Die gesamte Bankenlandschaft ist in Zeiten des Niedrigzinsumfelds und stetig steigender regulatorischer Anforderungen einem kontinuierlichen Streben nach Effizienzsteigerung unterworfen. Dieser Effizienzaspekt ist über die gesamte Wertschöpfungskette eines Kreditinstituts hinweg in jedem einzelnen Prozessschritt zu berücksichtigen. Das beinhaltet auch die implementierten Prozesse, die ein angemessenes und wirksames Internes Kontrollsystem sicherstellen sollen.
Hochdynamische Entwicklung
Die Entwicklung von Compliance-Funktionen in Kreditinstituten ist hochdynamisch. Kreditinstitute haben unterschiedlichste Kunden, Geschäftspartner und Geschäftsprozesse. Zusätzlich zu komplexen Geschäften gilt es, eine sich ständig wandelnde Organisation im Blick zu haben. Das dynamische Geschäftsfeld der Kreditinstitute wirkt direkt auf ihr Compliance-Management-System. Sobald Kreditinstitute ihr Geschäftsfeld und ihre Geschäftsverbindungen ändern, verändert sich das zu betrachtende Risikoprofil. Die Kreditinstitute benötigen dazu Risikosysteme, die dem dynamischen Umfeld und den daraus resultierenden internen und externen Risiken adäquat Rechnung tragen.
Die Compliance-Funktion steht dabei vor der Herausforderung, dass eine Vielzahl von Prozessen und Anwendungen in der Ablauforganisation eines Kreditinstituts direkt auf ihr Tätigkeitsfeld Einfluss nehmen. Dies wirkt sich unmittelbar auf Zeit- und Ressourcenbedarfe aus. Die Infrastruktur von Compliance hat einerseits dem dynamischen Umfeld der Kreditinstitute Rechnung zu tragen. Andererseits sind die sich stetig wandelnden Prozesse möglichst effizient auszurichten, um die Wettbewerbsfähigkeit des Kreditinstituts sicherzustellen und gleichzeitig regelkonform zu agieren.
Beratung und Prozessoptimierung
Zusätzlich ist zu berücksichtigen, dass der Compliance-Funktion in einem Kreditinstitut eine doppelte Bedeutung zukommt. Die Compliance-Funktion berät auf der einen Seite sowohl die Fachbereiche als auch den Vorstand bei der Etablierung adäquater Prozessschritte und Kontrollen in der ersten Verteidigungslinie. Auf der anderen Seite ist die Compliance-Funktion selbst gefordert, ihre Überwachungshandlungen in der zweiten Verteidigungslinie einer ständigen Prozessoptimierung zu unterziehen. Dieser Artikel beleuchtet die Tätigkeiten in der Compliance-Funktion anhand von zwei Thesen:
1. Die prozessbegleitende Beratung/Advisory-Rolle der Compliance-Funktion berücksichtigt neben der Sicherstellung der Einhaltung geltender Regeln und Normen die Prozesseffizienz von Geschäftsprozessen um ein standardisiertes, möglichst IT-systemgestütztes Kontrolluniversum mit hohem Automatisierungsgrad und multipler Datenverwendbarkeit zu etablieren.
2. Die Compliance-Funktion wendet in ihren eigenen Risikoerhebungs- und Bewertungsprozessen sowie daraus abgeleiteten Überwachungshandlungen standardisierte Verfahren an, die auf das Kontrolluniversum in der ersten Verteidigungslinie aufbauen, redundante Datenabfragen vermeiden und eine integrierte IT-basierte Gesamt-Compliance-Risikobetrachtung für das Topmanagement ermöglichen.
Einsatzmöglichkeiten IT-basierter Systeme
Compliance-Risikomanagement: Das Compliance-Risikomanagement bietet sich für eine Automatisierung an, da wiederkehrende Analyseroutinen auf große Datenmengen treffen. Adäquate IT-Anwendungen können die Erstellung der Compliance-Risikoanalyse beziehungsweise Compliance-Gefährdungsanalyse dahingehend unterstützen, dass die Auswertungen schneller und übersichtlicher zur Verfügung stehen. Genauso kann die Eingabe der benötigten Daten in einem automatisierten Prozess erfolgen.
