Die Verabschiedung neuer regulatorischer Anforderungen wie der Sarbanes Oxley Act oder Basel II erfordert bei Finanzdienstleistern eine erneute detaillierte Betrachtung der vorhandenen Daten, Dokumente, Prozesse und Zuständigkeiten. Aufgrund von Finanzskandalen der letzten Jahre (Enron, Worldcom etc.) erfordern Compliance-Regularien mehr und mehr die Dokumentation von Prozessen und eine umgehende Auskunftsfähigkeit. Immer wieder stellt sich in diesem Zusammenhang die Frage, welche Rolle Produkte aus den Marktsegmenten Enterprise Content Management (ECM), Dokumenten Management (DMS), Records Management (RM) oder Workflow spielen können. Der folgende Artikel zeigt die Anforderungen der wichtigsten Compliance-Regularien auf und erläutert die Relevanz der Content Technologien zur Erfüllung dieser Anforderungen.
Aktueller Status
In der Studie der Economist Intelligence Unit (EIU) vom November 2003 wurden Finanzdienstleister bezüglich ihrer Einschätzung zur Erfüllung von Compliance-Anforderungen befragt. Gerade einmal die Hälfte fühlte sich sicher genug, den Anforderungen zu genügen und die notwendigen Daten verfügbar zu haben. Die größten Probleme wurden in den Bereichen der Integration der Systeme und der fehlenden Standards für die Datenhaltung gesehen.
Verfügbarkeit der Daten für die Erfüllung der neuen gesetzlichen Bestimmungen |
Basel II | SOX und andere |
Alle Daten | 25% | 25 % |
Die meisten Daten | 27 % | 24 % |
Einige Daten | 30 % | 23 % |
Wenige oder keine Daten | 18 % | 18 % |
Quelle: Economist intelligence Unit (EIU), November 2003
Nur wenige der 193 befragten Finanzdienstleister verfügen bereits über alle zur Erfüllung der neuen gesetzlichen Bestimmungen (Basel II, Sarbanes Oxley) erforderlichen Daten.
Auch die Anschaffung neuer Systeme für die Datenspeicherung erscheint vielen Finanzdienstleistern unumgänglich, aber problematisch. So können beispielsweise vorhandene Systeme zur Risikoüberwachung nicht an die CRM-Systeme zur Kunden- und Kontenverwaltung angebunden werden und neue Systeme würden nur zu mehrfacher Datenhaltung mit den damit verbundenen Dateninkonsistenzen führen.
Compliance konkret – Was sind die Anforderungen?
Mittlerweile existieren eine Vielzahl von Gesetzen, Verordnungen und Regularien, die für Finanzdienstleister gelten und durch den Einsatz von ECM-Technologie unterstützt werden können. Die untenstehende Tabelle listet beispielhaft die am häufigsten diskutierten regulatorischen Anforderungen.
Bestimmung | Anwendungsbereich |
Deutsche Handels- und Steuer-Gesetzgebung (HGB, AO, UstG, GoBS) |
Aufbewahrung von steuerrelevanten Dokumenten |
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) | Datenzugriff der Finanzverwaltung auf steuerrelevante Daten |
Basel II, Mindestanforderungen an das Kreditgeschäft (MAK), Kreditwesengesetz (KWG) Risikocontrolling und Eigenmittelbestimmung im Kreditgeschäft, qualitative Standards an die Organisation des Kreditgeschäftes | Risikocontrolling und Eigenmittelbestimmung im Kreditgeschäft, qualitative Standards an die Organisation des Kreditgeschäftes |
Standard for securities clearing and settlement systems in the European Union | Clearing- und Abrechnungsstandard der Europäische Wertpapieraufsichtsbehörde (Committee of European Securities Regulators, CESR) |
Sarbanes Oxley Act (SOA) | Verbesserung der Transparenz und Nachvollziehbarkeit bei Unternehmensprozessen, Einrichtung von Kontrollinstanzen, Erweiterung der Berichterstattungspflichten |
SEC-Rules 17a-4 | Verbesserung des Anlegerschutzes bei Börsengeschäften in den USA |
Solvency II | Risikocontrolling im Versicherungsumfeld |
Check Clearing for the 21st Century Act (Check 21) Regularien für das Scheck-Clearing | Regularien für das Scheck-Clearing |
US Patriot Act, nationale Geldwäschegesetze | Regularien zur Vorbeugung von Geldwäsche |
Tabelle 1: Nationale und internationale Compliance-Regelungen für Finanzdienstleister
Auf einer obersten Ebene können die Anforderungen dieser Regularien unter den folgenden Themenkreisen zusammengefasst werden:
- Integrität: Daten und Dokumente müssen vollständig und richtig sein und unter Beachtung von Sicherheitsvorkehrungen (Zugangsschutz, Zugriffsschutz, Unveränderbarkeit, technische Sicherheit) gespeichert werden, damit sie vor unzulässiger Veränderung und Verlust geschützt sind.
