Compliance und Risk Management als Projekt Sponsor
Das Spektrum der Projekte ist sehr breit und resultiert meist aus neuen bzw. geänderten regulatorischen Anforderungen: Für Compliance betrifft es häufig die Einführung/Anpassung von neuen Kontroll- /Monitoring-Prozessen, die Sicherstellung der Verarbeitung von zentralen (insbesondere auch Personen-bezogenen) Informationen und Dokumenten (z.B. Know Your Customer), bis hin zu umfassenden Reportingvorschriften, um nur einige Beispiele zu nennen.
Beim Risk Management steht die Implementierung bzw. Weiterentwicklung des Risk Prozesses im Vordergrund. Die Auswertung und managementgerechte Aufbereitung der gewonnenen Informationen schliesst sich an. Aber auch für sich eigenständige Prozesse wie z.B. Monitoring von Fraud, oder spezifische Prozesse (z.B. Minimal Losses) sind hier mögliche Projektaufgaben.
Die jeweiligen Prozesse müssen mit dem internen Kontrollsystem (IKS) oder Control System konsistent sein (welches dem State of the Art des Regulators zu entsprechen hat). Die implementierten Lösungen sollen dabei möglichst effizient, kostengünstig und transparent sein, was selbstverständlich auch für die jeweiligen Projekte im Vorfeld dazu gilt.
Weder bei Compliance noch bei Risk Management Projekten steht ein agiles Vorgehen im Vordergrund. Zentral ist eine Implementierung oder Anpassung nach Industrie Best Practice unter der Einhaltung der relevanten regulatorischen Vorgaben, mit hoher Prozessqualität, klarer Nachvollziehbarkeit und bei adäquatem Sicherheitslevel.
Compliance und Risk Management Mitarbeiter im Projektteam
Compliance und Risk Management Projekte leiden oftmals darunter, dass das extern vorgegebene Regelwerk die erwarteten Ergebnisse nicht sehr konkret vorgibt und auch nicht im Detail definiert, wie sie erreicht werden sollen. Beispielsweise müssen bei Anti Money Laundering Projekten (AML) scheinbar einfache Minimal-Regeln eingehalten werden, im generellen soll aber Geldwäscherei grundsätzlich verhindert werden. Es gilt deshalb meist einen erheblichen Interpretationsspielraum auszuloten und zudem den generellen Risikoappetit des Auftraggebers (des Unternehmens) zu berücksichtigen.
Die Bearbeitung dieser inhaltlichen Fragestellungen liegt bei den Risk Management und Compliance Experten, die im Projekt zwingend aktiv mitarbeiten: Sie legen aus fachlicher Sicht die Regeln und Prozesse (z.B. den Due Dilligence Prozess) fest und bezeichnen auch den logischen Datenbedarf, den es dazu braucht. Diese Anforderungen werden im Projektteam mit den Mitarbeitern aus anderen Gebieten (z.B. Produktmanagement und meist IT) diskutiert und ggf. angepasst (was nicht selten mehrere Iterationen benötigt). Diese enge Zusammenarbeit im Projektteam ist ein kritischer Erfolgsfaktor, auch wenn es oftmals als nicht notwendig erachtet wird und nur eine beratende Mitwirkung vorgezogen wird. Da die Verantwortung für die erarbeiteten Lösungen abschliessend jedoch bei den Facheinheiten verbleibt, sind derartige Diskussionen nicht zielführend.
Risk Management und Compliance: zwei Seiten einer Medaille
Oft sind diese beiden ‘Control Functions’ in getrennten Organisationseinheiten organisiert. Da die Prozesse beider Einheiten aber vielfach ähnliche Aktivitäten und Informationen von den Fronteinheiten verlangen (als 1 Line of Defense) müssen die korrespondierenden Prozesse übergreifend abgestimmt werden. Das ist eine zwingende Voraussetzung für die Akzeptanz der Risk- und Complianceeinheiten und schafft zudem die Voraussetzung für möglichst effiziente, kostengünstige und transparente Implementierungen und deren Anpassungen im Zeitverlauf.
Die Projektleitung in diesem Umfeld ist eine sehr anspruchsvolle Aufgabe: Nicht nur die Komplexität der Aufgabenstellung sondern auch die häufig arg kurzfristig gesetzten Termine aufgrund von regulatorischen Vorgaben und bestehenden Issues, ein Mangel an fachlich kompetenten Ressourcen oder auch unrealistische Projektbudgets bilden eine stete und geballte Herausforderung. Zudem gilt es auch noch ein meist recht heterogenes Team zu koordinieren und die Themen an sich sind nicht selten ‘politisch’ besetzt.
Compliance und Risk Management bei Nichtbanken
Im Versicherungsbereich bestehen analoge Vorgaben zur Einrichtung eines IKS und entsprechende Informationen werden dazu von der FINMA regelmässig erhoben. Auch in anderen Branchen rückt das immer wichtiger werdende Thema Governance, Risk und Compliance (GRC) für den Aufbau und die einheitliche Dokumentation der Geschäftsprozesse in der Vordergrund. Aber auch ohne dem Anspruch einer FINMA Regulierung gerecht werden zu müssen, gibt es nahezu in allen Branchen generelle ‘Compliance & Risk’ Anforderungen zu berück-sichtigen, beispielsweise: Wahrung von Vertraulichkeit/ Diskretion, Einhaltung von Sorgfaltspflichten, Einhaltung des Regelwerks einer Branche (z.B. Know-how Nachweis bei Life Science Produkten), Datenschutz, Einhaltung von Branchen Standards, Aufbau einer wirkungsvollen Organisation/Governance, Reporting Pflichten usw. Ein für sich eigenständiges Thema stellt dabei die Gewährleistung des Business Contingency Planning dar.
Auch diese ‘Compliance’ Anforderungen verlangen vom PL die bereits im Bankenumfeld aufgezeigten Kompetenzen: kritische Würdigung der Anforderungen, Sorgfalt beim Vorgehen, Realismus bei der Budgetierung und Planung, Kreativität und Durchsetzungsvermögen beim Umgang mit heterogenen Anforderungen und Zielkonflikten, Belastbarkeit
Vor diesem Hintergrund und basierend auf dem obigen Verständnis verfügt PAS project GmbH über Know-how aus zahlreichen Compliance Projekten und Programmen sowie Risk Management Vorhaben für die Lösung von unterschiedlichsten Problemstellungen in diesem Umfeld. Weitere ergänzende Erfahrungen, die in Ihre Projekte eingebracht werden können, resultieren aus verwandten Themengebieten z.B. Prozessen bei Sammelstiftungen oder für Säule 3a Lösungen im Versicherungsbereich.