Compliance-Management Best-Practices – Compliance
erfolgreich im Unternehmen integrieren

Compliance-Management analysiert und bewältigt Risiken, die durch die Nichteinhaltung von regulatorischen Vorgaben entstehen können. Diese Risiken können unterschiedliche Ausmaße, von monetären Auswirkungen bis hin zu Haftungsrisiken für die Leitungsorgane, annehmen. Diese Definition zeigt wie eng das Compliance-Management mit dem unternehmensweiten Risikomanagement sowie mit dem internen Kontrollsystem verknüpft ist. Es ist daher naheliegend, auch das Compliance-Management in den Verbund der Three Lines of Defence aufzunehmen. Analog zu den weiteren Managementsystemen entlang der Second Line of Defence lässt sich auch das Compliance-Management in die folgenden drei Bereiche untergliedern:

• Governance
• Strategie
• Operative Umsetzung in den Fachbereichen

Die Governance-Tätigkeiten für das Compliance-Management umfassen neben der Definition von Begriffen und der Bezugnahme auf normative Referenzen (bspw. zu ONR 192050 oder ISO 19600) auch das Scoping. Dabei wird der Geltungsbereich des Compliance-Managements definiert, der sich anhand von zwei Dimensionen einteilen lässt – Festlegung der Compliance-Themen und Festlegung der Compliance-relevanten Vorgänge. Ziele des Compliance-Managements sind neben der grundlegenden Einhaltung regulatorischer Vorschriften und internen Richtlinien auch die Reduktion von Haftungsrisiken für das Management.

Gemäß der allgemeinen Definition einer Governance-Funktion befasst sich die strategische Komponente des Compliance-Managements mit der Planung im Sinne von Abläufen und Verantwortlichkeiten, der Erstellung eines Normenverzeichnisses und der Unterstützung und Beratung der operativen Einheiten. Speziell im Compliance-Bereich zählen zu den Tätigkeiten auf dieser Ebene auch die Planung darüber, wie mit anonymen Hinweisen oder eingetretenen Schadensfällen umgegangen wird. Die Sicherstellung der Wirksamkeit des Compliance-Managementsystems (CMS) und die interne und externe Kommunikation runden den Tätigkeitsbereich des strategischen Compliance-Managements ab.

Auf Basis der dokumentierten Geschäftsprozesse kann die Priorisierung aller Compliance-relevanten Vorgänge mit Hilfe von ADOGRC vorgenommen werden. Diesen werden jene Normen zugewiesen, die es bei der Durchführung der Abläufe zu berücksichtigen gilt. Beispielhaft kann dies als Matrix visualisiert werden.

Abbildung 1: Zuordnung der Compliance-relevanten Normen zu den Unternehmensassets wie z. B. Geschäftsprozessen oder Anwendungen

Eine Übersicht über die Einhaltung der Vorgaben kann zentral in einem Dashboard abgerufen werden, das auch themenspezifisch (bspw. zu den Themen DSGVO oder Geldwäscheprävention) verwendet werden kann.

Abbildung 2: Compliance-Dashboard zur unternehmensweiten Darstellung der Erfüllung der Compliance-Anforderungen

Basierend auf der Einschätzung hinsichtlich der Einhaltung der Vorgaben können mögliche Compliance-Risiken analysiert werden. Auch können Überlegungen angestellt werden, wie diese mit Hilfe des internen Kontrollsystems bewältigt werden können.

Abbildung 3: Compliance-Risiko-Matrix mit Bezug auf alle Compliance-relevanten Vorgänge und Kontrollen zur Risikobewältigung

Einer initialen Risikoanalyse muss, gemäß den Vorgaben des unternehmensweiten Risikomanagements, eine regelmäßige Aktualisierung des Risikoportfolios folgen, um zu jeder Zeit die aktuelle Risikosituation im Compliance-Bereich abrufen zu können. Erleichtert wird dies durch eine workflowgestützte Risikobewertung, die die Second Line of Defence automatisch über Probleme der einzelnen Bewertungen benachrichtigt.

