Dr. Guido Drewes, Spezialist Compliance, Governance und Change; GC&C Audit GmbH Wirtschaftsprüfungsgesellschaft
Regulatorik-Anforderungen und Kostendruck verschärfen sich weiter – Compliance-Funktion muss sich anpassen
Die steigende Bedeutung von Governance und Compliance für Banken und Sparkassen führt laufend zu zusätzlichen Aufgabenstellungen, die gerne auch in der MaRisk-Compliance angesiedelt werden. Damit der Personalbedarf und die Kosten nicht ausufern, ist die Optimierung von Effektivität und Effizienz der Compliance-Funktion eine Daueraufgabe für die Führungskräfte. Im Zuge von Projekten mit Auswirkungen auf das Interne Kontrollsystem, etwa Prozess- oder Organisationsveränderungen, muss die Compliance-Funktion darauf achten, nicht mit zusätzlichen oder gar sachfremden Aufgaben überladen zu werden.
Die richtigen Dinge tun – und nur diese auch richtig tun
Die wirksamste Einsparung entsteht immer durch den vollständigen Verzicht auf eine Tätigkeit. Bevor also über den Umfang der Stichproben oder die Tiefe der Prüfung „verhandelt“ wird, um Compliance-Ressourcen zu reduzieren, sollte zunächst die Frage geklärt werden, ob die Kontrolle überhaupt eine Aufgabe für die Compliance ist. Erst im zweiten Schritt kann auf Basis einer Risikoanalyse und einer Kosten-Nutzen-Betrachtung über Stichprobenumfänge gesprochen oder nach Möglichkeiten zur effizienteren Prüfungsdurchführung gesucht werden.
Klares Zielbild für die Compliance zur Beurteilung bestehender oder zusätzlicher Aufgaben
Die Compliance-Funktion und ihre zahlreichen Aufgaben sind in den Instituten meist lange etabliert und entsprechend historisch gewachsen. Umso wichtiger ist es, bei einer Überprüfung ein klar formuliertes Selbstverständnis zugrunde zu legen. Dabei hilft vor allem die europäische und internationale Aufsichtsliteratur mit ihrer stark prinzipiengeleiteten Sichtweise.
Primäre Aufgabe der Compliance als Teil der Second Line of Defense ist demnach nicht die Durchführung von Prozesskontrollen, sondern die prozessbegleitende Überprüfung, ob die Kontrollen in den Fachbereichen (First Line of Defense) wirksam durchgeführt werden. Entsprechend soll auch die Revision (Third Line of Defense) keine operativen Prozesskontrollen vornehmen, sondern vielmehr die Wirksamkeit des Internen Kontrollsystems in Gänze beurteilen.
Kontrollen im Rahmen der Prozessgestaltung in den Fachbereichen verankern
Auch in langjährig gelebten Prozessen ergeben sich immer wieder Veränderungen, in deren Zuge das Kontrollsystem überprüft werden kann und muss. Dabei unterstützt zunehmend das operative IT-System: in Form von automatisierten Prozessen und Workflows und integrierten Plausibilitätskontrollen ebenso wie durch intelligente Abfrage- und Analysemöglichkeiten.
Im Idealfall werden durch das IT-System nicht nur Kontrollen initiiert, sondern ihre Durchführung und ihre Ergebnisse auswertbar dokumentiert. Die Zahl der Kontrollen wird durch Datenqualitätsroutinen, regelbasierte Stichproben und Plausibilitätsprüfungen risikogerecht gesteuert. Kontrollen werden dabei im Rahmen des Workflows innerhalb des Fachbereichs oder zwischen Markt und Marktfolge angestoßen, ohne dass die Compliance-Funktion aktiv werden muss.
SOFTWARETIPP
FCH Compliance Rechts- und Regulatorikmonitoring 2.0.
