Blog

Zunehmender regulatorischer Druck War 2020 bedingt durch die Corona-Pandemie ein Jahr der Zurückhaltung auf Seiten der internationalen Regulatoren, wird diese Zurückhaltung in 2021 sehr wahrscheinlich nachlassen und ihre Aktivitäten zur Durchsetzung der Vorgaben verstärkt aufnehmen und bei Verstößen entsprechend hart verfahren. Dies wird nicht nur die Bereiche der Geldwäsche- und Terrorismusbekämpfung (Anti-Money Laundering/AML und Combating the Financing of Terrorism /CFT) betreffen, sondern auch den Bereich der Bekämpfung von Bestechung und Korruption (Anti-Bribery & Corruption/ABC) und andere regulatorische Schwerpunkt-Themen. Hinweise dazu liefern die Entwicklungen rund um den Geldwäschebekämpfungsauftrag der Europäischen Bankenaufsicht (EBA), der in den kommenden Jahren Wirkung zeigen wird. Weiterhin spricht auch eine Budgeterhöhung des US-Justizministeriums (DOJ) im Bereich der Wirtschafts- und Korruptionsbekämpfung für einen zunehmenden Ermittlungsdruck, nicht zuletzt in Bezug zur internationalen Durchsetzung des US Foreign Corrupt Practices Act (FCPA). Von diesem sind auch hierzulande international agierende Unternehmen aus dem Nicht-Finanzsektor betroffen. Eine besondere Bedeutung kommt dem vor dem Hintergrund der zunehmenden politischen Instabilität zu, bedenkt man, dass solche Gesetzgebungen und deren Durchsetzung in weiten Teilen protektionistische und geopolitische Maßnahmen darstellen. Wie kaum zuvor sind die aktuellen Zeiten davon geprägt, dass sich international agierende Unternehmen in der Mitte geopolitischer Auseinandersetzungen befinden. Die Diskussionen um Huawai und Nord Stream sind hierfür Beispiele. Ein robustes Compliance System zur kontinuierlichen Prüfung der Risikosituation in der Zusammenarbeit mit Geschäftspartner, sei es als Teil der Supply Chain oder des Vertriebskanals, sollte für Industrieunternehmen wichtiger sein denn je. Schwerpunktthemen: Sanctions, KYC, TBML und Virtuelle Assets Im Bereich AML/CFT werden die Schwerpunkte weiterhin auf den Bereichen Sanctions und KYC liegen, sowie den spezifischen Monitoringprozessen im Bereich Trade Finance bzw. Trade-based ML. Neben Schnittstellenproblemen in den unterliegenden Softwaresystemen, sind hier die MItigationsprozesse recht komplex und bieten nach wie vor hohe Angriffsflächen für Kriminelle und Terroristen. Daneben wird der Einsatz von Künstlicher Intelligenz (KI) hier zur Erkennung von Anomalien und neuen Verdachtsmustern eine Schlüsselrolle zukommen. Traditionelle, rein regelbasierte Systeme werden zwingend zu ergänzen sein oder auf Sichtweise der kommenden 2-3 Jahre abgelöst werden. Da die FATF im Sommer 2020 die Guidelines rund um das Thema digitale Identität im Rahmen des KYC Prozess geschärft hat, ist davon auszugehen, dass hier ein Fokus der Regulation in den Jahren 2021 und folgende liegen wird. Unternehmen müssen sicherstellen, dass sie verlässliche und transparente Methoden im Einsatz haben, (digitale) Identitäten zu validieren, um den darin liegenden Risiken im Bereich der Geldwäsche und Terrorismusfinanzierung entgegenwirken zu können. Entsprechende Auswirkungen auf das Risk Assessment sind selbstredend, ebenso die Berücksichtigung des Datenschutzes, der schon lange ein eigenständiges und ernst zu nehmendes Compliance-Thema darstellt. Basierend auf der diesjährigen FATF-Plenarsitzung werden neue Richtlinien für den Umgang mit virtuellen Assets im Rahmen der