Technologie-Partner
Gold-Sponsor:
Mittwoch, 13.02.2013
Vorschriften, Richtlinien, Compliance und IT

Vorschriften, Richtlinien, Compliance und IT
Börsenkotierte Firmen dürfen (und müssen) Nachrichten und Geschäftszahlen gemäss bestimmten Vorschriften und Richtlinien veröffentlichen. Die IT-Abteilung muss entsprechende Prozesse abbilden. Das ist leichter gesagt als getan. Ein Erfahrungsbericht von Gastautor Christoph Jäggi.
 
Vorschriften und Richtlinien setzen Rahmenbedingungen, die einzuhalten sind. Sanktionsandrohungen sollen für die Motivation zur Einhaltung dieser Spielregeln sorgen. Das funktioniert aber nur dann, wenn die Wahrscheinlichkeit erwischt zu werden hoch und die Auswirkung der Sanktionen massiv ist. Falls die Kosten der Einhaltung höher sind als die der Nichteinhaltung, so lohnt es sich – bei rein betriebswirtschaftlicher Sichtweise - gegen die Vorschriften und Richtlinien zu verstossen. Der zweckoptimierte Einsatz von IT kann Compliance in vielen Bereichen kosteneffizient sicherstellen.
 
Mensch, einzuhaltende Vorgaben und Technik
Richtlinien und Vorschriften beinhalten sowohl das Erfüllen von Voraussetzungen als auch das Ausführen oder Nichtausführen einer Tätigkeit unter Beachtung spezifischer Regeln. Sie bestimmen, was vorhanden sein muss, was gemacht werden muss und was zu unterlassen ist. Für die Einhaltung ist der Adressatenkreis der Richtlinien und Vorschriften selbst verantwortlich und kann diese Verantwortung nicht delegieren.
 
Auch die IT selbst ist von Richtlinien und Vorschriften betroffen und muss den gesetzten Vorgaben entsprechen. Die Liste ist lang und reicht von der Sicherheit über die Kundeninteraktion und die Bereitstellung von Services bis zur Erfüllung definierter Ausführungsgeschwindigkeiten. Oft beinhalten Richtlinien und Vorschriften klare Angaben über die zu erfüllenden Bedingungen.
 
Da heute viele Abläufe IT-basiert erfolgen, kann man IT dazu verwenden die korrekte Einhaltung der Abläufe sicherzustellen. Zu unterscheiden gilt es als erstes zwischen den Abläufen, die von der IT selbst gestartet werden und den Abläufen, die von einem Menschen initialisiert werden. Bei ersteren startet der Computer unter vordefinierten und bekannten Bedingungen automatisch einen Prozess, während bei letzteren zuerst ein Mensch darüber entscheidet, ob die Bedingungen erfüllt sind und ein Ablauf gestartet werden soll. Ein weiteres wichtiges Unterscheidungskriterium ist die Interaktivität der Ausführung. Nur im Fall, dass ein Computer einen Prozess automatisch startet und ausführt kommt es zu keiner Interaktivität zwischen Mensch und Maschine. In allen anderen Fällen ist eine Interaktivität Teil des Ablaufs. Dies stellt erhöhte Anforderungen in Bezug auf das UX Design und die Überprüfung von Eingaben. Schwierig ist das insbesondere dort, wo die Eingabe aus Text besteht und die Wertung vom Menschen abhängt.
 
Eine Problemlösung aus der Praxis
Am besten zeigt sich die Problematik an einem Fall aus der Praxis. Konkret geht es dabei um die Einhaltung der Richtlinien betr. Ad hoc-Publizität der SIX Swiss Exchange. Was bei Nichteinhaltung passieren kann, zeigt dieser Sanktionsbeschluss. Eine Liste der von der SIX Swiss Exchange ausgesprochenen Sanktionen wegen Nichteinhaltung der Richtlinien und deren Begründung findet sich hier.
 
Zur oben aufgeführten Sanktion wäre es bei Vorhandensein einer tauglichen IT-Lösung nie gekommen, denn sie betrifft Vorfälle, die mittels IT problemlos zu verhindern sind. Compliance ist in diesem Fall ein Zusammenspiel von Mensch und Technik. Der Mensch wertet und startet den Ablauf. Die IT stellt die benötigte technische Infrastruktur zur Verfügung und kann im Optimalfall einen Prozess so steuern, dass der Ablauf vorschriftsgemäss erfolgt. In der Praxis zeigt sich, dass die Implementierung solcher Prozesssteuerungen wegen ihrer fachübergreifenden Natur nicht trivial ist. Wie eine solche Lösung gefunden und implementiert wird, zeigt folgendes Beispiel, das für eine börsenkotierte Investmentgesellschaft im Einsatz ist.
 
Die Vorgaben
Die regulatorischen Vorgaben umfassen Zweck, Anwendungsbereich und Modalitäten. Für letztere braucht es eine Übereinstimmung von Richtlinien und Arbeitsabläufen. Für Investmentgesellschaften gelten dabei erweiterte Publikationspflichten. Nebst Pressemitteilungen (News-Releases), Ad hoc-Releases und Berichten (Reports) muss auch der Net Asset Value (NAV) regelmässig publiziert werden.
 
