Dank kontinuierlicher Bewertungen ihres Risiko- und Kontrollumfelds, können Banken Risikoanalysen auf Knopfdruck generieren und damit stets einen Gesamtüberblick über ihr Risikoportfolio in Echtzeit erhalten.
Compliance Risikoanalysen gibt es in verschiedenen Ausprägungen, sei es nun die Risikoanalyse gemäß §5 GWG, die sich im Speziellen auf die Risiken aus Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen bezieht, oder eine generelle unternehmensweite Analyse der Compliance-Risiken (mittlerweile insbesondere der Sanktionsrisiken). Ich selber habe erstere Variante in verschiedenen Banken sowohl selbst verfasst, als auch in anderer Funktion geprüft. Ich spreche also aus Erfahrung, wenn ich sage: Es ist für die verantwortlichen Geldwäschebeauftragten und Compliance Officer eine zeitraubende Beschäftigung.
Schauen wir einmal auf einen typischen Analyseprozess: Dieser beginnt selbstverständlich mit dem Erarbeiten der Methodik. Aufgrund der seit vielen Jahren bestehenden regulatorischen Anforderungen können viele Kollegen aus dem Compliance-Bereich hier auf ihre Erfahrungen aus den Vorjahren aufbauen.
Wer ist für Compliance-Risiken verantwortlich?
Danach kommt für sie jedoch die erste große Herausforderung: Das Involvieren der Risikoverantwortlichen, also der Fachbereiche in der sogenannten First Line of Defence. Dieses ist häufig sehr aufwendig. Hier stößt die Compliance-Abteilung erfahrungsgemäß auf Widerstände im Bezug auf eben diese Rollenverteilung. Sind etwa nicht die Compliance Officer verantwortlich für die Compliance-Risiken? Gute Frage. Die Compliance Officer unterstützen beim Verstehen und Bewerten. Verantwortlich sind jedoch die Fachbereiche selber.
Nach dieser ersten Überzeugungsarbeit geht es ans Eingemachte. Oft sind es Workshops, in denen die Compliance Officer die Methodik erläutern und die Risikoverantwortlichen bei der Bewertung unterstützen. Bei größeren Instituten müssen oftmals mehr als 40 Fachbereiche ‚abgeholt‘ werden. Findet die Risikoanalyse international oder konzernweit statt, sind es noch mehr. Dann sind ein dezentrales Vorgehen und gute Kenntnisse im Projektmanagement von Vorteil.
Auf dem Weg zur Risikoanalyse
Sobald Sie alle Ergebnisse in Tabellenkalkulationssoftware Ihrer Wahl erfasst haben, erfolgt der nächste manuelle Aufwand: Das Niederschreiben der Resultate im Textverarbeitungsprogramm, um die gewünschte Stichtagsbetrachtung pünktlich zur (externen) Prüfung zu finalisieren. Aus meiner eigenen Erfahrung heraus kann ich sagen, dass beim Schreiben dieser Analysen mehr als 200 Seiten zusammen kommen können.
All das dauert naturgemäß sehr lange: Häufig 6 Monate oder mehr. Die Zeitspanne vom ersten Workshop bis zum fertig ausgedruckten Stapel Papier birgt eine sehr frustrierende, oft ignorierte Erkenntnis: Mit Veröffentlichung der Risikoanalyse spiegeln viele Ergebnisse bereits nicht mehr den aktuellen Stand wider und sind gegebenenfalls obsolet.
Was, wenn eine fortlaufende Risikobetrachtung möglich wäre?
Meiner Meinung nach, sollte genau das das Ziel sein: Eine stets aktuelle Übersicht über das Compliance-Risikoportfolio. Also die Erstellung des Risikoberichts auf Knopfdruck – gegebenenfalls noch mit Anreicherung durch den gängigen Prosatext.
In Zeiten technologischen Fortschritts sollte dies möglich sein. Dass viele Compliance-Kollegen aus unterschiedlichen Branchen diese Erwartung teilen, zeigten sie eindrucksvoll beim Bundeskongress Compliance im vergangenen November in Berlin. Innerhalb kürzester Zeit war unser Vortragsraum überfüllt. Die überwältigende Mehrheit der Teilnehmer gab dabei an, ihre Risikoanalysen komplett ohne Softwareunterstützung zur Automatisierung durchzuführen. Mehrere Teilnehmer äußerten den Wunsch, nicht nur die Compliance-Prozesse, sondern im Grunde alle Prozesse der Governance, Risiko und Compliance-Funktionen (GRC) auf einer einheitlichen Datenbasis zu harmonisieren.
Es ist möglich
Das, was in vielen Compliance-Fachbereichen noch wie Utopie erscheint, wird von den Kollegen im operativen Risikomanagement bereits seit Jahren mit großem Erfolg praktiziert. Mit moderner Software wird genau dieser Wunsch Realität. Warum also diese Möglichkeit nicht auch für Risikoanalysen im Compliance-Bereich nutzen?
Wichtig dabei ist, dass Sie eine Software wählen, die den Einsatz verschiedener Bewertungsmethoden unterstützt, da sich die Bewertungsansätze aus Compliance-Perspektive häufig von denen im operativen Risikomanagement unterscheiden. Die Software sollte die Risikoverantwortlichen Ihrer Bank dabei unterstützen, ihre Bewertungen automatisiert und über das Jahr verteilt durchzuführen. Dies vereinfacht nicht nur die Umsetzung risikobasierter Kadenzen, sondern auch die Durchsetzung eines klaren 3-Lines-of-Defence-Modells.
Darüber hinaus dokumentieren Sie alle Risikoeinschätzungen, die dazugehörigen Berechnungen und die entsprechenden Genehmigungen stets revisionssicher.
Teil einer Software für Risikoanalysen sollte auch immer die Möglichkeit sein, nach der Bewertung einzelner Risiken, direkt Maßnahmen zur Risikosteuerung anzustoßen, sollte das Ergebnis außerhalb Ihres Risikoappetits liegen. Dadurch können Sie innerhalb eines Systems alle kritischen Schritte einleiten und überwachen, sodass Sie die Gesamtentwicklung Ihres Compliance-Risikoprofils stets im Blick haben.
Warten Sie nicht länger, heben Sie Ihre Compliance-Risikoanalyse auf ein modernes Niveau, das der Verantwortung entspricht, die Sie damit tragen. Hier finden Sie weitere Infos zu Risk Management mit konkreten Anwendungsbeispielen aus der Finanzindustrie.