Erstellung von Compliance-Richtlinien: Die Etablierung eines sinnvollen Anweisungswesens sowohl in den operativen Fachbereichen als auch in der Compliance-Funktion ist oft ein sehr zeitaufwendiger und abstimmungsintensiver Prozess. Compliance-Richtlinien beinhalten Mindestanforderungen an die Verantwortungsbereiche des eigenen Unternehmens. Die prozessverantwortlichen Fachbereiche müs sen bei der Erstellung und Abstimmung mit einbezogen werden und wiederum eigene inhaltlich und prozessual passende Arbeitsanweisungen vorhalten. Die Automatisierung der Richtlinienerstellung und des Aktualisierungsprozesses erspart Zeit und Ressourcen. Richtlinien können heutzutage bereits automatisiert workflowbasiert abgestimmt und in einem zentralen System elektronisch zur Verfügung gestellt werden.
Berichtswesen: Das Compliance-Reporting bezieht sich auf aktuelle Ad-hoc-Berichte und immer wiederkehrende Monats- und Jahresberichte. Eine Automatisierung bietet sich hier geradezu an, da Daten aus verschiedensten IT-Systemen zusammengefasst werden müssen. Die Erfassung der Daten sollte zum Zeitpunkt der Entstehung automatisiert in die Compliance-Systeme IT-basiert eingespielt werden.
1st-line-Tätigkeiten der Compliance-Funktion: Die Überwachung der Mitarbeitergeschäfte in Finanzinstrumenten gehört zu den Kernaufgaben der Compliance-Funktion, da Mitarbeitergeschäfte in Zusammenhang mit vielfältigen Interessenkonflikten stehen können. Der Prozess der Informationserhebung ist sehr aufwendig, da die Daten für Mitarbeitergeschäfte aus eigenen Systemen sowie von Drittbank-Geschäften stammen können. Der manuelle Prozess sieht so aus, dass Umsatzdaten aus den verschiedensten internen Systemen zusammengetragen werden. Da Geschäfte in Finanzinstrumenten meist nicht in einem einzigen DV-System hinterlegt sind, ist die Zusammenführung der relevanten Daten an einer zentralen Stelle hochkomplex.
Hinzu kommt, dass die Daten auch heute noch oft ausschließlich postalisch in Papierform von Drittbank-Geschäften gemeldet werden, was eine manuelle Erfassung zur Folge hat. Eine Automatisierung des Daten-Erfassungsprozesses ist hier an mehreren Ansatzpunkten möglich. Zum einen können automatisierte Schnittstellen zwischen Handels- und Compliance-Systemen dafür sorgen, dass Daten mittels technischer Schnittstellen schnell für die Compliance-Überwachung vorliegen. Zum anderen wäre es der sicherste und zeitsparendste Weg, wenn Daten automatisiert von Drittbanken ohne Medienbrüche in die Compliance-Überwachungssysteme der Bank einfließen könnten.
Insiderüberwachung als Kerngeschäft der Kapitalmarkt-Compliance
Die Insiderüberwachung durch die Compliance-Funktion ist das Kerngeschäft der Kapitalmarkt-Compliance. Insiderinformationen in der Bank aufzunehmen, in Systemen zu erfassen und diese den Wertpapiergeschäften gegenüberzustellen, ist auf den ersten Blick trivial, im Detail jedoch vielschichtig und zeitaufwendig. Die Automatisierung unterstützt diesen Prozess, um die manuelle Eingabe der Insiderinformationen zu vermeiden.
Automatisiert heißt auch, dass für den gesamten Prozess - also von der Meldung durch die Fachbereiche hin bis zum Ergebnis des Interessenkonfliktmanagements - eine DV-Unterstützung vorhanden ist. Idealerweise ist das ein Prozess, der mit der direkten Eingabe am Entstehungsort des Interessenkonflikts, nämlich beim Mitarbeiter (dem Insider), beginnt und mit der automatisierten Darstellung der Lösung des Interessenkonfliktes endet. Die Automatisierung gibt die Voraussetzungen für einen schnellen, ressourcensparenden Überwachungsprozess.
