Wachsende Unternehmen und Organisationen stehen vor der Herausforderung, ihre Complianceprogramme kontinuierlich anzupassen und deren Effizienz und Effektivität zu messen. Ohne klare Visionen und Ziele, wo es hingehen soll, erfolgt die Planung oft reaktiv und ad hoc, anstatt die zunehmenden regulatorischen Anforderungen und die spezifischen Bedürfnisse zur Risikominimierung strategisch und nachhaltig in organisatorische Maßnahmen umzusetzen. Um den steigenden Anforderungen mit den oftmals begrenzten personellen und finanziellen Ressourcen zu begegnen, ist es erforderlich, die Schwachstellen im Compliance-Management-System (CMS) und die damit einhergehenden Compliancerisiken zu kennen. Nur eine ganzheitliche Betrachtung des Complianceprogramms sowie der damit verbundenen Maßnahmen und Initiativen ermöglicht eine Bewertung des Status der Konzeption und Umsetzung des Programms, genauer gesagt des Reifegrads des Complianceprogramms. Auf diese Weise können Stärken identifiziert und Verbesserungspotentiale priorisiert werden, um Ressourcen effizient und vorausschauend einsetzen zu können.
Das Reifegradmodell als Instrument im Compliance-Management
Ein Reifegradmodell für Complianceprogramme ist eine Technik zur Messung der Fähigkeit einer Organisation, kontinuierliche Verbesserungsprozesse für ihr Complianceprogramm umzusetzen. Die Entwicklung eines konsistenten, standardisierten Rahmens hilft Organisationen, interne und externe Erwartungen in Einklang zu bringen und Zuverlässigkeit zu gewährleisten.
Da es zahlreiche unterschiedliche Standards für CMS gibt, können Compliancefunktionen sich für einen von ihnen zur Konzeption eines Reifegradmodells entscheiden oder Elemente verschiedener Standards kombinieren. Gewählte Rahmenwerke sollten dabei an der Risikolandschaft des Unternehmens ausgerichtet werden. Zwei sehr gängige Standards sind der ISO 37301 und der IDW PS 980. Aber auch die jeweils anwendbare Gesetzeslage oder eigene, interne Standards zu ethischem Verhalten können herangezogen werden. Je nach Geschäftsmodell und Länderaktivitäten empfiehlt es sich auch, Empfehlungen wie z.B. die des US Department of Justice (DOJ) zu CMS in die Matrix mit aufzunehmen.
Es gibt auch etablierte Reifegradmodelle, die als Grundlage genutzt werden können, um ein Modell zu entwickeln, das auf die jeweilige Organisation zugeschnitten und individuell gestaltet ist. Eine solche Vorlage können Complianceorganisationen nutzen, um das Modell an ihre individuellen Anforderungen und kulturellen Besonderheiten anzupassen. Das resultierende Rahmenwerk kann dabei auf den sieben Elementen des IDW PS 980 basieren oder einen detaillierteren Ansatz wählen und sollte von der Compliancestrategie bis hin zur kontinuierlichen Weiterentwicklung alle Elemente des Programms erfassen.
Ein Reifegradmodell sollte zudem eine Reifegradbewertung bieten, um Complianceorganisationen und deren Mitarbeitenden anhand einer Bewertungsskala mit zunehmenden Anforderungen und klaren Milestones zu zeigen, wo sie sich befinden und was die nächsten Schritte sind, um den erwünschten Reifegrad des Programms zu erreichen.
