MX ISO 20022-Implementierung, grenzüberschreitende Transaktionen und die Auswirkungen auf Compliance-Projekte

Die Umstellung von Transaktionen auf das neuere ISO 20022-Format hält die Banken derzeit auf Trab. Welche Auswirkungen hat dies auf die Prüfung von Sanktionen bei grenzüberschreitenden Transaktionen? Dieser Artikel fasst einige Erfahrungen zusammen, die im Rahmen von Compliance-Projekten gesammelt wurden.

In den Banken laufen derzeit viele Projekte, die sich auf das Nachrichtenformat bei grenzüberschreitenden Transaktionen beziehen. Das wichtigste Schlagwort dabei ist ISO 20022. Dabei handelt es sich um eine ISO-Standardspezifikation für Nachrichten, die im internationalen Bankverkehr verwendet werden. Die Bedeutung dieses Formats, insbesondere in Europa, ergibt sich aus zwei laufenden Implementierungsänderungen:

1. Das europäische Target-Konsolidierungsprojekt Target 2/T2
2. Die Umstellung des SWIFT-Netzwerks auf CBPR+

Diese beiden Änderungen im Zusammenhang mit dem Transaktionsnachrichtennetzwerk werden die technische Implementierung von Nachrichten in den jeweiligen Netzwerken verändern und im November 2022 in Betrieb gehen. Während die Target-Konsolidierung zu diesem Zeitpunkt mit einem großen "Big Bang" in Betrieb gehen wird, beginnt die CBPR+-Implementierung mit einer Übergangsphase, die 2025 endet. Die Teilnehmer werden ihre Prozesse und technischen Systeme anpassen und migrieren müssen.

Generell verbreiten sich dieser XML-basierte Nachrichtenformatstandard und seine verschiedenen Nachrichtentypen weltweit immer mehr. Die Harmonisierung des Nachrichtenformats ist ein großer Vorteil, der immer einer der Hauptgründe für die Umstellung ist.

Die Änderung des technischen Formats innerhalb einer Bank ist jedoch eine gewaltige Aufgabe. Möglicherweise müssen Teile der technischen Infrastruktur geändert werden. Mehrere Anwendungen, die an der Nachrichtenverarbeitung beteiligt sind, müssen evaluiert, aufgerüstet oder ersetzt werden – vom Zahlungssystem bis hin zu Compliance-relevanten Komponenten wie Anwendungen zum Transaktionsscreening. Das Format der Datenzuordnung der Bank muss definiert, implementiert und überprüft werden. Die Einbindung und Abstimmung der Abteilungen innerhalb der Bank sind der Schlüssel für eine erfolgreiche Umsetzung dieser Veränderungen. Häufig ist externe Unterstützung erforderlich, um den Arbeitsaufwand zu bewältigen.

Compliance-Anwendungen, wie z. B. Echtzeit-Sanktionslistenprüfungen, sind ein Teil des Puzzles bei dieser Umstellung, kommen aber manchmal erst sehr spät ins Spiel. Für die Compliance einer Bank ist es jedoch entscheidend, dass diese Komponenten ordnungsgemäß funktionieren.

Technisch gesehen wird das XML-basierte Format bereits innerhalb des europäischen Target-Netzwerks für SEPA-Transaktionen neben dem MT FIN-Format verwendet. Im Detail verwendet SEPA ein Format, das auf dem ISO 20022-Standard basiert. Auf den ersten Blick sieht es ähnlich aus wie das neue Format im Rahmen der Änderungen, aber die kleinen Unterschiede in der Implementierung können viel Aufwand verursachen, damit die neuen Nachrichtentypen funktionieren.

Eine weitere wichtige Änderung in diesem T2-Netzwerk besteht darin, dass den Banken mehr funktionale Optionen zur Verfügung stehen, z. B. Liquiditätsmanagement und Sofortzahlungsabwicklung. Der gesamte Prozess der Clearing-Änderungen und die Funktionalität für Sofortzahlungen erfordern sehr kurze Verarbeitungszeiten für Nachrichten. Diese Funktionen nutzen zusätzliche technische Nachrichtentypen, die technische Änderungen in Bezug auf die Formate erforderlich machen sowie andere Erwartungen an die Verarbeitungszeit haben.

Weltweit wird derzeit im SWIFT-Netz neben dem MX-Format das Nachrichtentextformat (MT) verwendet. Da das MT-Format veraltet ist und zu viele Nachteile aufweist, muss es ersetzt werden. Eine Umstellung der Nachrichtentypen im Laufe der Zeit ist bereits vorgesehen.

