Die Steigerung der Resilienz des Risk-&-Compliance-Programms ist eine zunehmende Anforderung der Prüfer und Regulatoren und in diversen Gesetzen verankert. Die Herausforderung liegt darin, dies effektiv digital zu gestalten und dabei die Effizienz bei stetig ansteigender Volatilität zu meistern. Automatisierung, der Einsatz von KI und gut abgestimmte Policies & Procedures helfen dabei, diesen Prozess zu optimieren.
Die Situation des Head of Compliance
Die internen Compliance-Regelungen zu steuern, ist anspruchsvoll, unabhängig davon, ob es sich dabei um nationale, internationale oder global agierende Unternehmen handelt. Zum einen müssen die verschiedenen Entitäten in dem komplexen Organisationsgeflecht koordiniert, zum anderen auch die regional unterschiedlichen, sich überschneidenden und nicht selten widersprechenden regulatorischen Anforderungen berücksichtigt werden. Dabei spielen auch die sich aus dem spezifischen Geschäftsmodell ergebenden Compliance Risiken eine wichtige Rolle.
Der Head of Compliance beziehungsweise die Compliance-Abteilungen meistern diese Aufgabe, indem sie sogenannte Policies & Procedures (P&P) erlassen. Das sind interne Regelungen, die es ermöglichen, eine gruppenweite Umsetzung, zum Beispiel von Embargo- und Sanktionsüberwachungsprozessen sicherzustellen. Dies erfolgt mittels textlich verfasster Dokumente, die die Richtlinien und Regeln für die Gruppe einheitlich darstellen. Die Aufgabe ist die erfolgreiche und vollständige Umsetzung in den jeweiligen Niederlassungen mit Hilfe von Kontrollpunkten, sogenannte Controls.
Die Basis: Policies & Procedures
Für die Erstellung neuer beziehungsweise die Anpassung bestehender P&Ps gibt es zwei wesentliche Ursachen:
- Zum einen die von externen Institutionen kommenden Anforderungen, die vom Unternehmen umgesetzt werden müssen. Dazu gehören, neben den von der Regulatorik beziehungsweise dem Gesetzgeber geforderten Themen, auch Selbstverpflichtungen von Interessenvertretungen, Umsetzungsrichtlinien, Konsultationspapiere oder von der Öffentlichkeit beziehungsweise Gesellschaft eingeforderte Maßnahmen.
- Parallel dazu müssen auch institutsspezifische, das heißt von dem jeweiligen Unternehmen abhängige Anforderungen, berücksichtigt werden. Dazu erstellt jedes Institut mindestens einmal im Jahr eine Risikoanalyse, die – basierend auf dem Geschäftsmodell – die spezifischen Compliance-Risiken adressiert. Die sich ergebenden Mitigationsmaßnahmen und deren Effizienzkriterien werden dann in Organisationsanweisungen überführt, die idealerweise bis auf die Ebene von Controls heruntergebrochen werden.
Neben der Fülle an Vorgaben und deren zunehmender Volatilität, sind vor allem Effektivität und Effizienz die wesentlichen Herausforderungen an das Compliance-Management. Auf der einen Seite darf man den Anschluss an den oder die Regulatoren nicht verlieren und muss bei immer enger werdenden Umsetzungszeiträumen auch den Umsetzungsprozess steuern können.
Auf der anderen Seite sollte dem Aufbau von Redundanzen vorgebeugt und durch die Bereitstellung der erforderlichen Transparenz die Effizienz in der Organisation gesteigert werden. Als positiver Nebeneffekt ergibt sich daraus die schnelle Bearbeitung von Anfragen aus der Revision, von externen Prüfern oder der Aufsichtsbehörde.
Umsetzung in der Praxis
Mit der Formulierung und Anweisung zur Umsetzung der Policies & Procedures ist es allerdings nicht getan. Zum einen müssen die verschiedenen operativen Prozesse und Systeme aller betroffener Entitäten und Niederlassungen angepasst werden. Dabei ist in der Regel davon auszugehen, dass dies nicht zentral über Group Compliance erfolgen kann, sondern dezentral durchgeführt werden muss. Weiterhin müssen zusätzliche Anforderungen dieser dezentralen Einheiten und deren spezifischer gesetzlicher Situation berücksichtigt werden. Im schlimmsten Fall widersprechen sich die Anforderungen der Gruppe mit den juristischen Erfordernissen. Ein eingängiges Beispiel liefert die DSGVO, die in Europa strenge Anforderungen an den Datenschutz zu Grunde legt und durchaus im Widerspruch mit Transparenzvorschriften anderer Länder und deren Jurisdiktionen steht.
