Risikominderung über ganzheitliche Compliance-Lösungen – Interview mit Olaf von der Lage, CEO, complias AG

Die Compliance-Anforderungen haben sich in den vergangenen Jahren massiv erhöht. Unternehmen müssen unterschiedliche nationale wie auch internationale Compliance-Gesetze und -Richtlinien einhalten und sich selbst bestmöglich vor Compliance-Verstößen schützen. Bei Verstößen drohen nicht nur beträchtliche finanzielle Strafen, sondern auch ein hohes Reputationsrisiko. Das Thema ist komplex: Auf der einen Seite haben die Compliance-Regulierungen stark zugenommen, auf der anderen Seite besteht eine Art Konkurrenzsituation zwischen verschiedenen Gesetzen, wie beispielsweise solchen zur Verhinderung von Geldwäsche beziehungsweise der Bekämpfung der Terrorismusfinanzierung und dem Datenschutz. Durch die neue Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft tritt, werden die Datenschutzgesetze in Europa weiter verschärft – und sie machen das Leben der Compliance-Verantwortlichen nicht einfacher. Die Risiken für Unternehmen am Markt sind in den vergangenen Jahren bereits massiv gestiegen. In unserem Experten-Interview erklärt Olaf von der Lage, CEO der complias AG, wie Sie Ihr Risiko dank ganzheitlicher Compliance-Lösungen mindern können.

LexisNexis: Wie hat sich das Thema Compliance in den letzten Jahren entwickelt?

Olaf von der Lage: Früher waren eher Banken und Versicherungen von hohen Compliance-Anforderungen betroffen. Mittlerweile sind alle Unternehmen davon betroffen, auch kleine und mittelständische. Betrachtet man beispielsweise die Themen, die während Aufsichtsratssitzungen von Aktiengesellschaften diskutiert werden, fällt auf, dass der Trend ganz klar in Richtung Compliance geht und Themen wie Kunden- oder Geschäftsentwicklungen in den Hintergrund geraten.

LexisNexis: Wie können Unternehmen die massiv gestiegenen und noch weiter steigenden Compliance-Anforderungen effizient in die Betriebsabläufe integrieren?

Olaf von der Lage: Eine effiziente Integration der massiv gestiegenen Compliance-Anforderungen in die Betriebsabläufe erfordert eine ganzheitliche Betrachtung. Es geht um die optimale Verknüpfung der firmeninternen Prozesse und Ressourcen wie IT-Systeme, Daten, Know-how der Compliance-Officers und Dokumentationen. Der risikobasierte Einsatz von Daten, IT-Systemen und internen Prozessen steht dabei im Mittelpunkt. Einen besonderen Stellenwert nimmt die Digitalisierung von Compliance ein. Während unserer täglichen Arbeit sehen wir, dass vor allem die Entscheidungsfindung und die Kommunikation im Bereich Compliance für unsere Mandanten eine große Herausforderung darstellen. Die Digitalisierung wird hier in Zukunft einen noch wichtigeren Beitrag leisten.

LexisNexis: Können Sie anhand eines Beispiels erläutern, wie Daten, Prozesse, IT-Systeme und Dokumentationen als Grundlage für ganzheitliche Compliance-Lösungen miteinander kombiniert werden?

Olaf von der Lage: Betrachten wir beispielsweise die Know-Your-Customer (KYC)-Prüfung einer Bank: Bei diesem Prozess werden Sanktionslisten überprüft, es finden Risikoüberlegungen statt und es wird festgestellt, ob der Überprüfte eine politisch exponierte Person (PEP) ist. Des Weiteren werden die Eignung und die Angemessenheit von Investments in Aktien und Wertpapiere sowie Steuerthemen wie der automatische Informationsaustausch (AIA) näher betrachtet. Der gesamte Prozess kann durch IT-Systeme verlinkt und auch dokumentiert werden. Die standardisierte Erstellung eines aussagekräftigen Kundendossiers wird damit massiv vereinfacht.

Die Abläufe in der Industrie sind ähnlich. Dort geht es um die klassische Geschäftspartner- und Sanktionslistenüberprüfungen, um Negative-News, PEP-Listen und vieles mehr. All diese Prozesse können vorteilhaft kombiniert werden.

LexisNexis: Wie lassen sich Compliance-Prozesse bündeln, damit das Risiko sinkt und gleichzeitig die Effizienz eines Unternehmens gesteigert wird?

Olaf von der Lage: Die Compliance-Risikoanalyse ist ein guter Anfang. Bei ihr werden, basierend auf dem Geschäftsmodell und den Strategien, Compliance-Risiken identifiziert sowie risikominimierende Maßnahmen entwickelt, die dann unter anderem durch Monitoring-Programme, Kontrollprozesse und Reportings umgesetzt werden. Die Analyse sollte einen risikobasierten Ansatz verfolgen. Sobald sie durchgeführt ist, können die einzelnen Punkte betrachtet und gegebenenfalls kombiniert werden. Beispielsweise sind Informationen zur Finanzmarkt-Compliance und Geldwäscheverhinderung Aspekte, die bei einer ganzheitlichen Compliance-Lösung zusammengeführt werden können, sodass einige Informationen nicht mehr mehrfach zu erheben, analysieren und dokumentieren sind, sondern gebündelt werden.

Übrigens sollte die Bündelung der Compliance-Prozesse bereits jetzt unter Berücksichtigung der neuen Datenschutzgrundverordnung geschehen, die im Mai 2018 in Kraft tritt.

