Was hat regelkonforme IT mit einem Taxi zu tun?

please find the English version here

Fahrpraxis allein macht noch keinen Rennprofi – Fear on Wheels

Lima – Der Taxifahrer schaut ungläubig. Ob er wohl mein Fahrtziel korrekt interpretiert? Mein Spanisch ist ja nun doch schon ziemlich in die Jahre gekommen. Erste ernsthafte Sicherheitsbedenken und Unbehagen machen sich in mir breit. Schuld daran ist die rasante Fahrweise des Taxifahrers. Sicher, eine Taxifahrt in Peru ist meist risikobehafteter als in Deutschland, aber was hatte ich denn für eine Wahl? Wie auch immer – es gibt ja noch einen Sicherheitsgurt.

Wenn der Sicherheitsgurt aber – so wie hier – speckig und verdreckt auf seine erstmalige Benutzung wartet, verzichte ich jedoch nur zu gerne darauf. Schließlich will ich mir nicht meine Klamotten ruinieren.

Doch der Fahrer schlängelt den Wagen viel zu schnell und ohne Rücksicht durch den dichten, wenn auch noch flüssigen Verkehr. Das hier ist eine Rennstrecke, auf der sich jeder selbsternannte Rennfahrer gekonnt und irgendwie passgenau von einer Seite zur andern manövriert. Bei voller Geschwindigkeit natürlich. So, als gäbe es kein Morgen. Meine Aufforderung zu einer gemäßigteren Fahrweise ignoriert er. Oder er versteht mich nicht. Was, wenn etwas passiert? Der Wagen erinnert mich an Frankensteins Monster – zusammengeflickt aus etlichen Ersatzteilen und dennoch lebensfähig. Mittlerweile panisch, versuche ich den Gurt aus seiner Verankerung zu lösen. Das Adrenalin bläst meine Abneigung dem Gurt gegenüber rückstandslos in den Stadtsmog – es klickt und der Gurt rastet ein. Puuuh…

Rückblickend war dies für mich nicht nur eine kulturelle Erfahrung. Später haben mich meine Kollegen ausgelacht. Risiken gehören zum Leben – privat wie im Beruf. Manche lassen sich vermeiden, andere nicht. Gemeinsam machen wir uns immer wieder genau darüber Gedanken, speziell im Compliance-Umfeld: Wie lassen sich dort Risiken vermeiden? Besonders diejenigen Risiken, die nicht sichtbar zu Tage treten, aber immer existent sind? Dabei denken wir insbesondere an Risiken im Zusammenhang mit dem Einsatz von Informationstechnologie (IT). Wir sprechen in diesem Zusammenhang auch von einer Qualitätssicherung von Compliance-Systemen. Wie kann sich Compliance sicher sein, dass beispielsweise eine IT-Lösung für das Screening von Kunden-, Mitarbeiter- und Geschäftspartnern gegen Sanktions- und Embargolisten oder ein System zur Erkennung von Geldwäschetatbeständen wirksam funktioniert? Hier können Fehler passieren. Das aber sollte unbedingt vermieden werden. Genauso wie im Straßenverkehr, zum Beispiel auf der Rückbank eines Taxis in Lima.

Während dort der Griff zum Sicherheitsgurt meine letzte Option war, habe ich als Compliance-Verantwortlicher vor Eintreten potenzieller Gefahren deutlich mehr Möglichkeiten. Doch auch hier gibt es so etwas wie einen Sicherheitsgurt.

Die Erkennung von Geldwäsche und Betrugsfällen oder das Screening von Namen gegen Sanktions-, Embargo oder Insiderlisten haben eines gemeinsam: Banken müssen ihre Geschäftspartner sehr gut kennen. Denn sie müssen jeglichen Verdacht in dieser Hinsicht ausschließen können. Dies ist mittlerweile sogar so wichtig geworden, dass Banken lieber auf Geschäft verzichten als Vermögen und Reputation zu gefährden. Stellen im operativen Geschäft werden gestrichen, während Compliance-Mitarbeiter eingestellt werden. IT-Systeme werden aufgerüstet, um besser kontrollieren zu können, mit wem man da eigentlich Geschäfte macht. Dies alles passiert tatsächlich.

Und so wird der gesamte „Kontrollapparat Compliance“ immer umfangreicher und ist immer schwerer unter Kontrolle zu halten. Aber genau diese Kontrolle ist notwendig. Compliance muss sicherstellen können, dass alle Maßnahmen greifen, also wirksam sind. Und das betrifft insbesondere diejenigen Maßnahmen, die IT-unterstützt sind.

