MiFID, EU-DSGVO, PSD 2, GwGEG, StUmgBG: Hinter diesen klangvollen Abkürzungen verbergen sich Gesetze und Verordnungen, die entworfen wurden, um Geldwäsche und Terrorismusfinanzierung zu erkennen, Steuerhinterziehung zu bekämpfen und den Wettbewerb im Zahlungsverkehr zu fördern. Zentrale Elemente sind aber auch die Förderung der Transparenz sowie die Verhinderung von Marktmissbrauch, welche vor allem dem Anlegerschutz dienen und den Markt sicherer machen.
Finanzdienstleister stehen vor der Herausforderung, regulatorische Anforderungen mit der Entwicklung innovativer und strategischer Produkte in Einklang zu bringen. Damit dies gelingt, müssen – auch angesichts stets knapper Ressourcen insbesondere in der IT – die Projekte gut gemanagt und Synergien bei der Umsetzung genutzt werden.
Um trotz steigender regulatorischer Anforderungen die Erwartungen der Kunden zu erfüllen und damit langfristig am Markt erfolgreich zu agieren, sind bestimmte Faktoren entscheidend.
Einrichtung eines Regulatory Center of Excellence
Eine proaktive Beobachtung des Marktes (Regulatory Watch) ist essenziell, um neue Gesetze, Vorschriften oder Anpassungen frühzeitig zu erkennen. Deshalb empfiehlt sich die Einrichtung eines Regulatory Center of Excellence, das den Fachabteilungen und Projektteams das entsprechende Know-how zur Verfügung stellt. Hier wird bei neuen Initiativen auch eine erste Einschätzung der Komplexität vorgenommen und es werden Abhängigkeiten zwischen den regulatorischen Projekten analysiert.
Dabei stehen die Ansätze häufig miteinander im Konflikt: So ist es aus Sicht von KYC durchaus von Interesse, über die Zeit möglichst viele Daten über den Kunden zu generieren. Die DSGVO hingegen setzt auf einen sparsamen Umgang mit Daten. Neben dem Löschkonzept für die Daten gemäß DSGVO sind auch die Aufbewahrungsfristen aus dem GWG zu berücksichtigen. Solche auf den ersten Blick widersprüchlichen Ansätze und Interessenlagen sind von einer zentralen Instanz miteinander in Einklang zu bringen.
Projektportfolio und -priorisierung
Sind neue Initiativen erst einmal identifiziert und Abhängigkeiten bekannt, sollte zeitnah ein entsprechender Platz im Projektportfolio reserviert werden. Dabei macht es auf Dauer keinen Sinn, jede Initiative isoliert zu betrachten. Vielmehr sollten alle Projekte aus dem gesamten Portfolio hinsichtlich der Komponenten analysiert werden, die später bei der Umsetzung berücksichtigt werden müssen. Dabei geht es zwar besonders um IT-Systeme und Architektur, aber durchaus auch um die Geschäftsprozesse. Bei näherer Betrachtung ergeben sich daraus sehr häufig Synergieeffekte und somit eine Art „natürlicher Priorisierung“. Diese Synergien müssen konsequent genutzt werden, um letztendlich Budget und Ressourcen zu sparen.
Wahl der richtigen Projektmanagement-Methode
Regulatorische Projekte haben die Besonderheit, dass oftmals nicht von Beginn an alle Anforderungen klar sind. So kamen beispielsweise bei MiFID II erst nach und nach alle Intentionen und Stoßrichtungen der Regulierung zum Vorschein. In solchen Fällen empfiehlt sich ein agiler Projektansatz, weil bestimmte Teile bereits entwickelt werden können, während andere Teile erst dann zur Realisierung kommen, sobald die Anforderungen hinreichend klar sind.
Digitale Transformation zur Steigerung der Compliance-Effizienz
Um auch die Kostenseite langfristig im Blick zu behalten, ist es wichtig, sich zeitnah mit der Einführung von intelligenten Lösungen zu beschäftigen. Dies können selbstlernende Systeme zur Geldwäschebekämpfung sein, aber auch Tools zur präventiven Erkennung von Phishing und Fraud. Die Ausarbeitung entsprechender Konzepte sowie deren Implementierung sollte demnach frühzeitig ins Portfolio eingeplant werden. Dies senkt auf Dauer Kosten und entlastet die Budgets.
Aufbau einer Compliance-Kultur
Zu guter Letzt ist ein entsprechender „Tone from the top“ entscheidend. Im gesamten Unternehmen muss ein Kulturwandel stattfinden, und auch Projektmanagement und IT müssen sich mit rechtlichen Themen in gewissem Maße auseinandersetzen und identifizieren. Denn Compliance ist am Ende eben doch „everybody’s Business“. Im Grunde verhält es sich wie früher beim Eiskunstlauf: Regulatorische Projekte sind die Pflicht und strategische Kundenprojekte die Kür. Und nur wer beides gut macht, steht am Ende auf dem Treppchen. So einfach ist das – oder auch so kompliziert!