„Zukünftig wird sich die Ressourcenverteilung ändern.“

Compliance Management

Herr Haase, Sie sind seit fünf Jahren der Präsident des Berufsverbandes der Compliance Manager (BCM), Sie beobachten also die Entwicklung des Fachs aus nächster Nähe. Welche Veränderungen haben Sie in den letzten fünf Jahren wahrgenommen?

Ich finde, dass sich grundsätzlich das Gesamtniveau erhöht hat. Im Falle von Compliance geht es heute nicht mehr um das „Ob“, sondern um das „Wie“. Und das ist, wie ich finde, eine interessante Entwicklung. Wenn sich die Unternehmen noch vor fünf Jahren gefragt haben, ob sie wirklich Compliance brauchen, stellt sich heute diese Frage niemand mehr. Heute überlegt man eher, wie man das Compliance Management für ein konkretes Unternehmen am besten zuschneidet. Innerhalb des Fachbereichs Compliance beobachte ich in der Industrie derzeit eine Re-Fokussierung auf Kernthemen und Aufgaben, eine ähnliche Entwicklung zeichnet sich in der Banken- und Versicherungs-Compliance ab, denn während die Einzelpflichten geradezu explodieren, wächst die Forderung der Institute nach einer angemessenen Compliance entsprechend dem tatsächlichen Risikoportfolio. Zwischenzeitlich war das Bild in Deutschland über die Jahre ein wenig ausgefranst, unklar waren die Grenzen von Compliance. Heute dagegen sehen wir einen guten Trend im Bereich Regulatory-Compliance, quasi ein Revival und damit auch ein Revival des traditionellen Compliance-Bereichs – sofern man von einem solchen sprechen kann. Neu ist, dass das Thema Datenschutz mit der Umsetzung der Datenschutzgrundverordnung sehr oft dem Compliance Bereich zugeschlagen wird, da sich die Prozesse und Aufgaben im Grundsatz ähneln. Dies zeigt, Compliance wird als Stabsfunktion erkannt und als solche durch das Management angenommen. Allerdings haben sehr große Organisationen den Bereich Datenschutz bereits vorher eigenständig geführt – dort sehen wir den Effekt natürlich derzeit noch nicht.

Sie haben in Ihrer Eröffnungsrede auf dem Bundeskongress Compliance Management das Thema Weiterbildung der Compliance Officer angesprochen und erklärt, warum es so wichtig ist, an dieser Stelle Zeit und Geld zu investieren. Haben Sie das Gefühl, dass in die Weiterbildung zu wenig gesteckt wird?

Ja, ich finde schon, dass bei der Weiterbildung immer noch zu wenig gemacht wird. Die Compliance Officer sind sich nicht bewusst, dass sie ins Hintertreffen geraten und von anderen in ihrer Kompetenz überholt werden können. Für die Ebene der Chief Compliance Officer mag es vielleicht anders aussehen, weil von ihnen dort die gebündelte Kompetenz in verschiedenen Bereichen gefordert wird. Aber für die Ebene darunter wird die Luft dann doch schnell dünn. Es gibt im Bereich der Internen Revisoren kaum junge Kollegen, die nicht eine forensische oder sonstige Zusatzqualifikation haben. Compliance Manager scheinen der Meinung zu folgen, dass das Zweite Staatsexamen oder ein BWL-Studium dauerhaft ausreichen würden. Ich glaube allerdings, dass dem nicht so ist.

Vielleicht ist der eine oder andere Compliance Manager aber auch einfach verunsichert, welche Zertifizierung für die Zukunft sinnvoll sein wird …

Das ist ja auch eine schwierige Frage. Aber es muss tatsächlich jeder für sich entscheiden, wie er sich für die Zukunft aufstellen will. Man kann nur die Augen offen halten. Ich halte zum Beispiel die Weiterbildung im Bereich Legal-Tech und das Befassen mit den neuen Technologien für sinnvoll. Aber genauso sinnvoll und wichtig ist es, sich generell mit den neuen Rechtsentwicklungen auf der Welt zu befassen oder sich im Risikomanagement, in BWL und im Bereich Kommunikation weiterzubilden.

Dann halte ich es für extrem wichtig, sich selbst zu fragen, wie gut man eigentlich die Produkte des eigenen Unternehmens kennt. Man sollte sich die Vertriebskanäle und die Technologien im eigenen Unternehmen genau anschauen, denn diese verändern sich zunehmend schneller. Der Compliance-Verantwortliche braucht Produktüberblick und eine extreme Breite im Wissen, damit er oder sie den Job machen kann. Und solche Dinge lernt man nicht in einem Lehrgang, da muss man selbst die Initiative im Unternehmen übernehmen.

Ich selbst nehme mir viel Zeit für Weiterbildung und lese auch viele Publikationen in meiner Freizeit zum Thema Compliance. Ich halte mich immer darüber informiert, was andere Compliance Officer schreiben und wie der Stand der Forschung bezüglich Compliance ist. Es liegen mittlerweile viele interessante und nützliche Forschungsergebnisse dazu vor, wie zum Beispiel bestimmte Formate auf Mitarbeiter wirken, welche Maßnahmen und Praktiken funktionieren und vieles mehr.

Sie haben noch ein weiteres interessantes Thema bei Ihrem Vortrag angesprochen. Sie beschäftigen sich mit Predictive Compliance. Was konkret verstehen Sie darunter?

Dieses Thema, Predictive Compliance, interessiert mich schon seit langem. Im Unternehmen gibt es viele Daten, aus denen man viele Erkenntnisse ziehen kann. Vorausgesetzt, man weiß, wie man diese Daten kombiniert und interpretiert. Wirklich „predictive“ wäre es, wenn man schon bevor etwas passiert, sieht, dass es passieren wird. Der Compliance Officer wird die möglichen Compliance Verstöße identifizieren, während sie noch in den „Büchern“ in der Entstehung sind. Die Voraussetzung für diese Arbeit ist eine kluge Kombination von verschiedenen Informationen, die im Unternehmen vorliegen, eine Art Business Intelligence. Man setzt Informationen in Relation, bestimmt logische Parameter die erfüllt sein müssen, zum Beispiel über statistische Normalverteilungen. Diese kombiniert man wiederum mit anderen unternehmensspezifischen Informationen, um falsche Warnsignale auszuschließen und so weiter. Die große Datenmenge ist dabei noch das kleinere Problem. Hier muss man eher damit leben, dass man sich gewisse Daten nicht anschaut, weil es rechtlich unzulässig ist oder einfach weil es nicht legitim ist – ja, legitim und nicht nur nicht legal.

Wird sich also zukünftig auch der Aufgabenbereich der Compliance Officer ändern?

Ich denke, zukünftig wird sich die Ressourcenverteilung ändern. Das heißt, die Compliance Officer werden mehr Zeit damit verbringen Datenmodelle zu erstellen und mit unserem Wissen zu befüllen. Wir werden auch viel stärker mit Abteilungen im Unternehmen zusammen arbeiten, die die Daten erstellen oder verwalten. Die Kompetenz der Compliance Officer wird daher nicht etwa sein, diese Daten abzugleichen. Sondern zusammen mit Audit und IT eine „predictive“ IT-Compliance-Management-System-Komponente aufzusetzen. Die Compliance Officer müssen definieren, welche Daten kombiniert und wie die Datenergebnisse interpretiert werden.

Weitere Artikel