- Vertraulichkeit: Der Zugriff darf nur für autorisierte Benutzer möglich sein. Unautorisierte Nutzung oder Verbreitung muss verhindert werden.
- Verfügbarkeit: Berechtigte Stellen müssen bei Bedarf unverzüglich auf alle Daten und Dokumente zugreifen können.
Die obigen Stichworte müssen nun aus technischer und organisatorischer Sicht interpretiert werden. So lassen sich für die Unternehmensprozesse und –systeme folgende konkrete Anforderungen definieren:
- Umfassende Prozesskontrolle (Verbesserung der Kontrollmöglichkeiten für Unternehmensprozesse im Hinblick auf Überwachung, Risiko-Management, Dokumentation, Bekanntmachung und Nachvollziehbarkeit)
- Zusammenhänge transparent machen (Dokumentieren von Zusammenhängen zwischen Prozessen, Entscheidungen und den damit in Zusammenhang stehenden Unternehmensinformationen, aber auch Abgrenzung interner oder privater Daten)
- Aufbewahrungspflicht von Informationen definieren und überwachen (langzeitliche Aufbewahrung und zeitgerechte Vernichtung aller relevanten Geschäftsdaten und -dokumente)
- Sicherheit und Verfügbarkeit (Definition von technischen und organisatorischen Überwachungsprozessen, um die Verfügbarkeit, Einrichtung eines internen Kontrollsystems (IKS).
- Festlegung von Compliance-Verantwortlichkeiten (Klar definierte Rollendefinitionen für regulatorische Verantwortlichkeiten)
- Regulatorisches Berichtswesens (Einrichtung von Report-Prozessen für eine vollständige, regelmäßige und unverzügliche Berichterstattung an interne oder externe Audit-Gremien)
- Einrichtung einer Selbstprüfungs-Funktion (Monitoring-Systeme und –prozesse für eine permanente Prüfung der regulatorischen Anforderungen und deren Umsetzung)
Lösungsansatz: Records Management
Mit dem Begriff des Records Management wird versucht, eine Umsetzung der obigen regulatorischen Anforderungen im Unternehmen zu erreichen. Nationale und internationale Normen und Standards versuchen hierbei, die Anforderungen sinnvoll zu interpretieren und organisatorische und teilweise auch technische Regeln zu definieren.
Eine eindeutige Entsprechung zum Begriff „Records Management“ kann im Deutschen nicht gefunden werden. So wird „Records“ teilweise mit „Schriftgut“ und „Records Management“ mit „Schriftgutverwaltung“ übersetzt. Der Begriff „Records Management“ umfasst aber meist auch elektronische Daten und solche Unterlagen, die kein Schriftgut darstellen, wie zum Beispiel Datensätze, auch wenn der Begriff „Schriftgutverwaltung“ hier eine Dokumentenformatierung suggeriert.
Die folgende Tabelle zeigt die wichtigsten Standards, Normen und Best-practice-Dokumentationen zum Thema Records Management.
Bezeichnung | Inhalte und Geltungsbereich |
DOMEA (Dokumenten Management und elektronische Archivierung) | Deutsches Konzept für Dokumenten Management und elektronische Archivierung in der öffentlichen Verwaltung |
MoReq (Model Requirements for the Management of Electronic Records) | EU-Standard-Definition zum Thema Records Management |
UK TNA 2002 | Records Management-Standard in England |
ISO 15489 – Information & documentation – Records Management | Weltweiter ISO-Standard zur Schriftgutverwaltung, wurde teilweise in nationale Standards übernommen. Deutsche Norm als DIN/ISO 15489 |
DOD 5015.2 (Design criteria standard for electronic records management software applications) | Records Management-Standard für amerikanische Behörden, der von nicht-staatlichen Unternehmen verwendet wird |
VERS (Victorian Electronic Records Strategy) | Australische Umsetzung zum Thema Records Management |
Tabelle 2: Normen und Standards im Umfeld Records Management
Einige Normen beinhalteten neben Anforderungen an Records Management-Funktionen und Organisationsempfehlungen auch einen Vorschlag für eine konkrete Projektvorgehensweise mit Phasen, Stufen und definierten Ergebnissen pro Projektschritt.
Abbildung: Projektvorgehensweise nach ISO 15489
In einem ersten Schritte muss eine grobe Bestandsaufnahme der Records (Daten, Papierdokumente, elektronische Dokumente etc.) und der dazugehörigen Systeme gemacht werden. Auch Verantwortlichkeiten für die Erstellung und Verwaltung dieser Records sollten ermittelt und ggf. festgelegt werden. Hieran anschließend sollten die Anforderungen an das Records Management auf Basis der Geschäftsprozesse und –funktionen ermittelt werden: Wer braucht welche Informationen wann in welchem Zusammenhang?
