 27.10.2021 - 10:00
Dirk_062_1x1_freigestellt.png

Dirk Findeisen ist Gründer und Geschäftsführer des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung im Bereich Governance, Risk & Compliance (GRC), Data Management, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge rund um das Thema Anti-Financial Crime-Compliance, gefragter Referent auf Fachveranstaltungen und Lehrbeauftragter an einigen deutschen Hochschulen. 

Compliance allgemein als die Einhaltung materieller Gesetze und selbst gesetzter Regelungen sowie die unfreiwillige Vorreiterrolle der Banken im Bereich der Finanz-Compliance sind vielfach diskutiert. Neben dem Wertpapierhandelsgesetz (WpHG) und dem Kapitalanlagengesetz (KAG) stechen das Kreditwesengesetz (KWG) sowie die konkretisierenden Anweisungen der Aufsicht, wie die MaRisk (BA), hervor, die durch Skandale und verstärkte Geldwäschediskussion in den Fokus der Öffentlichkeit gerückt sind. Bei der Governance geht es um Strategie, Leitlinien, Prozesse und Technologien mit dem Fokus, Effektivität und Effizienz unter Einhaltung der ethisch-gesetzlichen Rahmenbedingungen zu steigern. Am Beispiel der Geldwäsche-Compliance bedeutet gesteigerte Effektivität das erweiterte Screening und Monitoring von monetären wie nicht-monetären Transaktionen, um den sog. „Blinden Fleck“ zu reduzieren. Je weiter aber der Filter bei den regelbasierten Systemen geöffnet wird und je mehr Personen- und Transaktionsdaten verarbeitet werden, desto häufiger erhält man Fehlalarme und erreicht damit das Gegenteil einer gesteigerten Effizienz. Innovative Technologien wie die KI, aber auch Brückentechnologien wie RPA versprechen Abhilfe.

Mit Hilfe von KI-Algorithmen kann der Trade-Off zwischen Effektivität und Effizienz der regelbasierten Systeme überwunden werden. Mittels Bots können Tasks und Prozesse automatisiert werden. Je mehr KI allerdings eingesetzt wird, desto weniger transparent und nachvollziehbar sind die Entscheidungen. KI-Systeme werden oft cloudbasiert angeboten. Bedenken bezüglich Sicherheit und Datenschutz sind laut Gartner Hindernisgrund Nummer 1 für die Verwendung von KI. Dabei können sowohl die Herausforderungen der DSGVO als auch der MaRisk AT 9 (Auslagerung) erfolgreich gestemmt werden, wenn die Anwendungsfälle richtig gewählt werden [siehe auch „Compliance in der Cloud“].

Heiko-0743-1x1-1-freigestellt.png

© Dr. Heiko Möller ist promovierter Physiker und war einige Jahre in der Forschung an der TU Darmstadt, dem GSI Helmholtzzentrum und dem Los Alamos National Laboratory in den USA tätig. Danach hat Heiko Möller Erfahrung in der Beratung gesammelt und nationale wie internationale Finanzinstitute bei der Entwicklung und Einführung von RegTech-Lösungen (KYC, AML/CFT, FATCA & CRS, TBML, Correspondent Banking Monitoring) beraten. Als RegTech Data Scientist bei msg Rethink Compliance liegt der Schwerpunkt seiner Arbeit auf der Technologieberatung und dem Einsatz von Artificial Intelligence & Data Analytics in der regulatorischen Compliance.

