Compliance-Management Best-Practices – Compliance
erfolgreich im Unternehmen integrieren
Das erwartet Sie
Integration des Compliance-Managements in die Three Lines of Defence
Verankerung des Compliance-Managements in bestehende Strukturen der Organisation
Technische Unterstützung für das Compliance-Management auf strategischer und operativer Ebene
Über den Autor
Andreas Schleinzer ist Kundenbetreuer und Berater mit Fokus auf das integrierte GRC, Schwerpunkt Datenschutz und Compliance-Management.
Compliance-Management analysiert und bewältigt Risiken, die durch die Nichteinhaltung von regulatorischen Vorgaben entstehen können. Diese Risiken können unterschiedliche Ausmaße, von monetären Auswirkungen bis hin zu Haftungsrisiken für die Leitungsorgane, annehmen. Diese Definition zeigt wie eng das Compliance-Management mit dem unternehmensweiten Risikomanagement sowie mit dem internen Kontrollsystem verknüpft ist. Es ist daher naheliegend, auch das Compliance-Management in den Verbund der Three Lines of Defence aufzunehmen. Analog zu den weiteren Managementsystemen entlang der Second Line of Defence lässt sich auch das Compliance-Management in die folgenden drei Bereiche untergliedern:
- Governance
- Strategie
- Operative Umsetzung in den Fachbereichen
Governance
Die Governance-Tätigkeiten für das Compliance-Management umfassen neben der Definition von Begriffen und der Bezugnahme auf normative Referenzen (bspw. zu ONR 192050 oder ISO 19600) auch das Scoping. Dabei wird der Geltungsbereich des Compliance-Managements definiert, der sich anhand von zwei Dimensionen einteilen lässt – Festlegung der Compliance-Themen und Festlegung der Compliance-relevanten Vorgänge. Ziele des Compliance-Managements sind neben der grundlegenden Einhaltung regulatorischer Vorschriften und internen Richtlinien auch die Reduktion von Haftungsrisiken für das Management.
Strategisches Compliance-Management
Gemäß der allgemeinen Definition einer Governance-Funktion befasst sich die strategische Komponente des Compliance-Managements mit der Planung im Sinne von Abläufen und Verantwortlichkeiten, der Erstellung eines Normenverzeichnisses und der Unterstützung und Beratung der operativen Einheiten. Speziell im Compliance-Bereich zählen zu den Tätigkeiten auf dieser Ebene auch die Planung darüber, wie mit anonymen Hinweisen oder eingetretenen Schadensfällen umgegangen wird. Die Sicherstellung der Wirksamkeit des Compliance-Managementsystems (CMS) und die interne und externe Kommunikation runden den Tätigkeitsbereich des strategischen Compliance-Managements ab.
1 Planung mittels initialer Compliance-Risiko-Bewertung
Auf Basis der dokumentierten Geschäftsprozesse kann die Priorisierung aller Compliance-relevanten Vorgänge mit Hilfe von ADOGRC vorgenommen werden. Diesen werden jene Normen zugewiesen, die es bei der Durchführung der Abläufe zu berücksichtigen gilt. Beispielhaft kann dies als Matrix visualisiert werden.
Abbildung 1: Zuordnung der Compliance-relevanten Normen zu den Unternehmensassets wie z. B. Geschäftsprozessen oder Anwendungen
Eine Übersicht über die Einhaltung der Vorgaben kann zentral in einem Dashboard abgerufen werden, das auch themenspezifisch (bspw. zu den Themen DSGVO oder Geldwäscheprävention) verwendet werden kann.
Abbildung 2: Compliance-Dashboard zur unternehmensweiten Darstellung der Erfüllung der Compliance-Anforderungen
Basierend auf der Einschätzung hinsichtlich der Einhaltung der Vorgaben können mögliche Compliance-Risiken analysiert werden. Auch können Überlegungen angestellt werden, wie diese mit Hilfe des internen Kontrollsystems bewältigt werden können.
Abbildung 3: Compliance-Risiko-Matrix mit Bezug auf alle Compliance-relevanten Vorgänge und Kontrollen zur Risikobewältigung
2 Monitoring der Umsetzung in den Fachbereichen
Einer initialen Risikoanalyse muss, gemäß den Vorgaben des unternehmensweiten Risikomanagements, eine regelmäßige Aktualisierung des Risikoportfolios folgen, um zu jeder Zeit die aktuelle Risikosituation im Compliance-Bereich abrufen zu können. Erleichtert wird dies durch eine workflowgestützte Risikobewertung, die die Second Line of Defence automatisch über Probleme der einzelnen Bewertungen benachrichtigt.
