Wie kann ich diverse Compliance-Vorkehrungen in ein digitales Compliance Management System integrieren?

Compliance Management Systeme stoßen durch die teils exponentiell zunehmenden Anforderungen sowie die sich verschärfenden Wettbewerbsbedingungen immer mehr an ihre Grenzen. Abhilfe kann nur eine umfassende Integration der disparaten Compliance-Vorkehrungen schaffen – so viel ist klar. Doch wie kann eine solche Integration gelingen? Unser Experte weiß, wie.

1. Ist-Zustand der vorhandenen Compliance-Maßnahmen aufnehmen

Nicht nur internationale Konzerne, sondern auch mittelständische Unternehmen verfügen inzwischen über Compliance Management Systeme (CMS), die helfen sollen, die Risiken von Regelverstößen und Fehlverhalten zu minimieren, sich verändernde regulatorische Vorschriften im Auge zu behalten und die Wirksamkeit von Kontrollen sicherzustellen.

Verbreitete Instrumente sind u.a.

  • ein Enterprise Risk Management (ERM),
  • ein Internes Kontrollsystem (IKS),
  • interne Richtlinien (Policies), die an das Unternehmen/Branche angepasst sind,
  • Schulung von Führungskräften und Mitarbeitern sowie
  • ein Hinweisgebersystem.

Größere Unternehmen setzen dabei auch digitale Tools wie

  • elektronisches Risiko-Reporting,
  • E-Learning oder
  • die Überprüfung von Beratern und Vertriebsvermittlern im sog. Third Party Check

ein.

Doch angesichts zunehmender Risiken und regulatorischer Vorschriften im internationalen Umfeld sowie der Komplexität von Geschäftsprozessen geraten die CMS immer mehr an die Grenzen ihrer Informationsbewältigung und Steuerungsfähigkeit.

Die überwiegend manuell zu verarbeitenden Daten und zu steuernden Maßnahmen nehmen beachtliche personelle Ressourcen in Anspruch, aber die Gefahr, Risiken zu übersehen, nimmt gleichwohl zu.

Auch wirken sich organisatorische Silos verhängnisvoll aus: Im Bereich der Informationssicherheit haben Cyberangriffe drastisch vor Augen geführt, wie eine fragmentierte und analoge Überwachung von Geschäftsprozessen die Unternehmen nicht mehr schützen können. Davon sind Compliance Management Systeme mit geringem Reifegrad ebenfalls betroffen.

2. Arbeitsfelder und Schnittstellen des CMS integrieren

Einzellösungen des CMS werden dem Umstand, immer mehr Daten, Regeln, Prozesse im Auge zu behalten und aufeinander zu beziehen, nicht mehr gerecht und verschärfen zusätzlich die allgemeine Risikolage und Gefahr von Verstößen. Ein wesentlicher Teil der künftigen Lösung für dieses Problem liegt in der sukzessiven Integration aller Aufgaben, Funktionen, Prozesse und Schnittstellen des CMS.

In einem integrierten CMS erfolgt der Input durch das Risiko Management System, aus welchem das Risikoprofil für jedes Projekt extrahiert werden kann. Aus externen Datenbanken werden die relevanten regulatorischen Vorschriften herangezogen. Auch Meldungen aus dem Hinweisgebesystem werden ausgewertet. Die internen Richtlinien (Policies) und die Verbindung zum Internen Kontrollsystem steuern und überwachen die Umsetzung der Compliance-Vorkehrungen. Schulungen erfolgen aus dem Learning Management System (LMS) heraus. Das Compliance Help Desk greift auf die Risikoanalyse und die Policies zurück. Der Status der weltweiten Compliance Organisation bezüglich Besetzung, Qualifikation und Nachfolge sowie den sich veränderten Arbeitsinhalten und Zeitaufwand wird angezeigt und besitzt eine Schnittstelle zu HR-Systemen.

3. Inhalte und Abläufe digitalisieren

Die Integration der Arbeitsfelder und Schnittstellen des CMS gelingt angesichts der Komplexität der externen und internen Einflussfaktoren aber nur durch Digitalisierung der Informationen und Regelkreise. Das ist der andere wesentliche Teil der künftigen Lösung.

Auch Kontrollen in Echtzeit, also ob die vorgesehenen Compliance-Maßnahmen auch wirklich umgesetzt sind, werden nur digital durchführbar sein. Idealerweise überwacht und steuert das Compliance-Team alle Compliance-Maßnahmen bzw. die Einhaltung von Regeln über ein digitales Dashboard und kann daraus auch Reports erstellen.

Digitale Schlüsselstellen sind die Verlinkung mit Datenbanken, aus denen alle für die Compliance-Prüfung, z.B. eines Anlagebauprojektes in einem korruptionsanfälligen Land, relevanten gesetzlichen Vorschriften und Regeln elektronisch herausgefiltert werden können, der Abgleich der Projektparameter mit den im Risikomanagementsystem erfassten Risiken sowie die Einbettung der (in den internen Richtlinien festgelegten) Gegenmaßnahmen in einem internen Kontrollsystem, deren Umsetzung idealerweise automatisiert überprüft wird.

Ein Compliance Help Desk kann viele Fragen aus der Organisation durch einen intelligenten Chatbot beantworten.

Ein wirksames und effizientes CMS setzt den Daten-/ Informationsaustausch sowohl zwischen allen Arbeitsfeldern innerhalb des CMS als auch mit Systemen anderer Unternehmenseinheiten voraus, was nur digital zu bewerkstelligen ist.

Managementsysteme, die auf einer digitalen Plattform errichtet sind, können alle klassischen Compliance-Aufgaben wie

  • Bekämpfung von Korruption,
  • Geldwäsche,
  • unfairem Wettbewerb (im Sinne des Kartellrechts),
  • Datenschutz,
  • Exportkontrolle oder
  • Wahrung von Menschenrechten

sicherer und nachhaltiger ausführen als in analoger und manueller Form.

4. Zertifizierung erleichtern

ISO 37301 und IDW PS 980 sind die am meisten angewendeten Normen für die Zertifizierung von Compliance-Management-Systemen (CMS).

Diese Normen strukturieren die Compliance-Prozesse nach hohen Qualitätsstandards, schöpfen aber bislang die technischen und organisatorischen Möglichkeiten der Digitalisierung noch nicht aus.

Sie schärfen jedoch das Bewusstsein für einen integrativen Ansatz und Effizienzsteigerung. Umgekehrt, durch Integration und Digitalisierung werden CMS in jedem Fall zertifizierungsfähig.

Digital integrierte CMS begleiten die Unternehmen in die Arbeitswelt 4.0.