Jan Heling, zertifizierter Compliance-Manager, zertifizierter Cyber Security Manager, AWADO GmbH WPG StGB
I. Einleitung
Obgleich der Begriff Compliance seit vielen Jahren im arbeitstäglichen Sprachgebrauch in Unternehmen und Instituten etabliert ist, ist dessen tatsächliche Umsetzung noch nicht in allen Bereichen unseres gemeinsamen Wirtschaftslebens vollumfänglich und mit der entsprechenden Wirkung umgesetzt. Bei stetig steigenden bzw. sich verändernden regulatorischen Anforderungen stehen die aktuellen Prozesse und Strukturen innerhalb der Unternehmen und Instituten einer effektiven und vor allem vollständigen – den Anforderungen entsprechenden – Umsetzung oftmals erschwerend entgegen.
Um diese doch eher theoretisch formulierte These mit „Leben zu füllen“, soll ein Blick in die aktuelle Praxis von Instituten geworfen werden:
Compliance ist in vielen Bereichen von Instituten zu finden. Beispielhaft seien hier die Bereiche MaRisk-Compliance, WpHG-Compliance, Tax-Compliance und die zentrale Stelle (Prävention gegen Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen zu Lasten des Instituts) genannt. Wenn auch jeder Bereich für sich genommen eine eigenständige „Daseinsberechtigung“ hat, ist es aus Praxissicht unumgänglich, diese miteinander zu verzahnen.
Aber: Diese Verzahnung ist in der Praxis nicht immer gegeben. Gerade bei großen Organisationseinheiten sind häufig Verbesserungspotenziale in Bezug auf den Informationsaustausch respektive der -weitergabe zu verzeichnen. Verbesserungen lassen sich hier sowohl in den Bereichen Informationsgehalt (Vollständigkeit der Informationen inkl. korrekter Empfängerkreis) als auch bei der Geschwindigkeit der Datenübermittlung (Informationsweitergabe mit zeitlicher Verzögerung) konstatieren.
Die arbeitstägliche Aufgabenerledigung ist von einer Vielzahl an Einflussfaktoren geprägt. Zum einen gibt es eine enorme Informationsflut, die es im ersten Schritt zu selektieren, im weiteren Schritt zu bewerten und letztendlich zu verarbeiten gilt. Diese Art von externen Einflussfaktoren lässt sich – wenn überhaupt – nur bedingt steuern. Zum anderen ist der Arbeitsalltag stark durch die Nutzung von Hilfsmitteln in Form vorhandener Systeme geprägt. Diese Systeme sind oftmals eher unterstützender Funktion und stoßen teilweise in der Praxis an ihre Grenzen. Weiterhin ist in der Praxis oftmals erkennbar, dass sich die unternehmensindividuellen Prozesse stark an den Systemen (z. B. in Form der EDV-technischen Unterstützungsmöglichkeiten) ausrichten. Dem organisationstechnischen Grundsatz „system follows process“ wird hierbei nicht entsprochen – eher das Gegenteil ist der Fall.
Abbildung 1: Startseite CMS: Ein neues, modulares Compliance-Management-System soll es künftig möglich machen, eine Verzahnung zwischen den unterschiedlichen Compliance-Bereichen herzustellen. Foto: FORUM GmbH
Diese hier in Kürze angerissenen Themen haben die AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft (AWADO GmbH WPG StBG) und die FORUM Gesellschaft für Informationssicherheit mbH vor geraumer Zeit zum Anlass genommen, ein System zu entwickeln, das sich zum einen an den überwiegend praktizierten Prozessen orientiert und diese unter Nutzung von Best-Practice-Ansätzen abbildet und zum anderen die Einhaltung aller erkennbaren Vorgaben unterstützt.
II. Der erste Schritt zum neuen System
Wie vieles andere im geschäftlichen bzw. privaten Leben begann auch die Entwicklung des Compliance-Management-Systems mit einem ersten Schritt. Dessen Grund war aber keineswegs ein bestimmter Auslöser, sondern vielmehr die Erkenntnis, dass derzeitige Systeme den Anforderungen an eine Dokumentation moderner Compliance nicht gerecht werden.