Diese prozessbezogenen Anforderungen sollten dann verallgemeinert werden, so dass ein Abgleich mit den vorhandenen Systemen möglich ist. Typischerweise ergeben sich hieraus technische Anforderungen an vorhandene und meist auch an neue Lösungen, um diese Anforderungen umzusetzen. Parallel zur technischen Umsetzungsplanung müssen organisatorische Regelungen zu Aufbewahrungs- und Löschfristen, Verantwortlichkeiten und laufende Überwachung der Umsetzung erfolgen.
Compliance-unterstützende Content-Technologien
Die regulatorischen Anforderungen haben mittlerweile auch den IT-Markt erreicht. „Compliance“ und „Records Management“ sind die neuen Schlagworte und die Hard- und Softwarebranche, Dienstleister und Berater versuchen hiervon zu profitieren. Richtig ist, dass die Anforderungen leichter mit technischer Unterstützung umgesetzt werden können, diese aber nicht bedingen. Die Überwachung von haftungskritischen Unternehmensprozessen ist leichter auf Basis von einer elektronischen Prozessbearbeitung möglich, als bei papierbasierten Prozessen. Korrespondenz kann leichter ausgewertet oder fallbezogen zusammengestellt werden, wenn diese digital vorliegt und nicht über mehrerer Papierordner verteilt ist.
Allerdings stehen Finanzdienstleister hier vor dem Problem, dass viele Unternehmensprozesse nach wie vor papierbasiert ablaufen. Der Host als zentrale aber nicht besonders schnittstellenreiche Datengrube ist sehr präsent. Hierum gruppieren sich dann diverse Bearbeitungssysteme mit mehr oder weniger redundanten Daten.
Unter diesen gegebenen Rahmenbedingungen ist ein erster Schritt in Richtung Compliance bereits durch die Einführung der revisionssicheren elektronischen Archivierung von Papierdokumenten, Office-Dokumenten und E-Mails möglich. Bei strukturierten Prozessen kann eine elektronische Prozessbearbeitung mit einer Workflow-Lösung sinnvoll sein. Eine Records Management-Lösung mit Datawarehouse-Funktion, die für eine Datenintegration und -speicherung aus mehreren Systemen sorgt, kann die Compliance-Anwendungen ergänzen.
Auch „aktiver“ Content, wie Website-Inhalte, Instant-Messaging-Protokolle oder Bearbeitungsprozesse versionierter Dokumente müssen berücksichtigt werden, um die zeitliche Transparenz bezüglich Gültigkeit und Verfügbarkeit einer Information herzustellen. Hier können CMS- oder DMS-Lösungen unterstützen.
Die unterschiedlichen Technologien stellen sich bei vielen ECM-Anbietern in separaten Produkten dar, so dass das Ziel der besseren Integration nicht immer erreicht werden kann. Beispiel Online-Kreditanfrage: Die E-Mail-Anfrage wird im Mail-Archiv für Lotus Notes gesucht, in der CMS-Versionshistorie wird ersichtlich, welcher Preis auf der Website stand. Im Archiv für Drucklisten der kontoführenden Anwendung stehen die Bonitäts-Stati zum Zeitpunkt der Anfrage. Aus diesem Beispiel wird deutlich, dass nur mit dem Einsatz neuer Produkte das Ziel der Vorgangstransparenz nicht erreicht werden kann.
Produkte mit zentraler Datenhaltung und entsprechender Schnittstellenfunktionalität sind zu schaffen, da ansonsten die wichtige Anforderung der zusammenhängenden Darstellung von Informationen nicht möglich sein wird. Auswertungswerkzeuge, Report-Engines oder Audit-Software können dann diese Datenbestände optimal auswerten.
Fazit
Der Trend zu mehr und mehr digitalen Daten und Prozessen ist unumkehrbar. Unternehmen wünschen dies und Kunden fordern es. Somit liegt in den vermeintlichen Anforderungen der Compliance-Regularien in Wirklichkeit die Chance, Unternehmensprozesse schneller, einheitlicher und transparenter zu gestalten, Risiken früher zu erkennen und nicht nur im Handeln konform zu geltendem Recht zu sein.
Der Weg dorthin ist nicht ganz einfach und entgegen mancher Herstelleraussagen gibt es keine Out-of-the-box-Lösung. Compliance ist keine zu installierende IT-Anwendung und es geht nicht nur um Datenspeicherung in einem Datawarehouse oder um Schnittstellen zwischen mehreren Anwendungssystemen.
Die Regelungen zur uneingeschränkten Verantwortung und persönlichen Haftungspflicht der Unternehmensführung in den Regularien lassen ein Ignorieren oder Verschieben nicht mehr zu. Daher sollten Firmenchefs die Anforderungen als zusätzliche Chance begreifen, mehr Transparenz in das eigene Unternehmen zu bringen.