Zentrales Element einer managementgerechten Compliancefunktion

Beitrag als PDF (Download)

Ausgangssituation Compliance-Reporting
Die Compliancefunktion ist verglichen mit anderen Steuerungsfunktionen wie dem Risikomanagement, dem Rechnungswesen oder dem Treasury eine verhältnismäßig junge Disziplin. Erst in den vergangenen etwa zwanzig Jahren hat sich die Compliancefunktion bei Banken und Finanzdienstleistern Schritt für Schritt zu einer eigenständigen Unternehmensfunktion mit eigenständiger Verantwortlichkeit entwickelt.
Während bis zur Jahrtausendwende die Compliancefunktion oftmals nur als Teildisziplin des Rechtsbereichs angesehen wurde, haben sich – ausgelöst durch eine Vielzahl eingetretener Betrugs-, Insiderhandels- und Geldwäschefälle – die regulatorischen Anforderungen an die Erfüllung der Compliancefunktion drastisch erhöht. Nationale und internationale Gesetzgeber sowie normengebende Institutionen wie der Financial Action Task Force on Money Laundering (FATF) haben vielfältige Gesetze, Richtlinien, Verordnungen, Anwendungs- und Auslegungshinweise, Regulatory Technical Standards und andere Dokumente veröffentlicht, die die Adressaten zu beachten und umzusetzen haben.
Die reine Fülle der heutzutage umzusetzenden Anforderungen wird begleitet durch die Tatsache, dass seitens der Normengeber eine Vielzahl unterschiedlicher Complianceteildisziplinen angesprochen werden: So werden Regelungen und Vorgaben zur Verhinderung von Geldwäsche, Terrorismusfinanzierung, zur Betrugsprävention, zu Sanktionen und Embargos und negativen Nachrichten, zur regulatorischen Compliance, zur Wertpapier- und Kapitalmarktcompliance sowie zur Steuercompliance formuliert. Und selbst dann, wenn die Regelungsinhalte aus den verschiedenen Quellen eine vergleichbare Stoßrichtung haben und zum Beispiel die Geldwäsche zu bekämpfen versuchen, sind die Bestimmungen häufig zueinander nicht kongruent. Hieraus resultiert eine sehr hohe Komplexität bei der Umsetzung, um sämtliche Anforderungen adäquat zu adressieren. Zudem ist die Verantwortung für die Erfüllung der Compliancefunktion nicht nur in der sogenannten 2nd Line of Defense (also dem Compliancebereich im engeren Sinne) zu sehen – die Erfüllung der Compliancefunktion ist eine Aufgabe, die sich durch die gesamte Unternehmensorganisation zieht.
Die in den Gesetzen und Normen genannten Anforderungen sind weitgehend „inputorientiert“: Es wird postuliert, welche organisatorischen Strukturen aufzusetzen sind, welche Prozesse und Routinen zu etablieren sind, um eine hinreichende Sorgfalt sicher zu stellen. Naheliegenderweise stand in den vergangenen Jahren bei Banken und Finanzdienstleistern die fachliche, prozessuale und technische Umsetzung der Anforderungen im Vordergrund: Es wurden Rollen- und Verantwortlichkeiten formuliert, Governance-Strukturen geschaffen, Methoden entwickelt, technische Systeme aufgebaut und die Prozesse und Routinen in den Betrieb überführt.

