Sie sind hier: Home » Fachartikel » Hintergrund

Weltweit über 10.000 Compliance-Vorschriften


Für viele Finanzdienstleister stehen die Compliance-Vorgaben in direktem Widerspruch zum wirtschaftlichen Erfolg und der Notwendigkeit, offensiv neue Geschäftsbereiche zu erschließen
So wird in den meisten Fällen die notwendige Compliance-Struktur um das bestehende System herumgebaut - IT-gestützte Compliance-Systeme sollten im Idealfall im Hintergrund agieren, also automatisierte Prozesse darstellen


Von Dr. Helfried Pirker (*)

(04.08.08) - Die vergangenen Skandale deutscher Großunternehmen haben die Debatte um die zuverlässige Einhaltung vorgeschriebener Compliance-Richtlinien wieder voll in Gang gebracht. Nachdem bereits in den USA Betrugsskandale zu scharfen Reglementierungen – Sarbanes-Oxley Act (SOX) und Basel II – geführt haben, wird nun auch in Europa wieder verstärkt über die Einhaltung rechtlicher Vorschriften und die Selbstverpflichtung der Unternehmen diskutiert.

Im Unternehmensbereich bedeutet Compliance die Sicherstellung und Überwachung der Einhaltung von gesetzlichen Vorgaben ebenso wie die Selbstverpflichtung der Unternehmen eigene Regeln einzuhalten. Diese sind in vielen Fällen an die ethischen Leitfäden des Unternehmens gebunden und können auch von Anteilseignern oder dem Aufsichtsrat der Firma aufgestellt werden. Durch sie soll der Missbrauch von vertraulichen Daten und daraus folgenden möglichen Schadensersatzklagen ebenso wie ein Imageschaden des Unternehmens abgewehrt werden. Die meisten Großunternehmen haben heute eigene Abteilungen und Compliance Manager, die die Einhaltung aller Vorgaben überwachen.

Soviel zu den theoretischen Grundlagen der Compliance. Dass Konzerne solche Selbstverpflichtungen zwar eingegangen sind, sie aber zum Teil nicht eingehalten haben, zeigten vor allem die Bilanzskandale der amerikanischen Großunternehmen Enron und Worldcom vor einigen Jahren. Hier reagierte die US-Justiz 2002 mit dem Sarbanes-Oxley Act (SOX), der die verlässliche und wahrheitsgetreue Berichterstattung der Unternehmen garantieren sollte und die Strafvorschriften für Vergehen wesentlich verschärfte. CEOs und CFOs haften seit Inkrafttreten persönlich für fehlerhafte oder geschönte Bilanzen. Ziel dieser Verordnungen ist es das Vertrauen der Anleger und der Öffentlichkeit in die Richtigkeit der veröffentlichten Finanzdaten zu stärken.

Scharfe Kontrollen
Auch in Europa wurden Finanzunternehmen in den letzten Jahren mit juristischen Mitteln verstärkt unter Druck gesetzt. Das Mammut-Regelwerk Basel II gilt seit letztem Jahr für alle Kreditinstitute und Finanzdienstleister. Basel II setzt neben einer Mindestanforderung an Eigenkapital auf den bankenaufsichtlichen Überwachungsprozess und eine Erweiterung der Offenlegung. Bei der Erfassung von Risiken muss dabei auch das operative Risiko der Banken durch interne Verfahren, Mitarbeiter, Systeme oder bankinterne Ereignisse einbezogen werden. Weltweit gibt es immerhin über 10.000 Compliance-Vorschriften, von denen viele von weltweit operierenden Unternehmen beachtet werden müssen. Trotz der verschärften Bestimmungen haben erneute Datenskandale und Schmiergeld-Affären bei repräsentativen Firmen wie Siemens und der Telekom das Image und die Glaubwürdigkeit deutscher Unternehmen stark geschädigt. So ist es nicht verwunderlich, dass damit einhergehend auch die Diskussion um zuverlässige Compliance-Lösungen neu entflammt ist.

