„Der Wachstums-Case Compliance ist vorbei“



Nachgefragt bei Thomas Seidel, zuständig für das Thema Anti-Financial Crime (AFC) im Geschäftsbereich Banking von Sopra Steria

 

Thomas Seidel war bis 2007 im Bundeskriminalamt Wiesbaden tätig, dort zuletzt im Bereich Geldwäschebekämpfung in der Financial Intelligence Unit (FIU). Vor dem Wechsel zu Sopra Steria 2017 leitete er verschiedene Einheiten in AFC-/Compliance-Organisationen in Banken, zuletzt den Bereich Verdachtsmeldungen.  

 

Herr Seidel, wir erleben, dass die weltweit 14 größten Banken zusammen Strafzahlungen im dreistelligen Millionenbereich bezahlen (Infografik AFC). Warum ist das Einhalten regulatorischer Anforderungen heute für Banken so komplex, warum gelingt es nicht, sich komplett oder weitgehend compliant zu verhalten?

Es ist wichtig, sich zwei Dinge vor Augen zu führen: Erstens, die Einhaltung der gesetzlichen und regulatorischen Anforderungen ist ein Muss und nicht verhandelbar. Zweitens muss man sagen, dass die Einhaltung dieser Anforderungen eben auch komplex ist und sich die Mehrzahl der Häuser compliant verhält. Es ist schwierig, bei Millionen von Kunden und Transaktionen DIE einzelne verdächtige Transaktion zu identifizieren. Die eindeutige „smoking gun“ gibt es nicht oder nur äußerst selten. 

Dazu kommt die Dynamik: Regulatorische und gesetzliche Anforderungen verändern sich. Auch die Banken selbst und die Art, wie und welche Leistungen sie anbieten, sind in Bewegung. Aktuell befinden sich die Finanzinstitute in der herausfordernden Lage, dass ihnen aufgrund der Marktsituation Einnahmen wegbrechen, sie in neue (digitale) Geschäftsmodelle investieren und eine herausfordernde Regulatorik sicherstellen müssen. Das ist nicht einfach.

Die jüngere Vergangenheit hat aber auch gezeigt, dass einzelne Institute ihrer Verantwortung nicht vollständig nachgekommen sind. Ob es dabei an der notwendigen Sensibilität für das Thema mangelte oder bei einzelnen Instituten organisatorische Defizite vorlagen, kann man nicht immer zweifelsfrei feststellen. Eine vorsätzliche kriminelle Energie bei einzelnen handelnden Personen und systemische Akzeptanz in Bereichen der Organisation gab es auch, da sprechen wir aber von Einzelfällen.

Die Konsequenzen in den vergangenen Jahren waren deutlich und hoffentlich hilfreich, um zukünftig einen noch ernsthafteren und nachhaltigeren Umgang mit Compliance abzubilden. Komplex bleibt es.

_______________________________________________________________________________________________________________________

Infografik: Strafzahlungen Regulatorik für Banken

Infografik: AFC - mehr Mensch und mehr Maschine
_______________________________________________________________________________________________________________________

 

Wie haben sich Compliance-Ressorts personell und im Hinblick auf den Anteil der Kosten an den Gesamtkosten bei Banken entwickelt?

Ich kann das nur bedingt einschätzen, da ich weniger in diese Prozesse eingebunden war. Was man sagen kann, ist, dass AFC- und Compliance-Organisationen über die letzten Jahre deutlich gewachsen sind. Insbesondere Bereiche, in denen es Untersuchungen gab oder empfindliche Ordnungsgelder verhängt wurden. Dazu zählen beispielsweise die Themen Know Your Customer (KYC) und Verdachtsmeldungen. Diese Teams wurden zum Teil massiv personell aufgestockt und/oder erhielten externe Unterstützung.

Man hat jetzt aber das Gefühl, dass diese Selbstverständlichkeit des Wachstums vorbei ist. Die Banken schauen auch in diesen Abteilungen stärker als bisher nach effizienten Prozessen, Kosteneinsparungen durch Automatisierung und damit auf die Reduzierung manueller Tätigkeiten. Ein Compliance Officer hat das mal zusammengefasst mit „Der Wachstums-Case Compliance ist vorbei!“. Und da hat er – zumindest wenn es um personelle Ressourcen geht – wohl recht.

 

Welche AFC-Teilarbeiten kosten die Banken am meisten Geld, und was unternehmen die Institute, um den Compliance-Apparat, speziell Anti-Financial Crime, effizienter zu gestalten?

