Compliance und Risikomanagement, mangelhaft! Müssten deutsche Unternehmen bei Marktforschern und Beratern in diesem Fach die Schulbank drücken, die Zensuren fielen miserabel aus. Jetzt attestierten die Analysten von Deloitte den Banken in einer Studie erheblichen Nachholbedarf in diesem Bereich. Auch die Berater von BearingPoint und Wissenschaftler urteilen nicht milder. Tenor der Kritik: Die Firmen sparen Personal an der falschen Stelle, halten ihre IT nicht auf dem neuesten Stand und vergeuden Geld durch schlechte Organisation. 70 Prozent der Banken sind nicht einmal in der Lage, ihre Compliance-Kosten korrekt und vollständig zu ermitteln, fand Deloitte heraus.
Vor allem der Korruptionsskandal bei Siemens, der das Unternehmen jede Menge Geld und Renommee kostete, machte den großen Unternehmen die Bedeutung von Compliance bewusst. „Leider fielen viele Vorstände nach Einbruch der Finanz- und Wirtschaftskrise wieder in einen Dornröschenschlaf“, kritisiert Birgit Galley, Direktorin der School of Governance, Risk & Compliance an der Steinbeis-Hochschule Berlin. Um Geld zu sparen, sei Personal abgebaut oder nicht wie geplant aufgestockt worden, so Galley. Gekürzt hätten die Firmen auch bei der Fortbildung und Schulung der Mitarbeiter, dabei hänge eine erfolgreiche Compliance vor allem am Engagement und Wissen der Belegschaft. „Eigentlich müsste man in Krisenzeiten antizyklisch vorgehen“, sagt Galley. Aber diese Strategie werde nur von wenigen Unternehmen umgesetzt.
Vernachlässigt wird auch die IT, die etwa bei der Betrugsentlarvung eine zentrale Rolle spielt. Dafür müssten beispielsweise Zahlungseingänge und E-Mail-Verkehr regelmäßig gescannt werden. In diesem Bereich kehrte aber auch wegen der Datenschutzskandale bei Unternehmen wie der Deutschen Telekom Zurückhaltung ein. „Die Unternehmen trauen sich seither an dieses Thema überhaupt nicht mehr heran“, sagt Galley.
„Oft agieren Unternehmen bei Risikomanagement und Compliance noch eher reaktiv – etwa um mit neuen oder verschärften Regularien des Gesetzgebers beziehungsweise der Aufsichtsbehörden Schritt zu halten“, sagt Dr. Robert Wagner, Partner bei BearingPoint. Eine flächendeckende Verankerung in allen Unternehmensbereichen bleibe dann meist aus. Dabei sollten Kenntnis und Einhaltung von Compliance-Vorschriften Aufgabe eines jeden Mitarbeiters sein, so Wagner. Schließlich stünden nicht nur direkte Folgen wie Geschäftsausfälle, Vermögensschäden oder Strafzahlungen auf dem Spiel, sondern auch indirekte Schäden wie der Rückzug von Geschäftspartnern aufgrund von Reputationsschäden.
Compliance und Risikomanagement müssten Teil der Unternehmenskultur werden und dürften nicht einfach in eine entsprechende Abteilung „wegdelegiert“ werden, so Wagner. Zu den wesentlichen Erfolgsfaktoren zählt auch er neben Transparenz, Messung und Reporting das Training der Mitarbeiter. Entscheidend sei aber vor allem die Vorbildfunktion durch das Management – was insbesondere auch den CFO betrifft, zu dem oft der direkte Berichtsweg der Compliance-Bereiche führt.
IT ist der Schlüssel zur Effizienz
Wie tief die Probleme liegen, zeigt die Deloitte-Erhebung am Beispiel einer Branche, die nach ihrem Tätigkeitsfeld Vorreiter sein müsste: den Finanzinstituten. Zwar stellten die Berater bei den Banken durchaus den Willen zu einer Verbesserung und die Erkenntnis einer wachsenden Bedeutung von Compliance-Fragen fest: 90 Prozent der befragten Institute rechnen mit steigenden Anforderungen. Von einem effektiven und effizienten Vorgehen scheinen die Banken indes weit entfernt zu sein. Neben einem Mangel an Personalressourcen fehle weithin auch die Kostentransparenz, die Voraussetzung einer effektiven Steuerung sei, konstatiert Deloitte.
Macht der Posten Personal im Durchschnitt etwa zwei Drittel der Compliance-Kosten aus, so entfällt das Gros der sonstigen Ausgaben auf die unterstützende IT. Sie stellt nach Ansicht der Berater den Schlüssel für eine effizientere Gestaltung der Compliance-Prozesse dar. Die befragten Banken finden diesen aber in höchst unterschiedlicher Weise. Der Anteil der IT-Kosten an den Compliance-Kosten schwanke zwischen 5 und 55 Prozent, so Deloitte. Bei den Sparkassen habe er sich in den vergangenen fünf Jahren kaum verändert, bei drei Viertel der Privat- und Genossenschaftsbanken sei er hingegen gestiegen – zum Teil merklich.
Je höher der IT-Budgetanteil, desto höher ist auch der Nutzen. „Wir konnten aber auch feststellen, dass Compliance-Officer, die anteilige mehr Budget in ihre IT-Systeme investieren, mit der Aufgabenerfüllung ihrer IT-Infrastruktur generell zufriedener sind“, heißt es in der Deloitte-Studie. Allerdings ist nur jeder dritte Compliance-Officer vollständig zufrieden mit den existierenden IT-Systemen. „Zufallsarchitekturen“ mit manueller Informationsbeschaffung und manuellen Berichtswesen führen allzu oft zu teuren, langsamen und fehleranfälligen Prozessen.