Was es zu beachten gilt
Die Frage der richtigen Umsetzung stellt sich großen wie mittelständischen Unternehmen gleichermaßen. Während Großunternehmen über ganze Compliance-Abteilungen verfügen, ist bei Mittelständlern oft der Geschäftsführer selbst für die Einhaltung bestimmter Verhaltenskodizes verantwortlich. Doch gleich wie viele Mitarbeiter und Abteilungen das Unternehmen umfasst, Prozesse und Informationen müssen für alle Beteiligten transparent sein. Ebenso muss eine zuverlässige Archivierung der Daten garantiert werden und dies alles unter Berücksichtigung der aktuellsten, höchstmöglichen Sicherheitsstandards. Um diese Vorgaben zu erfüllen, gilt es einige grundsätzliche Aspekte zu beachten:
Zunächst muss in allen Bereichen des Unternehmens eine gezielte Analyse der möglichen Risiken durchgeführt werden. Durch ein solches systematisches Risikomanagement können eventuelle Gefahrenpotenziale von vorneherein entdeckt und gegebenenfalls eliminiert werden.

Realistische Forderungen
Es muss darauf geachtet werden, dass interne Richtlinien in einer Weise formuliert und vorgegeben werden, die es realistisch möglich machen, auch befolgt zu werden. Ein weiterer wichtiger Aspekt bei der Initiierung eines Compliance-Programms ist die Frage der Verantwortlichkeiten. Um spätere Missverständnisse und unnötige Diskussionen zu vermeiden, sollte daher zu Beginn entschieden werden, welche Bereiche genau welchem Mitarbeiter unterstehen. Dazu gehört es natürlich auch, den Mitarbeitern einen geeigneten Ansprechpartner im Falle einer Beschwerde zur Verfügung zu stellen. Beim so genannten "whistleblowing" nutzen viele große Unternehmen mittlerweile externe Dienstleister, die über spezielle Internetseiten oder Hotlines, Informationen und Hinweise der Mitarbeiter über Verstöße sammeln und beurteilen.

Die Seiten informieren die Mitarbeiter ebenfalls darüber, in welchen Fällen eine offizielle Beschwerde angemessen ist, wie sie sich verhalten sollen und welche Risiken damit einhergehen können. Wobei man den englischen Rechtsbegriff des "whistleblowing" nicht mit dem umgangssprachlich abwertenden "jemanden verpfeifen" übersetzen darf. Hier geht es vielmehr um eine Person, die aus Gewissensgründen und meist selbstlos Informationen weitergibt. Oft setzt sie damit die eigene soziale und berufliche Stellung aufs Spiel. In Großbritannien und den USA gibt es bereits Gesetzgebungen die "Whistleblower" schützen. Eine weitere organisatorische Maßnahme ist die Errichtung von "Chinese Walls". Sie zielt auf die räumliche Trennung von kritischen Geschäftsbereichen und deren Mitarbeitern von anderen Abteilungen ab, so dass sensible Daten nicht Bestandteil des allgemeinen Büroklatsches werden.

Umfassende Transparenz
Neben dem Erkennen organisatorischer Risiken ist die oberste und wichtigste Vorgabe, um Compliance-Verstöße zu verhindern, eine lückenlose Dokumentation aller Prozesse und Vorgänge. Sie ist nicht nur bei der Aufdeckung von Unregelmäßigkeiten extrem wichtig – die aktuellen Bestimmungen fordern Transparenz in allen Bereichen.

Vor allem die IT-Abteilungen von Banken und Finanzdienstleistern stehen hier vor einer besonderen Herausforderung. Für sie bedeutet die Flut von Vorschriften eine zunehmende restriktive Belastung. So bestätigt auch eine Studie im Auftrag der Information Week, dass 58 Prozent der IT-Verantwortlichen in deutschen Unternehmen von einem wachsenden Arbeitsaufwand durch die Einhaltung von Gesetzen, Vorgaben und freiwilligen Kodizes sprechen. Die im Juni dieses Jahres in Kraft getretene EuroSOX-Regelung, die sich an die US-amerikanischen Gesetze anlehnt, wird diese Entwicklung noch weiter verschärfen. Geregelt wird durch das Gesetz der Europäischen Kommission vor allem die Verwaltung von Dokumenten, insbesondere interne und externe Verträge ebenso wie eine revisionssichere Archivierung.

Im Hintergrund
IT-gestützte Compliance-Systeme sollten im Idealfall im Hintergrund agieren, also automatisierte Prozesse darstellen, die von den Mitarbeitern nicht zusätzlich beachtet oder bearbeitet werden müssen. Im Falle der Archivierung hieße dies beispielsweise, dass Protokolle oder Dokumente automatisch vom System archiviert und entsprechend abgelegt werden, ohne eines weiteren Handlungsschritts der Bearbeiter zu bedürfen. Vorsicht jedoch bei der Implementierung! Es sollte seitens der IT-Abteilung darauf geachtet werden, dass nicht wahllos archiviert wird. Speicherplatz ist zwar ein billiges Gut, doch das Prinzip "store everything, manage nothing" kann im Bedarfsfall die Suche nach den richtigen Dokumenten fast unmöglich machen. Müssen Dokumente gar im Zuge eines Gerichtsverfahrens vorgelegt werden, können die Konsequenzen gravierend sein. Eine klare Strukturierung und Priorisierung der Daten sollte daher die Basis jedes IT-gestützten Compliance-Programms sein.

