Freitag, 30. Juli 2021

Compliance-Management geht auch einfach

Neues Compliance-Management-System macht erstmalig revisionssichere Dokumentation aller Compliance-Funktionen möglich

Peter Uherr, zertifizierter Gesamtbank-Compliance Manager, AWADO GmbH WPG StBG

 

I. Einleitung

Der Compliance-Begriff hält Einzug in die hiesigen Unternehmen und Geldinstitute unseres Landes. Doch trotz der Tatsache, dass die rechtlichen und regulatorischen Anforderungen an die Regelkonformität stetig steigen, lassen sich in Unternehmen und Banken noch immer Strukturen vorfinden, welche die analytischen und strategisch-relevanten Compliance-Aufgaben – darunter auch das rechtliche Monitoring sowie Berichterstattungspflichten – erschweren. Ein neues System soll nun Abhilfe schaffen.

Doch werfen wir zunächst einen Blick auf die Praxis und auf den Status quo: Wie werden Compliance-Risiken in den einzelnen Banken oftmals gemanagt? Und wie werden einzelne Teilbereiche, wie die MaRisk-Compliance, die WpHG-Compliance, die Tax-Compliance oder die Zentrale Stelle miteinander verknüpft?

Beginnen wir unseren Exkurs in die Unternehmenswirklichkeit am Beispiel der MaRisk-Compliance. Vielfach werden Risikoanalysen einmal jährlich erstellt, meist zu Anfang eines Jahres. Die analytische Herleitung und ihre Ergebnisse werden dabei in einem Word- oder Excel-Dokument festgehalten – der Fokus liegt dabei auf der groben Darstellung der aktuellen Risikosituation. Die Analyse künftiger potenzieller, risikobehafteter Einflüsse bleibt außen vor. Auch eine Risikobewertung zu den einzelnen Rechtsgebieten bleibt eine Seltenheit. Sofern diese doch inkludiert wird, ist sie meist rudimentär und aufgrund einer fehlenden nachvollziehbaren Herleitung der Risiken nicht vollumfänglich. Mit Blick auf die Praxis lässt sich aber feststellen, dass viele Banken eine bankindividuelle Risikosituation nicht vorliegen haben. Die dazu notwendigen Formulare sind meist unbenutzt, oder lediglich um die relevanten Inhouse-Zuständigkeiten ergänzt.

Die Quintessenz daraus ist, dass die so wichtige Risikoanalyse meist unterjährig nicht weiter ergänzt oder angepasst wird – selbst dann nicht, wenn seitens der Aufsichtsorgane wesentliche Änderungen in den jeweiligen Rechtsgebieten veröffentlicht werden. Ebenso werden relevante Änderungen oder neue Produkte nicht ad hoc in die Risikoanalyse integriert und dort berücksichtigt. Dazu gehören beispielsweise bankseitige neue Produkte gemäß MaRisk AT 8.1, wesentliche Änderungen nach MaRisk AT 8.2 oder umfassende Projekte, aus denen sich eine geänderte Risikosituation ergeben. Selbst eingehende Kundenbeschwerden werden ignoriert und/oder in der Betrachtung außenvorgelassen. Und das, obwohl klar geregelt ist, dass bei wesentlichen Änderungen der Rechtsgebiete auch unterjährig Anpassungen vorgenommen werden müssen.

Bei all diesen Versäumnissen bewegen sich Banken bereits auf dünnem Eis. Noch schwerer wiegt jedoch die Tatsache, dass viele Risikoanalysen, die in Word (oder einem anderen Textverarbeitungsprogramm) oder Excel erstellt werden, nicht revisionssicher sind. Das kann auch rechtliche Konsequenzen zur Folge haben.


