zur Übersicht

Das Sicherstellen der Compliance im Unternehmen ist eine Herausforderung, die eine ganzheitliche Betrachtung erfordert. In unserer Serie zu Compliance-Management beleuchten wir in dieser Ausgabe des excellence-Magazins die Aspekte der Überwachung. Diese Überwachung der Regeleinhaltung erfolgt oft unterschiedlich: Kontrollen direct in einem Prozessschritt, in einem späteren Prozess schritt auf Basis von Mustern, als Stichprobenkontrolle oder auch über zeitversetzte Analysen und Reporting. Nicht zu unterschätzen sind dabei das erforderliche Mass an Fachkompetenz und die Art und Weise der Überwachung – die Verstärkung der Compliance soll nicht als Kontrollstaat wahrgenommen werden.

 

Im Tagesgeschäft die definierten Regeln einzuhalten, erfordert Aufmerksamkeit und Disziplin. Unabhängig von der Verantwortungsstufe müssen sich alle Mitarbeiten den in Unternehmen bewusst sein, dass ihr Handeln innerhalb definierter und kontrollierter Leitplanken erfolgen muss. Die Kontrollen sind dabei nicht zufällig definiert, sondern typischerweise auf die Reduktion von bestimmten Risiken ausgerichtet. Mit wirkungsvollen Kontrollen, die teilweise von Informatiksystemen unterstützt werden, kann die konforme Abwicklung eines Prozesses überprüft und dokumentiert werden. Oft entsteht dadurch aber Mehraufwand und wertvolle Kundenzeit geht verloren. Doch beleuchten wir zunächst ein Fallbeispiel aus der Bankbranche.

Im Finanzdienstleistungsbereich wird das Einhalten von Regeln innerhalb der Prozesse mittels Kontrollen überprüft. So erfordern bei verschiedenen Banken Geschäftseröffnungen für Kunden aus den USA eine erweiterte Bewilligung durch einen Vorgesetzten. Möglicherweise sind solche Geschäfte auch gar nicht mehr zugelassen. Die restriktiven Vorgaben der amerikanischen Steuerbehör den in Bezug auf die Einhaltung der Dekla­rations ­ und Reporting ­Vorgaben sind für die Banken ein (zu) grosses Risiko. Entsprechende Kontrollen, die oft auch in den Informatiksystemen implementiert sind, verhindern die Eröffnung von Kundenbeziehungen und die Entgegennahme von möglicherweise unversteuerten Geldern.

Analysen führen zu Mustern

Oft ist es weder möglich noch sinnvoll, in einem Prozess mit direkter Interaktion zu den Anwendern griffige Kontrollen zu integrieren. Die Umsetzung von Regelkontrollen kann zu komplexen und aufwändigen Be nutzeroberflächen oder zusätzlichen Kontrollschritten führen. Als Alternative empfehlen sich dazu im operativen Geschäft analytische Kontrollen in nachgelagerten Arbeitsschritten. So lassen sich beispielsweise auffällige Transaktionen oder Transaktionsmuster auch aufgrund von Zusammenhängen erkennen und verhindern. Die Erkennung solcher Muster wird im Kreditkartengeschäft seit mehreren Jahren angewendet: Bevor die Kreditkartenzahlungen verbucht werden, vergleicht eine Regelverarbeitung diese mit dem bisherigen Kunden verhalten. Wird beispielsweise um 9:23 Uhr in Bern ein SBB ­Ticket an einem Automaten gelöst und um 10:55 Uhr mit der identischen Kreditkartennummer in einer Parfümerie in New York ein besonderer Duft eingekauft, so wird diese Zahlung abgelehnt. Die Regel verarbeitung erkennt den physischen Karteneinsatz und somit auch die erforderliche physische Präsenz des Karteninhabers bei beiden Zahlungen – eine elektronische Internet ­Zahlung wird ausgeschlossen. Für die Regelverarbeitung ist erkennbar, dass die Strecke von Bern nach New York auch mit modernsten Reisemitteln nicht in 90 Minuten zurückgelegt werden kann. Folglich werden die Transaktionen zurückgewiesen und zur Nachbearbeitung bereitgestellt. Diese analytischen Kontrollen über mehrere Geschäftsvorgänge hinweg sind in der Implementation anspruchsvoll – sie erfordern ein Denken in Szenarien, den Ausschluss ungültiger Konstellationen und die konkrete Abbildung solcher Transaktionsmuster in Geschäftsregeln.