In viel geringerem Umfang widmen sich die Gesetze und Normen der „outputorientierten Sichtweise“, also der Fragestellung, in welcher Form konkret über Compliance-relevante Sachverhalte zu berichten ist. Das ist einerseits nachvollziehbar, da in der Compliance nicht in einem starren Berichtsraster wie etwa im Meldewesen Bericht erstattet werden kann. Wenn konkrete Reportingstrukturen formuliert sind wie zum Beispiel für PSD II-Fraud-Reporting, MaRisk-Compliance-Reporting (gemäß MaRisk AT 4.4.2. Tz.7), Tätigkeitsbericht des Geldwäschebeauftragten (gemäß §7 Abs. 5 S.5 GwG), MaComp-Compliance-Reporting (gemäß MaComp BT 1.2.2), dann sind diese am alleinigen Zweck des spezifischen Regelungsbereichs ausgerichtet.
In Bezug auf die Nutzung der gewonnenen Informationen ergibt sich die Herausforderung, die zutreffenden Schlussfolgerungen aus den erhaltenen Informationen abzuleiten: Die verschiedenen Compliancerisiken und -sachverhalte sind nicht vergleichbar – dadurch wird die Steuerungsfähigkeit der Compliancefunktion maßgeblich beeinträchtigt.
Zielsetzung eines integrierten Compliance-Reportings ist die Schaffung einer ganzheitlichen, unternehmensweiten sowie effizienten Berichterstattung von regulatorisch erforderlichen und bankbetriebswirtschaftlich notwendigen Compliance-relevanten Informationen, um dadurch eine konzernweite Sichtweise auf die Compliancefunktion zu erhalten und eine zielorientierte Steuerung von Compliancerisiken zu gewährleisten. Durch die rechtzeitige Bereitstellung der Reportings als Informationsbasis für Entscheidungen können Fehlentwicklungen identifiziert und mitigiert werden.
Die Verwendung von priorisierten Inhalten und wichtigen Kennzahlen auf übergeordneter Ebene, die weitere stufenweise Detaillierung der Reportinginhalte sowie die Nutzung von prozessual und technisch effizienten Reportinglösungen spielen dabei eine entscheidende Rolle, um die Transparenz im Hinblick auf die zu steuernden Sachverhalte herstellen zu können.

BCBS 239 als Orientierungsrahmen für den Aufbau eines integrierten Compliance-Reportings
Mit dem Verweis auf die Heterogenität könnten sich die Banken und Finanzdienstleister freisprechen und argumentieren, dass für die Compliance keine Voraussetzungen gegeben sind, ein übergreifendes Compliance-Reporting zu etablieren.
Unserem Verständnis nach sollte die Compliancefunktion in den 2020er Jahren sich jedoch zum Ziel setzen, neben der kontinuierlichen Umsetzung der regelmäßig zufließenden neuen Vorgaben die Erkenntnisse und Aussagen aus den verschiedenen Complianceteildisziplinen stärker vergleichbar zu machen, um eine ganzheitliche Sicht auf die CompliancefFunktion und die Compliancerisiken zu gewinnen.1

Möglich ist hingegen, das Bewusstsein für die Bedeutung der verschiedenen Complianceteildisziplinen zu schärfen, indem auf einer obersten Reportingebene über diese gleichberechtigt in einer gleichartigen Struktur und auf Basis gleichartiger Kennzahlen Bericht erstattet wird. Es ist für die Compliancefunktion ein integriertes Compliance-Reporting aufzusetzen, so wie es zum Beispiel in der Risikofunktion von Banken und anderen Finanzdienstleistern in den vergangenen zehn bis fünfzehn Jahren sukzessive umgesetzt wurde. Auch dort lag bis in die 2010er Jahre hinein der Fokus auf der Umsetzung von Risikomessmethoden, organisatorischen Strukturen, Prozessen und technischen Systemen.
Nicht zuletzt durch das Großthema „BCBS 239 (Principles for effective risk data aggregation and risk reporting)“, das für viele Jahre die Risikofunktion der Banken und Finanzdienstleister maßgeblich beschäftigte, ergab sich ein Impetus zur Schaffung eines integrierten Risikoreportings, das bedeutende Steuerungsdimensionen auf oberster Ebene adressiert und damit zentrale Informationsquelle für alle Entscheidungsträger (insbesondere Vorstand, Aufsichtsrat, Gremien) sein kann.
Wie bereits zuvor beschrieben liegt die Compliancefunktion in ihrem „Reifegrad“ eine Dekade hinter der Risikofunktion zurück. Aufbauend auf den Erfahrungen bei der Etablierung eines integrativen Risikoreportings kann die Compliancefunktion lernen und unter Anwendung der Prinzipien von BCBS 239 (unter anderem Genauigkeit und Integrität, Vollständigkeit, Aktualität, Anpassungsfähigkeit, umfassender Charakter, Klarheit und Nutzen, Häufigkeit, Verbreitung) sukzessive ein integriertes Compliance-Reporting implementieren. Damit wird eine verbesserte Steuerungsfähigkeit der Compliancefunktion gewährleistet.

