Banken und IT

Lost in Compliance

26.11.2014 von Mathias Walter

In Banken haben IT-Projekte mit regulatorischem Hintergrund seit Jahren Vorrang vor allen anderen – beliebt sind sie aber deshalb nicht. Hohe Kosten, Zeitdruck, unklare Anforderungen und unübersichtliche Teams bereiten den Verantwortlichen in der Praxis die meisten Probleme. Sind Banken also mit den eigenständigen Compliance-Projekten möglicherweise überfordert?

Finanzhäuser haben es oft schwer, die an sie gestellten Compliance-Anforderungen zu erfüllen und im Gleichgewicht zu halten.
Foto: Oleksandr - Fotolia.com

Der Grund warum sich Compliance-Projekte von bisher üblichen Bankprojekten unterscheiden, liegt auf der Hand: Nach wie vor dominieren auf Fach- und IT-Seite die üblichen Produktgruppen sowie die zugehörigen Fachteams. In den letzten Jahrzehnten waren IT-Projekte stets exakt auf eine dieser Produktwelten ausgelegt. Fachlich war diese organisatorische Aufstellung sinnvoll, führte aber auf der IT-Seite zu so genannten "System-Silos".
Die Folge: Die verhältnismäßig starren Strukturen können nicht flexibel genug an veränderte Bedürfnisse des jeweiligen Finanzhauses angepasst werden. Für die verschiedenen Bank- und Finanzprodukte werden zudem bis heute oft eigene Systeme betrieben - teilweise sogar inklusive separater Datenhaltung. Vielfach existiert kein datenführendes System, sodass redundante und veraltete Datenbestände an der Tagesordnung sind.

Compliance-Projekte sind jedoch in der Regel nicht auf einzelne Produktgruppen begrenzt sondern betreffen viele unterschiedliche Bereiche einer Bank. Zur Projektplanung- und Umsetzung müssen also Beteiligte aus allen Produktwelten in das Projekt involviert werden, sowohl aus dem Fachbereich als auch aus der IT. Damit wird das Projektteam schnell unübersichtlich, Entscheidungen verzögern sich und die Arbeit wird zunehmend ineffektiv. Durch die gewachsenen Strukturen ist praktisch im Handumdrehen eine nie gekannte Komplexität entstanden, derer Fach- und IT-Verantwortliche aus eigener Kraft nur mit Mühe wieder Herr werden.

Pragmatische Lösungen helfen selten

Verschärft wird diese Situation, weil die Anforderungen des Projektes weitgehend unklar sind - teilweise sogar bis kurz vor Ende. Statt nach dem Motto "Mut zur Lücke" zügig mit der Umsetzung zu beginnen, wartet man oft, bis alle Informationen bis ins Detail konkretisiert wurden. Steht dann der Entschluss zum Projektstart, ist es für eine vollumfängliche und termingerechte Umsetzung schon fast zu spät. Um diesem Dilemma zu entgehen, sucht man nach Vereinfachungen und glaubt an pragmatische Lösungen, die sich jedoch im Nachgang als teurer Irrweg erweisen.

Ein gutes Beispiel dafür ist die Umsetzung des Foreign Account Tax Compliance Act (FATCA). Viele Banken haben sich im Zuge der Einführung nur auf die Erfassung der US-Steuerpflicht konzentriert. Durch die OECD-Initiative des Automatisierten Austausches von Informationen, dem so genannten "Common Reporting Standard", kommen neue Anforderungen ins Spiel. Die Folge: Die gerade abgeschlossenen Compliance-Projekte müssen im Grunde wiederholt werden, weil nun die steuerliche Ansässigkeit von Privatpersonen und "beneficial ownern" von derzeit knapp 60 Staaten von regulatorischem Interesse ist.

Mathias Walter: "Nur die wenigsten Finanzhäuser verfügen über Experten, die alle Voraussetzungen erfüllen und gleichzeitig gut in der technischen Umsetzung sind."
Foto: Trivadis AG

Spezielles Know-how ist gefragt

Doch ist das skizierte Dilemma aus eigener Kraft zu lösen? Unmöglich ist dies nicht. Denn im Grunde laufen Compliance-Projekte fast immer nach dem gleichen Muster ab und haben direkte Auswirkungen auf Kundenwelten, Prozesse, Systeme und rechtliche Dokumente - wie beispielsweise die Allgemeinen Geschäftsbedingungen (AGB). Erfahrungen aus der Praxis zeigen jedoch, dass Projektverantwortliche in Banken damit oft heillos überfordert sind. Um die Projekte zum Erfolg zu führen, reicht technische Expertise bei Weitem nicht aus. Leitende Projektmanager müssen auch gute Moderatoren sein, die Fach- und IT-Verantwortliche gleichermaßen verstehen und zwischen verschiedenen Interessengruppen vermitteln. Außerdem sollten sie mit wechselnden Anforderungen (moving targets) und variablen Zeitplänen umgehen können. Doch nur die wenigsten Finanzhäuser verfügen über Experten, die all diese Voraussetzungen erfüllen und gleichzeitig gut in der technischen Umsetzung sind.

