Derzeit erlebt der Finanzsektor eine tiefgreifende digitale Transformation von Geschäftsmodellen und Betriebsabläufen. Diese Transformation wurde durch die Coronakrise nochmals beschleunigt. Welche Auswirkungen dies insbesondere auf die Compliance-Einheiten in Finanzinstituten hat, wurde im Rahmen des Arbeitskreises „Compliance“ der Gesellschaft für Risikomanagement und Regulierung (FIRM) untersucht. Erforderlich ist demnach eine fundamentale Neuausrichtung der Compliance-Funktion. Daten, Algorithmen und ex ante konkretisierte Steuerungsmechanismen ersetzen mehr und mehr den Mensch.

Physische Kundeninteraktionen werden zunehmend durch virtuelle ersetzt, manuelle Prozesse standardisiert und automatisiert. Primär getrieben ist die Digitalisierung im Finanzsektor durch verändertes Kundenverhalten und an neue Technologien angepasste Konsummuster. An­gestrebte Effizienzverbesserungen spielen ebenfalls eine zentrale Rolle. Nicht zuletzt die Corona-Pandemie und mit ihr einhergehende Lockdowns und Kontaktbeschränkungen haben das Tempo der Digitalisierung branchenübergreifend stark beschleunigt.  

Auf das Risikomanagement der Finanzinstitute hat die zunehmende Digitalisierung erhebliche Auswirkungen. Sie ändert die Erwartungen der Aufsichtsbehörden, zentrale Abläufe und Risiken des zu überwachenden Geschäfts und Anforderungen an die Mitarbeiterqualifikationen. Dies gilt neben dem für finanzielle Risiken zuständigen Risikocontrolling vor allem auch für die Compliance-Funktion.

Diese ist für die Überwachung zentraler nicht finanzieller Risiken zuständig, zum Beispiel für die Be­kämpfung von Finanzkriminalität wie Geldwäsche und Betrug sowie die Einhaltung markt- und kundenschützender Regeln im Wertpapierhandel oder Datenschutz. Compliance-Funktionen müssen sich wappnen, um auf Veränderungen des digitalen Zeitalters vorbereitet zu sein – fünf zentrale Aspekte stehen im Vordergrund.

Erstens sehen Aufsichtsbehörden im Finanzsektor die zunehmende Digitalisierung vor allem als Risikotreiber und nehmen Compliance-Funktionen bezüglich nichtfinanzieller Risiken in die Pflicht, etwa bei der Frage nach der Einhaltung von datenschutzrechtlichen oder geldwäscherechtlichen Vorgaben bei der Gestaltung digitaler Kundenplattformen, der grenzüberschreitenden Nutzung und Speicherung von Kundendaten und dem Einsatz von künstlicher Intelligenz (KI). Letztere ist vielfach Gegenstand von nationaler Regulierung, etwa in den USA, Hongkong oder Singapur. Auf EU-Ebene wird derzeit ein umfassender Gesetzesentwurf verhandelt, der branchenübergreifend die Entwicklung, Bereitstellung und Nutzung von künstlicher Intelligenz regelt und etwa eine umfassende Verantwortung von Geschäftsleitern und dezidierte Anforderungen an Ethik und Fairness von KI-Applikationen vorsieht.

Zweitens verändert Digitalisierung die Risikolage von Finanzinstituten. Während etwa Cyberrisiken oder Gefahren im Zusammenhang mit der Verfügbarkeit von IT-Systemen oder Integrität von Kundendaten stark in den Vordergrund rücken, verlieren andere tendenziell an praktischer Bedeutung. Fragen der physischen Arbeitsplatzsicherheit etwa rücken in Zeiten von pandemiebedingtem Homeoffice in den Hintergrund.

Umso wichtiger wird es für Compliance-Funktionen, den Risikoappetit des eigenen Instituts zu hinterfragen und vorhandene Kriterien zur quantitativen Begrenzung risikobehafteter Geschäftsaktivitäten auf den Prüfstand zu stellen oder an die veränderte Risikosituation anzupassen. Der angemessenen Kalibrierung des risikobasierten Ansatzes im Risikomanagement sollte in Zeiten zunehmender Risikovolatilität hohe Be­deutung beigemessen werden.

Drittens erfordern automatisierte Geschäftsprozesse prozesseingebettete, automatisierte Kontrollen. So bietet etwa das Straight Through Processing des Onboardings von Standardkriterien entsprechenden Retail-Kunden die Möglichkeit, Compliance-Kontrollen in Bezug auf die Vollständigkeit und Plausibilität von Kundendaten und das erstellte Kundenrisikorating zu automatisieren und in den Onboarding-Prozess zu integrieren. Antragsteller, die ein hohes Risikorating erhalten oder deren Daten vom System als unvollständig oder unplausibel erkannt werden, würden einer manuellen Untersuchung durch einen Bankmitarbeiter zugeführt. Alle anderen Kundenanlagen würden, abgesehen von vereinzelten manuellen Stichproben, komplett automatisiert durchlaufen.

Künstliche Intelligenz kann helfen, zum Beispiel komplexe Geldwäschemuster zu erkennen, von den Analysetätigkeiten der Compliance-Officer zu lernen und diesen automatisiert Vorschläge zur Einwertung von Compliance-Risiken zu liefern, potenziell negative Presseberichterstattungen zu Unternehmen vorzustrukturieren und zu analysieren, aber auch durch die gemeinsame Interpretation von Handelsdaten, Chat-Protokollen und Händlertelefonaten potenzielle Marktmissbrauchsindikatoren zu erkennen.

Viertens müssen sich Compliance-Funktionen im digitalen Zeitalter auf agile Arbeitsstrukturen und -methoden einstellen. Diese prägen sich vor allem durch flexible Organisationsstrukturen aus, in denen Mitarbeiter anhand konkreter Projektziele und weniger nach statischen Bereichszugehörigkeiten organisiert werden. Compliance-Funktionen werden sich zukünftig auf themenspezifische und wechselnde Ansprechpartner in den Geschäftsbereichen einstellen und herkömmliche Kommunikationspfade in Frage stellen müssen. Agile Arbeitsmethoden sind geprägt durch kurz getaktete Iterations- und Entscheidungszyklen, was sich auch auf die Beratungs- und Kontrollaufgabe von Compliance-Funktionen auswirkt. Besonders die Wahrung der Unabhängigkeit trotz Arbeit in multidisziplinären Teams ist oftmals eine Gratwanderung und erfordert hohe Prozess- und Methodenkompetenz.

Fünftens ist das Anforderungsprofil an den Compliance Officer im Wandel. Neben eine umfassende Expertise aller gesetzlichen und regulatorischen Anforderungen treten die Kenntnis (digitaler) Ge­schäftsprozesse, um ex ante präventive Kontrollen zu entwerfen, außerdem verstärkte Kommunikations- und Organisationsfertigkeiten in einem agilen Umfeld sowie erhöhte Fertigkeiten im Umgang mit Daten, um die wachsende Verflechtung des Compliance-Mandats mit digitalisierten Geschäftsmodellen erfolgreich bewältigen zu können.

Die größte Herausforderung stellt jedoch dar, dass Compliance Officer nicht mehr nachgelagert Risiken interpretieren, sondern im Vorfeld antizipieren und durch Vorgabe operationalisierter Risikoappetit-Abwägungen, Definition von Mindestkontrollstandards und risikobasierte Überwachungsstichproben in eine aktivere Rolle wechseln und hierbei auf die neuesten technologischen Entwicklungen zurückgreifen.