Den größten Anteil machen Personalkosten aus. Sie unterscheiden sich in den einzelnen Instituten, wir sprechen aber sicher von zirka 70 Prozent des Gesamt-Compliance-Budgets. Gefolgt vom IT-Budget für Systeme, beispielsweise das Transaktionsmonitoring, sowie von Kosten für externe Dienstleister.

Insofern sehen wir, dass sich Unternehmen bei der Suche nach geringeren Kosten und Effizienz auf Bereiche konzentrieren, in denen operative Prozesse mit a) hohem manuellen Aufwand und b) hohem Wiederholungsgrad betrieben werden.

Hier handelt es sich um Prozesse wie KYC-Prüfungen, Alert-Bearbeitung im Transaktionsmonitoring und/oder Name-List-Screening sowie die Verdachtsfallbearbeitung. Das sind auch die Bereiche, in denen intelligente technische Lösungen am stärksten helfen können. Gleichzeitig sind es die Themen, die in der Vergangenheit durch Aufsichts- und Strafverfolgungsverfahren betroffen waren. Insofern besteht zu Recht eine besondere Vorsicht bei der Anpassung gewohnter bzw. sicherer Prozesse.

Um effizienter zu arbeiten, sind die Institute an mehreren Stellen aktiv: Sie überprüfen die personelle Ausstattung und reduzieren den Einsatz externer Dienstleister. Zudem versuchen sie, ihre IT zu modernisieren und den Anteil manueller Ressourcen zu senken. Manche Häuser umschreiben das mit „Wachstum durch Effizienz“. Darüber hinaus werden reine Koordinierungs- und Managementfunktionen kritisch hinterfragt.

 

… und mit welchem Erfolg? Wo sehen Sie positive Entwicklungen?

 Insbesondere in den KYC-Prozessen besteht der Wunsch und sicher auch Druck, effizienter zu werden. Hier versuchen die Häuser, intelligente Lösungen in ihre Prozesse einzubinden.

Es macht ja auch keinen Sinn, nach festgelegten Fristen riesige Kundenportfolios manuell zu prüfen, nur um festzustellen, dass sich bei der Vielzahl der Kundenbeziehungen keine Compliance-relevanten Änderungen ergeben haben. Zumal    wenn gleichzeitig technische Lösungen in der Lage sind, zum Beispiel Stammdaten, Gesellschafterstrukturen und wirtschaftliche Berechtigungen automatisiert zu erheben, die Daten permanent aktuell zu halten und bei eintretenden Änderungen entsprechende Nachrichten zu versenden, so dass man darauf anlassbezogen reagieren kann.

Und auch aus Risikogesichtspunkten ergibt das Sinn. KYC bleibt permanent aktuell und nicht nur alle ein bis fünf Jahre, abhängig vom jeweiligen risikobasierten Prozess. In einer Kombination aus Mensch, Maschine und Prüftiefe kann dieser risikobasierte Ansatz auch weiter berücksichtigt werden.

Der zweite konkrete Anwendungsfall, der Wirkung zeigt, ist der Versuch, durch technische Lösungen die Anzahl der False Positives im Transaktionsmonitoring und Name-List-Screening signifikant zu senken und dadurch manuelle Aufwände zu reduzieren.

 

Wenn Sie sich die gesamte AFC-Prozesskette bei Banken anschauen – an welchen Stellen würden Sie als Erstes etwas verbessern?

Das sind die bereits genannten operativen AFC-/Compliance-Prozesse wie KYC, Transaktionsmonitoring, Name-List-Screening, Fraud-Prevention und in Teilen auch die Verdachtsfallbearbeitung. Hier gibt es die meisten sich wiederholenden Arbeitsschritte, und der manuelle Aufwand ist besonders stark ausgeprägt.

Und: Es gibt im Markt ausgereifte technische Lösungen von Unternehmen und RegTechs, so dass es sowohl wirtschaftlich als auch mit dem Ziel der Geldwäschebekämpfung keinen Sinn macht, diese nicht zu nutzen.

Ein weiterer geeigneter Bereich für Veränderungen ist die Erstellung der Gefährdungsanalyse. Hier bieten sich ebenfalls Ansatzpunkte, um Analysen zu automatisieren und zu verbessern.

In den Bereichen Advisory und komplexe Ermittlungen ist dagegen weiter eher der Mensch gefragt.