Auch Regulatoren und Aufsicht diskutieren den Einsatz der KI. Als Durchbruch kann das Statement aus dem Jahr 2018 von OFAC, FinCEN und weiteren gewertet werden, in dem Finanzinstitute aufgefordert wurden, innovativere Technologien im Kampf gegen illegale Finanzaktivitäten einzusetzen. 2019 folgte ein Innovationsprogramm der FinCEN. Die BaFin veröffentlichte 2018 die Studie „Big Data trifft künstliche Intelligenz“ und 2021 das Prinzipienpapier zu Big Data und KI. Allerdings hat die Befolgung der Prinzipien keine bewilligende Wirkung im Bereich der aufsichtlichen Vorgaben. Das gilt insbesondere für KI-Algorithmen in Entscheidungsprozessen und die Vermeidung von systemischen Verzerrungen. Letzteres ist durch eine regelmäßige Kalibrierung und Validierung der KI-Modelle zu erreichen, die – wie das Training der Modelle – begründet und dokumentiert werden muss. Im Bereich der Geldwäsche-Compliance sind die 2021 veröffentlichten „Auslegungs- und Anwendungshinweise – Besonderer Teil für Kreditinstitute (AuA BT)“ führend, welche die Angemessenheit von DV-Systemen insbesondere bei IT-basierten Entscheidungen klarstellen: Bei jedem generierten Treffer müssen die wesentlichen Einflussfaktoren aufgezeigt und das Zustandekommen des Ergebnisses plausibel dargestellt werden [siehe auch „AuA BT Ziffer 6“].

Defacto ein Verbot von KI-Blackboxen? Nein. Richtig implementiert können die aufsichtlichen Anforderungen und die bedingte Erklärbarkeit von KI-Modellen in ein adäquates Risikomanagement überführt werden. Dies kann durch eine KI-gestützte Ergänzung der regelbasierten Systeme (effektivitäts- und effizienzsteigernd) sowie den nachvollziehbaren Einsatz von RPA-Bots (effizienzsteigernd) erfolgen. Zwei Beispiele:

AML Governance Stress Testing

Auch bei regelbasierter Geldwäscheprüfung ergibt sich ein Mehrwert durch die Verwendung von ML-Methoden. Der Gesetzgeber schreibt hier zwar die Regularien vor, bei der Implementierung der Regeln existiert aber ein Spielraum (z.B. Schwellenwerte). Hier kann KI-basiertes Stresstesten unterstützen, Schwachstellen im Regelwerk zu identifizieren sowie zur Effektivitäts- und Effizienzsteigerung beizutragen. Ein integraler Beitrag liegt hierbei in der Erzeugung von realistischen Testdaten, die zum einen zum Geschäfts- und Risikoprofil der Bank passen, aber auch alle gängigen Geldwäschetypologien und Terrorfinanzierung abdecken.

AML Automatisierung Falluntersuchung

Wird aus einem oder mehreren Alerts ein Fall, muss dieser weiter untersucht werden. Daten müssen gesucht, dem Fall hinzugefügt und bewertet werden. Gleiches gilt für ergänzende Dokumente oder Dateien. Eine Vielzahl an Tasks wird ausgeführt, die meisten davon einem bestimmten Schema folgend. Es handelt sich dabei also um repetierende Tasks, die mit Hilfe von RPA automatisiert werden können. Je nach gewählter Technologie können solche Bots wiederum mit KI-Algorithmen aufgewertet werden und damit noch vielseitiger zum Einsatz kommen – genau richtig für eine automatisierte Fallbearbeitung und Vorqualifizierung. Die finale Bewertung des Falls und das Starten des Genehmigungsprozesses für das FIU-Reporting kann dann durch einen menschlichen Experten sehr effizient erfolgen.

Die Kosten der Compliance-Arbeit stehen im direkten Zusammenhang mit dem Verhältnis des Technologieeinsatzes zu den Arbeitskosten. Eine aktuelle Studie zeigt, dass die Kosten in Europa bei einem schlechteren Technologieeinsatz/Arbeitskosten-Verhältnis im Vergleich zu Nordamerika und Asien deutlich höher sind. Europa scheint Nachholbedarf zu haben. Künstliche Intelligenz, Bots und anderes scheinen gute Optionen zu sein.

Interessiert Sie dieses Thema? Wenn ja dann finden Sie hier morgen einen weiteren Artikel dazu. Und in der Ausgabe 6/21 der gi Geldinstitute haben wir dem Thema Compliance einen Themenschwerpunkt gewidmet. Seien Sie gespannt!