Banken stehen seit der Finanzkrise vor der besonderen Herausforderung, die Flut neuer regulatorischer Initiativen zu bewältigen, derzeit steht die Umsetzung von MiFID II, IFRS 9 und Ana-Credit an. Diese Regulierungswelle - manche sprechen von einem Tsunami - hat die Kosten in der Compliance in den letzten Jahren stark ansteigen lassen. Zusätzlich können bei Nichterfüllung unter Umständen signifikante Reputationsschäden die Folge sein.
Effizienz und Effektivität rücken in den Fokus
Vor diesem Hintergrund rückt die Effizienz und Effektivität bei der Erfüllung regulatorischer Anforderungen in den Fokus. In diesem Zusammenhang fällt aktuell häufig das Schlagwort Regtech als Verschmelzung von "regulatory" und "technology". Das IIF definiert Regtech als die Anwendung neuer Technologien, um regulatorische Anforderungen effizienter und effektiver zu erfüllen.1) Die zunehmende Bedeutung wird auch durch die Einrichtung spezieller Organisationseinheiten bei den Aufsichtsbehörden dokumentiert (zum Beispiel FCA: Regulatory Sandbox, BaFin: Experten Netzwerk, Referat SR3). Als "neue Technologien" werden dabei häufig aufgeführt: 2)
- künstliche Intelligenz, Robotics und selbstlernende Programme für die Auswertung von Big Data und die Erstellung von prädiktiven Analysen;
- neue Aufzeichnungs- und Archivierungstechniken, welche die Banken bei der Umsetzung ihrer gesetzlichen Dokumentations- und Aufbewahrungspflichten unterstützen;
- neuartige Verschlüsselungs- sowie Sicherheitstechnologien, welche den internen und externen Austausch von Daten sicherer machen;
- Cloud-Anwendungen und andere gemeinsam genutzte Ressourcen, die Compliance-Funktionen beispielsweise in einem Shared Service Center zusammenführen. Damit verbunden ist häufig eine Bündelung von Kompetenzen und Know-how und eine gemeinsame Nutzung zentraler Datenverzeichnisse wie zum Beispiel Sanktionslisten;
- biometrische Verfahren, welche zum Beispiel die Kundenauthentifizierung bei telefonischen Anfragen einfacher und benutzerfreundlicher machen.
Angebote müssen für Compliance spezifiziert werden
Teilweise wird auch die Blockchain-Technologie und der Einsatz von APIs (Appliaction Programming Interface, Anwendungsprogrammierschnittstelle) angeführt. Natürlich ist keines dieser technischen Verfahren neu - neu sind allerdings die spezifisch für den Einsatz zur regulatorischen Compliance entwickelten Use Cases auf der Basis dieser Lösungsansätze. Häufig genannte Anwendungsfelder sind in der Abbildung 1 zusammengefasst.
Es zeigt sich hier, dass die aktuellen Angebote ein breites Anwendungsspektrum abdecken, häufig aber nur in punktueller Natur unterstützen. Allerdings werden die Anwendungsfelder und Leistungsangebote mit der Verfügbarkeit verbesserter technologischer Möglichkeiten ständig erweitert.
Kostensenkungen und Wettbewerbsvorteile
Aktuelle Einsatzschwerpunkte liegen in den Bereichen Compliance und Reporting/Meldewesen und zielen insbesondere auf Kostenreduktionen in diesen Bereichen ab. Allerdings bietet eine Compliance-gerechte Prozessgestaltung durch den Einsatz geeigneter Technologien innerhalb der operativen Prozesse einer Bank das Potenzial, neben Kostensenkungen auch Wettbewerbsvorteile zu erzielen. Auch wenn dadurch eine Abgrenzung zu den Fintechs schwieriger wird, sollen in diesem Beitrag beide Anwendungsbereiche anhand der Beispiele "KYC-Monitoring" (Know Your Customer) und "digitale Kreditprozesse" dargestellt werden.
Beispiel 1: Immer mehr Banken und Finanzdienstleister nutzen zur Erfüllung ihrer regulatorischen Pflichten im KYC- Bereich externe Dienstleister. So werden Onboarding und Customer-Due-Diligence-Aufgaben, insbesondere die Sammlung der Dokumentation und das Screening (unter anderem der Abgleich gegen relevante Sanktionslisten), an Regtech- Firmen ausgelagert, die mithilfe digitalisierter und automatisierter Prozesse große Mengen kundenspezifischer Daten verarbeiten und effizient aufbereiten können. Durch diese Aufgabenteilung reduzieren Kreditinstitute die Durchlaufzeiten und profitieren von hoch industrialisierten Prozessen des Drittanbieters.