Die Definition und Bewirtschaftung von Regeln wird auch durch Anpassungen an der Organisation stark beeinflusst. Durch Reorganisationen verschieben sich beispielsweise Verantwortlichkeiten oder es entstehen neue kritische Personen ­Konstellationen, die vor der Organisationsanpassung noch nicht augenfällig waren. Zu beachten sind auch Stellenwechsel von einzelnen Experten oder Spezialisten. Es kann vorkommen, dass diese Fachkräfte an einer neuen Funktion oder Stelle über zu viel Know­how verfügen und Kontrollen aushebeln können. Auch die Ein führung oder Anpassung von Produkten erfordert die Überprüfung von (möglicherweise) etablierten Kontrollen. Durch die Unternehmensführung sicherzustellen ist, dass die Szenarien für die Kontrollen immer wie der neu durchdacht werden – nur so bleiben diese wirkungsvoll.

«Wirksame Überwachungen erfordern das Denken in Szenarien – dabei ist grundsätzlich nichts unmöglich.»

Ganzheitlich und verständlich

Ein wesentlicher Treiber für die Definition von Kontrollen sind die identifizierten Risiken aus den Prozessen. Die Risiken entstehen auf strategischer und operativer Ebene und sind oft der Geschäftstätigkeit inhärent. Das bedeutet, sie sind permanent vorhanden, wenn auch mit unterschiedlichem Schadenausmass und einer differenzierten Eintretenswahrscheinlichkeit.

Es gilt die Risiken zu steuern und zielgerichtet zu reduzieren. Diese Reduktion von Risiken erfordert wirkungsvolle Überwachungen und Kontrollen und damit die Regelung von Verantwortlichkeiten. In der Praxis bewährt haben sich Verantwortlichkeits-Regelungen entlang der Geschäftsprozesse.
Diese Prozessorientierung sollte ganzheit­lich angegangen werden und sich nicht an Organisationsgrenzen orientieren, auch wenn der Blick auf das Organigramm eine einfa­chere Lösung verheisst.

Die Überwachung innerhalb einer solchen Prozessorientierung beginnt und endet beim Kunden bzw. beim Stakeholder mit seinen Bedürfnissen und Erwartungen. Denn der Prozess ist erst beendet, wenn die Leistungen erbracht und der Stakeholder zufrieden ist. Solche Prozesse werden als «End
­to ­End ­Prozesse» oder «Wertschöpfungskette» bezeichnet. Die Risiken können in einem solchen Prozess in unterschiedlichen Organisationsbereichen auftreten: Ein Risiko, das im Bereich Operations auftritt, kann auf ein Fehlverhalten eines Mitarbeitenden im Vertrieb zurückzuführen sein. Diese umfassende Wahrnehmung von Kontrollen erfordert von Führungskräften die Übernahme von Verantwortung über den eigenen Linienorganisationsbereich hinaus. Damit diese Überwachung in «fremden Hoheitsgebieten» akzeptiert wird, gilt es die Governance ­Struktur entlang der Prozesse auszugestalten und eine «Compliance Kultur» aufzubauen. Diese Aspekte warden wir in einer nächsten excellence ­Ausgabe beleuchten.

Unabhängigkeit der Kontrollen

Selbstkontrolle durch Mitarbeitende oder Vorgesetzte sind sehr effizient, in der Risikobeurteilung aber auch eingeschränkt.

Ein Konzept für Kontrollen umfasst typischerweise auch mehrere Ebenen. Die erste Ebene ist fokussiert auf die selbsttätigen Kontrollen in der operativen Geschäftsab wicklung. Diese Selbstkontrollen durch Mitarbeitende oder Vorgesetzte sind zentral, weil sie die Eigenverantwortung fördern und Interaktionen mit anderen Abteilungen reduzieren – sie sind somit effizient und behindern Prozesse nicht wesentlich. Typischerweise ist die Wirkung solcher Kontrollen auch eingeschränkt, da sie grundsätzlich durch beteiligte Personen erfolgen, deren Risikobeurteilung möglicherweise befangen ist.

Die notwendige zweite Ebene von Kontrollen wird durch definierte Fachstellen für das Risikomanagement, die Sicherheit oder Compliance bereitgestellt. Sie prüfen Geschäfte unabhängig auf Basis von fachlichen Vorgaben. Die Fachstellen sind nicht in allen Kontrollbereichen befugt, abschliessende Entscheidungen zu fällen. Oft bringen sie ihre Meinung über Berichte in die Entscheidungen des Managements ein. Die dritte Ebene von Kontrollen wird durch die interne Revision sichergestellt, als verlängerter Armdes Verwaltungsrates. Die Revision prüft im Kontext des Geschäftsganges und der geplanten Entwicklungen die Verhältnismässigkeit und die Wirksamkeit der Kontrollen.

