Ausgestaltung eines Compliance Management Systems.

9. November 2017

Operative Softwareunterstützung im Kontext eines ganzheitlichen Compliance Management Systems

Die Ausgestaltung eines Compliance Management Systems (CMS) verläuft in der Regel sehr unternehmensspezifisch und wird von ganz unterschiedlichen Zielsetzungen geprägt.

Während das eine Unternehmen den Schwerpunkt im Umgang mit internen und externen Richtlinien / Regelungen sieht, stehen beim anderen Unternehmen bestimmte Rechtsgebiete, wie z.B. Kartellrecht oder Steuerrecht, im Fokus; um nur zwei mögliche CMS-Ausprägungen zu nennen.

Dennoch ist bei all diesen spezifischen Ausgestaltungen die Einordnung in ein übergeordnetes oder umfassendes Compliance Management System immer wieder ein zentrales Thema. Das von uns bereits vorgestellte CMS-Modell steht hier nur für eine mögliche Konzeption eines derartigen Systems – wobei sich Modellkonzeptionen aufgrund der bestehenden Standards (ISO 19600 und IDW PS 980) zum großen Teil sehr ähnlich sind. Ausgehend von einem Compliance-Programm – welches vielleicht nicht immer so genannt wird – enthalten die Modelle immer wieder die von uns gebildeten Bausteine: Kultur & Ziele, Bindende Verpflichtungen & Risiken, Organisation & Kommunikation sowie Überwachung & Verbesserung.

otris compliance - ganzheitliches CMS-Modell

Die Spezialsoftware otris compliance adressiert genau diese genannten CMS-Bausteine und liefert diverse Möglichkeiten der Prozessunterstützung.

Compliance-Kultur & -Ziele
Die Compliance-Kultur und auch die verfolgten Compliance-Ziele ergeben sich in der Regel schon maßgeblich aus der gelebten Unternehmenskultur. Dennoch führt der Einsatz einer Compliance Management-Software zu einer deutlich stärkeren Wahrnehmung des Themenbereiches Compliance. Der Hauptvorteil liegt unseres Erachtens aber darin, dass Compliance bzw. das Compliance-System im Unternehmen greifbar und transparent wird. Compliance-Verantwortung und Compliance-Prozesse werden deutlich anders wahrgenommen, dokumentiert und überwacht. Was wiederum kulturfördernde und Non-Compliance-vermeidende Effekte nach sich zieht! Zudem werden über otris compliance auch explizit kulturprägende Informationen, wie z.B. ein Verhaltenskodex und Leitbild oder systemprägende Informationen, wie z.B. eine Compliance-Richtlinie, transparent und einfach zugänglich gemacht.

Bindende Verpflichtungen und Compliance-Risiken
Wenn wir uns beim Begriff der „Bindenden Verpflichtungen“ an der ISO 19600 orientieren, geht es zum einen um Compliance-Anforderungen, die eher von außen kommen (z.B. Gesetze, Verordnungen, Urteile, Bescheide) und zum anderen um unternehmensinterne Compliance-Verpflichtungen (z.B. Vereinbarungen mit Kunden, freiwillige Grundsätze und Verhaltensregeln). Insgesamt also um eine Vielzahl von Verpflichtungen aus ganz unterschiedlichen Quellen. Aus unserer Sicht geht es bei einem unternehmensweiten CMS vor allem um das zentrale Steuern und Überwachen. D.h. die einzelnen Verpflichtungen können, müssen aber nicht, in einem unternehmensweiten System bereitgestellt werden. Wichtig erscheinen uns aber die Kenntnis, Kommunikation und Überwachung der Verpflichtungen und zwar ausgehend von dem Organisationsbereich, in dem auch die themenspezifische Verantwortung liegt. Vor diesem Hintergrund kommt otris compliance typischerweise bei den zwei folgenden Szenarien zum Einsatz:

  • Themenspezifisch operativ zur internen/externen Vermittlung und Überwachung von bindenden Verpflichtungen, die dann vielleicht in Richtlinien, Anweisungen oder ggf. in konkreten Aufgaben und wiederkehrenden Kontrollen münden.
  • Themenübergreifend strategisch zur Klärung, Überwachung und Dokumentation des fachspezifischen Umgangs mit bindenden Verpflichtungen.

