Do 5.3 January 26-30, 2009, Munich, Germany ICM - International Congress Centre Munich

Und es geht doch: Regelmaschinen im praktischen Einsatz Elmar Boschung Thomas Fries

Und es geht doch: Regelmaschinen im praktischen Einsatz

Thomas Fries, Innovations Softwaretechnologie GmbH Elmar l Boschung, h PostFinance, i Die i S Schweizerische h i i h Post

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

2

Geldwäschereibekämpfung in der Schweiz

ƒ Schweizer Finanzdienstleister sind dem Geldwäschereigesetz (GwG)

unterstellt (seit 1997) ƒ Weiterhin der Geldwäschereiverordnung der Eidgenössischen

Bankenkommission (GwV-EBK) zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung (seit 2002) ƒ Kontrolle durch die EBK und die Kontrollstelle des Finanzdepartments oder

eine Selbstregulierungsorganisation (SRO) ƒ Verantwortlich innerhalb der Banken: Die „Compliance“

© Innovations Software Technology

10. Dezember 2008

3

Der Auftraggeber PostFinance – die Finanzdienstleisterin der Schweizerischen Post ƒ Auftrag seit 1906: flächendeckende Grundversorgung für den

Zahlungsverkehr ƒ Seit 1996: Neben dem Zahlungsverkehr Ausbau zum RetailFinanzinstitut

Der Markt der PostFinance ƒ Privatkunden mit kleinem bis mittlerem Einkommen und ƒ ƒ ƒ ƒ

Vermögen Kleine und mittlere Unternehmen (KMU) Öffentlich-rechtliche Körperschaften Großunternehmen Kantone, Bund, Sozialversicherungen

© Innovations Software Technology

10. Dezember 2008

4

Der Auftraggeber Kennzahlen PostFinance

2007

2006

Anzahl Kundenkonten (Tausend)

3'335

3'154

Bestand Kundengelder (Mio. CHF)

43'667

40'604

Volumen Fonds und Wertschriften (Mio. CHF)

2'818

2'605

Volumen Hypotheken Privatkunden (Mio. CHF)

1'944

1'819

Volumen Ausleihungen Geschäftskunden (Mio. CHF) Benutzer/innen E-Finance Verarbeitete Transaktionen (Mio.)

© Innovations Software Technology

3'160

2'649

858'587

760'585

823

803

10. Dezember 2008

5

Herausforderungen betreffend Geldwäschereibekämpfung

Bank A

Bank D Bank C

Empfänger D Bank B

Kunde C

Kunde B Kunde A Konto A

Konto A Kunde A

ƒ ƒ ƒ

Anpassung an Delikte (Use cases) Anpassung an technische Möglichkeiten Service public verlangt Dienstleistungen für Laufkunden, d.h. Einzahlungen und Überweisungen am Schalter

© Innovations Software Technology

10. Dezember 2008

6

Funktionale Anforderungen von PostFinance ƒ Know your Customer ƒ Risikokategorisierung aller Kunden ƒ Know your Transactions ƒ Ungewöhnlichkeitsanalysen über Profile, Transaktionen und Bestände der Kunden

ƒ 30 Szenarien initial, 50 bei Bedarf, flexibel bzgl. Lifecycle

ƒ Know your Processes ƒ Vollständigkeitsprüfung p von GwG-Formularen ƒ Prozessüberwachung (automatisierte Eskalationen) ƒ Prozessdokumentation

© Innovations Software Technology

10. Dezember 2008

7

Nichtfunktionale Anforderungen von PostFinance ƒ Regelerstellung und -verwaltung durch Fachdienst Compliance ƒ einfach verständliches GUI (möglichst viel grafisch) ƒ transparente Geschäftslogik ƒ schnelle Produktivsetzung (Time-to-Market) ƒ zweistufige Freigabe der Regeln (Deployment) ƒ kein Systemtraining nötig ƒ Simulationen ƒ Nachvollziehbarkeit (Revision, Untersuchungsbehörden) ƒ Ausbaubar betreffend neuer Regeln sowie Integration in andere Compliance-Prozesse (Workflow)

© Innovations Software Technology

10. Dezember 2008

8

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

9

Vorstellung

Innovations Softwaretechnologie GmbH -

Gründung 1997 Hauptsitz Immenstaad am Bodensee Standorte in Stuttgart, Chicago und Singapur 12 Mio. € Umsatz (GJ 07/08), 2-stelliges Wachstum 100% Mitglied der Robert Bosch Gruppe 160+ Mitarbeiter

Die Märkte von Innovations - Finanzdienstleister und Versicherungen - Business Rules Management - Technologie