Abbildung 1: In der Praxis werden Compliance-Risiken noch immer uneinheitlich gemanagt. Auch, weil fehlende Software-Lösungen den Banken eine vereinheitlichte, funktionsübergreifende Dokumentation erschweren. Foto: Frank Busch/unsplash

 

II. Flickwerk statt eines einheitlichen Systems

Auch das geforderte rechtliche Monitoring wird häufig in einem Text- oder Tabellenkalkulationsprogramm erstellt. Alternativ kommen einfache Rundschreiben zum Einsatz, die beispielsweise mit Programmen wie Lotus Notes verteilt werden. Das Ergebnis wird intern als rechtliches Monitoring verstanden und kommt als solches zur Anwendung. Dabei lassen die Ergebnisse oft die Betrachtung der Risikoanalyse vermissen. 

Manche Banken gehen aber auch einen anderen Weg und kaufen ein externes Monitoring ein, das aber meist auf gleichen Text- und Tabellenkalkulationssystemen beruht. In Summe führt das Vorgehen dazu, dass ein Nachhalten der Umsetzung sowie die dazugehörige nachvollziehbare Dokumentation häufig nicht stattfinden. Das bedeutet auch, dass die Umsetzung der teils sehr wesentlichen Rundschreiben in der Regel keinen Widerklang in der Risikoanalyse findet – selbst bei gravierenden Rundschreiben bleibt die Bewertung der Rechtsgebiete unberührt. Gleichfalls werden nur selten notwendige Kontrollhandlungen der Compliance-Funktion abgeleitet und erstellt. So entfallen sehr häufig auch die Dokumentation und Umsetzung von Änderungen aus höchstrichterlichen Urteilen.

 

III. Erstellung des Jahresüberwachungsplans wird künstlich erschwert

Am Ende dieses Compliance-Prozesses steht ein weiterer wesentlicher Baustein im Management von Compliance-Risiken: der Jahresüberwachsungsplan. Aus ihm sollen notwendige Kontrollhandlungen abgeleitet und umgesetzt werden.

Doch geschieht dies überhaupt? Und wenn ja, wie? Die Praxis zeigt: Eher selten werden aus den Jahresüberwachungsplänen notwendige Kontrollhandlungen abgeleitet. Und wenn die Compliance-Funktion aber wider Erwarten doch Kontrollhandlungen durchführt, erleben wir meist, dass die Begründung, warum ein Thema überhaupt zu einer Kontrollhandlung führt, nicht oder nur geringfügig dokumentiert ist. Es fehlen entsprechende Rückkopplungsfunktionen zu den identifizierten Risiken aus der vorangeschalteten Risikoanalyse, oder zu wesentlichen rechtlichen Änderungen, die sich aus dem rechtlichen Monitoring ergeben haben. Auch beachten Banken meist nicht die wesentlichen Änderungen innerhalb ihres eigenen Geldinstituts (gemäß oder basierend auf MaRisk AT 8.1, MaRisk AT 8.2 oder wesentlichen Projekten), noch werden Beschwerdeschwerpunkte angemessen analysiert. Dies führt in Gänze dazu, dass viele Kontrollhandlungen zu den entsprechenden Punkten nur geringfügig bis gar nicht initiiert werden – und Banken somit wichtige Schritte in der Prävention vermissen lassen. Ebenso erschweren sich Banken auch die eigene Dokumentation, in dem sie notwendige Querverweise zu Analyse und Dokumentation vermissen lassen. Im schlimmsten Fall können dadurch notwendige Rückschlüsse nicht gezogen werden.

Dieser praxisnahe Sachverhalt trifft auch auf die vielen zusätzlichen Tätigkeiten und Aktivitäten der Compliance-Funktion zu – darunter die Mitarbeit in Projekten bei wesentlichen Änderungen innerhalb der Bank sowie bei neuen Produkten, der Entwicklung neuer Marktsegmente oder von Vertriebswegen, bei der Aktualisierung der Geschäfts- und Risikostrategie oder der unterjährigen Überprüfung der Vergütungsgrundsätze innerhalb der Bank. Sie werden allesamt in völlig unterschiedlichen Medien mehr oder weniger ausführlich hinterlegt und dokumentiert. Das Ergebnis ist eine Fülle an Dokumenten, die unabhängig voneinander betrachtet werden, die Ableitung von Maßnahmen behindern und die Erstellung des Jahresüberwachungsplans künstlich erschweren.