 

Mehr als 60 Prozent der Bankentscheider, so das Ergebnis des Branchenkompass Banking, halten große Stücke auf den Einsatz von Künstlicher Intelligenz im Compliance-Management. Das Thema Anti-Financial Crime gehört dazu. Was macht KI besser als ein geschulter Spezialist mit aktueller IT-Unterstützung und regelbasierter Transaktionsüberwachung?

Ich sehe das nicht als Wettstreit, und ich verstehe KI nicht so, dass damit Spezialisten überflüssig gemacht werden können. Auch KI-Lösungen brauchen den AFC-Experten.

KI sollte dazu beitragen, vor allem mehr und schneller zu analysieren, als es der einzelne Mitarbeiter vermag. Erlerntes selbständig auf große Datenmengen anzuwenden, unabhängig bzw. in Ergänzung zu regelbasierten Modellen nach Risikostrukturen in Kunden- und Transaktionsdaten zu suchen und False Positives signifikant zu reduzieren – das wäre für mich derzeit ein realistischer KI-Einsatz.

Das optimale Zusammenspiel von Mensch und Maschine zur Prävention von Geldwäsche und Terrorismusfinanzierung wäre damit ein Zustand, in dem Technik eine Vielzahl von immer wiederkehrenden Arbeiten übernimmt, schneller, effizienter und auf ein Vielfaches von Informationen angewendet. Dazu lernt die Maschine aus vorangegangenen Fällen und Ermittlungen und wendet dieses „Wissen“ an, um Risikocluster zu identifizieren, die durch regelbasierte Modelle unentdeckt bleiben würden. „Lessons learned“ durch die Maschine.

Das Ganze sollte dann nicht mit dem Ziel einhergehen, Compliance-Arbeitsplätze zu reduzieren, sondern damit den Experten Freiraum für komplexere Tätigkeiten, Schulungen, Beratung etc. zu verschaffen. Die Kollegen und Kolleginnen könnten unter Nutzung der Technik aktiv nach Risikostrukturen in ihren Häusern suchen und so die Anzahl der unentdeckten und von außen an die Bank herangetragenen Ereignisse sowie Strafverfahren und -zahlungen reduzieren.  

 

Und wie müssen sich Anti-Geldwäsche-Spezialisten sowie die Arbeit von Banken und Behörden verändern, um die AFC-Prozesse zu verbessern?

In unserem Sopra Steria Blog Digitale Exzellenz hieß es zuletzt unter der Überschrift Ausblick 2020. Die Digitalisierung muss liefern: „Das große Bohei um das Thema muss Platz machen für die nüchterne Umsetzung.“ Und ich glaube, das ist der richtige Ansatz.

Die Unternehmen sind sich des Themas bewusst. Aber es „wabert“ oft noch undefiniert über die Flure. Oder man wartet auf den großen Wurf, und plötzlich sind nach einem Projekt alle Prozesse „state of the art“ digitalisiert. So wird das nicht funktionieren.

Die Verantwortlichen müssen sich bewusst fragen, an welchen ganz konkreten Stellen der Einsatz neuer Technologien tatsächlich zu Verbesserungen führen kann. Entweder weil Arbeiten effizienter gestaltet werden können oder weil der Einsatz zu fachlich besseren Ergebnissen führt. Und dann diesen fachlich begründeten Use-Case auch konsequent umsetzen. Mit oder ohne externe Hilfe.

Man sollte offen dafür sein, in kleineren Projekten die technische und fachliche Realisierung der angesprochenen Anforderungen schnell zu testen. Und sich trauen, nicht immer auf die großen und gewohnten Systemanbieter zurückzugreifen, sondern auch kleinere Unternehmen mit aber womöglich deutlich besseren und preislich attraktiveren Lösungen ins „relevant set“ aufzunehmen.

Wir haben in den letzten Monaten mit einer Vielzahl interessanter RegTechs und Start-ups gesprochen. Teilweise sehen diese Unternehmen gar nicht, dass ihre technischen Ideen auch ganz hervorragend in das Umfeld AFC und Compliance von Banken passen.

