„Druck von außen erhöht die Bereitschaft zu Verbesserungen“

Die digitale Transformation ist ein langwieriger Prozess. Ob die Regulatorik dabei eher förderlich oder hinderlich ist, und welche Relevanz Automatisierung im Compliance-Bereich hat, erläutert Matthias Scholze, Chief Technology Officer bei Versio.io, im Beitrag.


GRC-Beauftragte

ADVERTORIAL

BANKINGNEWS: Die digitale Transformation bringt neue regulatorische Anforderungen mit sich. Welche Regulierungen sind für Banken derzeit besonders herausfordernd?
Matthias Scholze: Finanzinstitute sollten alle Regulierungen und deren Aktualisierungen im Blick haben und die spezifische Relevanz für das eigene Haus kennen. Hier sticht keine Regulierung hervor. Die Herausforderung liegt aber in der strategischen und operationalen Umsetzung.

Inwiefern genau?
Governance-, Risk- und Compliance-Beauftragte (GRC-Beauftragte) mit langjähriger Erfahrung sind rar. Die oftmals geringe IT-Affinität führt zu aufwendigen und fehleranfälligen technischen Umsetzungen. Excel ist hier immer noch das am meisten genutzte Werkzeug. Und das sorgt für Probleme. Was wir wahrnehmen, ist, dass Druck von außen die Bereitschaft zu Verbesserungen erhöht. Hier sehe ich Chancen für GRC-Verantwortliche, ihren Arbeitsbereich inhaltlich und technisch professioneller auszurichten.

Automatisierung ist aktuell ein Trendthema. Welche Vorteile hat diese im Compliance-Bereich?
Unserer Erfahrung nach lassen sich etwa 60 Prozent der Governance- und Compliance-Anforderungen durch datengetriebene Verarbeitung effizienter umsetzen. Die Automatisierung ist für Finanzinstitute zeitnah und erfolgreich realisierbar, wenn GRC-relevante Prozesse IT-technisch abgebildet sind. Hier stehen die Gesamt-IT, das Benutzer- und Rollen-Management und die geschäftskritischen Kernsysteme im Fokus.

Wo gibt es Grenzen bei der Automatisierung?
Grenzen beginnen immer dort, wo keine IT-technischen Daten vorhanden sind. Meist handelt es sich dabei um konzeptionelle, prozessuale und organisatorische Tätigkeiten. Dann können Finanzinstitute sich mit einfachen Möglichkeiten der Datenerfassung und -speicherung behelfen.

Die bankaufsichtlichen Anforderungen an den IT-Betrieb (BAIT) sind umfangreich. Wie hilft Ihr Ansatz hier?
Mit Versio.io verfolgen wir den Digital-Twin-Ansatz. Es wird eine virtuelle Darstellung der IT-Landschaft, Organisation und dem Geschäftsfeld erzeugt. Diesen aktualisieren wir kontinuierlich nahezu in Echtzeit und halten die Historie der Veränderung vor. Bei der Umsetzung von BAIT bieten wir eine IT-Inventarisierung, die alle Aspekte erfasst.Das sorgt für maximale Transparenz. Ein wichtiger Aspekt im BAIT. Banken werden bei der Identifikation von Problemursachen und der Überwachung der korrekten Durchführung von Change Requests unterstützt.Besondere Bedeutung kommt der GRC-Verifikation zu, mit der man Verstöße gegen Governance-Vorgaben zeitnah erkennen und revisionssicher dokumentieren kann. Kunden erhalten auch Zugang zu Wissensdatenbanken mit Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Lebenszyklus von IT-Produkten und bekannten Schwachstellen. Auf Basis der Inventarisierung und den Wissensdatenbanken ist zum Beispiel eine Release-, Patch- und Sicherheitsüberwachung vollautomatisiert umsetzbar.

Auf welche Faktoren müssen Banken für eine erfolgreiche Compliance-Strategie hauptsächlich achten?
Für eine effiziente initiale Umsetzung empfehle ich, die Verfügbarkeit der Daten sicherzustellen. Das schließt auch Zulieferungen externer Partner ein. Im nächsten Schritt sollte die Etablierung eines zentralen Asset- und Konfigurationsinventars erfolgen und automatisiert inventarisiert werden. Auf dieser Basis können zustandsbezogene GRC-Anforderungen verifiziert werden. Auch diese sollten von Beginn an automatisiert werden, um ein internes GRC-Regelwerk aufbauen und internes Wissen formalisieren zu können. Das kommt den Mitarbeitern zugute und reduziert den Aufwand für die nächste Auditierung. Es sollte klar sein, dass Verifikation nie abgeschlossen ist. So wie sich die Welt verändert, sollten Finanzinstitute ihre GRC-Verifikationsregeln kontinuierlich anpassen.

Interview: Dennis Witzmann

Tipp: Interessieren Sie sich für andere spannende Beiträge zum Thema Compliance? Dann lesen Sie hier mehr zur BaFin und der Solarisbank oder hier über die Bedeutung von Compliance für die ­Entwicklung von Fintechs.