Hinsichtlich des Umfangs der Unterstützung sind unterschiedliche Modelle im Einsatz. Neben Datenbanken, die global konsolidierte Kundendaten als Ausgangsgrößen für den KYC-Prozess zur Verfügung stellen, gibt es Software-Plattformen, die den internen KYC-Prozess umfassend unterstützen. Darüber hinaus erstellen Full Service Provider als Dienstleister vollständig dokumentierte KYC- Profile gemäß der Vorgaben der Bank, wobei die Risikoeinschätzung in der Verantwortung des Institutes verbleibt. Einige Beispiele dieser Umsetzungsvarianten werden in der Abbildung 2 dargestellt.3)
Anwendungsbeispiel "Know your customer"
Das Zusammenwirken eines solchen Dienstleisters mit der internen Organisationstruktur einer Bank soll am Beispiel des Leistungsangebots der passcon KYC- Factory beschrieben werden. Damit je nach Anforderung des Kunden eine passende Lösung konfiguriert werden kann, werden zwei Leistungsmodelle angeboten:
- das Self-Managed-Modell, bei dem der KYC-Prozess beim Kunden direkt vor Ort durch Nutzung der bankeigenen IT-Landschaft unterstützt wird;
- das Managed-Services-Modell, bei dem die Bearbeitungsschritte an die KYC-Factory ausgelagert werden und somit die Durchführung des KYC-Prozesses an den Standorten der KYC-Factory erfolgt.
Für den Mandanten ergeben sich bereits bei der Nutzung des Self-Managed-Modells die Vorteile einer kompetenten Unterstützung durch einen spezialisierten Dienstleister und einer mengenmäßigen und regionalen beziehungsweise internationalen Skalierbarkeit. Mit der Nutzung des Managed-Service-Modells geht auch die Prozessverantwortung an den Dienstleister über: Mit Übernahme der Prüffälle aus dem Kundensystem (book of work) werden die weiteren Schritte im KYC-Prozess gemäß Vorgaben des Kunden abgedeckt. Die Prozessqualität wird dabei durch eine Vier-Augen-Kontrolle bei Rückgabe des Falls an den Mandanten sichergestellt.
Mit der Nutzung der KYC-Factory lassen sich industrielle Optimierungsprinzipien auch auf den KYC-Prozess übertragen. Voraussetzung für den Managed Service ist eine geeignete IT-Plattform: Mit einer passenden Softwarelösung lässt sich der gesamte KYC-Prozess "end-to-end" in der Software abbilden. Dies ermöglicht eine enge Prozessführung und Qualitätskontrolle, eine regionale Verteilbarkeit der Aufgaben und eine umfassende Transparenz zu den Prozessstatus. Darüber hinaus sind unterschiedlichste Informationsdienste per API verfügbar, Schnittstellen zu Sanktionslisten et cetera sind bereits installiert. Da GoKYC auf einem lokalen Webserver des Unternehmens installiert wird, verlassen die sensitiven Daten zu keinem Zeitpunkt das Unternehmensnetzwerk. Zusätzlich ermöglicht die technische Plattform die Nutzung kostengünstiger Standorte.
Anwendung bei digitalen Kreditprozessen
Beispiel 2: Die sogenannten Digitalkredite nehmen beim Angebot von unbesicherten Verbraucherkrediten eine immer größere Bedeutung ein. Für den Kunden liegen die wesentlichen Vorteile in der schnelleren und einfacheren Handhabung: Der Kredit steht zeitnah zur Verfügung. Der Einsatz neuer Technologien ist in diesem Umfeld weit fortgeschritten. Die Wirkung dieser Techniken auf eine komplette Prozesskette und die damit einhergehende Nutzung zur Abdeckung rechtlicher Anforderungen kann damit besonders gut dargestellt werden. Vor Vertragsabschluss ist eine Legitimation des Kunden unter anderem gemäß Geldwäschegesetz erforderlich. Die Legitimation auf Basis eines Video-gestützten Verfahrens unter Nutzung biometrischer Methoden ersetzt für den Kunden den Weg in die Filiale oder das aufwendige Postident-Verfahren.