LexisNexis: Wie kann ein Unternehmen messen, wie gut seine Compliance-Funktion innerhalb der Organisation ist? Und gibt es die Möglichkeit eines Qualitätsausweises durch Attestierung oder Zertifizierung?

Olaf von der Lage: Eine Möglichkeit eines Qualitätsausweises neben den klassischen Audit-Reports bietet die ISO-Norm 19600. Dieser ISO-Standard beinhaltet Richtlinien für den Einsatz von Compliance Management Systemen mit dem Ziel, regelwidriges Verhalten von Mitarbeitern zu erkennen. Gemessen wird die Effektivität der Compliance-Maßnahmen, der Kommunikation sowie der Prozesse. Die Zertifizierung nach ISO 19600 ist vor allem für weltweit tätige Unternehmen empfehlenswert, weil dank einer international anerkannten Norm in verschiedenen Ländern der gleiche Standard gilt.

Bei der Anwendung eines risikobasierten Ansatzes ist es hilfreich, die riskantesten Compliance-Prozesse im Sinne von Compliance Assurance auf Vollständigkeit, Richtigkeit und Effektivität durch unabhängige Experten bestätigen zu lassen. Ein Beispiel ist der Kontoeröffnungsprozess bei Banken.

Weitere flankierende Maßnahmen sind sogenannte Pre-Audit-Checks, wie beispielsweise in Form der gemeinsamen Vorbereitung eines Compliance-Audits mit externen Fachspezialisten. Die Idee dabei ist, Schwachstellen sehr früh zu erkennen und die riskantesten, wenn möglich, sofort zu beheben oder zumindest risikomindernde Maßnahmen einzuleiten. Dieses Vorgehen ist sehr nützlich, wenn interne Compliance-Ressourcen knapp sind oder nicht zur Verfügung stehen.

LexisNexis: Wie können Compliance-relevante Informationen für eine bessere Kundenbetreuung verwendet werden?

Olaf von der Lage: Bei einer Geschäftspartnerüberprüfung und den Kundenabklärungen werden detaillierte Informationen generiert – die sogenannten Know-Your-Customer-Informationen. In erster Linie sollen diese Informationen dazu dienen, die Geschäftsbeziehung zu evaluieren und herauszufinden, ob es für Unternehmen ein Risiko darstellt, mit einem gewissen potenziellen Geschäftspartner in eine Geschäftsbeziehung zu treten. Ist ein vertretbares Risiko in Sicht und eine Geschäftsbeziehung bahnt sich an, sollten die in der Compliance-Abteilung generierten Informationen über den Kunden an andere Abteilungen weitergeleitet werden. Dadurch bekommen die Kundenbetreuer ein sehr gutes Bild über den Kunden, kennen sein Netzwerk, seine weiteren Geschäftspartner und haben Informationen über seine erwirtschafteten Vermögensgegenstände. Je mehr man über einen Kunden weiß, desto gezielter lassen sich die richtigen Lösungen anbieten und desto besser wird der Kundenservice. Die Vorgaben des Datenschutzes sind dabei immer zu berücksichtigen.

Bei all diesen Maßnahmen ist jedoch zu beachten, dass der Compliance-Officer keine gewinnorientierte Funktion hat, sondern lediglich sicherstellen muss, dass alle Gesetze und Regelungen eingehalten werden. Die von ihm gesammelten Informationen über den Kunden stammen daher vielfach aus den Negative-News. Mit Blick auf den Kundenservice ist es jedoch wichtig, Chancen zu betrachten. Daher sind auch positive Meldungen über den Kunden für andere Abteilungen wichtig. Ein Report der Geschäftspartnerprüfung beinhaltet meist entweder negative oder keine Informationen, da es um die Sicherstellung der Sorgfaltspflicht geht. Möchte man in einer anderen Abteilung tiefergehende Informationen über den überprüften Kunden erhalten, um auch Chancen erkennen zu können, sollte der Compliance-Officer darauf aufmerksam gemacht werden, damit er auch die positiven Meldungen weiterleitet.

LexisNexis: Wie beurteilen Sie die Entwicklung von Compliance in der Zukunft?

Olaf von der Lage: Die Digitalisierung von Compliance wird das Thema der Zukunft sein. Der Anteil digitalisierter Compliance-Prozesse wird massiv ansteigen müssen, da sonst die rechtlichen und regulatorischen Anforderungen kaum noch ökonomisch sinnvoll umgesetzt werden können. Die manuelle Vorgehensweise ist oft zu ungenau und durch den erheblichen Zeitaufwand zu kostenintensiv. Es besteht die Gefahr, den Blick für die wichtigsten Risiken zu verlieren, da ohne digitalisierte Prozesse der jeweilige Mitarbeiter gegebenenfalls die Risiken nach seinem eigenen Ermessen bewerten würde und dies aufgrund unterschiedlicher Auffassungen zu unterschiedlichen Ergebnissen führen könnte.

Eine weitere große Compliance-Herausforderung ist die neue EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft treten wird. Der Konflikt zwischen regulatorischen Anforderungen und Datenschutz wurde anfangs bereits thematisiert. Wenn es auf der einen Seite beispielsweise um den Schutz des Finanzsystems geht und auf der anderen Seite um den Schutz von Einzelpersonen im Hinblick auf datenschutzbezogene Aspekte, dann ist die Frage, welches Gut in Zukunft höher gewichtet wird. Der Umgang mit Daten wird nicht nur in den in der EU-ansässigen Betrieben eine große Rolle spielen müssen, sondern auch in Drittstaatenunternehmen ein großes Compliance-Thema sein.

LexisNexis: Vielen Dank für das Interview!