Digitalisierung von Compliance-Management-Prozessen
Chance für eine ganzheitliche Betrachtung
von Ingo Simon, Geschäftsführer der SAVISCON GmbH
Die Digitalisierung von Compliance-Prozessen ist auf dem Vormarsch! Diesen Trend bestätigen, stellvertretend für zahlreiche andere Ausführungen und Studien, beispielsweise die jährlichen Studien von Deloitte „The Future of Compliance 20xx”. Der Markt von Anbietern, die digitale Compliance-Produkte anbieten, wächst stetig. Diese Lösungen sind zwar sehr oft gut und sinnvoll, jedoch meist auf spezifische Compliance-Themengebiete fokussiert. Durch die verteilte Bearbeitung bestimmter Compliance-Themenbereiche kann so in größeren Organisationen eine unkoordinierte Anhäufung von IT-Anwendungen entstehen. Das erhöht die Komplexität entweder für den IT-Betrieb, oder, bei starker Nutzung von Cloud-Dienstleistungen, den Aufwand für Datenschutz und Providermanagement. Es erhöht aber nicht unbedingt die Transparenz über alle Compliance-Aktivitäten in der Organisation. Was häufig fehlt ist die „digitale Klammer“ um die Sammlung aller Compliance-Anforderungen, -Risiken und -Maßnahmen und den genutzten spezifischen IT-Anwendungen.
Unterschiedliche Anforderungen führen zu einer Sammlung verschiedener IT-Anwendungen
Die Digitalisierung bietet bereits heute viele Lösungen für bestimmte Compliance-Themenfelder an. Gemäß der Studie von Deloitte „The Future of Compliance 2020“ sind es vor allem Anwendungen für Sanktionslistenprüfung, Geldwäsche-Screening/KYC und Hinweisgebersysteme, die digital gut bis sehr gut funktionieren. Richtung Compliance-Kultur, Kommunikation und Sensibilisierung sind E-Learning und Computer-Based-Trainings bereits weit verbreitet. In der Zukunft werden sich weitere Systeme etablieren. Dabei sind es sicher Detektionsmechanismen, getrieben durch Big Data Analytics und KI, die zukünftig eine größere Rolle spielen werden. Wie etwa die bereits gängigen Anwendungen, welche aus Millionen Kontobewegungen auffällige Transaktionen herausfiltern und diese dem Compliance-Team anzeigen. Für jedes weitere Big Data Analyseziel muss allerdings immer ein eigenes Analysemodell und damit eine weitere Anwendung implementiert oder eingebunden werden.
Die Bearbeitung verschiedener Compliance-Themen ist über die Organisation verteilt
Wechseln wir einmal die Perspektive weg von IT-Systemen auf die Organisation selbst. „Vorzugsweise ist das Compliance-Management […] in das Finanz-, Risiko-, Qualitäts-, Umwelt- und Gesundheitsmanagement der Organisation und die betrieblichen Gegebenheiten und Prozesse integriert.“ Dieser Satz trifft den Nagel auf den Kopf, und das nicht ganz unerwartet. Schließlich steht er in der Einleitung der DIN ISO 19600:2016-12 Compliance-Managementsysteme – Leitlinien. Und eigentlich müsste man in dem Satz heutzutage noch das IT-Sicherheitsmanagement und das Management des Datenschutzes ergänzen.
Dennoch ist die Wahrnehmung im Austausch mit unseren Kunden eine andere. Die Rechtsabteilungen größerer Organisationen behandeln in der Regel die gängigen Themen wie Geldwäsche und Terrorismusbekämpfung, Kartellrecht, Bestechung und Bestechlichkeit in einem Team. In der Finanzindustrie beispielsweise kommen die spezifischen Anforderungen der BaFin wie MaRisk, VAIT oder einschlägige Gesetze wie das Versicherungsvertragsgesetz noch dazu. Die Überprüfung weiterer bindender Verpflichtungen liegt jedoch regelmäßig in anderen Organisationseinheiten bei dazu ernannten Beauftragten. Hier geht es um Datenschutz, Umweltschutz, Arbeitsschutz, Betreiberverantwortung oder (IT-)Sicherheitsmanagement, um einmal die häufigsten zu nennen. Die benannten Beauftragten sitzen eher selten in der Compliance-Abteilung. Sie nehmen „ihre“ Themen für sich mit und bearbeiten diese nach bestem Wissen und Gewissen. Und das unter Umständen noch in eigenen, spezialisierten IT-Anwendungen.
Die digitale Klammer – ein digitales CMS
Die Anzahl der spezifischen Compliance-Anwendungen gepaart mit der Verteilung der Compliance-Themen auf die verschiedenen Organisationseinheiten erschwert den Überblick. Transparenz über den gesamten Compliance-Status einer Organisation zu erhalten, und diesen an verschiedene Stakeholder zielgruppengerecht und tagesaktuell zu berichten, wird so zur ständigen Herausforderung für die Ausführenden der Compliance-Funktion.
