11.07.2016, 12:24 Uhr

Compliance-Trends in Schweizer Unternehmen

Compliance-Projekte gelten als kostspielige Notwendigkeit. Dabei könnten sie oft auch als Business Case gesehen werden, wie beispielsweise Axa Winterthur zeigt.
Die Schweizer Finanzindustrie befindet sich gerade im Umbruch. Noch im letzten Jahr waren die obersten Prioritäten Konsumentenschutz-Bestimmungen, Solvenz und Risikomanagement. Diese Themen haben an Bedeutung verloren. Laut dem Bankenbarometer des Beratungsunternehmens Ernst & Young stehen nun Wachstumsprojekte im Vordergrund. «Um das Überleben langfristig zu sichern, genügen den Banken die Einhaltung der gesetzlichen Anfor­derungen und Massnahmen zur Effizienzsteigerung nicht», sagt Patrick Schwaller, Managing Partner Financial Services  Office Assurance bei Ernst & Young Schweiz. Erstmals in diesem Jahrzehnt hätten nun die Banken die Kraft, sich um die Weiterentwicklung ihres Geschäftsmodells zu kümmern. Die neuen Lasten der Schweizer Finanzindustrie bilden hauptsächlich Projekte jenseits von Compliance und Regulierung: Partnerschaften mit Nicht-Banken, das Erschliessen neuer Märkte, die Internationalisierung sowie der Aufbau neuer Geschäftsfelder zählen zu den am häufigsten genannten Aktivitäten, die Schweizer Banker im laufenden Jahr starten wollen. Natürlich sind damit die Compliance-Projekte nicht vom Tisch. Ihnen wird aber vom Management weniger Aufmerksamkeit gewidmet.

Aus Not mach Tugend

In einem Punkt unterscheiden sich Compliance-Vorhaben von anderen Projekten: «Compliance-getriebene Projekte müssen grundsätzlich keinen Business Case ausweisen, weil ihre Berechtigung in der Beseitigung einer Compliance-Pendenz liegt», sagt Robin Heizmann, Associate Partner beim Beratungsunternehmen alevo. Nach seiner Erfahrung verpassen es die betroffenen Firmen oft, eine Compliance-Vorgabe als Chance auf eine messbare Verbesserung zu sehen, die notwendige Aufwände kompensiert oder gar einen Gewinn ausweist. Dementsprechend verlieren sie das Interesse an der Sache, sobald diese erledigt ist – dies dürfte ein weiterer Grund für die eingangs beschriebene Prioritäten­verschiebung sein. Aus der Notwendigkeit lässt sich allerdings durchaus ein Geschäft machen, meint Heizmann. Wenn ein Unternehmen zum Beispiel Software-Entwicklung und Software-Testing an einen Provider auslagert, besteht die Gefahr, dass sensible Informationen abfliessen. Etwa, wenn die bisher zur Qualitätssicherung eingesetzten Testdaten aus der Produktion stammen. Sie enthalten möglicherweise schützenswerte Kundendaten. Zusätzlich existiert das Risiko, dass sich sensitive Information in der Software selbst befindet, beispielsweise in Screenshots von Usern oder in Projektdokumenten. Wie der Informatikexperte erklärt, lässt sich durch geringere Datenmengen für die Tests nicht nur das Compliance-Risiko senken, sondern die Tests laufen dadurch auch schneller. Und wer die Prüfungsaktivitäten auf Industriestandards umstellt, könne zugleich die Qualität messbar steigern. «Durch gezielte Metriken kann das Optimierungspotenzial quantifiziert und die Compliance-Übung mit einem Business Case versehen werden», berichtet Heizmann. Auch seien im Markt erhältliche Tools zur Maskierung respektive Anonymisierung von Testdaten ein Beispiel, wie aus einer Compliance-Vorgabe ein Geschäft werden kann.

