Rahel Scherz im Interview

"Der gesunde Menschenverstand sollte bei Compliance immer noch eingeschaltet bleiben"

Uhr | Aktualisiert
von asc

Compliance Management-Strukturen stehen zunehmend auf dem Prüfstand. Haftungsfälle, Schadenersatzforderungen und nicht zu unterschätzende Reputationsschäden: Für Unternehmen steht viel auf dem Spiel. Wie können Unternehmenslenker Compliance-Risiken erfolgreich managen? Und wie sieht es mit hochsensiblen Bankendaten aus? Rahel Scherz, Geschäftsführerin bei der BST Banking Software Training AG betreut mit ihrem Team rund 45 Banken mit speziellen Banking-Software-Lösungen. Im Interview erklärt sie, wie wichtig Compliance in der Banken-Branche ist.

Als KMU bieten Sie Dienstleistungen für Grossbanken an und sind damit zwingend in die Compliance-Mühle verwickelt. Wie wichtig ist das Thema Compliance bei Ihren Kunden?

Compliance ist in den letzten Jahren immer wichtiger geworden und ich denke, dass dieses Thema für Unternehmen immer mehr zunehmen wird. Vor ein paar Jahren mussten wir als Dienstleistungen für den Finanzmarkt noch nicht so hohe Anforderungen der Banken erfüllen, wie es jetzt der Fall ist. Vor fünf Jahren brauchten wir die sogenannten Compliance-Fragebögen noch gar nicht ausfüllen. Heute kommen immer mehr Kunden auf uns zu und wollen diese Fragebögen zwingend ausgefüllt haben, damit sie unserer Software auch vertrauen können.

Also läuft bei Ihnen heute ohne Compliance nichts mehr?

Nein, sicher nicht. Würden wir nicht compliant sein, hätten wir wohl keine Kunden mehr.

Wie gut sind denn die Schweizer Banken in Sachen Compliance aufgestellt?

Das kommt ganz darauf an, um welches Institut oder Unternehmen es sich handelt. Ich höre immer wieder, dass gewisse Abteilungen nicht compliant sind. Wichtig ist aber, dass man immer weiter am Compliant-Regelwerk arbeitet, da man eigentlich nie compliant genug sein kann. Ich kann von daher nicht so gut beurteilen, wie gut Schweizer Unternehmen beziehungsweise Banken bei dieser Thematik aufgestellt sind. Aber eigentlich versucht jedes Unternehmen alle gesetzlichen Verpflichtungen innerhalb seiner Organisation einzuhalten.

Wann ist ein Unternehmen denn compliant?

Das ganze kann man gut an einem Beispiel zeigen: Wenn ich Ihnen zum Beispiel vorgebe, dass Sie einen Baum im März pflanzen müssen, damit er im Juni halb gross ist. Wenn Sie den Baum dann allerdings nicht im März pflanzen, sondern schon im Februar, dann sind Sie nicht compliant. Sie können dann nicht ankommen und sagen, dass Sie die Vorgaben erfüllt haben – also, dass der Baum halb gross ist. Und wenn man die genauen Vorgaben nicht einhält, dann ist man ein Risiko. Für Grossbanken stellt das beispielsweise ein sehr hohes Risiko dar, weil man als Dienstleister im Besitz von sensiblen Daten ist, die gegebenenfalls auch in die falschen Hände gelangen könnten.

Es gibt eine Vielzahl von Geschäftsrisiken bei Banken und Finanzdienstleistern - braucht es Ihrer Meinung nach zwingend einen Chief Risk Officer (CRO) im Bankensektor?

Einen Chief Risk Officer gibt es eigentlich fast in jeder Schweizer Bank, zumindest bei den Kunden für die wir arbeiten, was Grossbanken und auch Privatbanken sind

In welchem Zusammenhang steht BST mit Aspectra?

Wir haben eine Partnerschaft mit Aspectra, weil wir bei bestimmten Teilbereichen die Compliance nicht 100%-ig gewährleisten können. Wir haben Kunden, die ihre Daten zum Teil hosten und zum Teil nicht und dabei unterstützt uns Aspectra. Ob wir einen Kunden outsourcen kommt allerdings immer darauf an, welche Anforderungen eine Bank stellt.

Social Media, Smartphones und nicht zuletzt die Cloud stellt neue Herausforderungen an die Risikomanager und IT-Sicherheitsverantwortlichen – vor allem Banken und Versicherer haben grosse Bedenken beim Datenschutz. Wie sieht Ihre Meinung hierzu aus? Sollte man den Mitarbeitern beispielsweise verbieten "firmeninterne" E-Mails auf Smartphones zu speichern?

Meiner Meinung sollte man nicht zu so drastischen Massnahmen greifen. Es wäre eher erforderlich, einen Regelkatalog für solche Fälle zu erstellen. Ich finde es wichtig, vor allem bei Mitarbeitern, die sich auf Dienstreisen befinden, dass auch sie über alles informiert sind und notfalls gleich reagieren können. Das ist vor allem in der Finanzbranche enorm wichtig.

Zu viele Compliance-Vorschriften können sich aber auch selbst im Weg stehen, weil sie letztendlich vorrangig bürokratischen und administrativen Mehraufwand bedeuten. Kann man sagen, ab wann ein Regelwerk in eine solche Überregulierung mündet?

Der gesunde Menschenverstand sollte auch bei einem so komplexen Thema wie Compliance, noch eingeschaltet bleiben. Es gibt genügend Unternehmen, die eine ganze Flut von Compliance-Vorschriften haben, aber am Ende selbst nicht mehr den Durchblick haben.

Ist ein allumfassendes Compliance-Management für kleinere und mittelständische Unternehmen überhaupt finanzierbar?

Als mittelständisches Unternehmen muss man sich schon überlegen, ob man Compliance wirklich braucht. Das hängt immer auch von der jeweiligen Branche ab. Eine gute Lösung ist hier das Outsourcing mit dem richtigen Partner.