Sie wollen Ihr Complianceprogramm digitalisieren, haben dafür bisher aber noch kein übergreifendes Konzept gefunden? Die Digitalisierung der Compliance ist derzeit eine zentrale Anforderung an Complianceverantwortliche und eines der wichtigsten Diskussionsthemen in Branchenkreisen und der Fachpresse. Getrieben wird der Trend von technischen Entwicklungen in Künstlicher Intelligenz (AI), Datenanalysen und Prozessautomatisierung. Gleichzeitig gibt es zum Beispiel durch die Security and Exchange Commission (SEC) oder das Department of Justice (DOJ) in den USA deutliche Erwartungen zur Nutzung von Datenanalysen und digitalen Methoden in Compliancesystemen.
Dennoch besteht eine große Unsicherheit bezüglich der genauen Bedeutung des Konzepts „Digitalisierung der Compliance“, das meist sehr verschieden verstanden wird. Häufig werden im Diskurs die folgenden Bereiche konzeptuell vermischt:
– Digitalisierung zur Effizienzsteigerung von bestehenden Complianceprozessen, zum Beispiel durch die Nutzung digitaler Tools zur Befragung im Rahmen von Compliance-Risiko-Assessments oder Robotic Process Automation
– Erweiterung des Compliancerisikoportfolios um neu entstehende oder in ihrer Bedeutung zunehmende Risiken aus der Digitalisierung des Unternehmens als Ganzem, etwa die Einbeziehung von Cyberrisiken oder AI
– Digitalisierung zur Steigerung der Effektivität (oder Wirksamkeit) der Compliancemaßnahmen, etwa durch datengestützte Compliancekontrollen und live in laufende Unternehmensprozesse integrierte dauerhafte Kontrollen
Die möglichen Einsatzgebiete digitaler und datengestützter Methoden erstrecken sich dabei über alle drei Säulen eines Compliancesystems, von Prevent über Detect bis zu Respond, sowie über alle üblichen Compliancemaßnahmen. Die Erwartungen an die Digitalisierung sind dabei im Allgemeinen, wie bei fast allen Innovations- und Modernisierungsthemen in den Bereichen AI, Automatisierung etc., hoch bis unerreichbar hoch. Gleichzeitig ist in vielen Unternehmen Compliance bisher noch wenig digitalisiert, obwohl sie dadurch messbarer und kontrollierbarer wird, da sich das Compliancesystem dann neben den bereits üblichen qualitativen Aussagen und Einschätzungen auch auf andere vorhandene Unternehmensdaten stützen und diese Datenbestände für die Compliancefunktion nutzbar machen kann.
Vor dem Hintergrund dieses Diskurses schlagen wir ein Stufenmodell für die Nutzung von Daten und digitalen Methoden im Rahmen einer datengestützten Complianceorganisation vor. In diesem Artikel werden wir die Bestandteile dieses Modells beschreiben und anhand von Beispielen dessen Umsetzung exemplarisch darstellen.
Die drei Stufen der datengestützten Compliance
Das Modell unterteilt die unterschiedlichen Compliancemaßnahmen zur Effizienz- und Effektivitätssteigerung in drei Stufen.
1. Stufe: manuelle und individuelle Maßnahmen
Die erste Stufe ist die manuelle Stufe, in der Compliancesysteme oftmals ihren Anfang haben. Beispiel hierfür ist das manuelle Verfassen und individuelle Kommunizieren von Richtlinien durch E-Mails oder Schulungen. Eine Kontrolle der Einhaltung erfolgt dann oftmals anhand von Stichproben oder im schlimmsten Fall gar nicht. Eine neue Richtlinie beispielsweise zur Unterbindung von Geschäftsaktivitäten mit sanktionierten Unternehmen ist (vergleichsweise) schnell geschrieben und über etablierte Informationskanäle an alle relevanten Mitarbeitenden kommuniziert. Die Kontrolle der Einhaltung ist deutlich schwieriger und häufig sehr aufwendig.
Über manuelle Maßnahmen lassen sich prinzipiell alle Compliancerisiken berücksichtigen, die Wirksamkeit dieser Maßnahmen ist allerdings begrenzt. Bei einer Effektivitätsmessung durch die interne Revision zeigt sich dann eventuell, dass trotz Richtlinien doch noch Lieferanten aus problematischen Regionen neu angelegt und beauftragt werden. Datenanalysen erfolgen auf dieser Stufe kaum.
2. Stufe: digital unterstützt/(teil)automatisiert
Auf dieser Stufe werden bestehende Compliancemaßnahmen durch digitale Tools unterstützt. Ein Workflowsystem zur Freigabe der Einladung eines Referenten bei einem Kongressauftritt stellt beispielsweise sicher, dass alle relevanten Abteilungen eingebunden werden.
Ein Chatbot, trainiert auf alle Unternehmensrichtlinien, kann rund um die Uhr schnell Auskunft über relevante Passagen zur Zulässigkeit von Spesenabrechnungen geben, ohne dass Mitarbeitende sich mit der Anfrage auseinandersetzen müssen. Datenanalysen kommen auf dieser Stufe meist innerhalb der verwendeten Lösungen, zum Beispiel beim Training des Sprachmodells eines Chatbots, zum Einsatz.
Was all diese Beispiele verbindet, ist, dass hier im Wesentlichen eine der zuvor beschriebenen manuellen Maßnahmen durch die Verwendung eines digitalen Systems effizienter durchgeführt wird. Die Verbesserung der Effektivität der jeweiligen Maßnahmen erfolgt dabei in erster Linie durch die Vermeidung ungewollter Fehler. Eine Kontrolle, zum Beispiel ob ein Referent eine politisch exponierte Person in einem Land mit hohem Korruptionsindex ist, findet auf dieser Stufe typischerweise noch nicht statt.
