Hatte das Thema Compliance-Anforderungen in der Vergangenheit eher für große und international aktive Konzerne Relevanz, ist heute auch der Mittelstand aufgewacht. In einer aktuellen Studie gaben 40 Prozent der befragten kleinen und mittleren Firmen an, sie hätten bereits ein unternehmensweites Compliance-System im Einsatz.
Weitere 40 Prozent nutzen ein solches System zumindest in Teilbereichen ihres Betriebs. 90 Prozent der Befragten erklärten, sie wollten ihre Compliance-Maßnahmen in den nächsten Jahren ausweiten.
Mit gutem Grund: 2017 entwickelt sich zu einem turbulenten Jahr in Sachen Compliance. Mit der Kombination aus BREXIT, der Trump-Präsidentschaft und der Reform der EU-Datenschutzregeln stehen regulatorische Änderungen und Unsicherheiten wieder im Rampenlicht. Und weil bei Verstößen wieder Strafzahlungen in enormer Höhe drohen, sorgen sich die Compliance-Beauftragten mehr denn je um ihre persönliche Haftung.
Compliance-Anforderungen: DSGVO – der Countdown läuft
Falls sich Ihr Unternehmen noch nicht mit der Datenschutzgrundverordnung (DSGVO) beschäftigt hat, gehören Sie möglicherweise bereits zu den Nachzüglern. Die DSGVO wurde im Mai 2016 ratifiziert und soll den Schutz personenbezogener Daten an das digitale Zeitalter anpassen.
Mit der Verordnung werden den Unternehmen strenge Vorgaben für den Umgang mit und das Speichern von personenbezogenen Daten von EU-Bürgern auferlegt. Die Richtlinie wird weitreichende Auswirkungen auf Unternehmen haben – vom Einholen von Einverständniserklärungen der Kunden, über den Einsatz von Cookies auf Firmen-Webseiten bis zum „Recht auf Vergessen“.
Die DSGVO betrifft jedoch nicht nur Unternehmen in der EU. Die EU-Rechtsvorschriften gelten für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt und speichert. Da die DSGVO ab Mai 2018 greift, läuft für die Organisationen der Vorbereitungscountdown. Die DSGVO wirkt sich allerdings nicht nur auf das Compliance-Team aus. Sie betrifft auch viele andere Unternehmensbereiche.
Wichtige Schritte
Ermitteln Sie im ersten Schritt in welchen Prozessen und Inhalten Ihre Organisation personenbezogene Daten verarbeitet. Dazu gehört unter anderem:
- Welche personenbezogenen Daten werden verarbeitet?
- Wo im gesamten Unternehmen werden solche Daten gespeichert?
- Wer hat Zugang zu diesen Daten?
- Wurde das Einverständnis zur Nutzung eingeholt, und wo ist das dokumentiert?
- Wohin und woher werden diese Daten übertragen (auch an Dritte und grenzüberschreitend)?
- Wie werden die Daten während ihres gesamten Lebenszyklus gesichert?
- Gibt es Richtlinien und Prozesse zum Umgang mit personenbezogenen Daten?
Auf der OpenText Webseite zur DSGVO (Englisch) erfahren Sie mehr über die Richtlinie und wie OpenText Sie unterstützen kann.
Compliance-Anforderungen: Der Druck auf die Compliance-Verantwortlichen lässt nicht nach
Der Stellenwert von Compliance-Beauftragten ist so hoch wie nie zuvor, doch mit großem Einfluss ist auch große Verantwortung verbunden. Der Druck auf die Compliance-Verantwortlichen wächst ständig, und 2017 bildet hier keine Ausnahme.
So erwarteten beispielsweise 69 Prozent der befragten Unternehmen (Englisch) im Jahr 2016, dass die Regulierungsbehörden im folgenden Jahr noch mehr Vorschriften erlassen würden. 26 Prozent erwarteten sogar deutlich mehr Vorschriften.
Zudem scheint die persönliche Haftung zur bleibenden Sorge zu werden. 60 Prozent der in einer Studie (Englisch) Befragten gingen von einer steigenden persönlichen Haftung der Compliance-Beauftragten in den nächsten zwölf Monaten aus, 16 Prozent davon sogar von einer deutlichen Steigerung.