Top-Down-Ansatz des integrierten Compliance-Reportings
Im Rahmen des Aufbaus eines integrierten Compliance-Reportings sind zunächst die strukturellen Rahmenbedingungen des Reportings zu formulieren. Wenn das Compliance-Reporting die Steuerungsfähigkeit unterstützen soll, ist es konsequent „Top-Down“ aufzusetzen. Auf oberster Ebene dominieren stärker aggregierte Sichtweisen und Kennzahlen, die sukzessive und kaskadisch auf detailliertere, nachgelagerte Sichten heruntergebrochen werden.
Die Erfahrung beim Aufbau integrierter Reportingsysteme zeigt, dass klare „Übergabepunkte“ zwischen den jeweiligen Betrachtungsebenen und Reportingteilsichten erforderlich sind.
Unterstützt wird dies durch einheitlich verwendete Begriffs- und Kennzahlendefinition und Reportingsichten..2 Von Bedeutung ist, dass diese Sichten in den verschiedenen Betrachtungsebenen einheitlich verwendet werden und nicht die Strukturen willkürlich verändert werden. Dies wäre beispielsweise der Fall, wenn in einem Report Kundensegmente aggregiert oder Kundensegmente in einem anderen Report anders geschnitten werden.

Das Standardreporting als Hauptelement des Compliance-Reportings
Das integrierte Compliance-Reporting stellt eine Kombination aus einem Standardreporting („vereinbarte Wahrheit“) und bei Bedarf von ad-hoc-Analysen und ad-hoc-Berichterstattung („weitergehende Wissensgewinnung“) dar. Eine ex ante formulierte Struktur eines Standardreportings, das über den Zeitverlauf konstant gehalten wird, hat den Vorteil, dass periodenübergreifend konsistente Fortschreibungen (Zeitreihen) und intertemporale Vergleiche gewährleistet werden. Das Standardreporting stellt damit den festen und übergreifenden Rahmen dar, in dem nach vereinbarten Konventionen berichtet wird und auch Entscheidungen zu treffen sind. Damit bietet das Standardreporting ein großes Potenzial für eine Automatisierung des Compliance-Reportings unter Verwendung eines systembasierten Reporting-Ansatzes sowie auf Basis des Aufbaus eines einheitlichen Datenpools.

Anpassung des Standardreportings
Obgleich wie oben geschrieben ein Standardreporting über längere Zeit hinweg konstant gehalten werden sollte, gilt auch hier der Satz „Nichts ist beständiger als der Wandel“. Eine Anpassung der Strukturen ist dann notwendig, wenn bedeutende Gründe für deren Anpassung existieren. Das können beispielsweise exogene Gründe sein (etwa erhebliche Änderungen der regulatorischen Vorgaben, die eine Anpassung der übergeordneten und/oder nachgeordneten Kennzahlen oder Reportingsichten erforderlich machen oder interne Gründe, zum Beispiel wenn sich nachhaltige Veränderungen des Tätigkeitsfelds des Instituts ergeben, beispielsweise nach Entwicklung/Erwerb neuer Geschäftsfelder, geografische Anpassungen der Marktgebiete).
Aber auch die Nutzung eines Standardreportings bedeutet nicht, dass nicht regelmäßig aktuelle, neu aufkommende Themen integriert werden können. Zugrunde gelegt werden kann das sogenannte „Supermarktprinzip“, nach dem der überwiegende Teil der Struktur des Standardreportings konstant gehalten wird, aber stets ein ausgewählter Raum für wechselnde Themen bereitgestellt wird..3

Zuständigkeit für das Standardreporting
So wie die Inhalte des Standardreporting übergeordnet vereinbart sind und festen Strukturen folgen, folgt auch die Zuständigkeit für das Standardreporting festen Verantwortlichkeiten. Für jeden Reportinginhalt ist eindeutig geklärt, wer für die Bereitstellung der erforderlichen Daten zu welchem Zeitpunkt in welcher Datenqualität verantwortlich ist. Idealerweise speist sich der Input für das Standardreporting aus einem einheitlichen Compliance-Datawarehouse, aus dem ein in sich geschlossenes Reporting generiert werden kann.
Allerdings verlagert sich bei Verwendung eines einheitlichen Compliance-Datawarehouse die Verantwortung für die Datenqualität und die zeitgerechte Datenbereitstellung nur auf eine vorgelagerte Ebene.

Ad-hoc-Analysen
Abzugrenzen vom Standardreporting sind ad-hoc-Analysen und eine ad-hoc-Berichterstattung. Hierbei werden Compliance-relevante Inhalte (bewusst) in Abweichung zur festgelegten Struktur des Standardreportings berichtet, zum Beispiel, um eine alternative Sichtweise auf Sachverhalte zu erhalten. Je nach Konstellation können die ad-hoc-Analysen und die ad-hoc-Berichterstattung auf Daten eines einheitlichen Compliance-Datawarehouse oder in manuellen Prozessen zusammengestellten Daten basieren.
Von Bedeutung ist, dass ad-hoc-Analysen nicht das Gewicht haben dürfen, das Standardreporting „auszuhebeln“ und dessen Inhalte zu konterkarieren.