3. Stufe: datengestützte Effektivierung der Maßnahmen
Auf der dritten Stufe werden Datenanalysen verwendet, um zusätzlich zur Effizienz auch die Effektivität von Compliancemaßnahmen weiter zu steigern.
Im einfachsten Fall können Datenanalysen verwendet werden, um Complianceprozesse um weitere Risikoindikatoren zu erweitern und Maßnahmen besser an die identifizierten Risiken anzupassen. So kann beispielsweise eine einfache Erhebung der Geschäftstätigkeit mit Lieferanten in Ländern mit erhöhtem Korruptionsindex Aufschluss darüber geben, in welchen Landesgesellschaften das Risiko für aktive Korruption besonders erhöht ist. Mit den oben genannten Maßnahmen können diese Gesellschaften dann etwa im Rahmen eines erweiterten Compliance-Risk-Assessments zielgerichteter betrachtet werden.
Des Weiteren können bestehende Datenbestände im Unternehmen für Complianceprozesse zur Erkennung von Risiken und zur Adaption von Kontrollen genutzt werden. So können Risikoindikatoren für problematische Verhaltensweisen in einzelnen Gesellschaften auf Basis der im Unternehmen vorliegenden Daten identifiziert werden. Beispielsweise kann durch die Auswertung von Expense Claims eine auffällige Häufung von Einladungen oder von Kontakten mit bestimmten Kundenvertretern oder Amtsträgern identifiziert werden. Diese können dann für eine risikospezifische Adaption der Zielgruppe und Umfang einer Befragung im Rahmen eines Risk-Assessments verwendet werden.
Bereits an diesen Beispielen wird deutlich, dass die Complianceprozesse durch die Maßnahmen dieser Stufe spezifischer werden und Risiken zielgerichtet berücksichtigen können. Es wird also insbesondere die Wirksamkeit des Complianceprogramms erhöht. Die Effizienz der Maßnahmen steigt im Vergleich zu einer nicht datengestützten, manuellen oder einer digital unterstützen Maßnahme.
Noch deutlicher erkennbar ist die Effektivitätssteigerung bei der Durchführung datengestützter Compliancekontrollen. Die Möglichkeiten hierfür sind vielfältig und in verschiedenen Ausbaustufen und Komplexitätsgraden möglich. Auf der einfachsten Stufe können Risikoindikatoren wiederholt datenanalytisch erhoben werden, um zu erkennen, ob sich Compliancerisiken rückläufig entwickeln. Ist die Entwicklung von Geschäftstätigkeiten mit Lieferanten aus Ländern mit erhöhtem Korruptionsindex im Vergleich zum Gesamtgeschäft rückläufig, kann auf die Wirksamkeit der durgeführten Maßnahmen und das Residualrisiko geschlossen werden.
Ein besonderer Vorteil der Maßnahmen dieser Stufe ist, dass eine Messung der Verbesserung der Compliance unmittelbar möglich ist. Das sieht man bereits an diesem einfachen Beispiel, da durch eine wiederholte quantitative Bewertung der Risiken wie beispielsweise Korruption die Entwicklung des Risikos messbar wird.
Um die Kontrolle der Unternehmens-Compliance möglichst effektiv zu gestalten, sollte sie direkt in den Prozess integriert werden. So können beispielsweise eingehende Rechnungen von Lieferanten, bei denen die Bankverbindung in einem Offshore-Land liegt und zuvor noch nicht verwendet worden ist, noch vor der finalen Zahlungsfreigabe einer zentralen Stelle zur erneuten Überprüfung vorgelegt werden.
Der Weg zu einer effektiven, datengestützten Compliance
Zur Erreichung einer messbaren Effektivitätssteigerung des Complianceprogramms empfiehlt sich eine risikoorientierte Vorgehensweise. Bei einzelnen Risiken kann eine gut organisierte Maßnahme auf der ersten Stufe vollkommen ausreichen, wenn dies mit dem Risikoprofil des Unternehmens kompatibel ist. Bei aufwendigeren Maßnahmen sollten vermehrt Systeme der zweiten Stufe zur Effizienzsteigerung genutzt werden. Bei größeren Risiken wird die Effektivität der Maßnahme durch Analysen und Systeme der dritten Stufe gesteigert. Beim Erarbeiten einer Gesamtstrategie zur Digitalisierung der Compliance gilt es daher, zunächst die wesentlichsten Handlungsbereiche zu identifizieren, in denen datengestützte Methoden den größten Einfluss haben (zum Beispiel durch Anlegen einer „Digital Compliance Heatmap“). Im Idealfall geschieht dies abgestimmt mit einer gegebenenfalls existierenden unternehmensübergreifenden Gesamtstrategie zur Digitalisierung und Nutzung von Unternehmensdaten.
Obwohl es bereits einige Anbieter von „Standardsoftware“ im Bereich Compliance gibt, befassen sich diese Lösungen fast immer nur mit einzelnen Aspekten eines Complianceprogramms. Es gibt bisher keine Software, die alle Com-pliancemaßnahmen eines Unternehmens stufenübergreifend abdeckt. Die Einführung datengestützter Methoden erfordert daher die Integration mehrerer Komponenten in ein Gesamtsystem. Diese können aus verschiedenen Softwarelösungen und Analysemethoden bestehen. Nur eine angepasste, integrierte Lösung kann die gewünschten Digitalisierungsdividenden wirklich erbringen.