Prozess- und IT-Kompetenz als Basis für Compliance-Tätigkeiten
Selbstverständlich setzt die Überprüfung der Wirksamkeit von Kontrollen eine genaue fachliche Kenntnis der Prozesse und der dafür relevanten Regelwerke voraus. Damit die Prüfungen der Compliance nicht mit „Papier und Bleistift“ (oder mit einfachen IDV-Tools) erfolgen, braucht es darüber hinaus jedoch auch eine tiefe Kenntnis der im Fachbereich eingesetzten IT-Systeme:
- Zunächst sind bei der Gestaltung der Prozesse und der Schlüsselkontrollen sämtliche Funktionalitäten des Systems so weit wie möglich zu nutzen. Das beinhaltet oftmals auch die inhaltliche Veränderung von Prozessen, damit bestehende IT-Kontrollfunktionalitäten auch „scharfgeschaltet“ werden können.
- Für die Durchführung der Compliance-Prüfungen ist darüber hinaus eine genaue Kenntnis der vom IT-System angebotenen Analysemöglichkeiten erforderlich. So kann durch geschickte Nutzung vorhandener oder Entwicklung eigener Abfragen und Reports der Umfang von Stichproben signifikant reduziert werden – Massendatenanalyse statt Einzelfallprüfung.
Daneben gilt es natürlich auch für die operativen Aufgaben der Compliance, sei es von der Planung und Dokumentation der Prüfungen bis hin zu den operativen Funktionen etwa in der WpHG-Compliance, eine bestmögliche IT-Unterstützung sicherzustellen. Je nach Größe des Instituts helfen umfassende Compliance-Management-Systeme oder auch „nur“ die Verwendung professionell entwickelter Tools etwa für das Zuwendungsmanagement dabei, die knappen Ressourcen für die eigentlichen Aufgaben einsetzen zu können.
SEMINARTIPPS
MaRisk-Compliance KOMPAKT, 22.04.2020, Frankfurt/M.
Prüfung MaRisk-Compliance, 23.04.2020, Frankfurt/M.
Prozessorientierte Prüfungslandkarten & Revisionsberichte, 04.05.2020, Frankfurt/M.
Mängel-Klassifizierung & Mängel-Verfolgung, 05.05.2020, Frankfurt/M.
Freiräume für die Compliance-Funktion durch Fokussierung auf Ausnahmesachverhalte schaffen
Leitgedanke für die Compliance sollte es also sein, die operativen Kontrollen den Fachbereichen zu überlassen. Die Durchführung der Kontrollen sollte systemseitig überwacht werden, und „nur“ für die Wirksamkeit der Kontrollen sind eigene Prüfungen erforderlich – nach Einspielen der geänderten Prozesse und Kontrollen sicherlich in sinkendem Umfang, und idealerweise nicht ausschließlich als Stichproben, sondern wiederum als systemgestützte Analysen.
Dadurch gewinnen die Mitarbeiter der Compliance zeitlichen Spielraum, den sie für zukunftsgerichtete Aufgaben nutzen können. Insbesondere die aktive Information und Kommunikation, also die Rolle als „Compliance-Botschafter“, leistet einen wertvollen Beitrag zur Weiterentwicklung der Compliance- und der Risikokultur des Hauses.
PRAXISTIPPS
- Lassen Sie sich nicht auf eine ausschließlich interne Optimierung der Compliance-Funktion ein – die richtigen Stellhebel liegen meist in den Fachbereichen.
- Richten Sie den Blick auf das gesamte Interne Kontrollsystem statt auf einzelne Kontrollprozesse.
- Beginnen Sie stets mit einem klar formulierten Zielbild und Selbstverständnis der Compliance – idealerweise als konsequente Umsetzung des Lines-of-Defense-Modells.
- Beziehen Sie die Interne Revision in die Überprüfung der Aufstellung und der operativen Arbeitsteilung mit ein.
- Überprüfen und ggf. erweitern Sie die IT-Kompetenz der Compliance-Mitarbeiter.
- Nutzen Sie alle prozessualen Veränderungen, um dem Zielbild Schritt für Schritt näher zu kommen.
Beitragsnummer: 6182