CFOs klagen – und fordern

In den Finanzabteilungen Schweizer Grossunternehmen macht sich Unmut breit und dieser könnte ebenfalls in einen Business Case münden, heisst es in einer weiteren Umfrage von Ernst & Young. Die Unternehmensberater haben 1000 Schweizer CFOs nach der aktuellen Praxis des Berichtwesens befragt. Ihr Frust wächst offenbar massiv. So sind  nur noch 55 Prozent überzeugt, dass die Finanzberichterstattung wirkungsvoll zur Erfüllung aller Vorgaben beiträgt – im Vorjahr waren es noch 84 Prozent. Auch sind erheblich  weniger CFOs von der Kosteneffizienz der Rapporte überzeugt (39 Prozent gegenüber 68  Prozent). «Die Unternehmensberichterstattung kann ihren Zweck nur dann wirkungsvoll erfüllen, wenn der CFO von ihrem Wert überzeugt ist», warnt Alessandro Miolo, Partner und Leiter Assurance bei Ernst & Young Schweiz. Da die Berichterstattung immer umfangreicheren Normen genügen muss, wächst auch die Bürokratie: 71 Prozent  geben an, dass die Anzahl der Berichte zugenommen habe. Gleichzeitig sehen die CFOs signifikante Schwächen in der heutigen Technologie (siehe Grafik): Die verschiedenen IT-Systeme seien ungenügend integriert (35  Prozent), sie hätten Schwierigkeiten, auf die richtigen Daten zuzugreifen (34  Prozent) oder die Datenqualität sei ungenügend (32 Prozent). Nur gerade 6 Prozent stellen keine technischen Probleme bei der Finanzberichterstattung fest.
Eine Lösung erwarten die CFOs durch den Einsatz von Big Data Analytics. Sie sehen diese Technologien als wesentlichen Faktor für die erfolgreiche Ausübung ihrer Funktion an. 82 Prozent rechnen daher in den nächsten zwei Jahren mit steigenden Investitionen in neue Reporting-Lösungen. Hier zeichnet sich ein weiterer Business Case durch Compliance ab. «Der Einsatz von Analytics wird ein wichtiger Baustein in der Weiterentwicklung des heutigen Reportings», sagt Miolo über die Herausforderung, die auf CFOs der Schweizer Grossunternehmen zukommen. Lesen Sie auf der nächsten Seite: Big Data gesetzeskonform Die Schweizer Versicherungskonzerne fühlen sich durch die Vorgaben der Aufsichtsbehörden weiterhin massiv eingeschränkt. Nahezu alle Befragten (94 Prozent) einer Studie von PwC zeigten sich wegen einer Überregulierung des Sektors besorgt. Sie suchen Wege, das Inlandgeschäft durch innovative Produkte zu beleben, ohne die Behörden oder den Datenschützer auf den Plan zu rufen.

Big Data gesetzeskonform

Einen solchen Weg hat Axa Winterthur gefunden: Der Konzern offeriert seit zwei Jahren den «Drive Recorder», mit dem junge Lenker ihr Fahrverhalten aufzeichnen und analysieren können. Der Zugriff auf die Daten ist der Versicherung einiges wert: Bis zu 25 Prozent Rabatt erhalten Autobesitzer, die sich den Fahrtenschreiber einbauen. Wie Axa Winterthur erklärt, zeichnet das Gerät unter anderem Geschwindigkeit, GPS-Koordinaten, Kilometerleistung, Strassentyp (Autobahn, Land, Stadt) und Uhrzeit auf. Dabei erhebt die Ver­sicherung ausschliesslich Daten, die sie zur Bereitstellung der Leistung, zu Unfall- und Statistikzwecken benötigt. Da die Daten nicht speziell für einen Fahrer, sondern das Auto erhoben werden, sollen die Persönlichkeitsrechte gewährleistet sein. Die Informationen werden laut Axa von einem Partner in der Schweiz und in Italien gemäss Bundesdatenschutzgesetz gespeichert. Zur Rabatteinstufung wird die Leistung eines Lenkers mit dem Mittelwert anderer Benutzer des «Drive Recorders» verglichen. Auf der Grundlage dieses Benchmarks erfolgt die Einteilung in eine von drei Prämienkategorien. Durch diese Anonymisierung will Axa Winterthur das Compliance-Risiko minimieren. «Wird private Information für Data-Mining verwendet, müssen die Daten vor einer Auswertung oder gar Weitergabe anonymisiert werden», erklärt alevo-Partner Heizmann die Rechtslage.