Eine Ursache dafür mag in der Komplexität der Anforderungen liegen. Zwar wachse die Bedeutung von IT-gestützen Monitoring- und Dokumentations-Systemen sowie von Case-Management-Systemen, so BearingPoint-Partner Wagner. Eine alles umfassende Lösung für das breite Aufgabenspektrum habe sich auf dem Markt aber noch nicht etabliert. Bei der Software-Auswahl rät Wagner, besonders auf Flexibilität und Erweiterbarkeit zu achten, weil sich die Anforderungen laufend änderten und Systemanpassungen unausweichlich seien.
Auf Mängel im Risikomanagement machten unlängst auch die Marktforscher von Aberdeen aufmerksam. Sie bemängelten hinsichtlich der IT-Sicherheit, dass Firmen die meisten Prozesse in diesem Bereich immer noch manuell steuern und Automatisierung die Ausnahme ist. Sogar in der Spitzengruppe der am Markt besonders erfolgreichen Unternehmen werden Prozesse zu 58 Prozent manuell betrieben. In den übrigen Firmen ist dies zu 90 Prozent der Fall. Zentralisierte und automatisierte Systeme für Governance, Risikomanagement und Compliance (GRC) hat nur ein Bruchteil der Unternehmen implementiert.
Integration von Compliance und Risikomangement umstritten
Wurzel aller Defizite bei den Finanzinstituten ist nach Ansicht von Deloitte eine unzureichende Organisation der Compliance. Die Aufgabe zerfasert häufig in viele verschiedene Abteilungen, was zu unnötigen Mehrfacharbeiten führt. „Oft versäumen es Finanzinstitutionen, gleichartige Elemente der Regulierung wie zum Beispiel GWG, SOX und WpHG zu identifizieren und einheitlich zu behandeln“, so Deloitte.
Dabei würden die regulatorischen Vorschriften ein einheitliches Prozessdesign für die Bekämpfung unterschiedlicher Übel wie Geldwäsche oder Terrorismusfinanzierung durchaus erlauben. Folge der ineffizienten Organisation sei eine fragmentierte IT-Infrastruktur sowohl bei Hardware als auch bei Software. Eine bessere Verknüpfung von Compliance-Management-Prozessen und IT könnte die Kosten laut Deloitte um bis zu 15 Prozent senken.
Generell empfiehlt Deloitte im Falle der Banken den Einsatz eines integrierten Compliance- und Risikomanagements. „Es hilft bei der Kostensenkung und minimiert die Gefahren für Non-Compliance und Reputationsschäden“, sagt Matthias Rode, Manager FSI Advisory bei Deloitte. Aufgrund der vielen Überschneidung halten die Analysten eine einheitliche Steuerung für sinnvoll. Auch hier liefert die Studie Beispiele aus dem Bereich IT: Prozesse zur Verarbeitung von Bilanzinformationen und IT-Risikoverantwortlichkeiten, die sich zur Hälfte überschnitten. Und ein Institut, das gleichartige Prozesse zu Risiko und Compliance mit mehr als 250 von einander unabhängigen Applikationen abdeckte.
Wegen der höchst unterschiedlichen und teilweise sehr speziellen Risiken in Unternehmen, lasse sich diese Empfehlung aber nicht verallgemeinern, warnt Deloitte-Analyst Rode. Insgesamt skeptischer urteilt man bei BearingPoint. Eine Integration des technischen, prozessualen und organisatorischen Frameworks von Risikomanagement und Compliance bringe zwar zweifelsfrei Vorteil an Transparenz und Effizienz, stoße aber an fachliche und regulatorische Grenzen, sagt Robert Wagner. Erforderlich sei eher eine klare Aufgabenteilung zwischen Compliance und Risikomanagement sowie Compliance und Revision, was gegenseitiges Lernen ebenso wenig ausschließe wie die Arbeit mit ähnlichen Strukturen, Prozessen und Systemen.
Alles in allem gebe es neben den Banken auch in der Industrie Nachholbedarf, so Deloitte-Analyst Rode. Der Handlungszwang sei besonders hoch etwa in der Chemie- und Automobilindustrie und überhaupt in Unternehmen, die am Kapitalmarkt tätig sind oder über große Einkaufsabteilungen – mit entsprechenden Anfälligkeiten für Bestechung und Unterschlagung – verfügen. Nach Ansicht von Birgit Galley entwickelt sich Compliance allmählich auch im Mittelstand zu einem bedeutenden Thema. „Das sickert allmählich ein über Großkunden, die die Compliance ihrer Geschäftspartner nachweisen müssen“, so die Berliner Forscherin. Davon betroffen seien schon jetzt unter anderem Speditionen und Zulieferer von Konzernen.
Gefragt ist Rückgrat
Den oft mit der Verantwortung für die Unternehmens-Compliance betrauten CFOs rät Galley zur Weitsicht bei der Auswahl des Compliance-Beauftragten. Ohne Prüfung einfach den Leiter der Rechtsabteilung damit zu beauftragen, sei manchmal zu kurz gedacht. Neben Kenntnissen in Wirtschaftsrecht und Einblick in ökonomische Zusammenhänge seien auch persönliche Tugenden gefragt. „Ohne Durchsetzungsstärke und Rückgrat funktioniert das nicht“, so Galley.