2018 ist ein turbulentes Jahr im Hinblick auf Compliance. Der Brexit und die Reform der EU- Datenschutz-Grundverordnung (DSGVO / GDPR) stehen bevor. Bußgelder sind ein großes Thema und die Compliance-Verantwortlichen sorgen sich mehr denn je um die persönliche Haftung. Welche regulatorischen Veränderungen werden uns in welcher Form beeinflussen?
Die GDPR – der Countdown läuft
Hat sich Ihr Unternehmen noch nicht mit den GDPR vertraut gemacht, wird es jetzt allerhöchste Zeit. Die im Mai 2016 ratifizierten GDPR sollen den Schutz personenbezogener Daten ins digitale Zeitalter bringen. Sie stellen strenge Anforderungen an die Art und Weise, wie Unternehmen personenbezogene Daten von EU-Bürgern speichern und verarbeiten. Die Verordnung wird weitreichende Auswirkungen darauf haben, wie Unternehmen die Zustimmung einholen, Cookies auf ihrer Website verwenden und das Recht auf Vergessenwerden umsetzen. Denken Sie nicht, dass dies lediglich eine EU-Verordnung ist und dass die GDPR Sie nicht beeinflussen werden. Betroffen ist jedes Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt und speichert. Da die GDPR im Mai 2018 vollstreckbar werden, ist der Countdown fast schon abgelaufen. Die GDPR werden sich nicht nur auf das Compliance-Team, sondern auch auf viele andere Bereiche des Unternehmens auswirken.
Wichtige Schritte
Ein wichtiger erster Schritt ist es, Klarheit über die Prozesse und Inhalte der Verarbeitung personenbezogener Daten in Ihrem Unternehmen zu haben. Stellen Sie sich folgende Fragen:
- Welche personenbezogenen Daten verarbeiten Sie?
- Wo werden diese im gesamten Unternehmen gespeichert?
- Wer hat Zugriff darauf?
- Welche Einwilligungen wurden erteilt und wo sind diese dokumentiert?
- Wohin werden diese Daten übertragen (auch an Dritte und grenzüberschreitend)?
- Wie werden sie während des gesamten Lebenszyklus gesichert?
- Gibt es Richtlinien und Verfahren, wie über personenbezogene Daten verfügt wird?
Lesen Sie hier mehr über die GDPR und erfahren Sie, wie OpenText Ihnen helfen kann
Der Druck auf die Compliance-Verantwortlichen lässt nicht nach
Compliance-Beauftragte hatten noch nie einen höheren Stellenwert als heute. Aber damit geht auch eine große Verantwortung einher. Der Druck auf die Compliance-Beauftragten nimmt stetig zu. Mit den GDPR kommt auch die explizite Anforderung, eine qualifizierte Compliance-Rolle – den Data Protection Officer (DPO) – zu benennen. Auch wenn die GDPR nicht die genauen Berechtigungsnachweise festlegt, die DPOs haben müssen, so setzen sie jedoch voraus, dass diese über „Expertenwissen über Datenschutzgesetze und -verfahren“ verfügen.
Compliance-Beauftragte müssen keine Technologieexperten sein, sondern wissen, wie sie Governance-, Risk- und Compliance-Lösungen einsetzen können, um ihre Arbeit zu erleichtern. Weitere wichtige Schritte sind die Sicherstellung, dass die Richtlinien auf dem neuesten Stand sind und dass die Mitarbeiter ihre Compliance-Verantwortlichkeiten verstehen und entsprechend geschult werden.
Lesen Sie das AIIM-Whitepaper und schauen Sie sich die Infografik an: Managing Governance, Risk and Compliance with ECM and BPM (in Englisch).
Mögliche Änderungen von regulatorischen Prioritäten
Die meisten Branchenkenner sind sich darüber einig, dass manche Vorschriften sicherlich gestrafft oder reformiert werden. Es wird für Ihr Team aber noch viel Arbeit zu leisten sein, um zu verstehen, wie die neuen Regularien anzuwenden sind.
Wichtige Schritte
Wie bereitet man sich auf das Unbekannte vor? Viele Experten raten klugerweise dazu, dass Richtlinien und Verfahren derzeit noch nicht überarbeitet werden müssen. Aber jetzt ist der passende Zeitpunkt, um Ihr gesamtes Compliance-Programm zu evaluieren. Wenn Ihr Unternehmen also das Informationsmanagement nicht auf dem neuesten Stand gehalten hat, müssen Sie handeln. Unternehmen müssen anpassungsfähig sein, um Chancen schnell nutzen, Risiken minimieren und die Einhaltung der Vorschriften gewährleisten zu können.