Neben den fast schon „klassischen“ Lösungen digitaler Identifizierungsverfahren oder KYC-Automatisierung gibt es Lösungen wie die „automatisierte Verdachtsmeldung“ oder „automatisiertes Reporting“ mit Hilfe von Natural Language Understanding/Generation. Oder die Anonymisierung von Daten, die sich weiterhin statistisch auswerten lassen. Damit können Banken oder andere Unternehmen ihre Kunden- und Transaktionsdaten im Konzern oder mit Dritten DSGVO-konform teilen, um beispielsweise digitale Use-Cases oder Risikomodelle zu entwickeln. Sie müssen ihre Daten zudem nicht löschen, sondern anonymisieren sie lediglich und können sie weiterhin analysieren.

Ich habe das Thema „Geldwäschebekämpfung“ aus verschiedenen Perspektiven gesehen – Strafverfolgung, Compliance-Organisationen und jetzt aus Sicht eines Beratungsunternehmens. Die neuen technischen Gegebenheiten und Player bieten noch einmal neue Möglichkeiten, wie private Unternehmen und staatliche Stellen die Geldwäschebekämpfung auf eine neue Ebene heben können. Es geht jetzt beides: schneller und effizienter zu arbeiten und gleichzeitig die Ergebnisse qualitativ zu verbessern.

 

Werden wir durch den zunehmenden KI-Einsatz und Automatisierung in der täglichen AFC-Arbeit erleben, dass Banken mehr Geldwäscheversuche und andere Delikte aufdecken, oder wie wird sich der zunehmende Technologieeinsatz auswirken?

 Das hängt davon ab, wie Banken diesen Technieinsatz organisieren und ihren Compliance-Experten Zeit für ihre eigentliche Arbeit verschaffen. Wenn man sich die Skandale der letzten Jahre anschaut – ob die Panama Papers, der Danske-Bank-Skandal oder der Russian Laundromat, Umsatzsteuerkarusselle –, alle diese Fälle wurden durch Hinweise von außen an die Banken herangetragen, beispielsweise durch investigative Journalisten oder die Strafverfolgungsbehörden.

Sie wurden nicht durch die interne Compliance aufgedeckt, obwohl die Compliance-Organisationen in der Vergangenheit stetig gewachsen sind.

Der Grund ist: Die Kolleginnen und Kollegen sind in ständig wiederkehrende operative Prozesse eingebunden, bearbeiten False Positives und Vorgänge mit fragwürdiger Geldwäscherelevanz.

Ein Beispiel: Die Zahl der an die Financial Intelligence Unit (FIU) gemeldeten Verdachtsmeldungen erreicht Rekordstände. Allerdings lagen 2018 „bei 42 Prozent aller Verdachtsmeldungen die Voraussetzungen für eine Übermittlung an die zuständigen Stellen nicht vor“, so die FIU in ihrem Jahresbericht.

Hier kann die Maschine helfen. Wenn die Maschine operative Routinen übernimmt und die dadurch freiwerdenden Spezialisten proaktiv nach Risikostrukturen in ihren Unternehmen fahnden können, dann werden auch intern wieder mehr echte Fälle identifiziert.

Hilfreich wäre zudem ein Umdenken auf Seiten der Aufsicht und der FIU. Die Einrichtung einer zentralen FIU war ein richtiger Schritt. Diese Stelle sollte aus meiner Sicht so viele Verdachtsmeldungen wie nur irgend möglich erhalten, um diese mit polizeilichen Informationen abzugleichen und um mit Hilfe von KI nach möglichen Mustern zu suchen.

Aber dann sollte auch der Tatsache Rechnung getragen werden, dass mit der neuen FIU eine Stelle zwischen Bank und Strafverfolgung entstanden ist, die Eignung und Relevanz der Meldung vor Weiterleitung an die Strafverfolgung erst prüft. Und in diesem Fall könnte man die Banken teilweise von den immer gleichen Ermittlungsschritten und gesteigerten Sorgfaltspflichten entlasten.

Man würde vielleicht zu einem zweistufigen Prozess gelangen: automatisierte, schnelle Verdachtsmeldungen (= Masse) und hochwertige, investigierte Verdachtsanzeigen (= Qualität). Die FIU wäre dann eine zentrale Instanz und Plattform, die mit Hilfe von KI, Expertise und angebundenen polizeilichen Informationsdiensten massenhaft Daten nach geldwäscherelevanten Mustern durchforstet, Erkenntnisse gewinnt und diese Informationen mit Strafverfolgungsbehörden und Verpflichteten des Geldwäschegesetzes (GwG) teilt.

 

Herr Seidel, vielen Dank für das Gespräch!

 

Thomas Seidel

Thomas Seidel

AFC / Compliance Senior Manager