Last oder Chance?
Für viele Finanzdienstleister stehen die Compliance-Vorgaben in direktem Widerspruch zum wirtschaftlichen Erfolg und der Notwendigkeit, offensiv neue Geschäftsbereiche zu erschließen. Hinzu kommt, dass viele der Kernbankensysteme im Vergleich zur heutigen Entwicklung der IT veraltet und schwerfällig sind. Eine komplett neue IT-gestützte Struktur wäre für einen Großteil der Finanzdienstleister enorm kostenaufwendig und ein zu hohes Risiko. So wird in den meisten Fällen die notwendige Compliance-Struktur um das bestehende System herumgebaut. Oft bringt dies zusätzliche technische Probleme mit sich, da eine reibungslose Zusammenführung unterschiedlicher IT-Strukturen eine enorme technische Herausforderung darstellt.

Eine wirkliche Lösung für dieses heikle Dilemma scheint es nur bedingt zu geben. Sie ist eine Frage der Einstellung. Immer mehr Unternehmen aus der Finanzbranche beginnen die Compliance-Frage und den IT-Rattenschwanz, den das Ganze mit sich zieht, als Chance zur Umstrukturierung zu betrachten und in diesem Zusammenhang veraltete Systeme abzubauen und das Potenzial neuer Synergien und Geschäftsbereiche zu erforschen. IT-gestützte Prozesse haben in den letzten Jahren bereits zu einer massiven Steigerung der Effizienz geführt, warum also diese Möglichkeiten nicht im Zuge eines neu implementierten Compliance-Programms nutzen? Eine Herausforderung ist dies ohne Zweifel und sie erfordert Entscheider mit Visionen und Mut zum Risiko. Doch ob Vorstand oder Geschäftsführung diesen Schritt wagt oder nicht, die Compliance-Thematik wird in jedem Falle nicht ignoriert werden können. Sinnvoll ist es hier, den Medien-Hype um Regelberge und bestehende Unternehmensskandale zu relativieren und eine individuelle Lösung zu finden, die sich an die Struktur und Mitarbeiter des eigenen Unternehmens anpassen kann. (Benmark: ra)

Zum Autor:
(*) Dr. Helfried Pirker ist Business Unit Manager beim Beratungshaus Benmark. Der promovierte Informatiker betreut seit mehr als acht Jahren Projekte zur Implementierung von Enterprise Content Management Systemen, vor allem im Umfeld von Banken, Medien- und Telekommunikationsunternehmen. Ein Schwerpunkt seiner Arbeit im Bankenbereich ist die Unterstützung von kritischen Prozessen wie der Kreditvergabe im Retailbanking oder der Erstellung von Strukturierten Produkten im Investment Banking. Hier hat er Workflowlösungen umgesetzt, die sowohl die Effizienzsteigerung der Bearbeitung zum Ziel hatten als auch die Einhaltung der Compliance-Regelungen.



Meldungen: Hintergrund

  • Was ist ein Selbst-Audit & warum ist es notwendig?

    Eine der üblichen Fallen, in die Unternehmen tappen, ist die Annahme, dass Cybersicherheitslösungen über Standard-Risikobewertungen gepflegt und gemanagt werden. Eine gefährliche Annahme, denn die rasche technologische Entwicklung und der Einsatz dieser Technologien in der Wirtschaft hat den Bereich einer allgemeinen Risikobewertung längst überschritten. Hier beschäftigen wir uns mit einigen Schritten, die nötig sind, um eine eingehende, weitreichende Sicherheitsrisikobewertung zu erstellen, die für genau Ihr Unternehmen gilt. Eine Cybersicherheitsbewertung spielt eine entscheidende Rolle, beim Wie und Warum man bestimmte Technologien in einem Unternehmen einsetzt. Anhand eines Assessments lassen sich Ziele und Parameter festlegen, die Ihnen die Möglichkeit geben.

