In meinem Blog-Beitrag vor wenigen Tagen habe ich versucht zu zeigen, wie maßgeblich es für den großen Geldwäscheskandal bei der Danske Bank gewesen ist, dass das Management die Organisation restrukturiert hatte. Innerhalb weniger Jahre hatten die Dänen so viele neue Hierarchieschichten eingefügt, dass die Distanz zwischen der Konzernzentrale und der estnischen Tochter, wo das Geld gewaschen wurde, immer größer wurde.
Die von Danske mit der Untersuchung beauftragte Kanzlei Bruun & Hjejle bestreitet, dass man den Vorsitzenden von Vorstand und Aufsichtsrat persönlich etwas vorwerfen kann. Formal wird darauf eingegangen, wie der Aufsichtsrat einen Prüfungsausschuss berufen hat und wie die interne Revision diesem Prüfungsausschuss, dem Aufsichtsrat und dem Vorstand Prüfberichte von unterschiedlicher Detailtiefe vorgelegt hat. Es fällt auf, dass die Anwälte sich keine expliziten Gedanken dazu gemacht haben, wie Ablaufprozesse funktionieren müssen – insbesondere dann, wenn sich wie im Fall Danske eine Systemarchitektur zunehmend disintegriert.
Kleine Fehler, große Folgen
Ich halte das für kurzsichtig. Ein zukunftsorientierter Aufsichtsrat muss in der Lage sein zu erkennen, wenn im Unternehmen ein Technologiedefizit vorliegt. Und er muss einschätzen können, ob der Vorstand seiner Verantwortung für Organisationsaufbau, Prozesse und Systemarchitektur gerecht wird.
Nahezu jedes Unternehmen kann in große Schwierigkeiten geraten, denn viele sind bestrebt, „Legacy IT“ (alte IT) so lange am Leben zu erhalten, wie es noch jemanden gibt, der den Code programmieren kann. Parallel dazu sieht man immer wieder, dass die Marketingabteilung smarte Apps, coole Websites und eigenständige CRM-Systeme entwickelt. Für manche Vorhaben mögen diese Initiativen gut sein – sie bergen aber auch Gefahren. Bestenfalls werden (Kunden-)Daten mehrfach dupliziert. Schlimmstenfalls wird eine Hintertür ins firmeninterne Netzwerk offengelassen.
Diese Gefahren lassen sich zurückdrängen, indem ein Chief Information Officer (CIO) Struktur in die verschiedenen Initiativen bringt. Oft sind CIOs nicht Teil des Vorstands. In diesen Fällen muss die Führung – in aller Regel durch den CFO – kritisch prüfen, ob alle IT-Ausgaben und -investitionen wirklich Sinn machen. Fortlaufende Kleininvestitionen in IT können nämlich ein schleichendes Technologie-Defizit erzeugen. Ein solches deutet sich an, wenn Reports spät ankommen, Datenanalysen nicht wirklich belastbar sind, Transaktionssysteme langsam werden und/oder Kundenstammdaten nicht übermittelt werden können. Dann weiß das Management: Die Digitalisierung ist auf der Strecke liegen geblieben – Alarmstufe Rot!
Der Vorstand muss die Organisation auf den Kopf stellen
Jeanne Ross vom namhaften Massachusetts Institute of Technology (MIT) schlägt für dieses Problem eine einfache Lösung vor: die Bestimmung eines „Datendiktators“ – ein nettes Bild, unter dem wir uns alle etwas vorstellen können. Dennoch erscheint mir eine informationsökologische Sichtweise produktiver.
Statt sich immer wieder mit dem Design der Aufbauorganisation auseinanderzusetzen, sollte der Vorstand dieses Design auch einmal auf den Kopf stellen. Ziel muss es sein, sich ein Bild davon zu machen, inwieweit die operative Ebene tatsächlich Zugang zu jenen Daten hat, die sie für das Tagesgeschäft braucht. Außerdem muss die Führung prüfen, ob aus diesen Daten auch relevante Informationen an die Entscheidungsträger zurück fließen. Schließlich werden in vielen Unternehmen haufenweise Daten produziert, deren Informationsgehalt gering ist. Darum gehen auch so viele Analytics-Projekte schief.
Der Danske-Fall zeigt exemplarisch, wie wichtig dieses Vorgehen ist. Die systemtechnischen Defizite, die dadurch entstanden, dass die estnische Niederlassung nicht in die Konzern-IT integriert wurde, hätten von wirksamen Ablaufprozessen aufgefangen werden müssen. Dann hätte die Danske-Führung wahrscheinlich spätestens 2013, als klare Hinweise auf die Geldwäsche auftauchten, die Notbremse ziehen können.
FINANCE-Blog
Ein Technologiedefizit mit immensen Folgekosten
Der Danske-Fall scheint mir ein außergewöhnliches Beispiel dafür zu sein, welche immensen Folgen ein außer Kontrolle geratenes Technologiedefizit haben kann. Frappierend ist, dass die Danske Bank auch noch einer strengen Regulierung unterlag, während sich die Vorfälle in Estland ereigneten. Daher kann man nur staunen, dass Danske es offenbar akzeptierte, dass der internationale Zahlungs- und Überweisungsverkehr der „Non-Resident Customers“ in Estland nicht richtig kontrolliert wurde.
2007/2008 endete eine Prüfung der estnischen Filiale durch die interne Konzernrevision mit dem Ergebnis, dass alles „zufriedenstellend“ funktionierte. 2012 endete eine Prüfung der Umsetzung der Anti-Geldwäsche-Richtlinien ohne Anmerkungen – die estnische Filiale erhielt von der internen Revision sogar die Bestnote.
Den Aufsichtsrat damals – und vor allem heute – müsste die Frage interessieren, was genau die Revision eigentlich geprüft hat, zumal das Bild 2014 plötzlich ganz anders aussah: Aufgeschreckt durch einen Whistleblower kam die interne Revision da zu dem Ergebnis, dass die Anti-Geldwäsche-Kontrollen in Estland gänzlich unzureichend waren. Die von der Danske Bank beauftragte Kanzlei Bruun & Hjejle bewertet diese Fehleinschätzung als „eine Miskonzeption von historischem Ausmaß“.
„Fehleinschätzung von historischem Ausmaß.“
Und tatsächlich: In den letzten zwölf Monaten hat sich der Aktienkurs der Danske Bank halbiert, 15 Milliarden Euro Börsenwert wurden vernichtet – wenn das kein Weckruf ist, Technologie- und Organisationsdefizite in den Blick zu nehmen!
Info
Lesen Sie im ersten Teil dieser Artikelserie, wie genau es zum Geldwäscheskandal der Danske Bank kommen konnte.
Niels Dechow, PhD, ist Professor für Unternehmensrechnungslegung und Controlling an der European Business School (ebs). Für FINANCE bloggt er regelmäßig zu den neuesten Trends im Controlling. Hier geht es zu allen Beiträgen seines Blogs „Controlling 2020„.