Zusätzlich stellt die DSGVO ausdrücklich klar, dass Unternehmen eine qualifizierte Compliance-Funktion zu besetzen haben, den sogenannten Datenschutzbeauftragten (DSB). Obwohl die DSGVO die erforderlichen Zertifizierungen der DSB nicht im Detail festlegt, verlangt die Regelung dennoch, dass diese „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen“.
Wichtige Schritte
Datenschutzbeauftragte müssen keine technischen Experten sein. Doch sie müssen wissen, wie sie die Softwarelösungen für Governance, Compliance und Risikomanagement (Englisch) nutzen, um sich ihre Aufgaben zu erleichtern. Weitere wichtige Schritte: Stellen Sie sicher, dass Ihre Richtlinien auf dem neuesten Stand sind und die Mitarbeiter ihre Compliance-Aufgaben verstehen und entsprechend geschult sind.
Mehr erfahren Sie in diesem AIIM-Whitepaper mit Infografik „Governance, Compliance und Risikomanagement mit ECM und BPM managen“ (Englisch).
Compliance-Anforderungen: Eine neue Regierung bedeutet auch neue regulatorische Schwerpunkte
US-Präsident Trump hat seinen Wunsch, bestehende gesetzliche Beschränkungen zu reduzieren, stets klar geäußert. Vom Finanzdienstleistungssektor (Englisch) bis zum Umweltbereich (Englisch) bereiten sich Compliance-Beauftragte auf die Änderungen und deren Auswirkungen vor.
Die meisten Branchenexperten sind sich einig, dass selbst dort, wo gesetzliche Regelungen vereinfacht (Englisch) oder reformiert werden, eine Menge Arbeit auf ihre Mitarbeiter wartet. Schließlich muss die durch den Wegfall bisheriger Gesetze entstandene Lücke gefüllt oder geklärt werden, wie neue Gesetze anzuwenden sind. Die Situation mag im Moment noch unklar sein, doch unabhängig davon können Sie sicher sein, dass mit jeder Änderung Arbeit auf Ihr Compliance-Team zukommt.
Wichtige Schritte
Wie bereitet man sich auf Unbekanntes vor? Der weise Rat vieler Experten lautet, vorerst beim normalen Tagesgeschäft zu bleiben und Regelungen und Prozesse noch nicht zu überarbeiten. Dennoch: Jetzt ist ein guter Zeitpunkt, um Ihr gesamtes Compliance-Programm zu evaluieren.
Ein Beispiel: Falls Sie Ihre Hausaufgaben im Bereich der juristischen Anforderungen zum Information Management noch nicht gemacht haben, packen Sie das Thema jetzt an. Ob Ihre Firma in den USA angesiedelt ist oder dort nur Geschäfte tätigt – mögliche Änderungen der Gesetzeslandschaft bedeuten, dass sich Unternehmen schnell anpassen müssen. Nur so können sie rasch von Chancen profitieren, Risiken minimieren und gesetzeskonform bleiben.
Hier erfahren Sie mehr über die Compliance-Lösungen von OpenText (Englisch).
Compliance-Anforderungen: Wenn die Kosten für Compliance-Prozesse steigen, fordern Organisationen auch mehr Nachweise für deren Nutzen
In einer Umfrage von Thomson Reuters gaben 2016 69 Prozent der Organisationen (Englisch) an, dass sie von einer Erhöhung ihres Gesamtbudgets für Compliance in den kommenden zwölf Monaten ausgehen.
Weltweit werden entsprechende Abteilungen ausgebaut und erhalten mehr Befugnisse, Personal und Verantwortung. Damit sind sie aber auch besser als Kostenstelle innerhalb der Organisation erkennbar. Die direkte Folge: Maßnahmen sollen sich nicht mehr nur minimal negativ auf das Betriebsergebnis auswirken.