© Innovations Software Technology

10. Dezember 2008

10

PostFinance Systemarchitektur

…

…

…

…

…

…

Stammdaten

Kontoführung

Zahlungsverkehr

…

…

Output

Compliance

Archiv

…

…

…

…

…

…

© Innovations Software Technology

10. Dezember 2008

11

Anti-Money Laundry: Batchanalyse

Stammdaten Zahlungsverkehr Compliance DB Stammdaten Buchungsdaten Analyse y

Regeln

Alarm

Alarm

Batch Prozess

© Innovations Software Technology

10. Dezember 2008

12

Fachanforderungen zur Analyse

Art. 7 Geschäftsbeziehungen mit erhöhten Risiken 1. Der Finanzintermediär entwickelt Kriterien, welche auf Geschäftsbeziehungen mit erhöhten Rechts- und Reputationsrisiken p hinweisen. Szenario 4711 „Konti, welche ungewöhnliche Transaktionsarten, Volumen, 2. Als Kriterien kommen je nach Werte, Frequenzen (...) xxxx xxxx xxxx xxxxGeschäftsaktivitäten xxx xxxx xxx xxxx des Finanzintermediärs insbesondere in Frage: xxxx xxx xxxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx xxx xxxx Art. 8 Transaktionen mit erhöhten Risiken xxx xxxx xxxx xxx xxxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx 1. Der Finanzintermediär entwickelt zur Erkennung von Transaktionen mit erhöhten Rechts- und a. Sitz oderKriterien Wohnsitz der Vertragspartei und desxxx wirtschaftlich Berechtigten oder deren xxx xxxx xxx xxxxxxx xxxx xxx xxxx xxx xxxx xxxx xxx xxxx Reputationsrisiken. xxxx xxxx Staatsangehörigkeit; xxx xxxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx xxx b. Art und Ortxxx derxxxx Geschäftstätigkeit derxxxx Vertragspartei und des wirtschaftlich Berechtigten; xxxx xxx xxxxxxx xxxx xxx xxxx xxxx xxx xxx 2. Als Kriterien kommen jec.nach Geschäftsaktivitäten des Finanzintermediärs insbesondere inwirtschaftlich Frage: Fehlen eines persönlichen Kontakts zur Vertragspartei sowie zum xxxx xxxx xxxxxxx xxxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx Berechtigten; xxx xxxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx xxx xxxx xxx a. die Höhe der Zu- und Abflüsse von Vermögenswerten; Artxxxx der verlangten Dienstleistungen oder Produkte; xxxx xxxx d. xxx xxx xxxx xxxx xxx xxxx xxx xxxx xxxx xxx b. erhebliche Abweichungen gegenüber den in der Geschäftsbeziehung üblichen Transaktionsarten, — e. Höhe Vermögenswerte; xxxx xxx xxxx xxxxder xxxeingebrachten xxxx xxx xxxx xxxx xxx xxxx xxx xxxx volumina und —frequenzen; f. Höhe undaufweisen.“ Abflüsse von Vermögenswerten; xxxx xxx xxxx xxxder xxxxZuxxxx c erhebliche Abweichungen c. gegenüberoder den Zielland in vergleichbaren Geschäftsbeziehungen üblichen g Herkunftsg. Herkunfts häufiger Zahlungen Zahlungen. Transaktionsarten, —volumina und —frequenzen. 3 Als Geschäftsbeziehungen mit erhöhten Risiken gelten in jedem Fall diejenigen mit 3. Als Transaktionen mit erhöhten gelten in jedemsowie Fall Transaktionen: politisch Risiken exponierten Personen Geschäftsbeziehungen mit ausländischen Finanzintermediären, für die ein Schweizer Finanzintermediär Korrespondenzbankgeschäfte a. bei denen am Anfang der Geschäftsbeziehung auf ein Mal oder gestaffelt Vermögenswerte im Gegenwert von abwickelt. mehr als 100 000 Franken physisch eingebracht werden; b. welche Anhaltspunkte auf Geldwäscherei (Anhang) aufweisen.

© Innovations Software Technology

10. Dezember 2008

13

Verwalten von Geschäftsregeln Geschäftsregeln ƒ sind schwierig abzustimmen

zwischen IT und Business

Business

ƒ ändern sich häufig ƒ sind komplex und fehleranfällig

IT Regeln

ƒ stecken - im Programmcode

- in Gesetzen, Satzungen,… - in den Köpfen -…

Regeln

Systeme

© Innovations Software Technology

10. Dezember 2008

14

Verwalten von Geschäftsregeln

Ziel

Business IT Besser so

Regeln Regeln

Systeme

© Innovations Software Technology

Regeln

10. Dezember 2008

Am Besten so

15

Graphische Regelmodellierung

© Innovations Software Technology

10. Dezember 2008

16

Graphische Regelmodellierung

Start

Entscheiden

Zuweisen

Aktion auslösen

Regel aufrufen

Entscheidungstabelle aufrufen

Service aufrufen

Wiederholung

Wiederholung abbrechen

Ausnahme auslösen und behandeln

© Innovations Software Technology

10. Dezember 2008

17

Graphische Regelmodellierung ƒ Fachliche (lesbare) Beschreibung und technische (ausführbare) Ausdrücke werden parallel verwaltet. Beide Sichten sind einzeln ein- und ausblendbar.

