Compliance braucht Mindset, kein Pamphlet

Regulatorische Anforderungen stellen bei IT-Projekten eine große Herausforderung dar. Hand aufs Herz: Wir alle haben bestimmt schon einmal Compliance-Anforderungen in Projekten als Spielverderber empfunden, obwohl Compliance neben dem Schutz von Organisationen auch dem Schutz von Projektteams selbst dient. Denn bei Nichteinhaltung drohen erhebliche Geldbußen, Reputationsschäden und sogar Freiheitsstrafen.

Obwohl sich agile Projektmethoden mittlerweile zunehmend aus der Softwareentwicklung heraus in verschiedenste Unternehmensbereiche verbreiten, werden meist die Compliance-Abteilungen und Compliance-Projekte, die durch eine hohe fachliche Komplexität und eine Vielzahl an Schnittstellen, insbesondere zur IT, gekennzeichnet sind, bei der agilen Transformation vernachlässigt. Deshalb stellen wir uns die Frage: Können Compliance-Abteilungen sowie -Projekte nicht von agilen Methoden und Vorgehen, die durch Iteration und Transparenz gekennzeichnet sind, profitieren?

Doch zuerst: Was bedeutet Compliance eigentlich?

Unter Compliance selbst versteht man die Regeltreue von Organisationen. Dies bedeutet die Einhaltung von Gesetzen und Regeln, um sicherzustellen, dass keine Gesetzesverstöße auftreten. Denn in solchen Fällen kann es zu straf- und zivilrechtlichen Verfahren kommen. Doch geht meist auch ein gravierender Imageschaden mit Compliance-Verstößen einher, Beispiele dafür gibt es zahlreiche. Unter anderem die Maskenaffäre der Union, der Bestechungsskandal von Siemens oder der VW-Abgasskandal. Eine funktionierende Compliance ist somit essenziell für jedes Unternehmen. Compliance beinhaltet neben gesetzlichen Vorgaben zusätzlich von den jeweiligen Unternehmen freiwillig festgelegte Regeln und Richtlinien. Dies kann beispielsweise ein spezieller Verhaltenskodex für bestimmte Bereiche, wie Umweltschutz oder Kommunikation, sein.

Compliance-Abteilungen unter Druck

Um die Einhaltung der Compliance zu gewährleisten, hat sich je nach Größe und Branche des Unternehmens der Aufbau einer eigenen Compliance-Einheit etabliert, die für die Regeltreue innerhalb einer Organisation sorgt. Compliance-Abteilungen stehen vor zunehmenden Herausforderungen: Regulatorische Vorgaben sind in den letzten Jahren immer komplexer, die Einhaltung für Meldefristen kürzer und die Flut an Daten größer geworden. Und das ist nur ein kleiner Ausschnitt von Herausforderungen, mit denen sich Compliance-Einheiten konfrontiert sehen und zukünftig konfrontiert sehen werden. Es bedarf einer großen bürokratischen Anstrengung, die Übersicht nicht zu verlieren und neue Regeln sofort zu erkennen und die Umsetzung sowie Einhaltung dieser zu gewährleisten. Dementsprechend sollen Compliance-Abteilungen flexibel auf unvorhergesehene Ereignisse reagieren können. Hierbei stellt sich die Frage, ob man mit Hilfe von agilen Methoden und Vorgehen die Prozesse und Projekte nicht effizienter abwickeln kann. Denn greift zum Beispiel die Überprüfung eines Produkts nach den gängigen Compliance-Richtlinien erst am Ende der Entwicklung, so kann es zu Verzögerungen und erheblichen Kosten durch Korrekturen kommen.

Agil im Compliance-Bereich: iterativ, crossfunktional und vor allem mit dem richtigen Mindset

Mit Blick auf die Stacey-Matrix, die Probleme und deren Lösungen nach ihrer Klarheit einordnet, befinden sich die meisten Compliance-Projekte im Bereich „komplex“ (siehe nachfolgende Abbildung). Neue regulatorische Anforderungen sind anfangs unklar, offen für Interpretationen und entwickeln sich mit der Zeit weiter. Meist ist nicht von Anfang an bekannt, welche Auswirkungen sie auf die gesamte Organisation oder Teile der Organisation haben. Auch die Umsetzung der Vorgaben, also der Lösungsweg, ist vor allem bei Großprojekten nicht immer eindeutig. Insbesondere wenn diese in Unternehmensprozesse und IT-Systeme eingreifen und diese massiv verändern.