Erfahren Sie mehr über die Compliance-Lösungen von OpenText.
Angesichts der steigenden Kosten für die Einhaltung von Vorschriften wünschen sich Unternehmen Nachweise für die Werthaltigkeit
Im Jahr 2016 teilten 69 Prozent der befragten Unternehmen Thomson Reuters mit, dass sie in den folgenden 12 Monaten eine Erhöhung ihres gesamten Compliance-Budgets erwarteten. Wenn Compliance-Abteilungen weltweit expandieren und mehr Autorität, Mitarbeiter und Verantwortung übernehmen, werden sie auch zu sichtbareren Kostenstellen in der Organisation. Es wird erwartet, dass Compliance-Programme nicht nur kleine negative Auswirkungen auf das Endergebnis haben werden. Nun gibt es also mehr Druck denn je, nachzuweisen, dass Compliance-Programme positive Auswirkungen haben. Return on Compliance (ROC) ist kaum ein neues Konzept, aber die kommenden Jahre stellen Unternehmen vor die ständige Herausforderung, den ROC nachzuweisen.
Wichtige Schritte
- Definieren Sie die Kennzahlen: Wie werden Sie den Erfolg Ihres Compliance-Programms und den ROI messen? Beispiele hierfür sind Rechtskosten und Bußgelder, die vermieden oder reduziert werden, sowie Effizienzsteigerungen bei Compliance-Prozessen.
- Bestimmen Sie die Ausgangslage: Es ist schwierig, Verbesserungen ohne einen Ausgangswert aufzuzeigen. Wenn Sie dies noch nicht getan haben, starten Sie jetzt mit dem Sammeln der Maßnahmen.
- Benchmarking mit den Best Practices der Branche
- Lesen Sie die zahlreichen Branchenstudien, die zeigen, wie gut Compliance für Unternehmen ist. Führungskräfte und Vorstandsmitglieder schätzen Daten und Recherche.
- Immer wieder überprüfen und bewerten: Wie in anderen Geschäftsbereichen auch, sollte die Beurteilung des ROI in Übereinstimmung mit der Compliance nicht nur einmal im Jahr stattfinden. Überprüfen und ändern Sie Ihre Pläne und Strategie mindestens vierteljährlich.
Lesen Sie Compliance – Not Just a Necessary Evil, It’s Good for Business (in Englisch).
Wenn es um Compliance geht, sind Sie der Hüter Ihres Bruders: Unternehmen setzen sich noch immer nicht ausreichend mit den Risiken Dritter auseinander.
Auf die Frage von Navex Global gaben 32 Prozent der Befragten an, dass sie in den letzten drei Jahren mit rechtlichen oder regulatorischen Verfahren konfrontiert waren, an denen Dritte beteiligt waren. Dreißig Prozent der Befragten aus der gleichen Umfrage waren ebenfalls der Meinung, dass ihre Fremdverpflichtungen zunehmen werden. Laut GRC20/20 ist der zweitgrößte Treiber für Governance-, Risk- und Compliance-Initiativen (GRC) „die wachsende Zahl von Drittanbieter-Beziehungen mit erhöhter regulatorischer und risikoreicher Belastung von Unternehmen“. In zunehmend wachsenden und komplexen globalen Lieferketten wirken sich die Handlungen und Prozesse Ihrer Lieferanten und Partner direkt auf Sie aus: Sie können zu Rechtsstreitigkeiten, schmerzhaften Bußgeldern und auch zu den kostspieligsten Auswirkungen – dem Verlust des Kundenvertrauens – führen. Auch im Jahr 2018 steht das Risikomanagement für Drittanbieter im Fokus der Compliance-Programme.
Wichtige Schritte
Es ist nicht überraschend, dass Unternehmen mit ausgereiften und ausgefeilten Risikoprogrammen für Drittanbieter bessere Ergebnisse erzielen. Dazu gehören natürlich auch größere Budgets und automatisierte Systeme. Wichtige Schritte wären daher: eine aktuelle und effektive Due-Diligence-Politik für Dritte, ein starkes funktionsübergreifendes Sponsoring des Programms für Drittanbieter und ein klarer Programm-Verantwortlicher (oft in den Abteilungen Compliance, Ethik oder Recht angesiedelt).
Lesen Sie Removing Conflict Minerals from Supply Chains und How OpenText Cloud Develops Greener Supply Chains (beide in Englisch) und erfahren Sie mehr darüber.
Dieser Artikel wurde aus dem Englischen übersetzt.