 

In Bezug auf Compliance-Risiken besteht häufig die Herausforderung darin, Compliance-Risiken überhaupt als solche zu identifizieren. Und auch diesen Prozess kann man eher operativ oder strategisch aufsetzen. Die otris Risk-Assessment-Komponente ermöglicht eine fragenbasierte Risiko-Identifikation und -Bewertung sowie ein darauf aufbauendes Task-Management zur Risiko-Bewältigung; wobei in diesem Kontext nicht nur einmalige Maßnahmen, sondern auch wiederkehrende Kontrollen den Risikomanagementprozess unterstützen.

Compliance-Organisation und -Kommunikation
Im Bereich der Organisation und Kommunikation können IT-Systeme generell erheblich unterstützen. otris compliance verfügt zudem über eine integrierte Workflow-Komponente, die gerade Informationsprozesse sehr effizient steuert. Diese Systemkomponente kommt vor allem im Bereich des Richtlinienmanagements zum Einsatz. otris compliance steuert und unterstützt den gesamten Richtlinienmanagementprozess – von der Erstellung über die Freigabe bis hin zur Verteilung. Richtlinien können bestimmten Geltungsbereichen oder externen Geschäftspartnern zugeordnet werden. Wobei die externe Kommunikation auch dadurch erleichtert wird, dass z.B. für die Verwendung von Fragebögen zur Geschäftspartnerprüfung oder das Einholen von Konformitätsbestätigungen, seitens der externen Geschäftspartner, kein direkter Systemzugriff oder Anmeldeprozess notwendig ist. Ergänzend werden durch die flexible Abbildung des kundenspezifischen Compliance-Themenkataloges alle Compliance-Verantwortlichkeiten und themenbezogene Compliance-Informationen sowie -Berichte strukturiert dokumentiert und einfach zugänglich gemacht.

Compliance-Überwachung und -Verbesserung
Die Compliance-Überwachung und Verbesserung beinhaltet sowohl die Beurteilung der Wirksamkeit des gesamten CMS als auch die themenspezifische Betrachtung. Grundlage für eine generelle Wirksamkeitsbetrachtung ist laut IDW eine ausreichende Dokumentation oder in den Worten der ISO eine ausreichende Bereitstellung dokumentierter Informationen. Von daher dient otris compliance in diesem Zusammenhang sowohl der Sicherstellung der Dokumentation des CMS als auch der darauf aufbauenden Überwachung und Verbesserung. So können z.B. Non-Compliance-Vorfälle in otris compliance dokumentiert und entsprechende Maßnahmen und Kontrollen festgelegt und verfolgt werden. Gleiches gilt für das Dokumentieren und Nachverfolgen von Audit-Berichten mit entsprechenden Feststellungen. Der gesamte Follow-up-Prozess kann mittels otris compliance dokumentiert und gesteuert werden. Ergänzend können die Aktualität aller in otris compliance geführten Berichte, Dokumente, Richtlinien, Zertifikate, etc. mit Hilfe einer automatisierten Aktualitätsprüfung überwacht und darauf aufbauend notwendige inhaltliche Überprüfungen vorgenommen werden. Aus Sicht der obersten Unternehmensleitung geht es im Zusammenhang mit Compliance-Überwachung aber auch darum, Sorge zu tragen, dass in den zahlreichen dezentral verantworteten Compliance-Bereichen, in denen zum Teil auch einzelne Beauftragte die operative Verantwortung haben, ein rechts- und regelkonformes Verhalten sichergestellt wird; d.h. themenspezifische oder bereichsspezifische Compliance Management Systeme vorhanden sind. otris compliance unterstützt diese Überwachung z.B. dadurch, dass abzugebende Compliance-Erklärungen oder Compliance-Selbstbeurteilungen prozessgestützt abgefragt und hinterlegt werden können.

Zusammenfassung
otris compliance unterstütz sowohl einzelne CMS-Bausteine sehr fokussiert als auch den dauerhaften Betrieb eines unternehmensweiten Compliance Management Systems. Die Einsatzszenarien sind sehr vielfältig. Gerne stellen wir Ihnen konkrete Implementierungsbeispiele vor!

zum Fachbeitrag

Richtlinienmanagement

otris software vereinfacht Verantwortung - Box Richtlinien für Einsteiger

Richtlinienmanagement für Einsteiger – wie gelangt die Richtlinie zum Mitarbeiter? ...

zum Fachbeitrag

Compliance im Krankenhaus

otris software vereinfacht Verantwortung - Box Compliance und Vertragsmanagement Software im Krankenhaus

Prävention ist besser als Nachsicht – nicht nur in der Medizin ...

zum Referenzbericht

Jägermeister ordnet Compliance

otris compliance Compliance Software- Referenzbericht Jägermeister - Box

Wie otris compliance in Wolfenbüttel die GRC-Maßnahmen reguliert ...