AML-Compliance zu erwarten sein. Dies wird nicht nur innerhalb der EU, sondern weltweit willkommen geheißen und in Folge in die Bewertungen und Audits Einzug halten müssen. Schließen der Lücke: Die 3. Verteidigungslinie Nicht nur zur Hebung von Effizienzvorteilen sind die aufwändigen Prozesse rund um die Sicherstellung der sogenannten 3. Verteidigungslinie in der Compliance auf den Prüfstand zu stellen. Es geht bei der Sicherstellung der AFC Governance um nicht weniger als das Schließen der Lücken im technisch funktionierenden AFC Organisationssystem. Die Sicherstellung, dass die unterliegenden Systeme arbeiten, dass sie effektiv und effizient eingestellt sind, dass die Gruppenvorgaben eingehalten werden und bis in die kleinsten Entitäten nachvollziehbar sind und man einen Überblick über die Gefährdungslage der Gruppe erhalten kann. Hier sind alle regulierten Unternehmen betroffen, die die Spitze einer konsolidierenden Einheit darstellen und für die darunter liegenden zu konsolidierenden Einheiten verantwortlich im Sinne der Compliance sind, bis zum Group/Chief Compliance Officer. Im Rahmen der Compliance Factory werden hier Systeme und Lösungen Investitionen auslösen, die das Verhältnis von Technologie zu Mitarbeitern weiter in Richtung Technologie ausbauen werden. Automatisierung & Qualitätssicherung Cloud-basierte Automation und Robotik werden verstärkt Einzug halten in die Compliance Factory. Das wird beflügelt werden durch den zunehmenden Margendruck auf der einen und den zunehmenden regulatorischen Druck auf der anderen Seite. Des weiteren wird dieser Trend unterstützt durch die zunehmende Knappheit qualifizierter Arbeitskräfte und – in Covid-19 oder zukünftigen Pandemien begründet – der zunehmenden Schwierigkeiten von Teams in Büros zusammen zu arbeiten. Die Verwendung von KI-basierten Erkennungs- und Vorhersagemodelle wird zunehmen. Dies vor allem bei der Qualitätssicherung und Harmonisierung von Daten und Listen, sowie bei der Priorisierung von weitergehenden Untersuchungen-/Mitigationsprozessen. Allerdings werden die ersten Vorfälle publik werden, die auf ein Versagen von Modellberechnungen zurückzuführen sind, die der Komplexität nicht gerecht werden können und nicht ausreichend und richtig getestet wurden. Um diese zu bewerkstelligen werden zunehmend Cloud-basierte KI-Services herangezogen werden. Diese sind leistungsstärker und ermöglichen die Umsetzung der notwendigen Teststrategien, deren Nachweis vom Regulator eingefordert werden wird. Die Diskussion über die Regulierung von KI-Modellen wird Auswirkungen haben auf die Akzeptanz von KI als Teil von Compliance Systemen. Zwar konnte man die ersten zaghaften Öffnungsbestrebungen der Regulatoren über die Verwendung von KI-Modellen seit 2019 feststellen, dennoch blieb dies mit einer gehörigen Portion Zweifel verbunden, die sich im Wesentlichen auf den Blackbox-Charakter der Modelle bezog. Die Forschungsarbeit rund um die Erklärbarkeit und Verantwortlichkeit von KI wird hierbei wichtig zu beobachten sein. Forscherteams weltweit arbeiten daran, diese Transparenz zu schaffen. Man darf hier in 2021/2022 verwertbare Ergebnisse erwarten. Zudem wird man positive Effekte im Bereich des „Model-based Reasoning“ erwarten dürfen. Dieser „Whitebox-Ansatz“ enthält die Erklärung und Transparenz bereits im Model. Der Ansatz ist seit den 1990er Jahren nicht ohne Kritik und erfordert bislang deutlich mehr Aufwand