Fazit
In Zeiten, in denen die Nutzung steuerungsrelevanter Informationen zunehmend zum Wettbewerbsvorteil wird, sollte sich die Rolle des Compliance-Reportings von der alleinigen Erfüllung der regulatorischen Berichtspflichten zu einer „vernetzten“ Sichtweise aller Compliance-relevanten Sachverhalte wandeln.
Ein so ausgestaltetes Compliance-Reporting ist Teil des internen Kontrollsystems, da es umfassende Transparenz über die bestehenden Compliance-Risiken und die daraus abzuleitenden Maßnahmen schafft. Infolge dessen wirkt sich das Reporting auf alle Hierarchieebenen entlang der sogenannten drei Verteidigungslinien aus und es ist damit auch essenziell, dass alle Verantwortungsträger des Unternehmens hinter dem Compliance-Reporting stehen und auch die richtigen Schlussfolgerungen ableiten.
Der Nutzen des Aufbaus eines in sich konsistenten Compliance-Reportings steht außer Frage – es ist die Basis für zielgerichtete Entscheidungen im Complianceumfeld.
Gegenwärtig gibt es noch keine Marktstandards für ein in sich konsistentes Compliance-Reporting – es obliegt der Compliancefunktion des Finanzinstituts, in Abstimmung mit dem Reportingempfänger ein schlüssiges Compliance-Reporting aufzubauen. Ohne existierende Standards hat der Aufbau eines derartigen Compliance-Reportings vielfach noch Neuigkeitscharakter und ist daher fast zwangsläufig mit einem „Trial-and-Error-Prozess“ verbunden, um die für das Institut optimale Reportingstruktur zu identifizieren und umzusetzen.
Neben der Struktur und den fachlichen Inhalten des Compliance-Reportings sind die Qualität der für das Reporting verwendeten Daten sowie die Güte der zugrundeliegenden Compliance-Methoden, also deren „Discriminatory Power“4, alles entscheidende Faktoren. Beides sind aus Sicht des Reportings exogene Determinanten: Das Reporting baut als nachgelagerter Prozess auf bestehende Daten und Methoden auf und kann die Güte der Daten und Methoden daher allenfalls mittelbar beeinflussen.
Insofern hat es für die Akzeptanz des Compliance-Reportings höchste Priorität, dass es auf einer dauerhaft hohen Datenqualität und funktionierenden Compliancemethoden basiert. Ansonsten besteht die Gefahr, dass die Skeptiker ein neu eingeführtes Compliance-Reporting infrage stellen oder gar versuchen, es zu diskreditieren. Als Konsequenz würde sich die Compliance-Kultur eher verschlechtern anstatt sich zu verbessern. Ein Datenqualitätsmanagement und ein regelmäßiger Review der eingesetzten Compliancemethoden stellen daher zentrale Erfolgsfaktoren beim Aufbau und auch im Betrieb eines konsistenten Compliance-Reportings dar.

Fußnoten

1 Um einem zu hehren Anspruch vorab zu entgegnen: „Vergleichbar machen“ heißt in diesem Kontext nicht „Gleichnamigmachen“: das ist aufgrund der Unterschiedlichkeit der verschiedenen Compliance-Teildisziplinen nicht erreichbar und auch nicht gewünscht, da mit dem „Gleichnamigmachen“, die Spezifika der Teildisziplinen verwässert würden.

2 Reportingsichten können beispielsweise Segmentsichten (Privatkunden, Firmenkunden, Institutionellen Anleger etc.) oder Sichten nach geografischen Sichten (EMEA, Americas, APAC etc.) sein.
3 Vergleichbar mit einem Supermarkt, der ein festes Sortiment in festen Bereichen anbietet, auf Sonderverkaufsflächen saisonale Produkte oder Aktionsprodukte präsentiert.
4 Die „Discriminatory Power“ trifft die Aussage, wie hoch die Fähigkeit eines Modells ist, zwischen zwei verschiedenen Zuständen zu differenzieren. In Bezug auf Compliance-Sachverhalte könnte das beispielsweise die Güte eines Transaktionsüberwachungsmodells sein, „True Positives“ von „False Positives“ abgrenzen zu können.

beisele@kpmg.com

marcelzimmermann@kpmg.com

Aktuelle Beiträge