Worauf Prüfer in einem Sanktions-Compliance-Programm wirklich achten

Die meisten Unternehmen bereiten sich auf Prüfungen vor, indem sie belegen, dass ihr Screening funktioniert. Danach prüfen Prüfer nicht. Das Screening-Tool ist die Mindesterwartung. Untersucht wird alles, was nach dem erzeugten Treffer passiert: wer ihn untersucht hat, wie, und ob der Belegverlauf einer Prüfung standhält.

Was Prüfer tatsächlich bewerten

Sie prüfen, ob sich Ihre Entscheidungen verteidigen lassen. Dieser Test zerfällt in vier Bereiche.

Abdeckung: Wird jeder relevante Geschäftspartner geprüft? Über alle Systeme, alle Tochtergesellschaften, alle Transaktionsarten hinweg? Gibt es Lücken, durch die Entitäten ins Geschäft gelangen, ohne geprüft zu werden?

Entscheidungsqualität: War die Untersuchung gründlich, als der Treffer entstand? Hatte der Analyst Zugang zu genug Informationen für ein fundiertes Urteil? War die Entscheidung angesichts der vorliegenden Belege vertretbar?

Konsistenz: Wäre ein anderer Analyst, der denselben Treffer mit derselben Informationslage prüft, zum selben Schluss gekommen? Werden die Maßstäbe über Regionen, Teams und Zeiträume hinweg einheitlich angelegt?

Dokumentation: Ist die Begründung hinter jeder Entscheidung festgehalten? Kann das Compliance-Team den Belegverlauf für einen bestimmten Treffer, einen bestimmten Geschäftspartner, an einem bestimmten Datum erzeugen, ohne ihn von Hand zu rekonstruieren?

Die erste Frage betrifft das Screening-Tool. Die anderen drei betreffen die Trefferbearbeitung, das, was wir Sanctions Resolution nennen.

Die erste Frage: Welche Listen und wie oft

Prüfer fragen, gegen welche Sanktionslisten die Organisation prüft. Mindestens: OFAC, EU-Konsolidierte, UK-Konsolidierte und UN-Sicherheitsrat. Sie fragen, wie häufig geprüft wird, ob neben dem Onboarding auch Transaktionen erfasst werden und ob ein laufendes Monitoring besteht, wenn Listen aktualisiert werden. Sie fragen nach dem Datenanbieter und der Update-Frequenz.

Die meisten Organisationen beantworten diese Fragen mühelos. Moderne Screening-Tools erledigen das automatisch. Wie Software zur Sanktionslistenprüfung funktioniert, ist gut verstanden, und die Listenabdeckung ist für jeden, der einen gängigen Anbieter nutzt, ein gelöstes Problem.

Die eigentliche Prüfung: Was nach dem Treffer geschah

Der substanzielle Teil einer Sanktionsprüfung dreht sich um die Trefferbearbeitung. Hier gelingen oder scheitern Programme.

Können Sie die Untersuchung zu einem bestimmten Treffer zeigen?

Ein Prüfer greift sich einzelne Treffer heraus und verlangt die vollständige Fallakte. Welche Informationen hatte der Analyst? Welche Quellen wurden herangezogen? Was war die Begründung? Was die Entscheidung?

In Organisationen mit starker Resolution-Infrastruktur ist das ein Abruf. Die Fallakte existiert, sie ist strukturiert, sie lässt sich auf Anforderung erzeugen. In den meisten Organisationen ist es eine Rekonstruktion. Die Entscheidung des Analysten steht vielleicht im Screening-Tool. Die stützenden Belege liegen vielleicht auf einem Netzlaufwerk. Die Begründung steht in einem Freitextfeld, in einer E-Mail oder nirgends. Das vollständige Bild für einen einzigen Treffer zusammenzutragen kann Stunden kosten.

Ein Compliance-Verantwortlicher beschrieb den Ist-Zustand unverblümt: „Bei einem Audit müssen Prüfer mehrere Systeme durchgehen, um den Fall zu rekonstruieren.“

Prüfer wissen das. Stoßen sie auf zerstückelte Dokumentation, nehmen sie nicht an, die Entscheidung sei falsch gewesen. Sie halten fest, dass sich die Entscheidung nicht überprüfen lässt. Was sich nicht überprüfen lässt, existiert aus Prüfersicht nicht.

Können Sie Konsistenz belegen?

Prüfer betrachten einzelne Treffer nicht isoliert. Sie suchen nach Mustern.

Wurde dieselbe Entität mehrfach geprüft, waren die Ergebnisse konsistent? Prüften verschiedene Analysten ähnliche Treffer, legten sie dieselben Maßstäbe an? Agiert die Organisation über mehrere Regionen, sind die Dokumentationspraktiken vergleichbar? Inkonsistenz sagt dem Prüfer, dass Ergebnisse von der Person abhängen, nicht vom Prozess. Das ist nicht zwingend ein Verstoß, aber es ist eine Feststellung. Feststellungen summieren sich.

Besonders scharf stellt sich die Konsistenzfrage in dezentralen Organisationen, in denen die Prüfung von Regionalpersonal, Einkaufsteams oder anderen Nichtspezialisten erledigt wird. Wenn der Leiter Trade Compliance in München und ein Regionalleiter in Shanghai beide Sanktionsentscheidungen treffen, will der Prüfer sehen, dass beide nach demselben Maßstab arbeiten. Meist tun sie das nicht.

Können Sie beweisen, dass nichts übersehen wurde?