Neben der Harmonisierung liegt ein wesentlicher Vorteil von MX- gegenüber MT-Nachrichten in den besser strukturierten Daten. Ein Beispiel ist die Unterscheidung zwischen Namens- und Adressinformationen:

Gibt es Auswirkungen auf Compliance-Systeme, die grenzüberschreitende Transaktionen mit Sanktionslisten abgleichen?
Die allgemeine Antwort lautet ja, da dies Teil der Prozesskette der Nachrichten ist. Bei der Planung dieser Änderungen ist es wichtig, die Compliance-Abteilung mit ihren geschäftlichen Anforderungen und der technischen Umsetzung so früh wie möglich in die Diskussion einzubeziehen. Art und Umfang der notwendigen Änderungen hängen von mehreren Aspekten ab. Zwei Hauptaspekte, mit denen man bei Projekten konfrontiert wird, sind:

1. Banken nutzen unterschiedliche Nachrichtenformate für unterschiedliche Geschäftsprozesse in unterschiedlichen Netzen: Es kann der Fall sein, dass in der Bank derzeit nur MT-Transaktionen mit wenigen Nachrichtentypen verwendet werden oder dass die Bank eine Vielzahl von Angeboten hat, die alle Nachrichtentypen erforderlich machen.
2. In einigen Banken ist der ISO-Standard bereits bekannt und in Verwendung. Daher sind möglicherweise nur kleine netzwerkspezifische Anpassungen erforderlich. Für Kunden, die derzeit nur MT-Nachrichten verwenden, stellt dies jedoch eine große Umstellung dar.

Welche Auswirkungen ergeben sich aus der Sicht regulatorischer Compliance?
Erste große Frage: Werden XML-basierte Nachrichten bereits verwendet? Falls sie noch nicht verwendet werden, kann der Aufwand für die Implementierung der Datenlieferung einschließlich der Datenzuordnung, der Konfiguration des Systems und des Testens der Implementierung von T2/CBPR+-Änderungen erheblich sein. Dieser Aufwand verringert sich bis zu einem gewissen Grad, wenn XML-basierte Nachrichten bereits im Einsatz sind (z. B. für SEPA). Die Anwendungen verfügen möglicherweise bereits über eine grundlegende fachseitige Konfiguration und die Mitarbeiter haben Erfahrung im Umgang mit XML-Nachrichten. In jedem Fall sollte die Einrichtung anhand der fachlichen Erwartungen getestet werden, um die Funktionalität der Anwendung für die Compliance-Abteilung sicherzustellen.

Technisch gesehen handelt es sich um eine Formatänderung, die in allen Anwendungen und Zahlungsströmen umgesetzt werden muss. Der Integrationspunkt der Lösung für das Sanktionsscreening ist ein Faktor: Liest die Sanktionsscreening-Software die Original-Nachrichten so, wie sie sind, oder wird sie von einer anderen Anwendung aufgerufen und die Schnittstelle verwendet proprietäre Datenfelder, die von der aufrufenden Anwendung vorbereitet wurden?

Abhängig von diesem Faktor muss entweder die gesamte Anwendung für die neuen Nachrichten vorbereitet und erneut getestet werden oder die Implementierungsänderung muss in der aufrufenden Anwendung vorgenommen werden. Die Gesamtlösung muss jedoch erneut getestet werden, um eine ordnungsgemäße Sanktionslistenprüfung des Nachrichteninhalts zu gewährleisten. Es ist wichtig, dass die erforderlichen Felder, z. B. die Namen der handelnden Parteien, BIC-Codes und Kontonummern in einer Transaktion, korrekt aus dem Nachrichteninhalt gelesen und innerhalb der Compliance-Lösung verarbeitet werden.

Die Endnutzer der Compliance-Abteilung müssen möglicherweise im Umgang mit dem neuen Nachrichtenformat geschult werden. Das allgemeine Erscheinungsbild der Nachricht und der Inhalt der Felder können anders aussehen. Daher müssen möglicherweise auch die Ermittler in der effektiven Handhabung von auffälligen Nachrichten in diesen neuen Nachrichtenformaten geschult werden.

Zu berücksichtigen sind auch die Veränderungen im Volumen der verschiedenen Transaktionsformate. Dies kann für infrastrukturelle Themen wie die technische Auslegung der an den verschiedenen Zahlungsströmen beteiligten Anwendungen von Bedeutung sein. Außerdem wird erwartet, dass die Verarbeitungszeiten immer kürzer werden. In vielen Fällen werden die Systemarchitekturen so verändert, dass sie Daten rund um die Uhr (24/7) und mit hoher Verfügbarkeit verarbeiten können, sofern dies nicht bereits geschehen ist.

In den kommenden Monaten werden sich die Implementierungs- und Supportaufwände in den Projekten immer mehr auf das ordnungsgemäße Testen der technischen und fachlichen Konfiguration konzentrieren, um einen erfolgreichen Go-Live im November 2022 zu gewährleisten. Und natürlich freuen sich meine Kollegen von msg Rethink Compliance und ich uns darauf, gemeinsam mit unseren Kunden am Ziel eines auch in Zukunft technisch stabilen und funktionsgerechten Screenings ihrer grenzüberschreitenden Transaktionen zu arbeiten.