Aus rechtlichen und bankinternen Gründen ist die Prüfung der Möglichkeiten der Vertragserfüllung durch den Darlehensnehmer erforderlich. Der API-gestützte Zugriff auf das Gehaltskonto des Kreditnehmers und die Auswertung der damit verfügbaren Daten liefert über eine Haushaltsrechnung hinaus weitere relevante Faktoren zur Beurteilung der Kreditwürdigkeit. Die damit verfügbaren Informationen ersetzen zudem die zusätzliche Anforderung zum Beispiel von Gehaltsnachweisen.
Die eIDAS-Verordnung bietet Möglichkeiten zur Abbildung einer qualifizierten elektronischen Signatur als Voraussetzung für die rechtliche Wirksamkeit des Vertrags. Hier werden verschiedene Lösung auf der Basis von Video- oder Token-gestützten Verfahren angeboten. Der elektronische Austausch der weiteren relevanten Vertragsdokumente und rechtlich erforderlichen Informationen erleichtert weiterhin die Kommunikation mit dem Kunden und hinterlässt eine gut nachvollziehbare Dokumentation. Die bereits weitgehend genutzten technischen Möglichkeiten zur Digitalisierung des Kreditprozesses zeigt eine beispielhafte Übersicht der verschiedenen Angebote (Abbildung 3).4)
Bindet man aktuelle technische Lösungen in einen operativen Prozess ein, so bietet dies die Möglichkeit, den Prozess nicht nur effizienter, sondern auch aus Sicht des Kunden einfacher und komfortabler zu machen. Die rechtlichen Anforderungen werden dabei im Sinne einer Compliance-gerechten Prozessgestaltung durch aktuelle technologische Lösungen abgedeckt. Die Anwendungsbeispiele zeigen auf, wie Regtech nicht nur zur Effizienz- und Qualitätssteigerung in der Compliance genutzt werden kann, sondern wie aktuelle Technologien kundenfreundliche Prozesse bei gleichzeitiger Abdeckung der Regulatorik ermöglichen.
Berücksichtigung von Regulatorik und Datenschutz
Eine Digitalisierung von Prozessen muss immer auch den (aufsichts-)rechtlichen Anforderungen genügen. Damit wird eine Abgrenzung der Regtechs von den Fintechs schwierig. Werden die rechtlichen Anforderungen bei der Gestaltung digitaler Prozesse durch geeignete Technologien berücksichtigt, so können sich - wie in dem Anwendungsfall der digitalen Kreditprozesse - vereinfachte und deutlich effizientere Prozesse für Anbieter und Kunden ergeben. Gelingt es, einen optimalen "Fit" zu den Gesamtprozessen der Bank herzustellen, ist nicht nur mit einer effizienten und effektiven Erfüllung aufsichtsrechtlicher Anforderungen zu rechnen, sondern auch mit einer erhöhten Endkundenzufriedenheit. Das Thema Regtech und die damit häufig verbundene Zusammenarbeit mit spezialisierten Dienstleistern wird somit zum einen aufgrund der regulatorischen Belastung der Banken, zum anderen aber auch zur Vereinfachung und Verbesserung der Prozesse aus Sicht der Kunden weiterhin an Bedeutung gewinnen.5)
Fußnoten
1) IIF (2016): RegTech in Financial Services: Technology Solutions for Compliance and Reporting, S. 2
2) IIF (2016): RegTech in Financial Services, S. 4f.
3) Die hier aufgeführten Angebote werden durch die Anbieter laufend ergänzt, sodass die Grenzen zwischen den Varianten zunehmend verwischen.
4)Die Auswahl der Anbieter erfolgte beispielhaft, um unterschiedliche Gestaltungsvarianten darzustellen; eine vollständige Darstellung der Anbieter und der technischen Lösungen würde den Umfang des Beitrags übersteigen.
5) Die hier auch zu berücksichtigenden Themen wie Datenschutz, Haftung, Verantwortlichkeiten beim Outsourcing et cetera können im Rahmen dieses Beitrags nicht eingehend betrachtet werden, sollten aber beim Einsatz von Regtech keineswegs vernachlässigt werden.