Kontrollen mit Komfort

Unabhängig von der Ebene muss der Kontrollaufwand im Prozesskontext so weit wie möglich reduziert werden, damit er sich im Tagesgeschäft mit einem fachlichen Fokus durchführen lässt. Das bedeutet, dass Überwachungsberichte übersichtlich und lesefreundlich ausgestaltet sind. Auswertungen müssen über Filterfunktionen verfügen und E­Mails von Regelverarbeitungen müssen präzise auf einen Regelverstoss hinweisen. In einer solchen E-­Mail müssen mittels Links auch die wesentlichen Werkzeuge zur Ana­lyse, Korrektur oder Berichterstattung bereitgestellt werden. Somit sind also nicht nur die Kontrollen selbst eine Herausforderung, sondern auch die Bereitstellung einer komfortablen und effizienten Überwachungsfunktion.

Für die Konzeption der Überwachung ist der einfache Zugriff auf Prozessmodelle, Prozessbeschreibungen und weiterführende Dokumentationen (Anleitungen, Checklisten, Weisungen, Gesetzestexte) erforderlich. Anstelle eines methodisch abstrakten, mehrschichtigen Prozessmodells empfiehlt es sich, bewährte Ansätze zu verwenden. Entscheidend sind ein verständlicher Sprach­gebrauch (übliche Begriffe des Unternehmens) und aussagekräftige Visualisierungen.

Denn stark methodisch geprägte und modellhafte Ansätze stossen bei Führungskräften vielleicht kurzfristig auf Begeisterung, im operativen Alltag aber auf Widerstand, wenn sie ohne «Sprach­ und Modellkurs» unverständlich und dadurch wenig praxistauglich erscheinen. Das Etablieren von Überwachungen in End-­to-­End ­Prozessen ist für die Unternehmen, die Führungskräfte und die Mitarbeitenden eine Herausforderung, weil in einer Firma ein Kontrollstaat nur hinderlich wäre. Die Mitarbeitenden dürfen in ihrer Tätigkeit nicht permanent überwacht und in die Schranken gewiesen werden. Auch das Management hat neben der Sicherstel­lung der Compliance noch zusätzliche Aufgaben – das Kundengeschäft muss entwickelt werden, in Projekten ist Mitgestaltung gefordert, das Personal ist auszubilden, zu motivieren und zu führen. Vor diesem Hintergrund sind effektive Kontrollen notwendig, welche die Risiken wirkungsvoll reduzieren.

Berichterstattung

Um die Durchführung von Kontrollen nachvollziehbar zu gestalten, sind oft entsprechende Berichte oder Aktennotizen erforderlich. Wesentlich besser und transparenter sind in die Geschäftsprozesse integrierte Kontrollen. Diese sollten den kontrollierenden Benutzer direkt identifizieren und auch textliche Anmerkungen oder Beilagen zur Kontrolle ermöglichen. Damit er folgt die Überwachung im entsprechenden Geschäftskontext und sie lässt sich elektronisch speichern. Erforderliche Kontrollberichte können aus diesen Aufzeichnungen jederzeit erstellt werden und stehen dadurch schnell zur Verfügung, ohne dass Aktenberge gewälzt oder Verzeichnisstrukturen durchsucht werden müssen. Die Berichterstattung zeigt einer übergeordneten Funktion oder Organisation die Durchführung einer Kontrolle auf. Diese beginnt bei einer E-­Mail eines Mitarbeitenden und reicht bis zum Geschäftsbericht der Geschäftsleitung und des Verwaltungsrats an die Aktionäre. Die Berichterstattung deckt ein breites Feld ab, darf aber nicht dazu führen, dass mehr Papier generiert wird als unbedingt notwendig. Letztlich ist eine unternehmerische Grundhaltung und Eigenverantwortung unerlässlich, um Kunden zu begeistern und sich im Wettbewerb zu differenzieren. Die Führungskräfte haben dies bezüglich eine Vorbildfunktion – Kontrollen müssen mit Augenmass und zugleich wirkungsvoll durchgeführt werden. Die beste Basis dafür ist das Vertrauen zwischen Mitarbeitenden und Führungskräften. Nur so ist eine effiziente Zusammenarbeit auf Augen höhe möglich.

«Parexa ist es wichtig, die Erkenntnisse aus Projekten zu nutzen und zu teilen, denn Fehler sollen sich nicht wiederholen. Wir kombinieren aktuelles Fachwissen mit Erfahrung aus Projekten.»