Die härteste Frage einer Prüfung ist nicht, wie Sie Treffer bearbeitet haben. Es ist, ob Sie alle bearbeitet haben. Es genügt nicht zu zeigen, dass untersuchte Treffer richtig behandelt wurden. Der Prüfer will auch die Gewissheit, dass jede relevante Entität überhaupt geprüft wurde. Gibt es Transaktionen, die am Screening vorbeiliefen? Systeme, in denen die Prüfung nicht erzwungen wird? Onboarding-Wege, die keine Prüfung auslösen?

In Organisationen mit zersplitterter ERP-Landschaft, mehreren Tochtergesellschaften oder manuellen Prüfauslösern ist die Antwort oft ungewiss. Im Hauptsystem mag die Prüfung lückenlos sein, in den Nebensystemen fehlt sie. Das Compliance-Team glaubt vielleicht, die Abdeckung sei vollständig. Die Prüfung zeigt womöglich das Gegenteil.

Wo die meisten Programme zu kurz greifen

Das Muster über Prüfungen hinweg ist beständig. Die Erkennung ist meist ausreichend. Die Lücken liegen in dem, was folgt.

Dokumentation

Fallnotizen sind dünn, uneinheitlich oder fehlen. Freitextfelder enthalten knappe Schlüsse ohne stützende Begründung. Quellen werden nicht genannt. Die Entscheidungsgrundlage für ein freigegebenes False Positive liest sich als „kein Treffer“, ohne dass irgendetwas erklärt, wie dieser Schluss zustande kam.

Prüfer akzeptieren Screenshots nicht als ausreichenden Beleg. Sie erwarten systemerzeugte Aufzeichnungen: was geprüft, was gefunden, was untersucht, was entschieden wurde und warum.

Konsistenz

Verschiedene Analysten dokumentieren unterschiedlich. Verschiedene Regionen legen unterschiedliche Maßstäbe an. Derselbe Treffertyp führt zu unterschiedlichen Ergebnissen, je nachdem, wer ihn wann bearbeitet. Ohne strukturierte Untersuchungsabläufe hängt Konsistenz vollständig an der Disziplin des Einzelnen. In großer Zahl ist das keine verlässliche Kontrolle.

Zersplitterung

Das Screening-Tool hält den Treffer. Das Netzlaufwerk hält das PDF. Der E-Mail-Verlauf hält die Diskussion über den Grenzfall. Das ERP hält die Transaktionsdaten. Kein einziges System erfasst den vollständigen Entscheidungsnachweis.

Verlangt eine Behörde die Akte zu einem bestimmten Geschäftspartner, sucht und sammelt das Compliance-Team Bruchstücke aus verschiedenen Systemen, oft ohne klares Verzeichnis, wo welches Stück liegt. Das signalisiert dem Prüfer, dass das Programm nicht auf Auffindbarkeit ausgelegt wurde.

Wie ein prüfungssicheres Programm aussieht

Der Unterschied zwischen einem Programm, das eine Prüfung übersteht, und einem, das es nicht tut, ist selten das Screening-Tool. Es ist das, was dahintersteht.

Strukturierte Dokumentation als Standard

Jeder Treffer erzeugt einen Fallnachweis, der festhält, was geprüft, was gefunden, welche Quellen herangezogen wurden, wie die Entscheidung lautete und warum. Dieser Nachweis entsteht als Teil des Untersuchungsablaufs, nicht nachträglich unter Zeitdruck.

Einheitliche Untersuchungsmaßstäbe

Derselbe Treffertyp, von jedem Analysten in jeder Region geprüft, führt zur selben Untersuchungstiefe und derselben Dokumentationsqualität. Das verlangt strukturierte Abläufe, nicht Schulung allein.

Ein abrufbarer Nachweis

Der vollständige Entscheidungsverlauf für jeden Geschäftspartner, jeden Treffer, jedes Datum ist von einer Stelle aus zugänglich. Keine Rekonstruktion. Kein Zusammensuchen über Netzlaufwerke und E-Mail-Verläufe. Fragt der Prüfer, ist die Antwort sofort da.

Vollständiger Abdeckungsnachweis

Die Organisation kann belegen, dass jede relevante Entität geprüft wurde, über alle Systeme und Tochtergesellschaften, ohne Lücke. Die Prüfung wird durch Systemlogik ausgelöst, nicht durch menschliches Gedächtnis. Die meisten Compliance-Programme haben das Screening-Tool. Wenige haben die Resolution-Infrastruktur, die es prüfungssicher macht.

Die Prüfung ist nicht das Risiko

Das eigentliche Risiko ist nicht die Prüfung selbst. Es ist, jahrelang mit einer Trefferbearbeitung zu arbeiten, die keiner standhält.

Jeder uneinheitlich untersuchte Treffer, jede dünn gelassene Fallnotiz, jede in einem nicht abrufbaren Format dokumentierte Entscheidung. Das sind keine Probleme, die am Tag der Prüfung entstehen. Sie sammeln sich still an, über tausende Treffer, über Monate und Jahre. Die Prüfung macht sie nur sichtbar.

Die meisten Compliance-Programme sind um die Erkennung herum gebaut. Das Screening-Tool ist konfiguriert, die Listen sind aktuell, das Matching läuft. Dieses Fundament ist notwendig. Geprüft wird es nicht.

Ein Prüfer bewertet nicht Ihr Screening-Tool. Er bewertet Ihre Entscheidungen. Erkennung zeigt Absicht. Resolution beweist Kontrolle.