bei der Modellierung als die herkömmlichen KI-Modelle. Im Rahmen institutsübergreifender Zusammenarbeit aber auch in der Zusammenarbeit mit den Strafverfolgungsbehörden und den Regulatoren werden sich neue Möglichkeiten der Qualitätssicherung und des Benchmarking ergeben, welche direkten Einfluss haben werden, die Gefährdungslage jedes einzelnen Instituts sowie der gesamten potentiellen Public Private Partnership zu verbessern. Hier dürfen weder die kleineren, national agierenden Institute vernachlässigt werden, noch sollten diese sich hier zurückziehen und die Vorteile nur den international agierenden Instituten überlassen. Es ist Überzeugung des Autors, dass nur durch solche Partnerschaften konsequent Prozesse digital End-to-End definiert werden können, nicht zuletzt in den Bereichen des Korrespondenzbankengeschäfts und der Handelsfinanzierung und den damit einhergehenden CBML und TBML Anstrengungen. Hier liegt, neben virtuellen Assets, einer der wenigen derzeit wirklich sinnvollen Einsatzgebiete von Blockchain-Technologie im Sinne einer dezentralen, reinen distributed ledger technology (etwa im Gegensatz z.B. zur AWS Quantum Ledger Database). Case Management & FIU Reporting In 2021 wird man die ersten Machbarkeitsanalysen im AFC Compliance Umfeld finden, die die Verwendung von Textgenerierung, Natural Language Generation (NLG) prüfen, um weitere Effizienzsteigerungen in der Compliance-Arbeit, speziell im Bereich der Identifikation und des regulatorischen Reportings von Verdachtsfällen, zu testen. Die ersten Produkte sind bereits marktfähig und weitere werden in den kommenden zwei Jahren hinzukommen. Mindestens gelten diese Ansätze hier zu beobachten, da sie ein erhebliches Effizienzpotential darstellen können und den Weg für einen „Digital Compliance Assistant“ für die kommenden 3-5 Jahre vorzeichnen – quasi die Alexa für Compliance Officer. Operativ gilt es in den Case Management Systemen mehr und mehr die 360 Grad-Sicht auf den Kunden herbeizuführen und AML/CFT und Fraud hier zusammen zu betrachten – allerdings versehen mit unterschiedlichen Blickwinkeln und mit unterschiedlichen Prozessen zur Untersuchung und Mitigation. Damit steigt der Bedarf nach einem weitestgehend flexiblen Case Management, das unterschiedliche Kanäle (z.B. AML, KYC, Sanctions, Fraud, ABC, Whistleblowing, etc.) bedienen, und den verschiedenen Prozessen und den diversen Informationsbedürfnissen gerecht werden muss. Soweit die Theorie. In der Praxis muss sich in den kommenden Jahren zeigen, welche wirklichen Vorteile solche „allumfassenden“ Case Management Systeme wirklich stiften. Denn ein solcher Mehrwert wird durch ein komplexes System mit vielen Abhängigkeiten erkauft werden, welches ggf. den Bedürfnissen in den einzelnen Fachdomänen nicht gleichermaßen standhalten kann, wie das die Spezialanwendungen könnten. So oder so sollten aber Funktionen enthalten sein, welche die Untersuchung von Fällen, von der vorbereitenden Bereitstellung relevanter Daten bis hin zur eigentlichen kollaborativen Analyse und Entscheidung und dem regulatorischen Berichts-/Meldewesen, unterstützen. Neben Link Analysen, sind hier Datenassistenten, Advanced Analytics, sowie regelbasiertes Workflow Management zu nennen. Dirk Findeisen Begeisterter Berater für Risiko Management & Bekämpfung von Wirtschaftskriminalität #aml #cft #abc #sanctions #afc #RPA #NLG #DLT #ML #DL #Model-Based Reasoning #Edge Computing