Compliance-Outsourcing

Zum Jahreswechsel kommen auf Finanzdienstleister neue Vorschriften zum Anlegerschutz zu. Dann tritt die Verordnung über Basisinformationsblätter (Key Investor Documents, KIDs) für verpackte Anlageprodukte für Kleinanleger und Versicherungsanlageprodukte (Packaged Retail and Insurance-Based Investment Products, PRIIPs) in Kraft. Demnach müssen alle Emittenten dieser Anlageart eine standardisierte Dokumentation ihrer Produkte in leicht verständlicher Sprache bereitstellen. Diese Faktenblätter sind allen Interessenten vor dem Kauf bereitzustellen, damit Produkte problemlos miteinander verglichen werden können. Der PRIIPs-Markt setzt nach Schätzungen der Europäischen Kommission jährlich bis zu 10 Billionen Euro um. Hier macht der Dienstleister Six Financial Information ein lukratives Geschäft aus. Das Unternehmen bietet quasi Compliance-Outsourcing an. Emittenten können die erforderlichen Dokumente automatisiert erstellen und durch Verwendung der Marktdaten von Six gewährleisten, dass sie stets auf dem neusten Stand sind. Die Blätter lassen sich anschliessend in die Bank-Software oder die Onlinehandelsplattform aufnehmen. Alle KIDs werden bis zu zehn Jahre archiviert und ihr Abruf wird dokumentiert, um einen vollständigen Prüfpfad zu schaffen. «Der Service bietet Finanzinstituten den Vorteil, alle Compliance-Verpflichtungen aus einer Hand zu beziehen», erläutert Phillip Lynch, Head Markets, Products & Strategy bei Six Financial Information.

Risikofaktor IT-Mitarbeiter

Das grösste Compliance-Risiko – der Mensch – lässt sich nur bedingt outsourcen oder eliminieren. Kriminelle Energie kann eingedämmt, aber nicht vollständig unterbunden werden. «Standardisierte Prozesse, technische Einschränkungen oder die Steuerung durch Zielvereinbarungen sind legitime und notwenige Risk-Mitigation-Aktionen», sagt Heizmann. Regulatorien wie der Sarbanes-Oxley Act (SOX) verlangen von der IT zum Beispiel dokumentierte Changes, gemanagte Prozesse, klare Verantwortlichkeiten und sichere Systeme. Passende IT-Lösungen finden sich in anerkannten Frameworks wie CMMI (Capability Maturity Model Integration), Cobit (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library). Obwohl diese Qualitätsmodelle schon seit über 15 Jahren am Markt sind, tun sich laut Heizmann auch heute noch viele Firmen schwer, sie einzuführen, durchzusetzen und damit ein umfassendes Risikomanagement zu betreiben. Den Business Case für standardisierte IT-Abläufe zu rechnen, fällt schwer. Erst wenn ein Angestellter seine Rechte zu seinem Vorteil ausnutzt, wird der Schaden durch fehlende Prozessdefinitionen offensichtlich. Meist ist er dann erheblich. Heizmann plädiert deshalb zusätzlich für eine Awareness-Förderung, ehrliche und offene Kommunikation und Respekt. Die Handanweisung dafür liesse sich aber nicht in Process-Control-Manuals finden. Nach seiner Ansicht erfordert ihr Einsatz Grosszügigkeit und Mut – Eigenschaften selbstsicherer und umsichtiger Menschen auf C-Level, von denen die Schweizer Unternehmen eindeutig mehr gebrauchen könnten.



Das könnte Sie auch interessieren