Compliance auf verlorenem Posten? Au contraire!
„Jede fachliche Vorgabe mit einer identischen Vorgehensweise umsetzen.“
Seit nunmehr gut einem Jahrzehnt kommt es den meisten Compliance-Officern so vor, als befänden sie sich in einem regulatorischen Teilchenbeschleuniger. In der Praxis werden immer neue Vorgaben in den gewohnten thematischen Überschriften von WpHG, Geldwäscheprävention, MaRisk, Informationssicherheit, Datenschutz, Betrug, Korruption, Kartellrecht oder ESG und vieles mehr zugeordnet und abgelegt. Damit entwickeln sich Silos mit enormen fachlichen Vorgaben, was nicht nur Mitarbeiter überfordert. Auch die Leitungs- und Aufsichtsorgane der Verpflichteten sehen sich vor einer Quadratur des Kreises, da sich die Vorgaben nicht mehr gleichermaßen wirksam wie betriebswirtschaftlich sinnvoll implementieren lassen. Wozu dies in einem immer härteren Wettbewerb führen kann, lässt sich durch die ebenfalls exponentiell gestiegenen Mitteilungen bspw. der BaFin über erlassene Sanktionen z. B. infolge eines nicht sachgemäßen Risikomanagements nach dem KWG ablesen.
Hilft also nur noch der aus dem bekannten Blockbuster „Back to the future“ eingesetzte Fluxkompensator, um sich regulatorisch wieder in eine gute alte beherrschbare Zeit zu versetzen? Mitnichten. Auch wenn es herausfordernd ist, sich mit einem Ansatz zu beschäftigen, der sich sicherlich nicht innerhalb weniger Monate etablieren lässt, ist er aus unserer Sicht nicht nur alternativlos, sondern er wird auch einen betriebswirtschaftlichen und risikoadäquaten Payoff bringen:
Hinter jedem Paragraphen der Regulatorik steckt sowohl eine inhaltliche Vorgabe wie auch ein operativer Prozess, auf den sich diese Vorgabe bezieht, und darauf bezogen natürlich auch eine Kontrollroutine. Erweitert man nunmehr die fachliche Analyse einer Norm um die operative Bedeutung für die bestehenden oder künftigen Prozessabläufe, ist bereits ein erster Schritt gemacht. Schaffen es die Organisationen zusätzlich, einen themenübergreifenden gemeinsamen operativen Nenner der regulatorischen Vorgaben zu identifizieren, verlagern sich die Herausforderungen von einer vertikalen Silobetrachtung hin zu einer horizontalen und fachbereichsübergreifenden Ablauforganisation. Dies ist die Grundvoraussetzung dafür, der Entwicklung doppelter und damit redundanter und sich bisweilen gar widersprechender Prozessabläufe in einer Organisation entgegenwirken zu können. Und wer jetzt glaubt, dass dies in dem aktuellen regulatorischen Dickicht gar nicht geht, dem sei der Hinweis auf die Methodik der ISO-Zertifizierungen gegeben: Verstehe den Kontext der Organisation, erkenne die relevanten (Führungs-)komponenten, plane deren Einsatz, bewerte die erforderliche Unterstützung, komme ins Handeln, bewerte die Ergebnisse und optimiere das Tun kontinuierlich. Jedem Risikomanager wird diese Philosophie bekannt vorkommen. Und tatsächlich basiert jede regulatorische Vorgabe auch auf diesem Ansatz. Und dieser beginnt mit der Risikoanalyse. Die operative Herausforderung liegt also darin, eine Methodik zu entwickeln, mit der sich jede fachliche Vorgabe egal aus welchem Themenbereich mit einer identischen Vorgehensweise umsetzen lässt. Das steckt auch hinter dem Ziel einer integrierten Risikoanalyse. Und auf dieser Methodik lassen sich dann in aller Regel eine Vielzahl gemeinsamer bereichsübergreifender Sicherungsmaßnahmen entwickeln oder aber dort, wo erforderlich, individuelle und fachspezifische Ergänzungen vornehmen. Der gemeinsame Nenner einer horizontalen Prozessbetrachtung jedoch muss nirgendwo verlassen werden.
Die Entwicklung eines Fluxkompensators ist ebenso wenig möglich wie erforderlich. Stattdessen kann eine Modifikation in der Betrachtung der Compliance-Philosophie ein wenig Hoffnung zurückzugeben, die Anforderungen der komplexen Regulatorik sinnvoll angehen zu können. Und um bei einem bekannten Filmzitat aus „Back to the future“ zu bleiben: „Ich schätze, ihr seid noch nicht bereit dafür. Aber eure Kinder werden es lieben“. Zeigen wir Ihnen, dass es bereits heute funktioniert.
Hartmut T. Renz, RA, ist Partner Regulatory, Risk & Compliance bei STRATECO. Er war zuvor in verantwortlichen Leitungs- und zum Teil (Group) Chief Compliance Officer-Funktionen unter anderem bei der DZ Bank AG, Helaba, LBBW und Citigroup tätig.
Andreas M. Marbeiter ist Director Regulatory, Risk & Compliance bei STRATECO. Er war zuvor in verantwortlichen (Chief) Compliance Officer-Leitungsfunktionen unter anderem bei der Commerzbank AG und der DZ Compliance Partners tätig.