Die renommierten Vortragenden aus Theorie und Praxis waren sich einig: GRC-Management ist Informationsmanagement und basiert auf einer intelligenten Form von Wissen und verantwortungsvollen Mitarbeitern mit Augenmaß.
Prof. Dr. Henning Herzog, School of Governance, Risk & Compliance der Steinbeis-Hochschule Berlin, eröffnete den „Scalaris GRC Day“ mit der grundlegenden Frage: „Was ist GRC-Management überhaupt und welche Ziele verfolgen wir damit?“ Knapp zusammengefasst besagt die Theorie, dass es sich um die systematische und zielorientierte Steuerung eines Sozialsystems durch organisatorische, personelle und technologische Maßnahmen handelt. Governance hat dabei eine übergeordnete Führungsfunktion und legt die Ziele und Regeln fest.
Seine zentrale Kontroll- und Schutzfunktion übt der GRC-Stab insbesondere durch die Bewertung von Risiken und Chancen (Risk Management) sowie durch Maßnahmen zur Einhaltung von internen und externen Standards (Compliance Management) aus. Die rechtzeitige Verfügbarkeit der richtigen Informationen ist Grundvoraussetzung, damit GRC-Verantwortliche ihre Aufgaben effizient und zuverlässig erfüllen können. „Studien zeigen, dass Fehlverhalten in 30 bis 50 Prozent der Fälle unbewusst zustande kommt. Das macht den Schaden aber keineswegs kleiner und Unwissenheit schützt zudem vor Strafe nicht. Denn hätten wissen müssen und hätten wissen können sind bedeutend im Kontext der juristischen Haftung und der Absicherung des Unternehmenserfolges“, betonte Prof. Dr. Henning Herzog. „Die Schutzfunktion des Compliance-Officers ist adressiert, sowohl den unbedarften Mitarbeiter und das Unternehmen als auch sich selbst vor Fehlern und Non-Compliance zu bewahren. Planung und standardisierte, automatisierte Prozesse helfen, diese Problematik in den Griff zu bekommen. Dazu gehört eine zentrale Informationslogistik, die relevantes Wissen rechtzeitig und am richtigen Ort zugänglich macht.“
Sehr plakativ beschrieb David Zollinger lic.iur, Leiter Neue Märkte bei Wegelin & Co. Privatbankiers, anhand der Know-Your-Customer (KYC)-Prozesse, was GRC in der täglichen Praxis einer Bank bedeutet. Wegelin & Co. bietet Vermögensverwaltung für private und institutionelle Kunden. Fragen zur Person des Anlegers und der Herkunft der Vermögenswerte stellt David Zollinger nicht nur, um den gesetzlichen Anforderung zur Verhinderung von Geldwäsche und ähnlichen Wirtschaftsdelikten nachzukommen. Es geht um den Schutz und die Reputation einer renommierten Finanzinstitution, der ältesten Bank der Schweiz. „Die Überprüfung von potenziellen Kunden wird vielerorts als lästige bürokratische Pflicht, die uns der Gesetzgeber auferlegt hat, gesehen. Wir bei Wegelin gehen damit etwas anders um. GRC ist Teil unserer Unternehmenskultur und wird von den Teilhabern, vom obersten Management, vorgelebt. Unsere GRC-Stabstelle steht den Kundenbetreuern zur Seite und übernimmt die Verantwortung, wenn es um die Risikobewertung einer möglichen Geschäftsbeziehung geht“, beschrieb David Zollinger den persönlichen Ansatz von Wegelin & Co. „Wir wollen unsere Kunden wirklich kennen. Dazu reicht ein kurzer Blick in eine der empfohlenen Datenbanken und Sanktionslisten nicht aus. Wir arbeiten mit Scalaris zusammen, weil wir einfachen und schnellen Zugang zu relevanten Datenquellen und Werkzeuge für die systematische Informationsbeschaffung und -analyse benötigen. Zugleich ersetzt kein Tool die menschliche Intelligenz. Wenn Zweifel aufkommen, ist es bei uns keineswegs verboten, mit Kunden direkt und persönlich über Verdachtsmomente zu sprechen.“
Nach dem Vergleich zwischen Theorie und Praxis kamen Leo Müller, Buchautor und Redakteur des Wirtschaftsmagazins „Bilanz“, und Dr. Michael Alkalay, CEO der AySEC Services AG, zu Wort. So schilderte Leo Müller, wie Madoff und die zahlreichen Mini-Madoffs ihre Anleger durch die Manipulation von Informationen und IT-Systemen in den Glauben versetzen konnten, ihr Geld sei in den besten Händen. Er bezeichnete das als Informationsillusion, aus der man eigentlich nur eines lernen kann: Skepsis ist mehr als angebracht, denn Informationen zu besitzen, bedeutet noch lange nicht zu wissen. Daten und ihre Quellen müssen quantitativ und qualitativ geprüft werden, sonst sitzt man leicht einer gesteuerten Desinformation auf. So kann es in besonders diffizilen Situationen, wenn die Informationsbeschaffung auf konventionelle Weise nicht möglich ist, auch angemessen sein, verdächtige Objekte mit Hilfe von HUMINT (Human Intelligence) zu „überprüfen“.
Hierbei handelt es sich um Wissen, das von Personen, beispielsweise durch eine Observation, gesammelt wird. „HUMINT ist ein brisantes Tätigkeitsfeld“, betonte Dr. Michael Alkalay. „Unternehmen brauchen einen erfahrenen HUMINT-Dienstleister, der absolut professionell vorgeht und die rechtlichen Rahmenbedingungen kennt – die leider weder eindeutig noch regional einheitlich sind.“ Das Hinzuziehen einer (externen) Rechtsberatung empfiehlt Alkalay, um nicht landesspezifischen Gesetzen zuwiderzuhandeln.
Das kompakte Programm des „Scalaris GRC Days“ beendete schließlich der Vortrag von Dr. Andrea Galli, Head of Economic Crime Intelligence (ECI) der Scalaris AG. Anhand eines Praxisberichtes zeigte er auf, wie Scalaris Unternehmen mit seinen Lösungen und Services rund um das Dokumenten- und Informationsmanagement bei der Aufklärung von Wirtschaftsdelikten unterstützt. „Wir bieten nicht nur Lösungen für die Prävention wie Know Your Customer. Oft ist ein Problem schon eingetreten und es geht darum, eine Straftat zu beweisen oder auch einen Verdacht zu entkräften. Dann ist es unsere Aufgabe, Millionen Dokumente zu digitalisieren und einige Terrabytes an Daten möglichst schnell nach Indizien zu durchsuchen. Dazu bieten wir das Know-how und die entsprechenden Technologien.“
Rund 100 Besucher aus dem direkten GRC-Umfeld haben am „Scalaris GRC Day“ in Zürich teilgenommen und mitdiskutiert. Das Feedback war hervorragend.