• Home
  • SAI360
  • Compliance ist nicht dazu da, um bloß das Ethikschild hochzuhalten

Compliance ist nicht dazu da, um bloß das Ethikschild hochzuhalten

Ein Gespräch mit Marc Michel, Presales Consultant im Bereich Risk & Learning bei SAI360.

Ein Gespräch mit Marc Michel, Presales Consultant im Bereich Risk & Learning bei SAI Global Herr Michel, womit beschäftigen Sie sich gerade?

Unser aktuelles Thema ist die Verknüpfung zwischen Regulatory Change Management, Policy Management und Internal Controls.

Dieses Thema, die Digitalisierung und Automatisierung von Compliance-Prozessen, wird ja derzeit in Compliance stark diskutiert. Was konkret setzen Sie da um?

In der Software bilden wir beim Regulatory Change Management das ab, was an Neuerungen in der Regulierung ständig reinkommt. Dazu haben wir noch die Automatisierung des Impact Assessments, damit man feststellen kann, ob die eingehenden Inhalte für das konkrete Unternehmen relevant sind und wenn ja, auf welchen Ebenen sie relevant sind und welcher Schaden dem Unternehmen dadurch entstehen kann, wenn die Neuerungen nicht umgesetzt werden. Auf dieser Grundlage bilden wir auf derselben Software auch die Umsetzung in die internen Richtlinien der Unternehmen in die tatsächlichen Prozesse und Kontrollen ab. D.h., wir hören nicht bei einer bloßen Aktualisierung einer bestimmten Regulierung auf, sondern gehen mehrere Schritte weiter und bilden das Policy-Management komplett ab, inklusive Umsetzung.

Compliance Manager stecken ja gewissermaßen in einem Dilemma – einerseits machen sie sehr viel. Andererseits ist es aber dennoch schwierig für sie, ihren Beitrag zur Gesamtwertschöpfungskette im Unternehmen nachzuweisen…

Ja, das sehe ich auch so. Im Grunde muss man sich fragen, wozu ist ein CMS da? Ich glaube nicht, dass Compliance bloß dazu da ist, um lediglich das Ethikschild hochzuhalten. Sondern auch dafür da, um das Unternehmen vor Schaden zu schützen. Derzeit wird in Compliance viel über Kultur und Ethik gesprochen. Aber das „Brot und Butter“ der Compliance, das Policy-Management, geht derzeit in Diskussionen unter. Dabei ist es doch der wichtigste Punkt – den Mitarbeitern klar und deutlich zu sagen, was sie tun dürfen und was nicht, und zwar in der jeweiligen Landessprache.

Gerade das Policy-Management geht in die Richtung – weil es sozusagen etwas „Handfestes“ ist, womit man das, was man für das eigene Unternehmen tut, eindeutig nachweisen kann. So ermöglicht das Policy-Management, zum Beispiel einen Nachweis darüber, an wen, wann und mit welchem Inhalt der Compliance Manager eine Arbeitsanweisung versendet.

Dieser Begriff Policy-Management wird überall anders verstanden. Was verstehen Sie denn darunter?

Ich würde es definieren als das Erstellen von internen Richtlinien und Arbeitsanweisungen und die Zurverfügungstellung dieser für alle Mitarbeiter in einem elektronischen Portal, wo jeder nur das sieht, was für ihn anwendbar und relevant ist. Dabei gibt es die Möglichkeit, diese Arbeitsanweisungen auf unterschiedlichen Webversionen und für verschiedene Jurisdiktionen zu haben. Das machen wir in unserem Policy-Management für den gesamten Erstellungsprozess, angefangen mit Vier-Augen-Prinzip über Genehmigungen bis hin zur Verteilung an die Mitarbeiter inklusive der typischen Abfrage, dass man das gelesen, verstanden und akzeptiert hat. Darüber hinaus ist es auch audit- und revisionssicher. Man hat damit einen wirklichen Nachweis.

Nehmen wir doch als Beispiel den Verhaltenskodex oder die Geschenkerichtlinie. Wie präsentiere ich diese mit diesem Policy-Management-Tool, damit die Mitarbeiter sie richtig verstehen und vor allem wissen, wie sie es anwenden?

Indem man es richtig mit etwas Visuellem verknüpft. So könnte man im Rahmen der Veröffentlichung einer Policy gleichzeitig auch ein E-Learning veröffentlichen. Aber der erste Schritt wäre dennoch die Dokumentation in einem Portal, in dem jeder Mitarbeiter, wenn er ein bestimmtes, für ihn relevantes Dokument sucht, dieses schnell und einfach findet.

Dazu würde es aber gehören, dass SAI360 die IT-Umgebung für jeden Kunden personalisiert. Wie stellen Sie das sicher?

Wir haben in unserer IT-Umgebung ein entsprechendes Rollenkonzept hinterlegt. In der Regel wird es an das Active Directory System oder ein anderes Personalsystem angebunden. So wird von dort aus Positionsbezeichnung, die unternehmensinterne Rolle, der Standort, also alle relevanten und notwendigen Daten, übernommen. Dazu werden Profile angelegt und mit dem Kunden besprochen. Das gleiche gilt auch für die Freigabeworkflows. So entsteht ein Rollenkonzept.