Abbildung 4: Compliance-Risikoportfolio mit Bezug auf die Wahrscheinlichkeit und die Auswirkung des Risikos
Abbildung 5: Workflows und Dashboard zur effizienten regelmäßigen Bewertung und Aktualisierung der Compliance-Risiken
Neben der laufenden Risikobewertung umfasst das Monitoring auch die Überwachung, ob die Handlungsempfehlungen bzw. Kontrollen planmäßig durchgeführt wurden, um die Bewältigung der Risiken sicherzustellen. Auch hier erleichtert eine Workflow-Unterstützung die Monitoring-Aufgaben.
Abbildung 6: Workflows und Dashboard zur effizienten Durchführung von Compliance-Kontrollen
Abbildung 7: Überblick über die Qualität der Kontrolldurchführung
Abbildung 8: Zeitliche Planung der Compliance-Kontrollen, um u. a. die Einhaltung von Fristen sicherzustellen
3 Schadensfälle managen
Trotz aller Vorkehrungen kann es zu Schadensfällen bzw. Verlusten kommen, die transparent erfasst und verfolgt werden müssen. Die Einbettung der Schäden in Prozesse und Risiken lässt wertvolle Aufschlüsse zu, die wiederum zu einer Verbesserung der Abläufe führen. Ein Workflow stellt auch hier sicher, dass gemäß den Berechtigungen Verluste erfasst und laufend aktualisiert werden.
Abbildung 9: Dashboard mit Schadensfällen bzw. Verlustereignissen im eigenen Verantwortungsbereich bzw. unternehmensweit
Abbildung 10: Darstellung von Schadensfällen und deren verursachende Prozesse bzw. zugehörige Risiken
4 Evaluierung und Verbesserung durch Audits und Maßnahmen
Das Compliance-Management kann, wie auch andere GRC-Funktionen, die Möglichkeiten von Audits und Maßnahmen nutzen, um den Fortschritt der Umsetzungen zu messen bzw. Verbesserungsvorschläge mittels Maßnahmen zu realisieren. Der Bezug der Audits zu Prozessen, Organisationseinheiten und Compliance-Themen sowie die Berücksichtigung weiterer Aspekte wie z. B. Schadensfälle lassen eine transparente Auditplanung zu.
Abbildung 11: Auditplanung unter Berücksichtigung prüfungsrelevanter Themen hinsichtlich Organisationseinheiten oder Prozesse
Die Umsetzung der getroffenen Maßnahmen kann workflowbasiert verfolgt werden. So erhalten die Verantwortlichen zu jedem Zeitpunkt eine Übersicht über die Fortschritte der Compliance-Maßnahmen.
Abbildung 12: Darstellung einer Maßnahmen-Terminplanung mittels Gantt-View
Abbildung 13: Übersicht über den Fortschritt der Compliance-Maßnahmen
Operative Umsetzung in den Fachbereichen
Die operative Umsetzung der Compliance-Vorgaben erfolgt zumeist unter Berücksichtigung der Vorgaben in den betrieblichen Abläufen. Der Status bezüglich der Erfüllung der Anforderungen in den operativen Einheiten kann mittels Assessment-Matrix transparent dargestellt werden.
Abbildung 14: Bewertung des Erfüllungsgrades der Compliance-Anforderungen mittels Assessment-Matrix
Neben der laufenden Bewertung der Einhaltung der Vorgaben zählt zu den Aufgaben in den Fachbereichen:
- die regelmäßige Bewertung der Compliance-Risiken,
- die Durchführung der Kontrollen zur Bewältigung der Compliance-Risiken,
- die Erfassung und Dokumentation von Schadensfällen,
- die Umsetzung von Maßnahmen, die aus den Audits entstanden sind.
Integrieren Sie Ihr Compliance-Management und steigern Sie Ihre Effizienz
Durch den Aufbau des Compliance-Managements anhand des generischen Ebenenmodells (Governance / Strategie / Umsetzung) gelingt die erfolgreiche Integration des Compliance-Managements v. a. mit dem Risikomanagement und dem internen Kontrollsystem auf Basis der Dokumentation der betrieblichen Abläufe in Form einer Prozesslandkarte. Die Verwendung dieser Prozesslandkarte ermöglicht gleichzeitig die effiziente Umsetzung der Aufgaben in den Fachbereichen, die für die Sicherstellung der Einhaltung der Vorgaben in den Prozessen verantwortlich sind.
BOC Group verfügt über langjährige Erfahrung im Aufbau eines integrierten Compliance-Managements im Sinne der Three Lines of Defence. Wir bieten Fachberatung, umfassende Toolunterstützung und Trainings für die erfolgreiche Umsetzung und den weiterführenden Betrieb. Gerne meistern wir – gemeinsam mit Ihnen – die erfolgreiche Einbettung Ihres Compliance-Managements in einem integrierten GRC-System.