Compliance – die neue Dimension

Ein Weg des Wandels steht bevor

Von Bernd Michael Lindner und Oliver Wolff

Beitrag als PDF (Download)

Was bewegt uns?

Die externen Einflüsse der Entwicklung zur Industrie 4.0 beeinflussen auch deutlich erkennbar die Complianceeinheiten und deren zukünftige Ausgestaltung der Compliancefunktion. Im Fokus dieser Entwicklung stehen dabei einige Fragen, mit denen sich aktuell Chief Compliance Officer beschäftigen. Die Wichtigkeit der einzelnen Fragen hängt dabei vom Reifegrad der jeweiligen Compliancefunktion ab – dennoch werden sich alle Complianceverantwortlichen über die nächsten Jahre mit den nachfolgenden Fragen beschäftigen:

  • Wie definiert sich das individuelle Compliancezielbild für das jeweilige Unternehmen?
  • Wie können die neuen Technologien für Compliance genutzt werden, und welchen Einfluss hat die Digitalisierung auf Compliance?
  • Welche Anpassungen sind notwendig, um die Complianceprozesse in der ersten und der zweiten Verteidigungslinie kosteneffizienter und gleichwohl wirksam zu gestalten?
  • Wie wird die klare Aufgabentrennung innerhalb der drei Verteidigungslinien gewährleistet?
  • Wie stellt die Complianceeinheit sicher, dass Veränderungen zu nachweisbaren und nachhaltigen Entwicklungen führen?

Wo kommen wir her?

In der historischen Betrachtung gilt für Unternehmen aus dem Umfeld Financial Services, dass zunächst das Gewicht auf der Umsetzung gesetzlicher und regulatorischer Vorschriften in den Kerncompliancethemen (wie etwa Geldwäscheprävention, Finanzsanktionen, WpHG-Compliance) lag. Dazu kommen auch aktuell Veränderungen im Gesetz, die umzusetzen sind, wie das neue Geldwäschegesetz, basierend auf der 4. EU-Geldwäscherichtlinie. Die Zielsetzung in der Vergangenheit war immer, möglichst wenige Feststellungen durch die interne Revision, den Wirtschaftsprüfer oder durch die Aufsichtsbehörden zu bekommen. Die Einführung der MaRisk 4.4.2 bei Banken sowie der MaGo bei Versicherungen hat zu einem Paradigmenwechsel geführt. Die Complianceeinheit hat neben der fachlichen Verantwortung der Kerncompliancethemen die Aufgabe der Koordination der weiteren wesentlichen Compliancethemen dazubekommen – eine völlig neue Rolle, die eine Anpassung bisher gelebter Prozesse in der Complianceeinheit und der Compliancefunktion notwendig macht. Die Weiterentwicklung oder der Aufbau eines angemessenen und wirksamen Compliancemanagementsystems steht dabei im Fokus.

Compliancemanagementsystem – quo vadis?

Basierend auf einer aktuellen KPMG-Compliance-Studie, wurde der zunehmende Fokus auf Investitionen in Automatisierungs- und Integrationsprozesse als Grundlage zur Etablierung proaktiver Compliancemanagementsysteme sowie zur Steigerung von Wirksamkeit und Wirtschaftlichkeit festgestellt. Hierbei wurden die Complianceverantwortlichen der Fortune-500-Unternehmen in den USA befragt. Ein Kernergebnis dabei war, dass aktuell 60% der befragten Unternehmen den Schwerpunkt auf „Comply“ (regulatorische und gesetzliche Anforderungen einhalten und erfüllen) legen – nur 20% der Unternehmen legen derzeit einen Schwerpunkt auf „Integrate“ (regulatorische und gesetzliche Anforderungen in die Aufbau- und Ablauforganisation, insbesondere in das Three-Lines-of-Defense-Modell eines Unternehmens integrieren). Weitere 20% konzentrieren sich im Status quo auf „Automate“ (Complianceprozesse automatisieren/digitalisieren). In der Abfrage der künftigen Praxis dreht sich dieses Bild. 50% der befragten Compliancever-antwortlichen sehen den Schwerpunkt bei „Automate“, 30% bei „Integrate“ und nur noch 20% bei „Comply“.

KPMG-Compliance-Studie: Was sagt der Markt?

Die weiteren Ergebnisse der Studie lassen viele Parallelen zum Compliancemarkt in Europa erkennen. Der regulatorische Fokus auf eine starke Compliancekultur nimmt zu. Dabei sind klare Rollen und Verantwortlichkeiten zu definieren, und die Kommunikation ist zu verbessern (diese Punkte betreffen insbesondere die Zusammenarbeit zwischen zweiter und erster Verteidigungslinie).

Die Studie hatte als weiteres Ergebnis, dass nahezu alle Organisationen über ausreichend dokumentierte Richtlinien und Verfahren sowie einen angemessenen Code of Conduct verfügen. Jedoch besitzen lediglich 69% der Befragten Verfahren, um gesetzliche und regulatorische Neuerungen zu erfassen. Somit hat ein Drittel der Befragten kein ausreichendes Rechtsmonitoring. Wie bereits bei den übergreifenden Ergebnissen dargestellt, werden im Status quo die Möglichkeiten der technologischen Unterstützung (etwa künstliche Intelligenz, Datenanalysen), also der Automatisierung auf dem Weg zu einem proaktiven Compliancemanagementsystem, unzureichend genutzt.

Im Umfeld Compliancerisikomanagement war das Ergebnis, dass 79% der Chief Compliance Officer über einen formalen Risikobewertungsprozess verfügen, aber 24% davon nicht wissen, ob sie angemessene und wirksame Überwachungsmaßnahmen durchführen. Das Thema Schnittstelle von Compliance zu Non Financial Risks wurde in der Studie nicht beleuchtet.