Aber nur die zentral zuständigen Compliance Officer sehen in seiner Portal-Umgebung alles. Die lokalen Compliance Officer sehen beispielsweise nur das, was für ihre Region relevant ist. Und die HR-Mitarbeiter können nur das sehen, was sie aus HR-Perspektive sehen dürfen.

Wenn die IT-Umgebung Ihres Policy Management Systems personalisiert ist, dann könnte man auch viel zielgenauer auf die Bedürfnisse der Mitarbeiter eingehen? Dann würde man ja diesen Bedarf früher entdecken bzw. überhaupt entdecken, indem die Mitarbeiter die Möglichkeit hätten, anzugeben, dass sie zu einem bestimmten Thema mehr Informationen oder eine Schulung benötigen.

Genau. Das haben wir auch schon öfter für unsere Kunden implementiert. Dazu brauchen wir einfach eine neue „Action“ einzurichten, dass derjenige, der eine neue Policy bekommt, an dieser Policy einen Button hat, um zu sagen, dass ihm etwas aufgefallen ist oder dass er etwas braucht bzw. Feedback geben kann.

Es spart Zeit und Doppelarbeit, denn der Compliance Manager braucht nicht mehr selbst durch das Gesetz zu lesen, hat gleichzeitig aber zum Berichtszeitpunkt ein entsprechendes Reporting und Dashboards. Mit diesem Tool ist es einfacher, an den Vorstand zu berichten und damit auch den eigenen Wert deutlich zu machen.

Erklären Sie doch bitte die Grundstruktur Ihres Policy Management Systems.

Bei manchen ist Grundstruktur ganz simpel: Erstellen, genehmigen, veröffentlichen. Natürlich könnten wir das auch ganz komplex bauen, also bis hin zu einer personalisierten Anpassung von manchen Kapiteln und Absätzen in den Dokumenten. Das alles geht in entsprechende Workflows, die es dann zentralisieren und vom Prozess her vereinheitlichen. Das kommt ja auf die Wünsche der Kunden an.

Um so ein Rollenkonzept erstellen zu können, muss Ihre IT-Umgebung mit der IT-Umgebung des jeweiligen Unternehmens kommunizieren können. Wird es immer miteinander verknüpft?

Ja, das ist unser täglich Brot, dass wir bei jeder Implementierung andere unternehmensinterne Systeme einbinden. Das machen wir für unsere Kunden im Rahmen eines Projekts. Eine Verknüpfung mit dem HR-System ist eigentlich Standard. Wir haben eine offene elektronische Schnittstelle, die flexibel an Drittsysteme anbindbar ist..

Und das IT-System ist beliebig ausbaubar. Wenn man zum Beispiel auf unserer GRC-Plattform das Compliance Management-System und das Operational Risk Management gleichzeitig nutzt – dann bedeutet es, dass man in einem Compliance Management System die Erkenntnisse vom Operational Risk Management sozusagen mit nutzt und einbezieht. Das Unternehmen weiß damit gleichzeitigt, welches Risiko mit welcher Policy verknüpft ist. Der Kunde muss also nicht in einzelnen Lösungen denken, weil es eine rundum integrierte Plattform ist. Ich denke, man muss davon wegkommen, mehrere verschiedene Einzellösungen zu haben, die alle nicht miteinander kommunizieren. Und wir sind mit unserem System sehr flexibel, was die Integrationswünsche der Kunden angeht.

Wer gibt die ganzen Neuerungen bei den Richtlinien eigentlich in das Programm ein?

Das wird ganz unterschiedlich gemacht. Die Verantwortung haben die jeweiligen Policy-Owner selbst, die automatisch in regelmäßigen Abständen eine Benachrichtigung bekommen, dass es an der Zeit wäre, eine Policy-Prüfung durchzuführen. Das bedeutet, dass die Software dem Compliance Manager schon einmal diese Überwachungsaufgabe abnimmt, weil sie selbst die Verantwortlichen benachrichtigt. Im Grunde geht es darum, den Compliance Managern so viel wie möglich manuelle Arbeit im ganzen Überprüfungsprozess abzunehmen.

Die Übersetzung der Prozesse ist für viele ein Riesenproblem…

Das ist tatsächlich so. Jedes Mal, wenn ich eine Präsentation unserer Plattform mache, ist einer der ersten Punkte, zu denen Fragen gestellt werden, die Organisationsstruktur und die Prozesslandkarte. Und das ist eigentlich die Basis unserer Plattform, worauf man alles andere aufbaut.

 


Wenn Sie das Thema gern vertiefen würden, gibt Ihnen das folgende Webinar „Von externen Regularien zu internen Richtlinien und Maβnahmen“, welches auf Abruf verfügbar ist, eingehendere Einblicke in den Prozess des Richtlinienmanagements. Ansonsten können Sie auf unserer Website eine unverbindliche Live-Vorführung der SAI360 Technologie anfragen.