Abbildung 4: Compliance-Risikoportfolio mit Bezug auf die Wahrscheinlichkeit und die Auswirkung des Risikos

Abbildung 5: Workflows und Dashboard zur effizienten regelmäßigen Bewertung und Aktualisierung der Compliance-Risiken

Neben der laufenden Risikobewertung umfasst das Monitoring auch die Überwachung, ob die Handlungsempfehlungen bzw. Kontrollen planmäßig durchgeführt wurden, um die Bewältigung der Risiken sicherzustellen. Auch hier erleichtert eine Workflow-Unterstützung die Monitoring-Aufgaben.

Abbildung 6: Workflows und Dashboard zur effizienten Durchführung von Compliance-Kontrollen

Abbildung 7: Überblick über die Qualität der Kontrolldurchführung

Abbildung 8: Zeitliche Planung der Compliance-Kontrollen, um u. a. die Einhaltung von Fristen sicherzustellen

Trotz aller Vorkehrungen kann es zu Schadensfällen bzw. Verlusten kommen, die transparent erfasst und verfolgt werden müssen. Die Einbettung der Schäden in Prozesse und Risiken lässt wertvolle Aufschlüsse zu, die wiederum zu einer Verbesserung der Abläufe führen. Ein Workflow stellt auch hier sicher, dass gemäß den Berechtigungen Verluste erfasst und laufend aktualisiert werden.

Abbildung 9: Dashboard mit Schadensfällen bzw. Verlustereignissen im eigenen Verantwortungsbereich bzw. unternehmensweit

Abbildung 10: Darstellung von Schadensfällen und deren verursachende Prozesse bzw. zugehörige Risiken

Das Compliance-Management kann, wie auch andere GRC-Funktionen, die Möglichkeiten von Audits und Maßnahmen nutzen, um den Fortschritt der Umsetzungen zu messen bzw. Verbesserungsvorschläge mittels Maßnahmen zu realisieren. Der Bezug der Audits zu Prozessen, Organisationseinheiten und Compliance-Themen sowie die Berücksichtigung weiterer Aspekte wie z. B. Schadensfälle lassen eine transparente Auditplanung zu.

Abbildung 11: Auditplanung unter Berücksichtigung prüfungsrelevanter Themen hinsichtlich Organisationseinheiten oder Prozesse

Die Umsetzung der getroffenen Maßnahmen kann workflowbasiert verfolgt werden. So erhalten die Verantwortlichen zu jedem Zeitpunkt eine Übersicht über die Fortschritte der Compliance-Maßnahmen.

Abbildung 12: Darstellung einer Maßnahmen-Terminplanung mittels Gantt-View

Abbildung 13: Übersicht über den Fortschritt der Compliance-Maßnahmen

Die operative Umsetzung der Compliance-Vorgaben erfolgt zumeist unter Berücksichtigung der Vorgaben in den betrieblichen Abläufen. Der Status bezüglich der Erfüllung der Anforderungen in den operativen Einheiten kann mittels Assessment-Matrix transparent dargestellt werden.

Abbildung 14: Bewertung des Erfüllungsgrades der Compliance-Anforderungen mittels Assessment-Matrix

Neben der laufenden Bewertung der Einhaltung der Vorgaben zählt zu den Aufgaben in den Fachbereichen:

• die regelmäßige Bewertung der Compliance-Risiken,
• die Durchführung der Kontrollen zur Bewältigung der Compliance-Risiken,
• die Erfassung und Dokumentation von Schadensfällen,
• die Umsetzung von Maßnahmen, die aus den Audits entstanden sind.

Durch den Aufbau des Compliance-Managements anhand des generischen Ebenenmodells (Governance / Strategie / Umsetzung) gelingt die erfolgreiche Integration des Compliance-Managements v. a. mit dem Risikomanagement und dem internen Kontrollsystem auf Basis der Dokumentation der betrieblichen Abläufe in Form einer Prozesslandkarte. Die Verwendung dieser Prozesslandkarte ermöglicht gleichzeitig die effiziente Umsetzung der Aufgaben in den Fachbereichen, die für die Sicherstellung der Einhaltung der Vorgaben in den Prozessen verantwortlich sind.

BOC Group verfügt über langjährige Erfahrung im Aufbau eines integrierten Compliance-Managements im Sinne der Three Lines of Defence. Wir bieten Fachberatung, umfassende Toolunterstützung und Trainings für die erfolgreiche Umsetzung und den weiterführenden Betrieb. Gerne meistern wir – gemeinsam mit Ihnen – die erfolgreiche Einbettung Ihres Compliance-Managements in einem integrierten GRC-System.