Ein gutes Beispiel für ein komplexes Projekt aus dem Compliance-Bereich stellt die Umsetzung der Zahlungsdienstrichtlinie Payment Services Directive 2 (PSD2) dar. PSD2 als neue EU-Richtlinie hat die Aufgabe, die Sicherheit der Kundinnen und Kunden zu erhöhen, den Verbraucherschutz zu stärken, aber auch Innovationen im europaweiten Bankensektor zu fördern. Seit der Verabschiedung der Richtlinie sind Banken unter anderem dazu verpflichtet, sogenannten Drittanbietern den Zugriff auf Konten von Bankkundinnen und -kunden zu gewähren. Auf diese Weise bekommen Kundinnen und Kunden die Freiheit, ihre eigenen Daten in Services ihrer Wahl verwenden zu können. Die Anforderungen, die mit PSD2 einhergehen, sind komplex und umfassen viele verschiedene Regeln. Auch die Auswirkungen auf die Banken und ihre Prozesse waren zu Zeiten der Bekanntmachung noch weitgehend unbekannt. Zusätzlich war die Frage, welche Technologien und Lösungen genutzt werden können, um diese Anforderungen bestmöglich umzusetzen, völliges Neuland für die Finanzindustrie und somit war es schwer, ein reines Wasserfall-Projekt durchzuführen. Um lange Planungsphasen zu vermeiden und schnelleres Lernen zu ermöglichen, wäre ein iteratives Vorgehen sinnvoll gewesen. So hätten beispielsweise bereits erste Schritte zur Umgestaltung der IT-Landschaften geholfen, technische Schnittstellen für Drittanbieter (APIs) zu öffnen und die Frage nach der API-Sicherheit parallel laufen lassen zu können, um ein konkretes Feedback der Endnutzerinnen und -nutzer so früh wie möglich einzuholen und zu berücksichtigen.

Bei der Umsetzung der PSD2 treffen verschiedene Disziplinen aufeinander. Damit die Zusammenhänge zwischen Regulatorik, Technologie, Prozessen sowie Strategie verstanden und aufgedeckt werden können, bedarf es crossfunktionaler Teams mit Expertinnen und Experten. Mit Perspektiven- und Expertenvielfalt lassen sich nicht nur Probleme und Risiken frühzeitig erkennen, es können neue Geschäftsmodelle durch die Kreativität von „Vielen“ entstehen. Zusätzlich wird ein einheitliches Verständnis der Richtlinie über die Compliance-Grenzen hinweg erzeugt und eine klare Kommunikation gefördert, weil den Teammitgliedern Missverständnisse bewusst werden und sie eine gemeinsame Sprache entwickeln.

Damit crossfunktionales und iteratives Arbeiten ermöglicht werden kann, müssen Banken und die dazugehörigen Compliance-Bereiche ihr Silodenken und hierarchische Strukturen ablegen sowie einen Rahmen für agiles Arbeiten schaffen – und das fängt beim Mindset an. Denn Agilität ist mehr als Scrum. Agilität bezeichnet zunächst einmal eine innere Haltung, mit Veränderungen situativ und positiv umzugehen, denn so können Veränderungen auch Chancen bedeuten. Ein gutes Beispiel hierfür bieten Unternehmen wie Apple oder Google, welche die Einführung von PSD2 für sich genutzt hatten und dadurch ihr Geschäftsmodell erweitern konnten, während die meisten Banken hingegen erst einmal die Marktabwicklung abwarteten.

Die ersten Schritte zur Agilität

Auf die Frage, ob Compliance-Abteilungen sowie -Projekte von agilen Methoden und Vorgehen profitieren, können wir mit Ja antworten. Sowohl Agilität als auch Compliance sind dazu angehalten, komplexe Sachverhalte in greifbare, transparente Ergebnisse zu überführen. Dazu sollte man verstehen, dass Agilität mehr als agile Frameworks umfasst. Es ist mehr eine positive und proaktive Haltung gegenüber Veränderungen wie etwa regulatorischen Änderungen. Das Beispiel der PSD2 hat gezeigt, dass Gesetze nicht nur bremsen, sondern auch Treiber von Innovationen sein können. Dabei ist wichtig, dass regulatorische Änderungen nicht blind umgesetzt, sondern aus verschiedenen Perspektiven betrachtet und eventuell neu gedacht werden.

