Compliance-Trends in Schweizer Unternehmen

» Von Mark Schröder , 11.07.2016 12:24.

weitere Artikel

Die Schweizer Versicherungskonzerne fühlen sich durch die Vorgaben der Aufsichtsbehörden weiterhin massiv eingeschränkt. Nahezu alle Befragten (94 Prozent) einer Studie von PwC zeigten sich wegen einer Überregulierung des Sektors besorgt. Sie suchen Wege, das Inlandgeschäft durch innovative Produkte zu beleben, ohne die Behörden oder den Datenschützer auf den Plan zu rufen.

Big Data gesetzeskonform

Einen solchen Weg hat Axa Winterthur gefunden: Der Konzern offeriert seit zwei Jahren den «Drive Recorder», mit dem junge Lenker ihr Fahrverhalten aufzeichnen und analysieren können. Der Zugriff auf die Daten ist der Versicherung einiges wert: Bis zu 25 Prozent Rabatt erhalten Autobesitzer, die sich den Fahrtenschreiber einbauen.

Wie Axa Winterthur erklärt, zeichnet das Gerät unter anderem Geschwindigkeit, GPS-Koordinaten, Kilometerleistung, Strassentyp (Autobahn, Land, Stadt) und Uhrzeit auf. Dabei erhebt die Ver­sicherung ausschliesslich Daten, die sie zur Bereitstellung der Leistung, zu Unfall- und Statistikzwecken benötigt. Da die Daten nicht speziell für einen Fahrer, sondern das Auto erhoben werden, sollen die Persönlichkeitsrechte gewährleistet sein. Die Informationen werden laut Axa von einem Partner in der Schweiz und in Italien gemäss Bundesdatenschutzgesetz gespeichert. Zur Rabatteinstufung wird die Leistung eines Lenkers mit dem Mittelwert anderer Benutzer des «Drive Recorders» verglichen. Auf der Grundlage dieses Benchmarks erfolgt die Einteilung in eine von drei Prämienkategorien. Durch diese Anonymisierung will Axa Winterthur das Compliance-Risiko minimieren. «Wird private Information für Data-Mining verwendet, müssen die Daten vor einer Auswertung oder gar Weitergabe anonymisiert werden», erklärt alevo-Partner Heizmann die Rechtslage.

Compliance-Outsourcing

Zum Jahreswechsel kommen auf Finanzdienstleister neue Vorschriften zum Anlegerschutz zu. Dann tritt die Verordnung über Basisinformationsblätter (Key Investor Documents, KIDs) für verpackte Anlageprodukte für Kleinanleger und Versicherungsanlageprodukte (Packaged Retail and Insurance-Based Investment Products, PRIIPs) in Kraft. Demnach müssen alle Emittenten dieser Anlageart eine standardisierte Dokumentation ihrer Produkte in leicht verständlicher Sprache bereitstellen. Diese Faktenblätter sind allen Interessenten vor dem Kauf bereitzustellen, damit Produkte problemlos miteinander verglichen werden können.

Der PRIIPs-Markt setzt nach Schätzungen der Europäischen Kommission jährlich bis zu 10 Billionen Euro um. Hier macht der Dienstleister Six Financial Information ein lukratives Geschäft aus. Das Unternehmen bietet quasi Compliance-Outsourcing an. Emittenten können die erforderlichen Dokumente automatisiert erstellen und durch Verwendung der Marktdaten von Six gewährleisten, dass sie stets auf dem neusten Stand sind. Die Blätter lassen sich anschliessend in die Bank-Software oder die Onlinehandelsplattform aufnehmen. Alle KIDs werden bis zu zehn Jahre archiviert und ihr Abruf wird dokumentiert, um einen vollständigen Prüfpfad zu schaffen. «Der Service bietet Finanzinstituten den Vorteil, alle Compliance-Verpflichtungen aus einer Hand zu beziehen», erläutert Phillip Lynch, Head Markets, Products & Strategy bei Six Financial Information.

Risikofaktor IT-Mitarbeiter

Das grösste Compliance-Risiko – der Mensch – lässt sich nur bedingt outsourcen oder eliminieren. Kriminelle Energie kann eingedämmt, aber nicht vollständig unterbunden werden. «Standardisierte Prozesse, technische Einschränkungen oder die Steuerung durch Zielvereinbarungen sind legitime und notwenige Risk-Mitigation-Aktionen», sagt Heizmann. Regulatorien wie der Sarbanes-Oxley Act (SOX) verlangen von der IT zum Beispiel dokumentierte Changes, gemanagte Prozesse, klare Verantwortlichkeiten und sichere Systeme. Passende IT-Lösungen finden sich in anerkannten Frameworks wie CMMI (Capability Maturity Model Integration), Cobit (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library). Obwohl diese Qualitätsmodelle schon seit über 15 Jahren am Markt sind, tun sich laut Heizmann auch heute noch viele Firmen schwer, sie einzuführen, durchzusetzen und damit ein umfassendes Risikomanagement zu betreiben.

Den Business Case für standardisierte IT-Abläufe zu rechnen, fällt schwer. Erst wenn ein Angestellter seine Rechte zu seinem Vorteil ausnutzt, wird der Schaden durch fehlende Prozessdefinitionen offensichtlich. Meist ist er dann erheblich. Heizmann plädiert deshalb zusätzlich für eine Awareness-Förderung, ehrliche und offene Kommunikation und Respekt. Die Handanweisung dafür liesse sich aber nicht in Process-Control-Manuals finden. Nach seiner Ansicht erfordert ihr Einsatz Grosszügigkeit und Mut – Eigenschaften selbstsicherer und umsichtiger Menschen auf C-Level, von denen die Schweizer Unternehmen eindeutig mehr gebrauchen könnten.

Werbung

KOMMENTARE

anke sach: 11-07-16 18:00

compliance IT

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.