CIOs über Compliance und Geschenke

Consultant Theo Bergauer
Consultant Theo Bergauer weiß, wie schwierig das Thema Geschenke und Gefälligkeiten in der Businsswelt seit dem Fall Christian Wulff geworden ist. Sein Tipp: "Es sind ja nicht die großen Geschenke oder Gefälligkeiten, die die Freundschaft erhalten. Sondern kleine Dinge. Wenn ich weiß, dass jemand Anhänger eines bestimmten Vereins ist oder ein bestimmtes Hobby pflegt, maile ich ihm einen interessanten Zeitungsartikel dazu."

Wenn es um die Wurst geht
Bergauer weiter: "Viele Unternehmen haben erstmals Abteilungen rund um Compliance eingerichtet. Dabei gehen die Policies manchmal schon ins Lächerliche. Wenn die Mitarbeiter keine Bratwurst-Semmel mehr annehmen dürfen, kann das Trotz wecken."

Äußerungen meist off the records
Wir haben zu diesem Thema eine - nicht repräsentative - Umfrage unter einigen CIOs gestartet. Die meisten mochten sich nicht öffentlich äußern - der Brisanz des Themas wegen. Teilweise haben die CIOs schleche Erfahrungen mit unternehmensinternen Petzen gemacht. Deren "Anlass" bewegte sich in den uns geschilderten Fällen auf dem Niveau der besagten Bratwurst-Semmel.

Matthias Moritz, Almirall-CIO
Matthias Moritz, CIO bei Almirall, sagt: "Ich habe es mir zu eigen gemacht, meinen persönlichen Werten entsprechend, eigentlich weder Geschenke noch Einladungen et cetera anzunehmen." Ausgenommen ist davon lediglich das ein oder andere Geschäftsessen. Moritz Erfahrung: Geschäft funktioniert auch ohne! "Und meist besser...", sagt er.

Die Geste macht die Musik
Der Almirall-CIO bestätigt Bergauers These vom Wert der kleinen Geste. Moritz spielt Bass in einer Pop-Band und sagt: "Über musikalischen Gedankenaustausch freu ich mich natürlich immer gern..." Zum Beispiel über Presseartikel oder gute Tipps.

Klaus Weiß, CIO der dwpbank
Auch Klaus Weiß, CIO der dwpbank, nimmt Geschenke und Einladungen zu Events nur in Ausnahmefällen an. "Nicht nur wegen der strengen Compliance-Regeln, sondern ganz grundsätzlich", sagt er.

Die Kunst der Geschäftsfreundschaft
Auch er hat die Erfahrung gemacht, dass eine Aufmerksamkeit ohne großen materiellen Wert mehr Freude bringt. Einmal hat zum Beispiel das Team eines Geschäftspartners eigenes Bier gebraut. Ein anders Mal nahm Weiß an einer besonderen Führung durch die Kunsthalle Schirn (Foto) teil.

Fazit: Externer Blick schafft Klarheit

Ein möglicher Ausweg aus dem Compliance-Dilemma ist eine Beratung und Mediation der zuständigen Projektteams durch unabhängige Fachleute. Sie identifizieren Probleme und Lösungswege meist schneller als interne Mitarbeiter, die schon über viele Jahre für die einzelnen Fachbereiche verantwortlich sind. Mit dem Blick von außen und erprobten Methodiken helfen sie den Banken dabei, anspruchsvollste Compliance-Projekte korrekt und termingerecht umzusetzen und gleichzeitig Kosten und Risiken auf ein vertretbares Minimum zu beschränken. Entscheider in Banken sollten sich aber nicht nur beraten lassen sondern vor Projektstart auch klären, welche Standardmethodiken der IT-Dienstleister ihrer Wahl beherrscht und im vorliegenden Projekt einsetzen würde. Halten sich die Erfahrungen hier eher in Grenzen, sollten sie nach einem anderen Partner Ausschau halten - oder zumindest eine zweite Experten-Meinung einholen. (bw)