Zu diesem Fazit sind AWADO GmbH WPG StGB und Forum mbH aufgrund ihrer Erfahrungen aus Prüfungen und Beratungen sowie aus Gesprächen mit verschiedenen Beauftragten gelangt. Diese Erkenntnisse waren Antreiber und Ideenpool für die Realisierung eines neuartigen Compliance-Management-Systems. Die beiden Partnerunternehmen haben daher viele Fragen gestellt und noch mehr wurden beantwortet. Dabei ist überwiegend eines bestätigt worden: Es fehlt an einem geeignetem Prozess, der alle notwendigen Bereiche erfasst und die zur Verfügung stehenden Ressourcen in bestmöglichem Umfang berücksichtigt. Sprich: Es fehlt an einem System, das eine Vereinheitlichung und Zusammenführung der Compliance-Funktionen ermöglicht.
Das bedeutet auch: Die Ressourcen sind – so zeigt es die Praxis – oftmals doch nicht in dem von den Beauftragten gewünschten Maße vorhanden. Deshalb galt es bei der Entwicklung eines effizienten Systems Doppelarbeiten zu vermeiden und da, wo es sinnvoll umsetzbar erscheint, die Grundlagen für technische Verknüpfungen zu schaffen. Die Vermeidung von Doppelarbeiten und technischen Verknüpfungen hat aus praktischer Sicht aber noch einen weiteren Vorteil: Es werden Fehlerquellen minimiert, wenn nicht sogar vollständig beseitigt. Das wiederum hat positive Auswirkungen auf unabhängige Prüfungen bzw. auf die Risikosteuerung innerhalb der Institute, denn anders als bei der Bewertung einer Mathematikklausur im Rahmen des Abiturs nehmen Risiken keine Rücksicht auf sogenannte Folgefehler.
Im ersten Schritt wurden daher anhand von vielen Praxisinformationen Konzepte entwickelt, schriftlich fixiert und von sachkundigen unabhängigen Dritten überprüft. Diese Konzepte umfassen dabei die Bereiche MaRisk-Compliance, Tax-Compliance, WpHG-Compliance und die zentrale Stelle. Auf dieser Grundlage war die Überlegung ein modulares Compliance-Management-System zu entwickeln, welches sowohl innerhalb einer Compliance-Funktion notwendige dokumentarische Aufgaben und Analysen meistert als auch in Verbindung zu anderen Compliance-Funktionen genutzt werden kann. Das Ziel war es, ein System zu erarbeiten, das eine einheitliche Dokumentation aller Compliance-Funktionen ermöglicht.
Abbildung 2: Von der Risikoanalyse bis hin zum Reporting: Das Compliance-Management-System wurde von Praktikern, für Praktiker entwickelt. Die Praxis ist dabei der rote Faden für den Aufbau des Systems.
III. Die (quasi) Betatestphase
Nach der Erstellung der Konzepte wurden die Programmiertätigkeiten für die erste Komponente des Compliance-Management-Tools in Angriff genommen – die Komponente MaRisk-Compliance. Die technische Umsetzung verlief dabei ohne erkennbare Störungen. In regelmäßigen – fast täglichen Tests – wurden alle Komponenten sukzessive hinsichtlich ihrer Funktionalität und Konformität mit den Konzepten überprüft und bewertet. Bei diesen Tests wurden auch immer wieder Rückkopplungen zu den Konzepten vorgenommen, die zu nachträglichen Anpassungen und Verbesserungen geführt haben. Das Ziel – ein praktikables System zu entwickeln, welches nicht über das sprichwörtliche Ziel hinausschießt – galt es hierbei immer im Auge zu behalten.
Nachdem alle Komponenten des Compliance-Management-Systems wie beispielsweise die Risikoanalyse (in der Praxis auch als Bestandsaufnahme bezeichnet), die Rechtsgebiete inklusive der Typologien und Sicherungsmaßnahmen, das Rechtsmonitoring, die Funktionalitäten von Aufgabenerstellung und Aufgabenüberwachung, der Workflow- sowie die Ereignis-Steuerung, die Anlage und Überwachung von Kontrollaktivitäten, der Jahresüberwachungsplan und das Reporting bis hin zur Berichterstattung mit realitätsnahen Daten gefüllt und separat getestet wurden, erfolgte eine unterbrechungsfreie Komplettüberprüfung aller Systeme und ihres Zusammenspiels untereinander.
Das Ergebnis stellte die Entwickler und Experten mehr als zufrieden. Hier und da noch eine systemische Kontrollanzeige eingebaut, das Layout noch augenfreundlicher angepasst und es lag ein Entwicklungsstand vor, der so in die Pilotphase bei ausgewählten Instituten überführt werden konnte.