Alles unter Kontrolle!?

Compliance ist verpflichtet, dafür Sorge zu tragen, dass alle dem Unternehmen auferlegten Regeln und Vorgaben eingehalten werden. Alle hierfür implementierten Lösungen und Maßnahmen sind daraufhin zu überprüfen, ob auch die gewünschten Ergebnisse geliefert werden. Genauso verpflichtend ist die lückenlose und für Dritte nachvollziehbare Dokumentation. Die Regeln und Vorgaben, die ein Unternehmen einhalten muss, sind stets den entsprechenden Maßnahmen zur Einhaltung gegenüberzustellen.

Doch die Liste der Regeln und Vorgaben ist lang. Neben selbstauferlegten Unternehmenspolicies sind dies auch eine Vielzahl an gesetzlich formulierten Regeln, von unternehmerischen Sorgfaltspflichten bis hin zu angemessenem Risikomanagement. Hierbei definieren unter anderem Gesetze wie das KWG (Kreditwesengesetz) das GwG (Geldwäschegesetz), das AWG (Außenwirtschaftsgesetzt), das BGB (Bürgerliches Gesetzbuch) oder auch das OWiG (Gesetz über Ordnungswidrigkeiten) die einzuhaltenden Grundlagen. Um nur ein paar Beispiele zu nennen. Ergänzt werden diese durch etwaige Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Den Überblick zu wahren ist nicht immer leicht und sollte keinesfalls auf die leichte Schulter genommen werden.

Vorgaben wie die Pflicht zur Sorgfalt und Schadensvermeidung, aber auch viele andere konkret formulierte Vorgaben, münden in einen Anforderungskatalog für Compliance-Belange. Dieser verschafft einen Überblick über alle einzuhaltenden Regeln. Diesen Regeln können dann Maßnahmen wie IT-gestützte Lösungen oder auch manuelle Prozesse zugeordnet werden. Und genau diese Maßnahmen sind nun hinsichtlich ihrer Wirksamkeit zu verifizieren.

Assessments und interne Audits stellen Prozesse auf den Prüfstand. Bei IT-Systemen funktioniert dies aber nicht. Compliance muss sich hier auf fremdes Terrain wagen, wenn es sich nicht blind auf fehlerfreies und wirksames Funktionieren aller in Compliance eingebundenen IT-Systeme verlassen will. So wie ich mich auf die geübten Rennfahrkünste eines Taxifahrers in Lima. Genau wie jenes zusammengeflickte Taxi bestehen IT-Systeme meist aus mehreren interagierenden Komponenten. Oft sind sie eine Black Box und das Zusammenspiel ist komplex. Verantwortlich dafür, dass die Gesamtlösung auch das tut und das verarbeitet, was sie soll ist … Sie ahnen es schon: natürlich Compliance. Also ist Compliance gewissermaßen auch für die Erfüllung der Anforderungen an die IT verantwortlich (über unsere Ansicht von IT-Compliance haben wir bereits in einem gesonderten Artikel aufmerksam gemacht: Nun hängen die Banken auch mit der IT am Haken!

Qualitätssicherung der IT-Systeme ist die Lösung. Und die Lösung zur Lösung? Das sind natürlich Tests – auch im Bereich Compliance. Tests prüfen die Erfüllung von Anforderungen oder auch Mindestanforderungen an (IT-)Systeme – oder wenn man so will – Compliance-IT-Lösungen.

Neu denken!

Für Compliance ist es nicht notwendig, Testexperte zu sein. Für einen wirksamen Test ist jedoch der gezielte fachliche Input aus Compliance unbedingte Voraussetzung. Nur Compliance weiß, welche Daten durch welche Systeme zu prüfen und welche Prozesse hierfür unterstützend notwendig sind. Die Testexpertise liefern in der Regel eine eigene Testabteilung und ein Testmanager. Priorität erhalten solche Compliance-IT-Systeme, die bei Fehlverhalten einen besonders großen Schaden zur Folge haben können und gleichzeitig eine Vielzahl an potentiellen Fehlerquellen haben.