Compliance-Informationssysteme stellen compliancerelevante Daten in digitaler Form für die Compliance-Einheit bereit. Die Auswertung kann in Zukunft nur durch die Unterstützung von automatisierten Prozessen erfolgen, da die Komplexität der Daten exponentiell ansteigt. Die Abfrage von Zugriffsrechten kann automatisiert erfolgen, um den Compliance-Mitarbeitern zeitnah einen Überblick zu geben.
2nd-Line-Tätigkeiten der Compliance-Funktion: Die WpHG-Assessments der überwachenden Compliance-Funktion sind Prüfungshandlungen zu Wertpapierdienstleistungen und Wertpapiernebendienstleistungen in den einzelnen Fachbereichen. Hier wird die Umsetzung der gesetzlichen Vorgaben anhand von Fragebogen überprüft. Der Überwachungsprozess ist wiederkehrend und hoch standardisiert, da die Prüfbogen nach dem gleichen Schema aufgebaut sind. Eine Automatisierung hat den Vorteil, dass sich Fachbereiche wie Compliance zeitlich flexibler, risikobasierter und ressourcenschonender den Überwachungshandlungen widmen können, da die Aufnahme der notwenigen Daten zeitliche Ressourcen bindet. Eine Automatisierung hat den Vorteil, dass Daten aus dem Vorjahr wieder verwendet werden können beziehungsweise nur kurz angepasst werden.
Organisations- und Verhaltenspflichten
Die Überwachung der Organisationspflichten und der Verhaltenspflichten sind wichtige Compliance-Aufgaben, die ein sehr großes Tätigkeitsgebiet betrifft. Die Verhaltensregeln beschreiben Mindeststandards für Wertpapierdienstleistungen und Wertpapiernebendienstleistungen. Sie dienen dazu, Interessenkonflikte zwischen Kunden, Wertpapierdienstleistungsunternehmen und deren Mitarbeitern sowie daraus entstehende Nachteile für die Anleger zu vermeiden. Zu den Verhaltensregeln zählt zum Beispiel, dass die Bank ihre Kunden vor dem Abschluss eines Wertpapiergeschäfts über die wichtigsten Aspekte dieses Geschäfts informieren müssen - und zwar bezogen auf den individuellen Anleger wie auch die jeweilige Anlage selbst. Ein Überwachungsprozess ist in diesem Falle sehr aufwendig und zeitintensiv. Dokumente zu erhalten und mit den gesetzlichen Vorgaben abzugleichen, ist ohne automatisierten Prozess nur schwer möglich. Die Compliance-Funktion muss die Möglichkeit haben, automatisiert Zugang zu den aktuellen Unterlagen zu bekommen und diese auswerten zu können.
Die Überwachung der Geeignetheitserklärung beziehungsweise des Beratungsprotokolls wird durch die automatisierten Vorgaben unterstützt. Je mehr es gelingt, einheitliche Vorgaben zu definieren und diese automatisiert überwachen zu können, desto besser kann die Qualitätssicherung erfolgen.
Die direkte Überwachung und Vermeidung der Interessenkonflikte kann automatisiert durch vorgegebene Konfliktfälle erfolgen, sodass die möglichen Problemgeschäfte rasch aufzudecken sind. Hier können sich insbesondere die Prozesse zur Einhaltung der Geschenkerichtlinie automatisieren. Mit der Geschenkerichtlinie gibt die Bank einen verbindlichen Orientierungsrahmen, ohne die rechtlich zulässige und im Rahmen der Pflege stabiler Geschäftsbeziehungen sozial angemessene und übliche Annahme beziehungsweise Gewährung von Vorteilen auszuschließen. Die Meldung und Erfassung der verschieden Geschenkarten und die jeweilige Zuordnung der Maßnahme aus dem Interessenkonfliktmanagement kann durch Automatisierung verschlankt und beschleunigt werden.