IV. Die Pilotphase – der erste Echtbetrieb
Trotz aller Gründlichkeit bei der Entwicklung mit allen durchgeführten Qualitätssicherungen sowie den umfangreichen Testungen der Einzelkomponenten sowie des gesamten Systems inklusive sämtlicher technischer Verknüpfungen, ist der Start in die Pilotphase immer ein besonderer Moment. Zwar kommen keine echten Zweifel an der Funktionalität auf, aber dennoch bleibt die spannende Frage: „Wurde an wirklich alles gedacht?“ Zwar waren umfangreiche Notfalloptionen vorhanden, nur die sollten ja nun nicht unbedingt zum Einsatz kommen.
Die Suche nach Instituten, welche von der Konzeption überzeugt sind, die Umsetzung im eigenen Haus – also die reale Implementierung des neuen Systems – vornehmen wollen und die sich auch noch als Piloten zur Verfügung stellen, war nicht schwierig. Hier mögen die Vorankündigungen und Vorabinformationen wohl in nicht geringem Umfang dazu beigetragen haben, dass sich zahlreiche Institute fanden, die bereits im Frühstadium der Entwicklung die Vorzüge des Compliance-Management-Systems erkannt haben.
Nach Erledigung der obligatorischen Organisationsschritte (Vertragsgestaltung, Planbesprechungen etc.) ging es für die Entwickler und Institute in die Terminierung und Einführungsphase. Und der Zeitpunkt zum Echtstart kam näher und näher. In einem Sitzungszimmer platziert, fielen die Blicke von Fachexperten, Vorständen und Programmierern auf den großen Bildschirm. Das System wurde gestartet. Ohne Komplikationen öffnete sich die Anwendung und ein für die Entwickler fast bekanntes Bild öffnete sich. Es gab jedoch eine Änderung gegenüber den bekannten Ansichten – ein realer Institutsname erschien. Erste Hürde erfolgreich genommen, das Onboarding hat funktioniert.
Im Folgenden erfolgte die technische Anmeldung im System mittels realem User aus einem Institut – Hürde zwei ebenfalls erfolgreich genommen. Nun ging es erst mal ans „Durchspielen“ der technischen Möglichkeiten. Alle Funktionalitäten/„Reiter“ wurden entsprechend überprüft und hinsichtlich ihrer Funktion analysiert und dem Endnutzer erläutert. Erkennbare Störungen: keine! Während des ersten richtigen Kennenlernens des Programmes konnte die Zeit ebenfalls für ein paar Fragen an den Endanwender genutzt werden. Eine Fragestellung lautete hierbei u. a.: „Was ist Ihre Erwartungshaltung betreffend des Einsatzes des neuen Systems in Ihrem Haus?“
Die Antwort – oder vielmehr die Antworten – lassen sich in Kürze wie folgt zusammenfassen:
- Reduzierung des arbeitstäglichen Aufwandes. Hier liegt das Augenmerk auf der Effizienz bei der Nutzung eines Mediums. Wo bisher die Medienkomponenten Word, Excel, Notes und Papier zum Einsatz kamen, soll es – soweit möglich – nur noch ein Medium geben.
- Zeitersparnis durch die Nutzung der im System integrierten Möglichkeiten einer direkten Bewertungsbegründung sowie durch die Nutzung von technischen Verknüpfungen.
- effektivere Erstellung von Aufgaben bzw. von Bearbeitungs-Workflows durch die Nutzung von Verknüpfungen.
- Effektivitätssteigerung bei der Nachverfolgung von Aufgabenerledigungen.
- Qualitätssteigerungen durch verbesserte Vollständigkeitsprüfungen.
- Qualitätssteigerung durch die Nutzung der Bewertungssystematik auf Typologienbasis.
- Qualitätssteigerung durch verbesserte Dokumentationsmöglichkeiten. Hier sind beispielhaft die Möglichkeiten betreffend der Verlinkung von Rundschreiben zu den entsprechenden Rechtsgebieten, die Eins-zu-Eins-Übernahme von Sachverhalten in den Jahresüberwachungsplan, das Einspielen in den Jahresbericht sowie die „Tagebuchfunktion“ zu nennen.
Des Weiteren wurde seitens der neuen Endanwender angesprochen, dass sich das System ideal dafür eignen würde, die Tätigkeiten betreffend der Prozesse zur Einführung von Neuprodukten (AT 8.1 MaRisk) zu dokumentieren.
Ein weiterer Aspekt, der von der verantwortlichen Stelle im Haus angesprochen wurde, ist die Historienführung innerhalb des Systems. Durch die revisionstechnisch nachvollziehbare Historisierung ist es – sowohl den verantwortlichen Stellen als auch eventuellen Prüfern – jederzeit möglich, ältere Sachstände zu rekonstruieren und nachzuvollziehen. An dieser Stelle wurde nochmals darauf hingewiesen, dass bei einer konsequenten Nutzung der Kommentarfunktion (z. B. eine kurze Begründung, wie die Herleitung von „mittlere Risiken“ zustande kam) die Nachvollziehbarkeit für verantwortliche Stellen und Revision jederzeit gegeben ist.