Denn viele Banken merken erst spätestens am Jahresende, dass die Erstellung ihres Jahresberichts mühsam manuell erfolgen muss – ein insgesamt sehr kosten- sowie zeitintensives und zugleich auch fehleranfälliges Vorgehen. Insbesondere dann, wenn die Dokumente nicht komplett sind und eine ordnungsgemäße Dokumentation so beinahe unmöglich gemacht wird.

Schlimmer wird die Situation nun noch, wenn man sich vor Augen führt, dass die gerade geschilderte Problemstellung sich bislang nur auf eine einzige Compliance-Funktion bezogen hat – nämlich auf den Bereich MaRisk-Compliance. Das Chaos ist somit praktisch vorprogrammiert, wenn nun neben der MaRisk-Compliance auch noch weitere Funktionen, wie die Tax- und WpHG-Compliance, integriert oder zusammengeführt werden sollen. Ein bis hierhin scheinbar unmögliches Unterfangen, an welchem sich schon viele Institute die Zähne ausgebissen haben.

Auf der anderen Seite haben wir den Fakt, dass jeder Compliance-Beauftragte zusätzlich als „Einzelkämpfer“ arbeitet. Eine Abstimmung unter einzelnen Compliance-Beauftragten findet nicht – beziehungsweise nur selten – statt, die Risikoanalysen werden oft nicht nur in unterschiedlichen Medien, sondern auch zu unterschiedlichen Zeitpunkten erstellt. Darüber hinaus begünstigt die fehlende Abstimmung unter den zuständigen Compliance-Beauftragten auch, dass vorhandene Analysen ähnlicher Rechtsgebiete zu völlig gegensätzlichen Bewertungen kommen. Der Grund liegt dabei auf der Hand: Die Herangehensweise und Herleitung der Risiken werden von jedem Einzelkämpfer auf Grundlage seiner jeweiligen Arbeitsweise und seines Wissensstandes erstellt. Einheitliche Vorgaben existieren meist selten. Diese unterschiedliche Wissensbasis – gegebenenfalls gepaart mit fehlenden unterjährigen Aktualisierungen – erschwert die gemeinsame Arbeit und am Ende das Zusammenführen aller notwendigen Informationen. Das Ergebnis: Es ist bislang schlichtweg unmöglich gewesen, dass sich zum Beispiel ein Vorstand einen Gesamtüberblick über alle Compliance-Risiken, geschweige denn zu einem spezifischen Tag, verschaffen kann.

Abbildung 2: Ein neues, modulares Compliance-Management-System soll es künftig möglich machen, Analysen und Dokumentationen über alle Compliance-Funktionen hinweg zu erstellen und diese miteinander zu verzahnen. Foto: FORUM GmbH

 

IV. Informationsdefizit angehen – Ein neues System schafft Klarheit

In der täglichen Praxis sind die geschilderten Abläufe und Problemstellungen hinlänglich bekannt. Insbesondere Vorstände, die bei Compliance-Themen in der persönlichen Haftung stehen, aber auch Compliance-Beauftragte suchen daher seit geraumer Zeit nach neuen Lösungsansätzen, um einzelne Compliance-Funktionen einheitlich zu erfassen und alle Funktionen miteinander zu verzahnen. Bislang ohne Erfolg. Hinzu kommt, dass das Thema Compliance auf der regulatorischen Schiene – Stichwort Verbandssanktionsgesetz – stetig präsenter wird. Der Druck auf die Banken hinsichtlich der Analyse und Dokumentation entsprechender Risiken nimmt also stetig zu.

Aus Gesprächen mit Mandanten haben die AWADO GmbH Steuerberatungsgesellschaft Wirtschaftsprüfungsgesellschaft (AWADO GmbH) und die FORUM Gesellschaft für Informationssicherheit mbH (FORUM GmbH) nun dezidiert erfahren, welche Unterstützung bankenseitig gewünscht wird. Das Ergebnis: Vielerorts befinden sich Compliance-Beauftragte und Bankvorstände auf der Suche nach einem System, in dem alle Compliance-Funktionen erfasst, stetig aktualisiert und analysiert werden können. Das System soll dabei die Möglichkeit besitzen, alle Daten zu erfassen und auch tagesaktuelle Überblicke zu ermöglichen – vorzugsweise automatisiert.