Hier kann die Digitalisierung klar weiterhelfen. Sie schafft mit einer Integration verschiedener Compliance-Themen in ein CMS signifikante Synergieeffekte. Das liegt daran, dass für die Themengebiete oft eigene Managementsysteme entworfen worden sind, wie ein Blick auf die einschlägigen DIN/ISO Standards zeigt. Die Anforderungen an die Prozesse in den Managementsystemen sind daher weitestgehend deckungsgleich. Die gängigen Managementsysteme orientieren sich in der Regel am Deming-Zyklus (Plan-Do-Check-Act) oder ähnlichen Konstrukten zur kontinuierlichen Verbesserung. Ein generischer digitaler CMS Kernprozess stellt sich wie folgt dar:
Beispielhafter Ablauf des Prozesses
Es beginnt mit Informationen, die möglicherweise Auswirkungen auf die Compliance haben. Diese Information werden in den Identifikationen am Anfang des Prozesses dokumentiert und über Workflows einer Würdigung durch eine oder mehrere betroffene Fachabteilungen zugeführt. Dabei kann es verschiedene Quellen für Identifikationen geben. Ob nun der Entwurf des Lieferkettengesetztes oder die Anbahnung eines Großauftrags zur Lieferung von Maschinenteilen ins Ausland. Beide Identifikationen müssen bezüglich der Abhängigkeit oder Auswirkungen auf die Compliance untersucht werden. Auch Einträge aus einem Hinweisgebersystem können über einen besonders geschützten Workflow anonymisiert und neutralisiert in Identifikationen hineinlaufen. Nur, wenn die Untersuchung der Identifikation einen Handlungsbedarf ergibt, läuft die Information in den Compliance-Management-Kernprozess.
Im Falle des Gesetzentwurfs wird das Gesetz als Anforderung in das System geladen. Es wird geprüft, ob die Organisation gegenüber den neuen Anforderungen bereits Maßnahmen implementiert hat, die den Anforderungen gerecht werden. Ist das der Fall, werden die Maßnahmen dokumentiert und mit der Anforderung verknüpft. Ist das nicht der Fall, muss die Risikoprüfung erfolgen und festgestellt werden, ob die Non-Compliance hier ein wesentliches Risiko darstellt. Wenn ja, müssen entsprechende Maßnahmen zur Risikobehandlung abgeleitet und geplant werden. Die Umsetzung aller Maßnahmen muss überwacht und deren Wirksamkeit festgestellt werden.
Bei dem Beispiel des Großauftrags leitet man direkt aus der Identifikation die Risiken ab, welche der Auftrag mit sich bringt. Beispielsweise Währungsrisiken, Risiken der Logistik oder auch Risiken aufgrund politischer Rahmenbedingungen. Aber auch Maßnahmen können direkt aus der Identifikation abgeleitet bzw. bereits vorhandene Maßnahmen damit verknüpft werden. Zum Beispiel die bereits bestehenden Standardmaßnahmen zur Überprüfung der Sanktionslisten und die Prüfung, ob Dual-Use bei den zu liefernden Maschinenteilen möglich und die Lieferung damit erlaubt ist. Auch diese Maßnahmen bekommen jeweils eine Überwachung und müssen bezüglich Durchführung und Wirksamkeit im System dokumentiert werden.
Die generische Anwendung ermöglich ein umfassendes Berichtswesen
Dieses Vorgehen lässt sich auf beliebige Compliance-Themen ausweiten. Jede Information, die relevant sein könnte, wird als Identifikation einer Würdigung unterzogen. Wird kein Handlungsbedarf festgestellt, so ist trotzdem im System dokumentiert, dass das Thema betrachtet wurde und warum diese Einschätzung getroffen wurde. Alle anderen Themen laufen in den Kernprozess, der generisch für alle Themen funktioniert.
Da alles in einem System stattfindet, ist auch das zielgerichtete Reporting leicht umgesetzt. Dabei geht es zum einen um Berichte in Form von Dokumenten, aber vor allem auch um ein Cockpit, in dem der Zustand des Systems immer aktuell auf einen Blick erfassbar ist:
In einer operativen Plausibilitätsprüfung können Auffälligkeiten ausgewertet und dargestellt werden, sodass mit einem Mausklick direkt die Auffälligkeiten betrachtet, analysiert und behoben werden können.
Ein weiterer Vorteil des digitalen CMS ist, dass für interne und auch externe Audits alle Information im System vorhanden sind. Man kann also die Auditoren mit temporären und gezielten Zugriffsberechtigungen den Zustand des Compliance-Management-Systems vorab remote prüfen lassen, bevor ggf. eine örtliche Begehung stattfindet. Das reduziert die Reisetätigkeit und beschleunigt den Auditprozess erheblich.
Das bringt uns zurück an den Beginn dieses Textes. Die Ausführung soll zeigen, dass es mit einem solchen generischen Ansatz gelingen kann, alle Compliance-Themengebiete und auch Managementsysteme in einer Anwendung abzubilden. Entsprechende zielgruppenkonforme Sichten zeigen den spezifischen Anwendern genau die Informationen, die sie benötigen. Trotzdem hat aber die Unternehmensleitung einen vollständigen und ganzheitlichen Überblick, wie es um das Compliance-Management im Unternehmen bestellt ist. Das funktioniert allerdings nur, wenn die Compliance-Management-Prozesse komplett in einem digitalen CMS abgebildet sind, das die digitale Klammer um alle darunter liegenden Einzelprozesse und IT-Anwendungen bildet.
Fazit: Eine digitale Umsetzung eines Compliance-Management-Systems eröffnet die (einzige) Chance, trotz der großen Menge der anfallenden Daten und unabhängig von der Größe der Organisation, das CMS ganzheitlich aufzusetzen. Es ermöglicht ein Aufbrechen der Prozess-Silos und schafft damit erhebliche Synergieeffekte, die in der Bearbeitung der Compliance-Themen im gesamten Unternehmen gehoben werden können.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus.