Gastkommentar
Nicht erst auf den Audit warten!
Wenn 700 Richtlinien an 70 Standorten angewendet werden müssen, wird es höchste Zeit über die eigenen Compliance-Mechanismen nachzudenken.
Compliance heißt eigentlich nichts anderes als die Umsetzung vorgegebener Regeln. Das klingt einfach – ist es aber nicht. Denn vielerorts mündet die Übersetzung interpretationsbedürftiger regulatorischer Vorgaben in einem geradezu hyper-komplexen internen Regelwerk.
Bei einer international tätigen Bank sind das zum Beispiel knapp 700 Richtlinien, die weltweit an 70 Standorten anzuwenden sind. Ob diese Richtlinien tatsächlich aber für Compliance sorgen, zeigt sich oft erst bei einem Audit der zuständigen Regulierungsbehörde. Im Kreditwesen wäre das die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Nur ist es bei negativem Audit-Ausgang unter Umständen zu spät – im schlimmsten Fall droht der Entzug der Banklizenz.
Ursache dieser eklatanten Unsicherheit ist ein fehlender Mechanismus, der die alltäglichen Verfahren des Geschäftsbetriebs auf die externen Anforderungen aus Policies und Regularien rückbezieht. Im Fall der internationalen Bank mögen die betreffenden Richtlinien zwar die BaFin-Anforderungen erfüllen. Doch wie sieht es mit den internationalen Regularien aus, die an den Standorten in Hongkong und Singapur gelten?
Allein die schiere Menge unterschiedlicher Vorgaben verdeutlicht: Tausendseitenschwere Regellisten helfen hier nicht weiter. Abhilfe kann stattdessen nur ein datenbankgestütztes Framework schaffen, das auf einer pragmatischen Management-Methodik fußt. Wie die Erfahrung lehrt, ist der Einstieg in die Compliance damit nicht erst in einem Jahr zu erreichen, sondern schon innerhalb weniger Wochen.
Zum Autor:
Ralf Nemeyer ist Principal Consultant Secure Information bei der Computacenter AG & Co. oHG.
Lesen Sie mehr zum Thema