Auf Grundlage der Befragungsergebnisse haben die AWADO GmbH und die FORUM GmbH gemeinsam entschieden, ein Compliance-Management-System (CMS) zu entwickeln, welches künftig alle relevanten Compliance-Funktionen miteinander verbinden wird. Basis des Programms und dessen Aufbau waren ein umfangreiches Expertenwissen von internen und externen Compliance-Beauftragten, von Bankenprüfern, Steuerberatern und Analysten. Geschaffen wurde dabei ein System, in dem Aufgaben und Daten einsehbar, nutzbar und verknüpfbar gemacht werden können. Und welches jeder Nutzer modular erwerben und bankindividuell an seine Bedürfnisse anpassen kann. Bis hin zu einer kompletten, bankindividuellen Risikoanalyse über alle Compliance-Bereiche hinweg.

Abbildung 3: Über Widgets erhalten die Nutzer eine schnelle Übersicht über alle relevanten Kennzahlen, Aufgaben und über Fortschritte in der Bearbeitung einzelner Meilensteine. Foto: FORUM GmbH

 

Noch in diesem Jahr soll das modulare System auf den Markt kommen. Bis Januar 2023 – dem Umsetzungstermin zum Verbandssanktionsgesetz – sollen dann sukzessive folgende weitere Module integriert werden: 

  • Tax-Compliance 
  • WpHG-Compliance 
  • Geldwäsche- und Betrugsprävention (zentrale Stelle)

Darüber hinaus werden bereits bestehende Produkte der sogenannten FORUM-Suite mit dem System durch gemeinsame Stammdaten verzahnt. Hierbei haben Nutzer Zugriff auf folgende Lösungen, welche bereits bei rund 700 Banken zum Einsatz kommen:

  • Informationssicherheits- und Risikomanagement 
  • Notfallmanagement
  • ein Datenschutz-Management 
  • Auslagerungs-Management

Basierend auf dieser Produktfamilie wollen die AWADO GmbH und die FORUM GmbH dann gemeinsam das übergreifende System – die sogenannte Gesamtbank-Compliance-Suite – entwickeln. Dieses System soll gleichfalls im Stande sein, eine Gesamtbank-Risikoanalyse sowie einen Jahresbericht über alle Compliance-Funktionen hinweg automatisch zu generieren. Auch soll es mit dem System möglich gemacht werden, die Compliance-Risiken monetär zu bewerten und diese in die ebenfalls neu entwickelte opRisk-Anwendung „ForumORM“ zu überführen. Weiterhin sollen die Schnittstellen zu allen Produkten der FORUM-Suite weiter ausgebaut werden.

FORUM entwickelt momentan eine weitere Lösung zum Prozess- und Kontrollmanagement (ForumPKM), aus welcher dann auch Prozessrisiken und (Schlüssel-)Kontrollen als „gemeinsame Stammdaten“ für das Compliance-Management verwendet werden können.

Das System vereint somit erstmalig alle notwendigen Maßnahmen, um den Analyse- und Dokumentationspflichten von Banken im Bereich der Compliance gerecht zu werden. Darüber hinaus werden durch stetige Updates Veränderungen und neue rechtliche sowie regulatorische Anforderungen inkludiert, um eine vollumfängliche Berichterstattung zu jeder Zeit zu ermöglichen. Das System kann bankindividuell gestaltet werden und verspricht mit Blick auf die Analyse, dass Monitoring und die Dokumentation eine willkommene Zeit- sowie Kostenersparnis bei maximaler (Rechts- und Revisions-)Sicherheit bieten.