Anders als bei IT-Projekten ist es jedoch schwierig, in Compliance-Bereichen rein agil zu arbeiten. Besagt das Agile Manifest, dass funktionierende Soft¬ware mehr als um¬fas¬sende Doku¬men¬tation ist, kann dieses agile Prinzip nicht eins zu eins in die Compliance-Bereiche übernommen werden. Je nach Branche gibt es einschlägige Vorschriften, die eine ordnungsgemäße Dokumentation vorschreiben, um Sanktionen zu vermeiden.

Wir empfehlen für die Agilisierung von Compliance-Abteilungen sowie -Projekten mit folgenden Schritten zu starten:

• Einführung von Daily Meetings: 15-minütige, tägliche Meetings unterstützen Compliance-Teams, die Transparenz zu erhöhen, Abhängigkeiten sowie Risiken frühzeitig zu erkennen und fachliche Fragen zu klären.
• Durchführung von Retrospektiven: Gemäß dem Prinzip „Inspect & Adapt“ können Compliance-Abteilungen regelmäßig Retrospektiven durchführen, die dabei helfen sollen, ineffiziente Prozesse aufzudecken und die bisherige Zusammenarbeit kritisch zu betrachten. Die aus der Retrospektive abgeleiteten Maßnahmen helfen Compliance-Einheiten die Mitarbeitende durch Automatisierung von repetitiven Aufgaben zu entlasten oder etablierte Prozesse kundenorientiert zu denken.
• Bildung kleiner, crossfunktionaler Compliance-Teams: Eine Compliance-Abteilung muss nicht immer nur aus Juristinnen und Juristen bestehen. Das Team soll sich in die Bedürfnisse und Herausforderungen unterschiedlicher Unternehmensbereiche hineindenken können. Das fördert nicht nur Kreativität und Innovation, sondern ermöglicht auch eine kundenorientierte Denkweise und beugt Missverständnissen durch Entwicklung einer gemeinsamen Sprache vor. Vor allem gilt das für die Umsetzung von Compliance-Projekten. Viele Unternehmen machen den Fehler, ein zu großes, homogenes Projektteam zu bilden, das in den meisten Fällen Personen umfasst, die nicht regelmäßig benötigt werden, was zu Zeitverschwendung führt und den Fokus des Teams schwächt. Stattdessen kann ein kleines, engagiertes Kernteam von Expertinnen und Experten viel effizienter arbeiten und nur bei Bedarf auf benötigte Personen zurückgreifen.
• Backlog einführen, Anforderungen herunterbrechen und priorisieren: In den letzten Jahren hat sich die Zahl der neuen gesetzlichen Anforderungen zunehmend erhöht. Um den Überblick zu bewahren, Transparenz herzustellen und Prioritäten zu setzen, hat sich die Einführung eines Backlogs bewährt. Bei Compliance-Projekten bedeutet dies, regulatorische Anforderungen in klar definierte, überschaubare Blöcke aufzuteilen, die unabhängig voneinander umgesetzt werden können, diese zu priorisieren und für alle Beteiligten transparent darzustellen. Auf diese Weise können wichtige Teile der Anforderungen kontinuierlich erfüllt werden, anstatt zu versuchen, das gesamte Projekt in einem einzigen großen Schritt umzusetzen.
• Agiles Mindset und agile Werte fördern und stärken: Compliance-Anforderungen sind erst einmal nichts Böses, sondern können auch Chancen für Unternehmen bedeuten. Die Fähigkeit, schnell und flexibel auf Veränderungen, hier auf neue regulatorische Vorgaben, reagieren zu können und diese erst einmal positiv zu betrachten, zeichnet agile Teams und Organisationen aus. Die agilen Werte Offenheit, Respekt, Fokus, Mut und Engagement bilden dabei die Basis für den Erfolg agiler Arbeitsweisen. Diese sollten als Erstes von Compliance-Abteilungen verstanden, verinnerlicht und gelebt werden, sonst sind alle weiteren Maßnahmen zum Scheitern verurteilt. Obwohl es sich banal anhört, agile Werte zu leben, besteht die Herausforderung allerdings in dem grundlegenden kulturellen Wandel, der vom Top-Management gewollt und gelebt werden muss. Erst wenn sich agile Werte und die gelebte Unternehmenskultur vertragen, können agile Methoden sinnstiftend implementiert werden.

Ihr möchtet mehr über spannende Themen aus der adesso-Welt erfahren? Dann werft auch einen Blick in unsere bisher erschienenen Blog-Beiträge.