Aus den ganzen Fragestellungen im Rahmen des ersten Live-Betriebs lassen sich schon wieder neue Aspekte für zukünftige Updates ableiten. Es besteht wohl kein Zweifel daran, dass das System ein lebendes ist und es naturgemäß auch der permanenten Weiterentwicklung und Anpassung bedarf. Spätestens wenn sich die Rahmenbedingungen ändern – ob extern oder intern begründet – muss auch das System bzw. der hierdurch unterstütze Prozess auf den Prüfstand gestellt werden. Diesem Sachverhalt wurde bereits bei der Entwicklung durch den modularen Aufbau Rechnung getragen. Zugleich sollen durch regelmäßige Updates und Anpassungen an neue Verordnungen und regulatorische Anforderungen stetige Entwicklungen erfolgen.
Abbildung 3: Tagesaktuelle Risikoanalyse: Durch tagesaktuelle Risikoanalysen können Nutzer umgehend die individuellen Rechtsgebiete hinsichtlich ihres Status und ihrer Risikoeinstufung monitoren.
Im Rahmen der weiteren Nutzung der Anwendung in den ersten Tagen der Pilotierung kamen die durch die Entwickler hinterlegten Systemvorschläge auf den Prüfstand. Das System wird nämlich nicht ohne Inhalt bereitgestellt, sondern enthält schon bei Erstnutzung eine Vielzahl an Informationen wie Rechtsgebiete, Typologien, Sicherungsmaßnahmen und vieles mehr. Diese können dann im laufenden Betrieb auf die individuellen Bedürfnisse des Instituts weiter angepasst werden. Der weitere Verlauf wurde, wie vorher vereinbart, geprägt durch die Begleitung der ersten Schritte im System bei der Bewertung bzw. Neuanlage von Rechtsgebieten, Typologien und Sicherungsmaßnamen – eine quasi neue Dokumentation der Risikoanalyse. Auch hier wurde bereits die Grundlage für die weiteren Arbeitstätigkeiten gelegt, z. B. durch die Aufnahme von Sachverhalten in den Jahresüberwachungsplan sowie die Anlage von Aufgaben.
Die komplette institutsindividuelle Erfassung und Bewertung aller relevanten Komponenten des Compliance-Management-Systems nimmt – der Komplexität des Themengebietes geschuldet – einige Zeit in Anspruch. Aus diesem Grund wurde auf Grundlage der bisherigen Fortschritte die weitere „gemeinsame“ Vorgehensweise abgesprochen. Ein „betreutes Klicken“ (diese Bezeichnung wurde mit einem zwinkernden Auge von einer Bank in den Raum gestellt) war nicht für notwendig erachtet worden. Stattdessen wurden im weiteren Verlauf der Pilotierung Meilensteine und Termine für zusätzliche Aktivitäten festgelegt. Durch eine vereinbarte, laufende Kommunikation wurde einerseits eine permanente Hilfestellung und andererseits eine umgehende Rückkopplung betreffend eventuell auftretender Systemfehler sichergestellt.
Im Rahmen der weiteren Begleitung der Implementierung des Systems fand – losgelöst von den festgelegten Meilensteinen – ein kurzes Feedback-Gespräch statt. Anhand der bisherigen Ergebnisse aus den noch immer laufenden Bearbeitungsschritten bleibt eine Grundaussage zu konstatieren:
Die Erwartungshaltung seitens des Institutes wurden bislang vollumfänglich erfüllt. Das System biete das, was es verspreche: Zeitersparnis in Kombination mit der Möglichkeit die Compliance-Funktionen revisionssicher zu dokumentieren („Es macht immer noch Spaß mit dem Tool zu arbeiten“).
PRAXISTIPPS
- Mit einem einheitlichen System ohne Medienbrüche lassen sich die Vorteile von technischen Verknüpfungen effektiver nutzen (Zeitersparnis und Fehlerquellenminimierung inklusive).
- Die revisionstechnische Nachvollziehbarkeit bietet Sicherheit sowohl für die verantwortlichen Stellen als auch für Prüfer.
- Die Dokumentation der Herleitung von Bewertungen kann auch mit Quellen verknüpft werden und bietet somit eine noch bessere Nachvollziehbarkeit.
Beitragsnummer: 18265