  • Mit Analytik Betrug erkennen

    Zahlungsanweisungen über SWIFT gelten im Allgemeinen als sicher. Doch es gibt Schlupflöcher im System, durch die es Kriminelle regelmäßig schaffen, Betrug zu begehen. Banken nutzen vermehrt KI-Tools wie User Entity Behaviour Analytics (UEBA) um sich und ihre Kunden zu schützen. SWIFT ist eine Plattform, die selbst keine Konten oder Guthaben verwaltet und über die Finanzinstitute aus aller Welt Finanztransaktionen unter einander ausführen. Ursprünglich wurde die Plattform lediglich gegründet, um Treasury- und Korrespondenzgeschäfte zu erleichtern. Das Format entpuppte sich in den Folgejahren jedoch als sehr sicher und praktisch, sodass immer mehr Teilnehmer die Plattform nutzten. Neben Notenbanken und normalen Banken wird Swiftnet heute auch von Großunternehmen, Wertpapierhändlern, Clearingstellen, Devisen- und Geldmaklern und zahlreichen weiteren Marktteilnehmern genutzt.

  • Haftung für Behauptungen "ins Blaue hinein"

    Landauf Landab beklagen Versicherungsmakler, freie Finanzdienstleister und Bankberater, dass sie auf Vertriebsveranstaltungen von Schulungsleitern eigentlich nur positiv erscheinende Produkteigenschaften durch bunte Bilder, hübsche Flyer und nette Worte erfahren. Negative Produkteigenschaften, vor allem Risiken und Nebenwirkungen, erfährt man dort kaum. So ist es nicht verwunderlich, dass es Vertriebsleitern und -vorständen nur allzu gelegen kommt, wenn primär unkritische Finanzvermittler gesucht werden. Eine allzu gute Vorbildung könnte Skrupel bedeuten, und damit den schmerzfreien Produktverkauf behindern. Wer sich dann etwa die Mühe macht, auch noch das Kleingedruckte einmal selbst nachzulesen, wird am Ende kaum noch zum Vermitteln kommen, und nichts mehr verdienen? Denn wo der Trend zur sprichwörtlichen Blondine im Callcenter oder Vertrieb noch nicht durchgesetzt wurde, hilft Druck durch die Vertriebsführung nur beschränkt weiter.

  • Pluspunkt der No-Code-Methode

    Fragen Sie Geschäftsführer, CEOs oder Vorstände: Das Thema ‚digitale Transformation' steht mittlerweile bei fast allen Unternehmen ganz oben auf der Prioritätenliste. Den Protagonisten der Digitalisierung ist dringlich klar geworden, dass die Modellierung und Automatisierung von Geschäftsprozessen ein wesentlicher Baustein für den Erfolg eines Unternehmens ist. Eine digitale Prozess- und Entscheidungsautomatisierung ermöglicht es Unternehmen, schnell, flexibel und kostensparend am Markt zu agieren. Und in dynamischen Marktumfeldern müssen Entscheidungsprozesse schnell ablaufen und ebenso schnell an neue Anforderungen anpassbar sein. Das Potenzial für die digitale Prozess- und Entscheidungsautomatisierung in den Unternehmen ist enorm: Viele Ablauf- und Entscheidungsprozesse im Unternehmen wiederholen sich oder ähneln sich, sie sind standardisiert und folgen festen, eindeutigen Regeln. Das manuelle Abarbeiten ist sehr zeitintensiv und bindet wertvolle personelle Ressourcen, die dem Unternehmen für andere, wertschöpfendere Tätigkeiten verloren gehen. Der Effizienzgewinn, der durch eine Prozessautomatisierung erzielt werden kann, ist dementsprechend hoch. Und im regulatorisch Bereich noch oft ungenutzt.

  • Compliance 2.0: Ergebnis einer dynamischen Welt

    Wir leben heute in einer digitalen Welt, in der die Faktoren Gesellschaft, Technologie, Business und Recht eine dynamische Einheit bilden. Sie bedingen und beeinflussen einander: So ermöglichen neue Technologien neue Business-Modelle und der Mensch wird durch die Möglichkeit des mobilen Arbeitens zu einem Smart Worker. Diese Entwicklung krempelt nach und nach auch bestehende Gesetze und Richtlinien um. Für Organisationen - darunter fallen Unternehmen, Behörden und Institutionen - bedeutet dies, die eigenen Compliance-Vorschriften kontinuierlich auf die neuen, digitalen Gegebenheiten anpassen zu müssen. Dabei gilt es vor allem Verantwortlichkeit und Nachweisbarkeit klar zu definieren.