Ein spannendes Ergebnis wurde im Umfeld Vergütung erzielt. Bei 61% der Befragten ist das Thema Erfüllung von Compliancevorgaben ein Bestandteil der Vergütung.

Das letzte wichtige Ergebnis bezieht sich auf die Berichterstattung. Nur 47% haben ein integriertes unternehmensweites System zur Complianceberichterstattung. Ein vielfacher Wunsch der Chief Compliance Officer war ein Dashboard für die Berichterstattung. Somit ist eine Art Compliancemanagementcockpit von den Compliance Officern gewünscht, in dem in Echtzeit die aktuelle Compliancesituation abrufbar ist.

Die Antwort: die neue Dimension

Die Bestandteile der neuen Dimension sind

  • die Neudefinition der Messparameter zur Beurteilung der Angemessenheit und Wirksamkeit der Compliancefunktion,
  • die übergreifende Digitalisierung der Datenspeicherung und der Einsatz der passenden Tools zur Effizienz- und Effektivitätssteigerung,
  • die Identifikation und Verschlankung bestehender Prozesse zur Optimierung des Ressourceneinsatzes und zur Kostenreduktion.

Bei der Angemessenheit sollte sich die Complianceeinheit im Rahmen ihrer Überwachungsaufgaben beispielsweise die Frage stellen, ob die Auswahl der Compliancemaßnahmen geeignet ist, um das Spektrum möglicher Compliancerisiken abzudecken. Weiterhin ist zu beleuchten, ob die einzelnen Maßnahmen so ausgestaltet sind, dass sie dem Eintritt der Risiken entgegenwirken. Die Betrachtung der Angemessenheit fängt dabei bei der Bewertung der Umsetzung des unternehmensindividuellen Compliancemanagementsystems an und geht weiter bei der Analyse der Maßnahmen für spezielle Risikoszenarien in den wesentlichen Compliancethemen. Im Rahmen des Themas „Integrate“ ist auch ein Schwerpunkt auf die Umsetzung der Compliancemaßnahmen in der ersten Verteidigungslinie, d.h. im Vertrieb und anderen Fachabteilungen, zu legen.

Digitalisierung und Compliance

Bei dem Thema der Digitalisierung in Compliance sind drei Schritte durchzuführen. Als Erstes ist es wichtig, dass sämtliche compliancerelevanten Daten in digitaler Form für die Complianceeinheit bereitgestellt werden. Den Mitarbeitern in der Einheit Compliance muss der Zugang zu den relevanten Systemen ermöglicht werden, und diese Systeme (beispielsweise der Kundenbestand) müssen an die Systeme der Compliance-IT (etwa Screeningsysteme für Economic Sanctions oder Monitoringsysteme für die Geldwäscheprävention) angebunden sein. Als Zweites müssen aufeinander abgestimmt IT-gestützte Tools und Programme zur Abbildung sämtlicher Complianceprozesse realisiert werden. Hierzu ist die Definition eines Compliance-IT-Zielbilds notwendig. Nur so können kostenaufwendige Medienbrüche und manuelle Prozesse reduziert werden. Wenn diese beiden Schritte umgesetzt sind, ist die Grundlage für den Einsatz neuer Technologien, wie beispielsweise Blockchain, Data & Analytics, Predictive-Data-Analysen oder Robotertechnik, vorhanden. Mit diesen Methoden können dann eine intelligente Datenextraktion und -analyse, eine fortlaufende Kunden-Due-Diligence etc. realisiert werden. Entscheidungen, die aktuell noch durch Menschen getroffen werden, können in dieser Ausbaustufe der Digitalisierung von den technischen Systemen getroffen werden. Dieser Sachverhalt führt direkt zum dritten Aspekt der neuen Dimension – der Prozesseffizienz in Compliance.

Neben der bereits beschriebenen Situation in der IT mit veralteten Systemen etc. und einem fehlenden Compliance-IT-Zielbild gibt es als weitere Herausforderung eine historisch entstandene und gewachsene Prozesslandschaft mit einer rudimentären oder nicht vorhandenen Definition und Dokumentation der Complianceprozesse. Aus dieser Situation ergibt sich ständig ein wachsender Personalbedarf in Complianceeinheiten. Complianceintern – also in der zweiten Verteidigungslinie – ist eine Analyse notwendig, ob sich zwischen den Compliancethemen Synergien heben lassen. In der ersten Verteidigungslinie muss eine Konsolidierung der regulatorischen und gesetzlichen Complianceanforderungen je Businessprozess durchgeführt werden. Anschließend sollte eine End-to-End-Analyse der umgesetzten Anforderungen je Business über alle Organisationseinheiten gemacht werden. Insbesondere parallel laufende Prozesse für unterschiedliche Compliancethemen erhöhen aktuell die Kosten exorbitant. Bei dem dargestellten Vorgehen unterscheidet sich die Complianceprozesseffizienz von anderen Projekten, die sich mit dem Thema Prozess-effizienz beschäftigen. Ein profundes Know-how in der Funktionsweise der Compliance sowie ein tiefes Fachwissen in den einzelnen Kerncompliancethemen sind
hier notwendig, um erfolgreiche Maßnahmen definieren zu können. Dabei ist es wichtig, neben der Kostenreduktion eine gleichbleibende oder sogar zunehmende Wirksamkeit der Compliancefunktion im Blick zu haben.

blindner@kpmg.com

owolff@kpmg.com