Compliance-Kultur & -Ziele
Die Compliance-Kultur und auch die verfolgten Compliance-Ziele ergeben sich in der Regel schon maßgeblich aus der gelebten Unternehmenskultur. Dennoch führt der Einsatz einer Compliance Management-Software zu einer deutlich stärkeren Wahrnehmung des Themenbereiches Compliance. Der Hauptvorteil liegt unseres Erachtens aber darin, dass Compliance bzw. das Compliance-System im Unternehmen greifbar und transparent wird. Compliance-Verantwortung und Compliance-Prozesse werden deutlich anders wahrgenommen, dokumentiert und überwacht. Was wiederum kulturfördernde und Non-Compliance-vermeidende Effekte nach sich zieht! Zudem werden über otris compliance auch explizit kulturprägende Informationen, wie z.B. ein Verhaltenskodex und Leitbild oder systemprägende Informationen, wie z.B. eine Compliance-Richtlinie, transparent und einfach zugänglich gemacht.
Bindende Verpflichtungen und Compliance-Risiken
Wenn wir uns beim Begriff der „Bindenden Verpflichtungen“ an der ISO 19600 orientieren, geht es zum einen um Compliance-Anforderungen, die eher von außen kommen (z.B. Gesetze, Verordnungen, Urteile, Bescheide) und zum anderen um unternehmensinterne Compliance-Verpflichtungen (z.B. Vereinbarungen mit Kunden, freiwillige Grundsätze und Verhaltensregeln). Insgesamt also um eine Vielzahl von Verpflichtungen aus ganz unterschiedlichen Quellen. Aus unserer Sicht geht es bei einem unternehmensweiten CMS vor allem um das zentrale Steuern und Überwachen. D.h. die einzelnen Verpflichtungen können, müssen aber nicht, in einem unternehmensweiten System bereitgestellt werden. Wichtig erscheinen uns aber die Kenntnis, Kommunikation und Überwachung der Verpflichtungen und zwar ausgehend von dem Organisationsbereich, in dem auch die themenspezifische Verantwortung liegt. Vor diesem Hintergrund kommt otris compliance typischerweise bei den zwei folgenden Szenarien zum Einsatz:
- Themenspezifisch operativ zur internen/externen Vermittlung und Überwachung von bindenden Verpflichtungen, die dann vielleicht in Richtlinien, Anweisungen oder ggf. in konkreten Aufgaben und wiederkehrenden Kontrollen münden.
- Themenübergreifend strategisch zur Klärung, Überwachung und Dokumentation des fachspezifischen Umgangs mit bindenden Verpflichtungen.
In Bezug auf Compliance-Risiken besteht häufig die Herausforderung darin, Compliance-Risiken überhaupt als solche zu identifizieren. Und auch diesen Prozess kann man eher operativ oder strategisch aufsetzen. Die otris Risk Assessment-Komponente ermöglicht eine fragenbasierte Risiko-Identifikation und -Bewertung sowie ein darauf aufbauendes Task-Management zur Risiko-Bewältigung; wobei in diesem Kontext nicht nur einmalige Maßnahmen, sondern auch wiederkehrende Kontrollen den Risikomanagementprozess unterstützen.
Compliance-Organisation und -Kommunikation
Im Bereich der Organisation und Kommunikation können IT-Systeme generell erheblich unterstützen. otris compliance verfügt zudem über eine integrierte Workflow-Komponente, die gerade Informationsprozesse sehr effizient steuert. Diese Systemkomponente kommt vor allem im Bereich des Richtlinienmanagements zum Einsatz. otris compliance steuert und unterstützt den gesamten Richtlinienmanagementprozess – von der Erstellung über die Freigabe bis hin zur Verteilung. Richtlinien können bestimmten Geltungsbereichen oder externen Geschäftspartnern zugeordnet werden. Wobei die externe Kommunikation auch dadurch erleichtert wird, dass z.B. für die Verwendung von Fragebögen zur Geschäftspartnerprüfung oder das Einholen von Konformitätsbestätigungen, seitens der externen Geschäftspartner, kein direkter Systemzugriff oder Anmeldeprozess notwendig ist. Ergänzend werden durch die flexible Abbildung des kundenspezifischen Compliance-Themenkataloges alle Compliance-Verantwortlichkeiten und themenbezogene Compliance-Informationen sowie -Berichte strukturiert dokumentiert und einfach zugänglich gemacht.
Compliance-Überwachung und -Verbesserung
Die Compliance-Überwachung und Verbesserung beinhaltet sowohl die Beurteilung der Wirksamkeit des gesamten CMS als auch die themenspezifische Betrachtung. Grundlage für eine generelle Wirksamkeitsbetrachtung ist laut IDW eine ausreichende Dokumentation oder in den Worten der ISO eine ausreichende Bereitstellung dokumentierter Informationen. Von daher dient otris compliance in diesem Zusammenhang sowohl der Sicherstellung der Dokumentation des CMS als auch der darauf aufbauenden Überwachung und Verbesserung. So können z.B. Non-Compliance-Vorfälle in otris compliance dokumentiert und entsprechende Maßnahmen und Kontrollen festgelegt und verfolgt werden. Gleiches gilt für das Dokumentieren und Nachverfolgen von Audit-Berichten mit entsprechenden Feststellungen. Der gesamte Follow-up-Prozess kann mittels otris compliance dokumentiert und gesteuert werden. Ergänzend können die Aktualität aller in otris compliance geführten Berichte, Dokumente, Richtlinien, Zertifikate, etc. mit Hilfe einer automatisierten Aktualitätsprüfung überwacht und darauf aufbauend notwendige inhaltliche Überprüfungen vorgenommen werden. Aus Sicht der obersten Unternehmensleitung geht es im Zusammenhang mit Compliance-Überwachung aber auch darum, Sorge zu tragen, dass in den zahlreichen dezentral verantworteten Compliance-Bereichen, in denen zum Teil auch einzelne Beauftragte die operative Verantwortung haben, ein rechts- und regelkonformes Verhalten sichergestellt wird; d.h. themenspezifische oder bereichsspezifische Compliance Management Systeme vorhanden sind. otris compliance unterstützt diese Überwachung z.B. dadurch, dass abzugebende Compliance-Erklärungen oder Compliance-Selbstbeurteilungen prozessgestützt abgefragt und hinterlegt werden können.
Zusammenfassung
otris compliance unterstütz sowohl einzelne CMS-Bausteine sehr fokussiert als auch den dauerhaften Betrieb eines unternehmensweiten Compliance Management Systems. Die Einsatzszenarien sind sehr vielfältig. Gerne stellen wir Ihnen konkrete Implementierungsbeispiele vor!