Geldwäscheprävention
Die Geldwäscheprävention ist historisch gesehen schon immer Zielobjekt der Automatisierung. Die Bank benötigt Informationen aus den relevanten operativen Systemen, führt diese zusammen und prüft die Geldflüsse nach gesetzlichen Vorgaben. Die inhaltliche Datenqualität und auch die Vollständigkeit der Daten muss hier sichergestellt sein, sodass die Informationen zuverlässig, pünktlich und nachvollziehbar sind.
Hochautomatisiert erfolgt der Prozess hinsichtlich des Compliance-Gebiets Finanzsanktionen/Embargoüberwachung. Sanktionslisten, Personenlisten und Länder-Policies müssen schnell und effizient verarbeitet werden. Die Automatisierung hilft hier, die Fehleranfälligkeit zu verringern und den permanenten Überwachungsprozess zu realisieren. Die MaRisk-Compliance als aktuellste Entwicklung der Compliance-Aufgaben sieht in der DV-Unterstützung eine Möglichkeit, regulatorische Veränderungen zu verfolgen, zu analysieren um geschäftliche Auswirkungen herauszufinden.
Aufgrund der steigenden Anforderungen an das Management von Auslagerungen sowie des Trends, zunehmend mehr Prozesse und Aktivitäten auszulagern, hilft hier die Automatisierung dabei, standardisierte Überwachungsprozesse bestenfalls über die Kreditinstitutsgrenze hinaus zu etablieren und damit die weiter zunehmenden Berichtspflichten des Auslagerungsmanagements zu erfüllen.
EU-Datenschutz-Grundverordnung
Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) soll das Datenschutzrecht innerhalb Europas vereinheitlicht werden, um dem einzelnen mehr Kontrolle über seine Daten zu verschaffen. Die Sicherstellung der adäquaten Speicherung und Löschung von Daten ist nur durch einen automatisierten Überwachungsprozess möglich, der den Datenschutzbeauftragten die Möglichkeit bieten muss, eine Übersicht über die Existenz, Verwendung und Löschung der Daten zu liefern.
Die Betrugsprävention setzt auf sämtlichen IT-Systemen der Kreditinstitute auf, um sonstige strafbare Handlungen frühzeitig erkennen zu können und im Verdachtsfall durch schnelle IT-basierte Datenauswertungen zielgerichtet handeln zu können.
Welche Punkte dienen als Auswahlkriterien für die zukunftsfähige automatisierte Compliance in Kreditinstituten? Zukunftsfähige automatisierte Prozesse der Compliance-Funktion sind einerseits lösungsorientiert und flexibel an die sich ändernde Kundenbedürfnisse der Kreditinstitute auszurichten. Andererseits muss eine automatisierte Compliance auch im Einklang mit dem existierenden Compliance-Management-System der Bank sein und dieses unterstützen. Dabei spielt die Datenqualität eine sehr wichtige Rolle, genauso wie die Vollständigkeit der Daten und die Integration aller relevanten Geschäftsdaten. Die Automatisierung sollte im Idealfall die Kostenstruktur zum Nutzenwert verbessern und den fixen Kostenblock im Auge behalten. Eine automatisierte Compliance hat als Ziel, die Prozesse zu vereinfachen und zu beschleunigen, indem die Digitalisierung kontinuierlich vorangetrieben wird.
Eine agile Compliance-Funktion
Über allem steht jedoch, dass die Kreditinstitute die Compliance-Prozesse im Einklang mit den regulatorischen Vorgaben gestalten und diese so flexibel halten, um jederzeit auf regulatorische Neuerungen effizient und nachvollziehbar reagieren zu können.
Heutzutage benötigen Kreditinstitute effektive, effiziente und agile Compliance-Risiko-Strategien mit einem möglichst hohen Automatisierungsgrad, um in einer zunehmend digitalen Welt richtig aufgestellt zu sein. Die Automatisierung kann als ideale Chance gesehen werden, die tiefgreifenden Veränderungen im Bereich der Compliance zu managen. Eine agile Compliance-Funktion kann interne und externe Veränderungen schnell annehmen und flexibel sowie dynamisch darauf reagieren.