ƒ Verschiedene Code-Generatoren ƒ Java-Code-Generator erzeugt ein ausführbares *.jar (API für einfache Integration) © Innovations Software Technology

10. Dezember 2008

18

Fiktives Beispiel „Know Your Customer“ (Risikokategorisierung)

© Innovations Software Technology

10. Dezember 2008

19

Fiktives Beispiel: „Know Your Transactions“ (Zahlungsverkehr-Überwachung)

© Innovations Software Technology

10. Dezember 2008

20

Geschäftsregeln: Schnittstellen • Parameter

• Aktionen

© Innovations Software Technology

10. Dezember 2008

21

Hot Deployment: Übersicht

Stammdaten Zahlungsverkehr Server DB

J2EE AppServer

Analyse y

PC Arbeitsplatz (Redaktion) Hot Deployment ComplianceSpezialist

© Innovations Software Technology

Stammdaten Buchungsdaten

Regeln

Alarm

Alarm

Batch Prozess

10. Dezember 2008

22

Hot Deployment: UI

© Innovations Software Technology

10. Dezember 2008

23

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

24

Hot Deployment: Qualitätssicherung – Simulation Stammdaten Zahlungsverkehr Server DB

MLDS AppServer

Stammdaten Buchungsdaten

Simulation Analyse y

PC Arbeitsplatz (Redaktion) Hot Deployment ComplianceSpezialist

© Innovations Software Technology

Regeln

Alarm

Alarm

Batch Prozess

10. Dezember 2008

25

Hot Deployment: Qualitätssicherung – Simulation

© Innovations Software Technology

10. Dezember 2008

26

Hot Deployment: Qualitätssicherung – Autotests

© Innovations Software Technology

10. Dezember 2008

27

Hot Deployment: Qualitätssicherung – 4-Augen-Prinzip Die Funktionen ƒ Regelerstellung und ƒ Regelaktivierung sind an verschiedene Rollen gekoppelt. Durch Verteilung der Rollen auf unterschiedliche Personen wurde ein einfacher Freigabe-Workflow realisiert.

© Innovations Software Technology

10. Dezember 2008

28

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

29

Performance-Aspekte

ƒ Regeln werden in Programmcode umgewandelt, der direkt von der darunter liegenden Plattform ausgeführt wird. ƒ Eigentliche Regelausführung minimal im Vergleich zu I/O und Netztransfer. ƒ Prinzip: Alle Daten einmal lesen und dabei alle Szenarien anwenden. Æ Anzahl der Szenarien hat geringen Einfluss auf die Laufzeit.

© Innovations Software Technology

10. Dezember 2008

30

Fiktives Beispiel

© Innovations Software Technology

10. Dezember 2008

31

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

32

Service-Anbindung Stammdaten Zahlungsverkehr

Kontoeröffnung Servicecalls

Server DB

J2EE AppServer

Stammdaten Buchungsdaten

Simulation Analyse y

PC Arbeitsplatz (Redaktion) Hot Deployment ComplianceSpezialist

© Innovations Software Technology

Regeln

Alarm

Alarm

Batch Prozess

10. Dezember 2008

33

Service-Anbindung Stammdaten Zahlungsverkehr

Kontoeröffnung

Abklärungsauftrag

Servicecalls

PC Arbeitsplatz (Fallbearbeitung)

Server Abklärung

Sachbearbeiter

DB

J2EE AppServer

MLDS-Client

Stammdaten Buchungsdaten

Simulation Analyse y

PC Arbeitsplatz (Redaktion) Hot Deployment ComplianceSpezialist

© Innovations Software Technology

Regeln

Alarm Abklärung

Alarm

Batch Prozess

10. Dezember 2008

34

PostFinance Systemarchitektur

…

…

…

…

…

…

Stammdaten

Kontoführung

Zahlungsverkehr

…

…

Output

Compliance

Archiv

…

…

…

…

…

…

© Innovations Software Technology

10. Dezember 2008

35

Agenda

1

Problemstellung und Rahmenbedingungen

2

Regelbasierte Analyse und Hot Deployment

3

Maßnahmen zur Qualitätssicherung

4

Performance-Aspekte

5

Service-Orientierung

6

Fazit

© Innovations Software Technology

10. Dezember 2008

36

Fazit: Aus über 3 Jahren Betrieb ƒ Compliance entwickelt und verwaltet seine Geschäftslogik selbst ƒ

unabhängig von IT

ƒ

sehr kurze Time-to-Market

ƒ Selbst-dokumentierende Implementierung der Geschäftsregeln ƒ Abbildung komplizierter Regeln: ƒ

logische Operationen

ƒ

Iterationen

ƒ

mathematische und statistische Funktionen

ƒ

Entscheidungsbäume und -tabellen

ƒ Vollständiger Audit-Trail ƒ GwG-Regeln sind effektiv ƒ Generierter Java-Code ist effizient (bisher keine Performance-Probleme)

© Innovations Software Technology

10. Dezember 2008

Fragen? Thomas Fries, Technischer Projektleiter [email protected] Elmar Boschung, Domänenleiter Personen- und Geschäftsdaten [email protected]

37