Beides trifft zum Beispiel für das Prüfen von Kunden- und Geschäftspartner- sowie Transaktionsdaten gegen Finanzsanktions- und Embargolisten zu. Hier sind viele Zuliefersysteme an ein Zielsystem anzubinden. Diese unterliegen, wie das Zielsystem selbst auch, regelmäßigen Änderungen. Schnittstellen sind stetig anzupassen und unzählige Daten sind aus ihnen an das Zielsystem anzuliefern. Da kann so einiges schiefgehen und muss nicht immer so glimpflich verlaufen wie meine Taxifahrt. Relevante Daten können auf der Strecke bleiben, ohne dass dies jemandem auffällt. Noch schwieriger wird es, wenn die vollständige Transparenz über Änderungen an Zuliefersystemen gar nicht erst gegeben ist.

Auch wenn sich die Teilsysteme einer solchen Gesamtlösung nicht zwingend täglich verändern: die Daten, gegen die es zu prüfen gilt, tun es. Zwar ist hier in der Regel ein automatischer Prozess implementiert. Dennoch: Fehler sind auch hier möglich. Ob nun Jobketten verändert oder Dateninhalte nicht aktualisiert werden. In der Praxis fällt so etwas meist zu spät auf. Lückenloses Monitoring der IT-Systeme ist zwar Ziel, aber nicht zwangsläufig gegeben. Wieder eine andere Fehlerquelle liegt schlicht und einfach in der Masse der Daten, die zu überwachen ist. Eine hohe Anzahl an False Positives lässt auch manuelle Aufwände explodieren und kann auf eine fehlerhafte Systemkonfiguration zurückzuführen sein.

Viele dieser Fehlerquellen lassen sich ausschließen. Wie so oft im Leben gibt es aber auch das nicht umsonst. Wichtiger als die Kosten aber: Es ist nahezu egal, welche IT-Systeme Compliance einsetzt – alle lassen sie sich testen und monitoren. Am besten immer automatisiert und natürlich stets mit synthetischen Testdaten. Letzteres ist notwendig, um nicht gegen Datenschutzbestimmungen zu verstoßen. Denn auch hier drohen bei Fehlverhalten hohe Bußgeldzahlungen. Ein Regressionstestdatenbestand (der sich in Teilen auch von aktuellen Listeneinträgen automatisiert erstellen lässt) hilft beim regelmäßigen Testen, macht aus ökonomischen Gründen aber nur automatisiert Sinn.

Auf die Noten kommt es an.

Wie bei der Komposition eines Musikstücks, kommt es auf das perfekte Arrangement der Noten an. Die Zusammenstellung einer idealen Testautomation sollte folgende Merkmale aufweisen:

• Alle Lieferstrecken mit synthetischen Testdaten je Zuliefersystem testen
• Tagesaktuelle Listen in die Testläufe einbeziehen
• Aktuelle Listen bei der Erstellung der Testdaten berücksichtigen
• Synthetische Testdaten erstellen
• In kurzer Zeit sehr viele Testdaten erstellen
• Erwartete Ergebnisse gegen tatsächliche Ergebnisse vergleichen
• Eine Schnittstelle zu gängigen Testmanagementsystemen aufweisen
• Automatisierte Testdokumentation und Testreports erstellen
• Keinen unangemessenen Pflegeaufwand durch die Testautomation selbst erzeugen

Genauso wichtig ist auch die Dokumentation der durchgeführten Tests und der Testergebnisse. Nur so lässt sich gegenüber einer externen Prüfung, den Aufsichtsbehörden sowie der internen Revision belegen, dass angemessene Qualitätsmaßnahmen zur umfangreichen Fehlerprävention (Verhinderung und Aufdeckung) ergriffen wurden.

Die Testkomposition setzt Schwerpunkte. An welchen Stellen ist mehr Aufwand gerechtfertigt? Können bereits erstellte Testfälle und Testdaten immer wieder genutzt werden? Das Testmanagement stellt schon vor Testbeginn Kriterien auf, in welchem Fall ein Test als erfolgreich eingestuft werden kann. Bei der Erstellung von Massen an Testdaten kann eine Testautomation gute Dienste leisten. Ein flächendeckender Einsatz von Testautomation ist hingegen nicht sinnvoll. Eine auf modulare Weise eingeführte Automation dagegen schon. Dies hält nicht nur die Kosten unter Kontrolle, sie ist auch besser umzusetzen.

Compliance-Verantwortliche sollten deshalb vor dem Thema „Testen“ nicht zurückschrecken – genauso wenig Taxifahrgäste in Lima vor der Benutzung eines Sicherheitsgurtes. Der Fahrgast kommt um die Taxifahrt nicht herum, Compliance-Verantwortliche dagegen können Prävention betreiben. Es ist es immer von Vorteil, seinen Horizont zu erweitern um Schaden vom Unternehmen und sich selbst abzuwenden.