Im Gegenteil, es gibt mehr Druck denn je zu demonstrieren, dass die Compliance-Maßnahmen einen positiven Beitrag zum Betriebsergebnis leisten. Return on Compliance (ROC) ist zwar kein neues Konzept, aber in 2017 müssen Organisationen tatsächlich nachweisen, welchen Nutzen das Unternehmen aus seinen Investitionen zieht.
Wichtige Schritte
- Definieren Sie Kennzahlen – woran und wie messen Sie den Erfolg und ROI Ihrer Compliance-Maßnahmen? Mögliche Beispiele sind vermiedene oder reduzierte Kosten für Rechtsstreitigkeiten oder Strafen und effizientere Compliance-Prozesse.
- Legen Sie eine Ausgangsbasis fest – ohne Basiskennzahlen lassen sich Verbesserungen schwer nachweisen. Sie haben noch keine Basis-KPIs erfasst? Handeln Sie jetzt.
- Bewerten Sie im Vergleich zur Best Practice Ihrer Branche.
- Ziehen Sie möglichst viele Branchenstudien zu Rate, die zeigen, wie Ihre Geschäfte von Compliance profitieren. Führungskräfte und Aufsichtsratsmitglieder wissen Daten und Recherchen zu schätzen.
- Prüfen, prüfen und nochmals prüfen – wie in anderen Unternehmensbereichen auch sollte die Bewertung des ROI von Compliance-Maßnahmen nicht nur einmal jährlich stattfinden. Überprüfen und ergänzen Sie Ihre Pläne und Strategie mindestens vierteljährlich.
Compliance-Anforderungen: Geht es um Compliance, sind Sie Ihres Bruders Hüter – Unternehmen kämpfen immer noch mit Drittrisiken
32 Prozent der Teilnehmer einer von Navex Global durchgeführten Studie (Englisch) berichteten, sie wären in den letzten drei Jahren mit rechtlichen oder regulatorischen Verfahren konfrontiert gewesen, an der Dritte beteiligt waren. 30 Prozent (Englisch) der Befragten gaben in derselben Studie an, sie gingen davon aus, dass sie zukünftig mehr Konflikte mit Dritten erwarten.
Laut GRC20/20 gilt „der wachsende Bereich von Geschäftsbeziehungen mit Dritten, wo zunehmende rechtliche Gefährdung und Risikoexposition auf die Organisationen durchgreifen“ als zweitgrößter Treiber von Initiativen für Governance, Risikomanagement und Compliance (GRC). In immer größeren und komplexeren globalen Supply Chains sind Sie direkt von der Vorgehensweise und den Methoden Ihrer Verkäufer betroffen.
Das kann zu Rechtsstreitigkeiten, empfindlichen Strafen und auch der teuersten aller Folgen führen – zum Vertrauensverlust Ihrer Kunden. Auch 2017 werden Compliance-Programme einen Schwerpunkt auf den Umgang mit Risiken durch Dritte setzen.
Wichtige Schritte
Dass Organisationen mit ausgereiften und weit entwickelten Programmen zum Umgang mit Drittrisiken bessere Ergebnisse verzeichnen, ist wenig überraschend. Größere Budgets und automatisierte Systeme für solche Programme spielen dabei ebenfalls eine Rolle.
Wichtige Schritte beinhalten daher eine aktuelle und effektive Vereinbarung über die Sorgfaltspflichten Dritter, eine starke, funktionsübergreifende Finanzierung des Programms für Drittrisiken sowie ein klar und eindeutig bestimmter Leiter und Eigner des Programms (oft die Compliance-, Ethik- oder Rechtsabteilung).
Erfahren Sie, wie Sie Konfliktmineralien aus Ihrer Lieferkette entfernen und wie die OpenText Cloud Supply Chains umweltfreundlicher macht (Englisch).
Für alle Compliance-Verantwortlichen und -Beauftragten gilt: Machen Sie sich auf ein spannendes Jahr 2017 gefasst! Es wird ein heißer Ritt, der vielleicht ein paar blaue Flecken hinterlässt, aber auch für Begeisterung sorgen dürfte!
Dieser Artikel wurde aus dem Englischen übersetzt.