Die Organisation der strukturierten Umsetzung dieser Policies & Procedures stellt somit ein nicht zu unterschätzendes, komplexes Problem dar, das mit Hilfe der entsprechenden IT-Unterstützung sichergestellt werden kann.
Anforderungen an die IT
Um den Prozess der strukturierten Abarbeitung und Umsetzung der Policies & Procedures für die Compliance Abteilung zu unterstützen, braucht es einen, an die Bedarfe der Gruppe anpassbaren Workflow. Dadurch werden die Aufgaben und deren Verantwortung transparent und sind übersichtlich einsehbar. Der Umsetzungszustand der Policies & Procedures kann jederzeit abgefragt werden, insbesondere im Rahmen externer Prüfungen.
Eine weitere wichtige Funktionalität stellt die Überführung der P&Ps als unstrukturierten Text in eine strukturierte und für weitere Aufgaben geeignete Darstellungsform. Dies kann in Form einer Control-Matrix (siehe Abbildung 1) erfolgen, die den Prüfobjekten (y-Achse) die Kontrollen (x-Achse) gegenüberstellt und dadurch eine übersichtliche Beschreibung der P&Ps ermöglicht. Die Befüllung der Matrix orientiert sich dann an den Inhalten der P&P’s.
Zusammen mit einem ausführlichen Reporting und einer vollständigen Logging Funktionalität, die jeden Schritt innerhalb des Workflows dokumentiert, ist man jederzeit in der Lage dem Regulator und den Wirtschaftsprüfern Auskunft zu erteilen. Dies stellt die Integrität der Gruppe und die Konsistenz des Risiko- und Compliance-Programms sicher, minimiert den Aufwand und die damit verbundenen Kosten und führt zu einer effektiven und effizienten Compliance-Organisation.
Abbildung 1 – Darstellung einer Control-Matrix, die die Prüfprojekte mit den erforderlichen Kontrollen verbindet und dadurch eine übersichtliche Darstellung der umzusetzenden Anforderungen ermöglicht
Der Einsatz von KI
In aller Regel haben die Institute bereits eine Vielzahl bestehender Policies & Procedures im Einsatz. Die Überführung all dieser Dokumente in eine IT-Lösung wäre ein außerordentlich hoher Aufwand, der rein manuell nicht zu leisten ist. Hier kommt die KI ins Spiel. Mit Hilfe geeignet trainierter Large Language Models werden alle bestehenden P&Ps analysiert und in die Zielstruktur überführt. In einem nachgelagerten Qualitätssicherungsprozess können die Ergebnisse auf Vollständigkeit und Korrektheit überprüft werden. So ist man sehr schnell in der Lage, das System initial aufzusetzen. Der sogenannte Legal-Change-Prozess kann somit zu einem guten Teil digital automatisiert werden.
Weitere Funktionalitäten für die Analyse unstrukturierten Daten stehen dem Anwender ebenfalls zur Verfügung. Über die Summary-Funktion ist er in der Lage, bei neuen Gesetzestexten schnell eine inhaltliche Übersicht zu erhalten, die Diff-Funktion erlaubt es, zum Beispiel bei geänderten regulatorischen Anforderungen, die Neuerungen zu extrahieren und damit seine P&Ps entsprechend anzupassen. Die Plattform stellt somit ein Werkzeug bereit, mit dessen Hilfe man schnell und zuverlässig interne Richtlinien anpassen beziehungsweise erarbeiten kann, um sie dann nachvollziehbar umzusetzen.
Ausblick
Die Strukturierung der P&Ps ist nur ein erster Schritt. Um den Compliance-Prozess vollständig automatisiert zu unterstützen, ist der Aufbau beziehungsweise die Integration in eine zentrale Daten- und Anwendungsplattform erforderlich.
Dadurch wird es möglich, die in den operativen Systemen (AML, Sanktionsüberwachung, Betrug, …) befindlichen Regeln und deren Konfiguration zu harmonisieren. Dies führt zu einem Gleichklang der Überwachungssysteme, die in den verschiedenen Entitäten zum Teil unterschiedlich eingesetzt werden.
Ein weiterer Aspekt ist die Zusammenstellung gruppenweit relevanter Informationen für die Compliance, die in einem übersichtlichen Management-Board zusammengefasst werden und dadurch alle wesentlichen Ereignisse und Risiken „auf einen Blick“ ermöglicht.
Durch diesen Automatisierungsprozess wird die Aufgabe der Compliance-Abteilung – vom Compliance-Officer bis zum Geldwäschebeauftragten, vom Policy Advisor bis zum Business Analyst – wesentlich erleichtert. Es ermöglicht, das Unternehmen auf Basis qualitätsgesicherter Daten und Prozesse aus dieser Perspektive heraus zu steuern.