Frau Compliance und Herr Risiko heiraten

Neben steigenden regulatorischen Anforderungen entstehen sowohl unter Risikogesichtspunkten als auch im Rahmen von kurzen Produktzyklen immer komplexere Geschäftsprozesse, die durch unterschiedliche risikoorientierte Stabsabteilungen überwacht werden. Dabei kommt es unausweichlich zu Überschneidungen der Aufgabengebiete. Die Konvergenz der Wertschöpfungsarchitekturen zwischen risikotangierten Einheiten gilt deshalb als gravierendes Desiderat in der modernen Unternehmensorganisation. In welcher Art und Weise diese…


Neben steigenden regulatorischen Anforderungen entstehen sowohl unter Risikogesichtspunkten als auch im Rahmen von kurzen Produktzyklen immer komplexere Geschäftsprozesse, die durch unterschiedliche risikoorientierte Stabsabteilungen überwacht werden. Dabei kommt es unausweichlich zu Überschneidungen der Aufgabengebiete. Die Konvergenz der Wertschöpfungsarchitekturen zwischen risikotangierten Einheiten gilt deshalb als gravierendes Desiderat in der modernen Unternehmensorganisation. In welcher Art und Weise diese verschiedenen Fachabteilungen zusammenarbeiten und inwieweit die Vorgaben für einen Austausch von Informationen durch den Vorstand bestimmt oder von den betroffenen Mitarbeitern gemeinsam im Zuge einer unternehmensweiten Risk Policy erarbeitet werden, gestaltet sich von Unternehmen zu Unternehmen höchst unterschiedlich.

Das Problem beginnt schon bei der Koexistenz von Risikomanagement und Compliance, wird aber zunehmend komplexer, wenn die Familie risikoorientierter Stabsabteilungen noch um Interne Revision, Controlling etc. erweitert wird. Dabei ist die Paarung Risk & Compliance nicht unbedingt eine Liebesheirat, vielmehr eine Vernunftehe. Bei den Compliance-Funktionen soll beispielsweise in der Kreditwirtschaft explizit keine Anbindung an andere Organisations- und Stabsbereiche erfolgen, sondern eine direkte Zuordnung zur Geschäftsleitung. Eine Anbindung auf gleicher Ebene an andere Kontrollbereiche wie etwa die Geldwäscheprävention oder das Risikocontrolling ist hingegen laut Finanzaufsicht (MaComp; Mindestanforderungen an Compliance) zulässig. Zudem lassen sich erkennbare Berührungspunkte und organisatorische Konvergenzen zu Marketing, PR- und Öffentlichkeitsarbeit (Reputational Risk Management) sowie Personalmanagement (HR) erkennen. Compliance-Verstöße werden in der Regel durch Prüfungen der Innenrevision aufgedeckt, weit seltener sind Whistleblower-Hotlines oder Ombudspersonen zu nennen. Sonderprüfungen und externe Audits sind im Hinblick auf die Identifizierung von Compliance-Verstößen von untergeordneter Bedeutung.

Compliance-Mitarbeiter nehmen innerhalb dieser Familienhierarchie eine zunehmend dominantere Rolle ein. Sie durchlaufen derzeit quasi einen Emanzipationsprozess, denn sie sind in sämtliche relevante Informationsflüsse, die für die Aufgabe der Compliance-Funktion von Bedeutung sein können, eingebunden. Sie haben Zugang zu allen für ihre Tätigkeit relevanten Informationen und ihnen ist ein uneingeschränktes Auskunfts-, Einsichts- und Zugangsrecht zu sämtlichen Räumlichkeiten, Unterlagen, Aufzeichnungen und IT-Systemen zu gewähren. Vor allem im Industriesektor beschäftigt sich das Compliance-Management in noch stärkerem Maße mit klassischen Rechtsbereichen, wie Betrug, Korruption und Kapitalmarkt- oder Kartellrecht, deliktische Handlungen, Vertragsrecht, Wettbewerbsrecht, Produkthaftung oder Arbeitsrecht. Das Thema wird dabei weitgehend als zentrale Aufgabe verstanden. Im industriellen Credit oder Risk Management konzentriert sich die Risikoanalyse dagegen meist auf die Fragen, wie hoch die Forderungsausfälle sind bzw. ob die vereinbarten Zahlungsziele von den Kunden eingehalten werden. Modernes Risikomanagement umfasst aber wesentlich mehr Risikokategorien. Die Herausforderung dabei ist vor allem, Wechselwirkungen zwischen Kreditrisiken und anderen Risikoarten sichtbar zu machen und in der Unternehmenssteuerung zu berücksichtigen. Möglich wird dies nur über einen unternehmensweiten Gesamtrisikoansatz. Doch spiegelt dieser organisatorische Trend tatsächlich die Praxis wider oder sind die Bereiche Betrugsprävention (Internetkriminalität, Diebstahl, Unterschlagung, Untreue, Betrug, Korruption usw.) und Kreditrisikomanagement (Rating, Research, Scoring usw.) nicht doch zwei verschiedene Paar Schuhe?

