Compliance-Management halbherzig und ineffizient

Auf Mängel im Risikomanagement machten unlängst auch die Marktforscher von Aberdeen aufmerksam. Sie bemängelten hinsichtlich der IT-Sicherheit, dass Firmen die meisten Prozesse in diesem Bereich immer noch manuell steuern und Automatisierung die Ausnahme ist. Sogar in der Spitzengruppe der am Markt besonders erfolgreichen Unternehmen werden Prozesse zu 58 Prozent manuell betrieben. In den übrigen Firmen ist dies zu 90 Prozent der Fall. Zentralisierte und automatisierte Systeme für Governance, Risikomanagement und Compliance (GRC) hat nur ein Bruchteil der Unternehmen implementiert.

Integration von Compliance und Risikomangement umstritten

Wurzel aller Defizite bei den Finanzinstituten ist nach Ansicht von Deloitte eine unzureichende Organisation der Compliance. Die Aufgabe zerfasert häufig in viele verschiedene Abteilungen, was zu unnötigen Mehrfacharbeiten führt. "Oft versäumen es Finanzinstitutionen, gleichartige Elemente der Regulierung wie zum Beispiel GWG, SOX und WpHG zu identifizieren und einheitlich zu behandeln", so Deloitte.

Dabei würden die regulatorischen Vorschriften ein einheitliches Prozessdesign für die Bekämpfung unterschiedlicher Übel wie Geldwäsche oder Terrorismusfinanzierung durchaus erlauben. Folge der ineffizienten Organisation sei eine fragmentierte IT-Infrastruktur sowohl bei Hardware als auch bei Software. Eine bessere Verknüpfung von Compliance-Management-Prozessen und IT könnte die Kosten laut Deloitte um bis zu 15 Prozent senken.

Generell empfiehlt Deloitte im Falle der Banken den Einsatz eines integrierten Compliance- und Risikomanagements. "Es hilft bei der Kostensenkung und minimiert die Gefahren für Non-Compliance und Reputationsschäden", sagt Matthias Rode, Manager FSI Advisory bei Deloitte. Aufgrund der vielen Überschneidung halten die Analysten eine einheitliche Steuerung für sinnvoll. Auch hier liefert die Studie Beispiele aus dem Bereich IT: Prozesse zur Verarbeitung von Bilanzinformationen und IT-Risikoverantwortlichkeiten, die sich zur Hälfte überschnitten. Und ein Institut, das gleichartige Prozesse zu Risiko und Compliance mit mehr als 250 von einander unabhängigen Applikationen abdeckte.

Wegen der höchst unterschiedlichen und teilweise sehr speziellen Risiken in Unternehmen, lasse sich diese Empfehlung aber nicht verallgemeinern, warnt Deloitte-Analyst Rode. Insgesamt skeptischer urteilt man bei BearingPoint. Eine Integration des technischen, prozessualen und organisatorischen Frameworks von Risikomanagement und Compliance bringe zwar zweifelsfrei Vorteil an Transparenz und Effizienz, stoße aber an fachliche und regulatorische Grenzen, sagt Robert Wagner. Erforderlich sei eher eine klare Aufgabenteilung zwischen Compliance und Risikomanagement sowie Compliance und Revision, was gegenseitiges Lernen ebenso wenig ausschließe wie die Arbeit mit ähnlichen Strukturen, Prozessen und Systemen.