Abbildung 4: Die Risikobewertung erfolgt bankindividuell und für jedes einzelne Rechtsgebiet. Dabei kommt auch eine auf Typologien und Sicherungsmaßnahmen basierende Systematik zum Einsatz. Foto: FORUM GmbH

 

V. Modul 1 – MaRisk auf einen Blick

Das erste Modul des neuen Compliance-Management-Systems „MaRisk-Compliance“ enthält alle wesentlichen Bestandteile zur Analyse und Darstellung der MaRisk-Compliance-Bemühungen innerhalb einer Bank. Zu den Features gehören beispielsweise:

  • Die Risikoanalyse – das zentrale Dokument der MaRisk-Compliance-Funktion: Sie wird gemäß den Vorgaben des BVR inkl. halbjährlicher Anpassungen und individuellen Ergänzungen zur Verfügung gestellt. Die vorhandenen Risikobewertungen können sich Banken tagesaktuell anzeigen lassen.
  • Die Bewertung der Risiken in den einzelnen Rechtsgebieten erfolgt bankindividuell, eine auf Typologien und Sicherungsmaßnahmen basierende Systematik ist möglich.

Banken erhalten auf Wunsch (fakultativ) ein rechtliches Monitoring mit der Möglichkeit auf eine Verlinkung zu den jeweiligen Rundschreiben – stets mit einem direkten Bezug (Verlinkung) zu den jeweiligen Rechtsgebieten in der Risikoanalyse.

Darüber hinaus inkludiert das Modul die Integration eines konfigurierbaren Jahresüberwachungsplans, der direkt aus der Risikoanalyse, dem rechtlichen Monitoring und der hinterlegten Aktivitäten heraus befüllt und manuell ergänzt werden kann. Dokumente für die Kontrollhandlungen werden automatisch erstellt.

  • Zusätzliche Aktivitäten wie die Mitarbeit in Projekten, die Einbeziehung in wesentliche Veränderungen nach MaRisk AT 8.2 sowie Fortbildungen können nachvollziehbar und revisionssicher dokumentiert werden.

Aus den Dokumenten des rechtlichen Monitorings, der Kontrollhandlungen und der Aktivitäten können Banken direkt in die Risikoanalyse wechseln und so die vorhandene Risikobewertung des entsprechenden Rechtsgebiets analysieren und gegebenenfalls manuell anpassen; so werden die regulatorischen Vorgaben, die bei wesentlichen Änderungen der Risikosituation eine Anpassung der Analyse ad hoc notwendig machen, vollumfassend erfüllt. Eine permanente Risikoanalyse wird dadurch ermöglicht.

Banken erhalten zudem die Möglichkeit, einen (Jahres-)Bericht automatisch erstellen zu lassen, der sich durch individuelle Einstellungen unter Einbeziehung aller relevanten Themen an die Bedarfe der Bank anpassen lässt. Darüber hinaus gewährleistet das System eine automatisierte Überwachung vorhandener Termine.

Abbildung 5: Das System ist für unterschiedliche Benutzeroberflächen und Betriebssysteme konzipiert und unterstützt somit auch mobile Arbeitslösungen. Foto: FORUM GmbH

 

Das System ist intuitiv bedienbar und kann ohne externe Unterstützung von den Banken selbst genutzt werden. Der Vorteil ist eine Kostenreduktion aufgrund von Zeitersparnis, Revisionssicherheit und auf Wunsch eine kontinuierliche Unterstützung durch die AWADO GmbH sowie FORUM GmbH bei der Ausweitung und Aktualisierung von bankindividuellen Risikoanalysen, des rechtlichen Monitorings oder der Ausgestaltung und Implementierung von Compliance-Prozessen, bis hin zur Unterstützung einzelner Tätigkeiten oder Kontrollhandlungen.

 

PRAXISTIPPS

  • Ein neues System führt erstmalig alle Compliance-Funktionen zusammen.
  • Möglichkeit einer automatischen Berichterstattung.
  • Modularer Aufbau für eine bankindividuelle Gestaltung.
  • Zeit- und Kostenersparnis bei maximaler (Rechts- und Revisions-)Sicherheit.

Beitragsnummer: 18264

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Nachhaltigkeitsberichterstattung nach der CSRD

Die Corporate Sustainability Reporting Directive (CSRD) ist neben der Offenlegungsverordnung (SFRD) und der EU Taxonomie-Verordnung (EU TaxonomieVO) eine der

17.07.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.