„Betrugsbekämpfung ist die neue Dimension des Risk Managements“, meint Dr. Jörg Seelmann-Eggebert, Executive Partner bei der SHS VIVEON AG. Die Bonitätsprüfungssysteme würden immer ausgereifter und mit hoch-automatisierten Entscheidungen versehen. Der Prozess suggeriere dabei, die Risiken minimiert zu haben. Durch die Anonymisierung, Automatisierung sowie Internationalisierung bzw. Outsourcing entstünden aber Lücken und Schlupflöcher im Antragsprozess, so Seelmann-Eggebert im Rahmen einer Fachkonferenz in Köln. Betrug und Bonität folgen dabei unterschiedlichen Gesetzmäßigkeiten und adressieren unterschiedliche Fragestellungen, die auch organisatorisch nachvollzogen werden müssen. Der Identifizierung und Legitimation existenter bzw. nicht existenter Personen und Firmen kommt dabei eine wichtige Rolle zu. Meist wird das externe Risiko mit einem Antragsbetrug schlagend, so Harald Neu vom Polizeipräsidium Duisburg, der sich seit 1994 mit Betrugsdelikten befasst. Sowohl bei Baufinanzierungen, Leasinggeschäften, Verbraucherkrediten also auch bei Firmengründungen nehme der Kreditbetrug merklich zu. Rund die Hälfte der Täter seien Personen und Gesellschaften mit Migrationshintergrund, die bundesweit aktiv sind und somit die Koordinationsschwierigkeiten durch die Strafverfolgungsbehörden ausnutzen, weiß Neu. Kontakte ins kriminelle Milieu und klar definierte Aufgabenverteilungen seien dabei keine Seltenheit. "Hier handelt es sich um Strukturen, die von übergeordneter Stelle gesteuert werden", so Neu.

Demnach muss eine Profilierung und Aufdeckung der Arbeitsweisen von Betrügern erfolgen. "Betrug zu entdecken, heißt Betrug zu verstehen", sagt Risikomanager Seelmann-Eggebert. Wenn ein Betrüger auffalle, sei es meistens schon zu spät. Nun zeichnen sich Betrugsfälle aber häufig dadurch aus, dass sie eben nicht auffallen. "Jeder Betrugsfall muss deshalb administriert werden", erklärt Seelmann-Eggebert. Mit Mustererkennungsverfahren können beispielsweise dem geschickten Variieren von Datensätzen beim vorsätzlichen Antragsbetrug ein Riegel vorgeschoben oder Auffälligkeiten innerhalb eines kurzen Zeitraums erkannt werden. "IT-Systeme können bei der Risikominimierung zwar helfen, aber letztlich unterliegt die Prüfung immer dem Menschen", sagt Seelmann-Eggebert. Eine absolute Sicherheit könne es deshalb nicht geben.

Bei der organisatorischen Umsetzung sowie der Koordination zwischen Betrugsprävention und Risikomanagement hakt es indes. Im Unternehmensbereich wird die Aufgabe des Chief Compliance Officers bei lediglich 8 % der von TNS Emnid im Auftrag der Unternehmensberatung KPMG befragten Manager auch vom Leiter Risikomanagement ausgeübt. Noch ist also die Harmonie in der Partnerschaft von Frau Compliance und Herr Risiko ausbaufähig.