Compliance Maturity & Issue Management

Ausgangssituation

Unser beispielhafter Kunde verfügt über Niederlassungen im In- und Ausland und hatte bereits für alle relevanten Compliance Themen Compliance Standards und Arbeitsanweisungen festgelegt, die als Mindestanforderungen für die Business Bereiche verpflichtend waren und in den jeweiligen Geschäftsprozessen verankert werden mussten. Arbeitsanweisungen bzw. Compliance Standards beinhalteten auch die Definition von Key Controls, anhand derer im Rahmen des Prozessmanagements Regelverstöße sichtbar gemacht bzw. verhindert werden sollten.

Im Rahmen periodisch durchgeführter Compliance Reviews in den Business-Bereichen im In- und Ausland wurde seitens der Compliance Funktion überprüft, ob die bestehenden Prozesse den Anforderungen genügen und ob die – teilweise IT-unterstützten – Key Controls eine effektive Überwachung ermöglichen.

Um aktuelle und zukünftige regulatorische Änderungen im In- und Ausland rechtzeitig zu erkennen und deren Einhaltung in den Geschäftsprozessen sicherzustellen, setzte das Unternehmen ein sog. „Regulatory/Legal Change Tool“ ein.

Problemstellung

Auch wenn das Unternehmen sämtliche bereits gültigen und zukünftigen Compliance Anforderungen in entsprechenden Arbeitsanweisungen und Compliance Standards niedergelegt hatte, war es gleichwohl herausfordernd, die Einhaltung dieser Vielzahl von Einzelregelungen sicherzustellen. Insbesondere mussten zur Abhilfe von festgestellten Compliance Issues verantwortliche Personen in der „first line“ und Erledigungstermine festgelegt werden. Diese wurden zwar ordnungsgemäß dokumentiert, insbesondere aus Kapazitätsgründen mangelte es aber an laufenden Fortschrittskontrollen, sodass die vereinbarten Erledigungstermine regelmäßig nicht eingehalten wurden. Außerdem waren die Verantwortlichen meist nur mit erheblichem Rechercheaufwand in der Lage, gegenüber dem Management Auskunft zu geben.

Zielsetzung

Ziel war es, für die Compliance Funktion eine technische Lösung zu entwickeln, die in Ergänzung zu den bereits eingesetzten Tools sicherstellt, dass die Compliance Arbeitsanweisungen und Standards sowie die zugehörigen Key Controls den jeweiligen Business Bereichen im In- und Ausland richtig zugeordnet und deren Einhaltung durch die „first line“ regelmäßig überwacht wird. Des Weiteren sollte die Lösung eine transparente Dokumentation aller Überwachungshandlungen ermöglichen, periodische Reviews unterstützen und eine umfassende Berichtsfähigkeit gewährleisten.

Lösung

Auf Basis des definierten Zielbildes wurde ein webbasiertes Compliance Assurance Tool (CAT) entwickelt, das aus vier Modulen besteht:

(1) Compliance Requirements

In diesem Modul, das primär ein Informationsportal darstellt, werden alle gültigen Compliance Anforderungen im Unternehmen beschrieben. Enthalten sind eine Kurzbeschreibung, die Zielsetzung der Regelung und welche Bereiche des Unternehmens typischerweise betroffen sind. Darüber hinaus werden relevante Dokumente zum Download zur Verfügung gestellt oder entsprechende Verweise auf in- und externe Dokumente hinterlegt. Dieses Informationsportal steht allen Mitarbeitern informativ zur Verfügung und ist eine auf Compliance Themen fokussierte Ergänzung zum Anweisungswesen.

Die Art der Darstellung erlaubt eine Kategorisierung nach unterschiedlichen Compliance Programmen / Themenbereichen.

(2) Compliance Target Model

In diesem Modul werden durch die Compliance Funktion die im Modul Compliance Requirements definierten Anforderungen den Geschäftsbereichen und Tochtergesellschaften (nachfolgend Assignee) im In- und Ausland verbindlich zugewiesen. Das Modul ermöglicht somit eine umfassende Zuordnung von Compliance Verantwortlichkeiten für die gesamte Organisation.

