Risikomanagement im Bereich Compliance gehörte schon immer zu den schwierigsten Disziplinen dieser Gattung. In den letzten Jahren hat es nochmal an Komplexität gewonnen, sei es durch schärfere Bestimmungen in Bezug auf die Risiken aus Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, oder dank der Vielzahl an Sanktionen gegen bestimmte Länder, die aus Sicht der Compliance mit Sanktionsrisiken fürs Unternehmen behaftet sind.

Marc Michel, Senior Advisory Solution Consultant bei ServiceNow, hat in der Vergangenheit als Compliance Officer bei verschiedenen deutschen Banken selbst mehrmals Risikoanalysen gemäß §5 GWG durchgeführt und auch in anderer Funktion geprüft. Er spricht also aus Erfahrung, wenn er sagt: "Es ist für die verantwortlichen Geldwäschebeauftragten und Compliance Officer eine zeitraubende Beschäftigung."

Laut Michel beginnt ein typischer Analyseprozess mit dem Erarbeiten der Methodik. "Aufgrund der seit vielen Jahren bestehenden regulatorischen Anforderungen können viele Kollegen aus dem Compliance-Bereich hier auf ihre Erfahrungen aus den Vorjahren aufbauen", erklärt er. Doch danach komme schon die erste Herausforderung in Form der Einbindung der Risikoverantwortlichen aus den Fachbereichen, also die sogenannte First Line of Defence.

"Das ist häufig sehr aufwendig", sagt Marc Michel. Hier stoße die Compliance-Abteilung erfahrungsgemäß auf Widerstände in Bezug auf eben diese Rollenverteilung. "Sind etwa nicht die Compliance Officer verantwortlich für die Compliance-Risiken? Gute Frage. Die Compliance Officer unterstützen beim Verstehen und Bewerten. Verantwortlich sind jedoch die Fachbereiche selbst."

Manuelle Prozesse produzieren irrelevante Daten

Nach dieser ersten Überzeugungsarbeit geht es ans Eingemachte. Oft sind es Workshops, in denen die Compliance Officer die Methodik erläutern und die Risikoverantwortlichen bei der Bewertung unterstützen. Bei größeren Instituten müssen oftmals mehr als 40 Fachbereiche 'abgeholt' werden. Findet die Risikoanalyse international oder konzernweit statt, sind es noch mehr. Dann sind ein dezentrales Vorgehen und gute Kenntnisse im Projektmanagement von Vorteil.

Sobald alle Ergebnisse in Spreadsheets erfasst wurden, kommt noch mehr manuelle Arbeit in Form der Niederschrift der Resultate in Textform, um die gewünschte Stichtagsbetrachtung pünktlich zur (externen) Prüfung zu finalisieren. "Aus meiner eigenen Erfahrung heraus kann ich sagen, dass beim Schreiben dieser Analysen mehr als 200 Seiten zusammenkommen können", sagt Michel.

All das dauert naturgemäß sehr lange - sechs Monate und mehr sind keine Seltenheit. Zudem birgt die lange Zeitspanne vom ersten Workshop bis zum fertig ausgedruckten Stapel Papier oft eine sehr frustrierende, aber gerne ignorierte Erkenntnis: Mit Veröffentlichung der Risikoanalyse spiegeln viele Ergebnisse bereits nicht mehr den aktuellen Stand wider und sind gegebenenfalls obsolet.

Der Wunschtraum der meisten ehemaligen Kollegen von Marc Michel ist eine fortlaufende Risikobetrachtung, die eine stets aktuelle Übersicht über das Compliance-Risikoportfolio bietet. "Die Erstellung des Risikoberichts auf Knopfdruck - gegebenenfalls noch mit Anreicherung durch den gängigen Prosatext - sollte in Zeiten technologischen Fortschritts möglich sein", sagt er.

Fortlaufende Risikobetrachtungen sind möglich

Dieser Wunsch wurde denn auch auf dem Bundeskongress Compliance im vergangenen November in Berlin eindrucksvoll zum Ausdruck gebracht. "Innerhalb kürzester Zeit war unser Vortragsraum überfüllt", erzähl Michel. "Die überwältigende Mehrheit der Teilnehmer gab dabei an, ihre Risikoanalysen komplett ohne Softwareunterstützung zur Automatisierung durchzuführen. Mehrere Teilnehmer äußerten den Wunsch, nicht nur die Compliance-Prozesse, sondern im Grunde alle Prozesse der Governance, Risiko und Compliance-Funktionen (GRC) auf einer einheitlichen Datenbasis zu harmonisieren."

Marc Michel konnte seinen ehemaligen Kollegen einen positiven Ausblick vermitteln: "Das, was in vielen Compliance-Fachbereichen noch wie eine Utopie erscheint, wird von den Kollegen im operativen Risikomanagement bereits seit Jahren mit großem Erfolg praktiziert, zum Beispiel über die Now Platform von ServiceNow. Mit moderner Software wird genau dieser Wunsch Realität. Warum also diese Möglichkeit nicht auch für Risikoanalysen im Compliance-Bereich nutzen?"

Wichtig dabei sei, eine Software zu wählen, die den Einsatz verschiedener Bewertungsmethoden unterstützt, da sich die Bewertungsansätze aus Compliance-Perspektive häufig von denen im operativen Risikomanagement unterscheiden. "Die Software sollte die Risikoverantwortlichen Ihrer Bank dabei unterstützen, ihre Bewertungen automatisiert und über das Jahr verteilt durchzuführen. Dies vereinfacht nicht nur die Umsetzung risikobasierter Kadenzen, sondern auch die Durchsetzung eines klaren 3-Lines-of-Defence-Modells", erklärt Michel. Darüber hinaus sollten alle Risikoeinschätzungen, die dazugehörigen Berechnungen und die entsprechenden Genehmigungen stets revisionssicher dokumentiert werden, empfiehlt er.

"Teil einer Software für Risikoanalysen sollte auch immer die Möglichkeit sein, nach der Bewertung einzelner Risiken, direkt Maßnahmen zur Risikosteuerung anzustoßen, sollte das Ergebnis außerhalb Ihres Risikoappetits liegen. Dadurch können Sie innerhalb eines Systems alle kritischen Schritte einleiten und überwachen, sodass Sie die Gesamtentwicklung Ihres Compliance-Risikoprofils stets im Blick haben."

Mehr Informationen zu Risikomanagement mit konkreten Anwendungsbeispielen aus der Finanzindustrie finden Sie hier.