Gemäss Art 1.RLAhp (Richtlinie betreffend Ad Hoc-Publizität) liegt der Zweck der Ad hoc-Publizität in der Sicherstellung, dass die Emittenten die Öffentlichkeit in wahrer, klarer und vollständiger Weise über massgebliche Ereignisse aus ihrem Tätigkeitsbereich informieren. Art. 3 und 4 engen die Bekanntgabepflicht auf qualifizierte Ereignisse ein. Der Zeitpunkt der Bekanntgabe einer Mitteilung wird durch zwei Faktoren bestimmt: Erstens der Kenntnis der potentiell kursrelevanten Tatsache in den wesentlichen Punkten und zweitens der handelskritischen Zeit. Die Publikation von potentiell kursrelevanten Tatsachen hat grundsätzlich ausserhalb der handelskritischen Zeit zu erfolgen, also zwischen 17.30 und 7.30 Uhr. Es gilt das Gebot der Gleichbehandlung: Die Information der Öffentlichkeit soll gewährleisten, dass alle Marktteilnehmer in gleicher Weise die Möglichkeit haben, von potentiell kursrelevanten Tatsachen Kenntnis zu nehmen. Deshalb muss für die Verbreitung der Mitteilungen ein Push- und ein Pull-System zur Verfügung gestellt werden. Die Verbreitung hat zeitnah innerhalb von Minuten an alle Interessierte zu erfolgen. Vorausgesetzt werden eine Website, ein E-Mail-Server und eine Internetverbindung. Sie bilden die Basis der benötigten IT-Infrastruktur und müssen so dimensioniert sein, dass die Vorgaben eingehalten werden können.
 
Primäre Entscheidung und Wertung durch den Menschen
Ob und was mitgeteilt wird, wird von Menschen entschieden. Das gleiche gilt für den Zeitpunkt der Bekanntgabe. Erst nachher kann die IT unterstützend eingreifen. Für jeden Typ von Mitteilung gelten spezifische Regeln. Hat der Benutzer Typ und Zeit bestimmt, kann ihn das System durch die vorgeschriebenen Abläufe führen und die Einhaltung der Richtlinien sicherstellen. Ob es sich um eine potentiell kursrelevante Tatsache handelt, ergibt sich aus der Wertung, die sich teilweise schon aus dem Typ der Mitteilung ermitteln lässt.
 
Entwicklungsgrundlagen und Entwicklung
Die Komplexität zeigt sich schon beim Erstellen der Product Requirements. Die Analyse muss nebst den einzuhaltenden Vorschriften auch die Arbeitsabläufe, die zur Verfügung stehenden Informationen, die Benutzererwartungen und die benötigte technische Infrastruktur vollumfänglich berücksichtigen. Für die Spezifikationen ist anschliessend eine Lösung zu finden, die den Prozessablauf benutzerorientiert gestaltet und die Einhaltung der Vorschriften sicherstellt. Dazu gehören nebst den Eckdaten für die IT-Infrastruktur auch Regelwerke und Prüfmechanismen.
 
Als zentraler Knotenpunkt dient der Webserver. Die Website baut auf dem Content Management System (CMS) Drupal auf. Für die Benutzerfreundlichkeit gegen innen wurde ein Zwischenlayer geschaffen, der den Benutzer von der Komplexität des CMS schützt und ganz auf die verschiedenen Arbeitsabläufe optimiert ist. Der Benutzer wählt die auszuführende Arbeit und wird dann von einem spezialisierten Wizard dabei geführt und unterstützt.
Ein besonderes Gewicht bei der Entwicklung hat die Quality Assurance, denn die Auswirkungen von Murphy’s Law sind allgegenwärtig. Entsprechend müssen alle möglichen Szenarien durchgetestet werden. Die Definition der Testszenarien ist Teil der Requirement Docs und der Spezifikationen.
 
Eine detaillierte Beschreibung der Lösung würde aufgrund des Umfangs den Rahmen dieses Artikels sprengen. Eine umfangreiche Beschreibung steht deshalb als PDF zur Ver-fügung. Es sei an dieser Stelle aber deutlich darauf hin-gewiesen, dass eine solche Beschreibung weder alle As-pekte aufzeigen noch als Bauanleitung für eine eigene Imp-lementierung dienen kann. Dafür sind die Börsensegmente, die firmeninternen Arbeitsabläufe und die EDV-Systemumgebungen zu unterschiedlich. Die Dokumentation gibt aber einen guten Einblick in die Komplexität und die Lösungsansätze. (Christoph Jaggi)
 
Kostenloses PDF: IT-unterstützte Einhaltung der Ad hoc-Publizitätsrichtlinien der SIX Swiss Exchange.
Kommentar schreiben
 
Newsletter abonnieren
E-Mail-Adresse
HOT Stories
Neu auf altText
Kolumnen
Features