Die Zuordnung erfolgt durch die Compliance-Officer in der Zentrale oder durch dezentrale Compliance Funktionen und beinhaltet bereits konkrete Erledigungstermine. Auf dieser Grundlage werden anschließend Self-Assessment Prozesse gestartet.

(3) Compliance Maturity Review & Implementation Monitoring

Auf Basis der o.g. Zuweisung von Compliance Aufgaben führen die jeweiligen Assignees mit Hilfe der durch das Modul Compliance Requirements bereitgestellten Informationen Self-Assessments durch. Sollte ein Assignee zu dem Ergebnis kommen, dass die Zuweisung des Compliance-Themas entweder nicht von Relevanz ist oder die Anforderungen bereits vollständig erfüllt sind, hat er dies zu begründen und mit entsprechenden Nachweisen als Anlage zu ergänzen. Alternativ kann der Assignee feststellen, dass die Anforderungen nicht oder nicht vollständig erfüllt werden.

Im nächsten Schritt werden die Self-Assessments einem Review durch die Compliance Funktion unterzogen. Sollte die Compliance Funktion mit dem Ergebnis des Self-Assessment nicht einverstanden sein, wird der Vorgang an den Assignee zurückgegeben, um zusätzliche Nachweise zu erbringen. Gegenstand der Self-Assessments ist auch ein Effektivitätstest der Key Controls.

Kann die Einhaltung der Anforderungen des Compliance Themas nicht nachgewiesen werden, wird im CAT automatisch ein sog. „Compliance Issues“ angelegt. Gleichzeitig erstellt der Assignee im Tool einen einfachen Projektplan (Meilensteinplan mit definierten Start- und Enddaten sowie Verantwortlichkeiten), der von der Compliance Funktion überprüft und freigegeben werden muss. Während der Implementierung gibt der Assignee zu den einzelnen Meilensteinen periodisch kurze Statusberichte ab. Nach erfolgreicher Bearbeitung des Issues erfolgt über die Review-Funktionalität im CAT ein formaler Abschluss des Implementierungsprojekts.

Das Modul ermöglicht auch wiederkehrende und automatisch angestoßene periodische Self-Assessments, so dass je nach bestehendem Compliance Risiko in einzelnen Compliance Themen dauerhaft eine enge Begleitung stattfindet.

(4) Compliance Maturity & Issue Reporting

Über ein Reporting Modul werden der Compliance Funktion und den jeweiligen Geschäftsbereichen umfangreiche Reports zur Verfügung gestellt. Dazu gehören u. a. sog. „Compliance Maturity Reports“, mit denen die Compliance Funktion praktisch tagesaktuell erkennen kann, in welchem Status sich die einzelnen Compliance Themen in der Organisation befinden. Dabei werden nicht nur Geschäftsbereiche mit materiellen Compliance Problemen sichtbar, sondern auch thematische Cluster, so dass die Compliance Funktion ihre Ressourcen für die Risikominimierung zielgerichtet einsetzen und priorisieren kann.

Ergebnis

Mit der neu geschaffenen Lösung für das Compliance Maturity & Issue Management hat die Compliance Funktion ein Werkzeug an die Hand bekommen, das die Absicherung von Compliance (Assurance) mit einem digital gesteuerten Workflow optimal unterstützt und gleichzeitig die Geschäftsbereiche in der „first line“ in die Verantwortung nimmt.

Außerdem wird die Compliance Funktion in die Lage versetzt, transparent und zeitnah an das Management über den Compliance Status in der Organisation zu berichten. Aufgrund der Dokumentation im CAT kann gegenüber der Internen Revision und der Aufsichtsbehörde ohne weiteres nachgewiesen werden, welche Compliance Maßnahmen getroffen wurden. Da die einzelnen Projekte zur Behebung von Compliance Issues verbindlich vereinbart und dokumentiert sind, werden Verzögerungen sofort sichtbar.

Auf diese Weise wurde die Wirksamkeit des Compliance Managements signifikant gestärkt, und es konnten durch die Reduzierung von manuellen und redundanten Arbeitsschritten sowie die Vermeidung von IT-bedingten Medienbrüchen erhebliche Kapazitäts- und Kosteneinsparungen erzielt werden.