Für eine Bewertungsskala sollte auch wieder auf die individuellen Bedürfnisse und Vorstellungen des jeweiligen Unternehmens eingegangen werden. Eine Bewertung sollte dabei in den Stufen „grundlegend“ bis „optimiert“ anhand eines einfachen Bewertungssystems erfolgen oder auch einer mehrstufigen Klassifizierung folgen. Beispielhaft kann eine Einteilung wie folgt aussehen:
- Basic (es existiert fast nichts von diesem Element)
- Evolving (einige Teile dieses Elements existieren, die Anwendung auf verschiedenen Ebenen ist inkonsistent)
- Established (das Element ist pragmatisch definiert und wird konsequent auf einigen beteiligten Ebenen angewendet)
- Advanced (das Element ist detaillierter definiert und wird konsequent auf den meisten beteiligten Ebenen angewendet)
- Leading-Practice (das Element ist detailliert definiert und wird konsequent auf allen beteiligten Ebenen angewendet)
Praxiserfahrungen zeigen, dass eine möglichst granulare Aufschlüsselung große Unternehmen dabei unterstützen kann, sich im Branchenvergleich besser einzuordnen wie auch kleinere Verbesserungen und Veränderungen sichtbar zu machen. Die Entwicklung, Implementierung und Auswertung eines solchen detaillierten Frameworks ist dabei entsprechend aufwendiger. Für kleinere Organisationen kann auch ein einfacheres Ampelsystem ausreichen, um den Reifegrad zu dokumentieren und Handlungsbedarfe zu identifizieren.
Die gewählte Bewertungsskala kann nun jeweils auf die einzelnen Elemente des CMS angewandt werden, um deren Bewertung zu ermöglichen und diese in Form eines Compliancereifegradmodells (Abb. 1) darzustellen.
Zielsetzung einer Reifegradanalyse
Die Reifegradanalyse eines CMS hilft, den aktuellen Stand der Konzeption, Entwicklung und Etablierung des Systems zu analysieren. So kann eine Beurteilung erfolgen, die zur Strategie und zu den gesetzten Zielen des CMS in Relation gesetzt werden kann. Dabei ist allerdings auch festzuhalten, dass es mitnichten notwendig ist, ein CMS an Leading-Practices auszurichten. Ein CMS soll und muss sich an der Risikosituation, der Größe, dem Sektor, der Kultur und der Struktur des jeweiligen Unternehmens ausrichten, um die Ziele der Wirksamkeit und der Akzeptanz im Unternehmen zu gewährleisten. Dabei können selbst einfache konzeptionelle Maßnahmen schon eine ausreichende Wirkung für die langfristige Compliancestrategie erzielen.
Bewertung der CMS-Elemente
Um den Reifegrad eines Complianceprogramms darstellen zu können, ist eine Evaluierung der einzelnen CMS-Elemente erforderlich. Ein solches CMS-Assessment bildet die aktuellen Prozesse und Aktivitäten im Vergleich zu identifizierten Compliancerisiken ab. Die Bewertung zielt darauf ab, Informationen über Verbesserungsmöglichkeiten bereitzustellen und eine Basislinie zu etablieren, die zur Überwachung der Effektivität und zur Verbesserung eines Complianceprogramms genutzt werden kann. Das Ergebnis eines umfassenden CMS-Assessments kann als Grundlage zur Unterstützung bei der fortlaufenden Complianceüberwachung und kontinuierlichen Verbesserung dienen. Die einzelnen Schritte im Rahmen des Assessments können je nach Organisation und den Anforderungen an den Umfang variieren, umfassen aber zumindest die folgenden:
- Definition des aktuellen Zustands der Complianceinfrastruktur, einschließlich des Designs der implementierten Kontrollen zur Bewältigung ausgewählter Compliancerisiken auf der Basis von Dokumentenprüfungen, Prozessdurchläufen, Interviews, Besprechungen und Workshops.
- Definition des Bewertungsrahmens: Festlegung des Rahmenwerks, anhand dessen die bestehende Compliancerisikostruktur bewertet wird. Das Rahmenwerk sollte auf der Grundlage der identifizierten zentralen Compliancerisiken und zugrundeliegender interner oder externer Anforderungen sowie der gewünschten Compliancereife definiert werden.
- Bewertung der risikomitigierenden Maßnahmen und Bewertung der implementierten Maßnahmen (Richtlinien, Dokumentation, Prozesse, Kontrollen, Kommunikation und Training sowie Monitoring, Analyse und Überwachung) anhand des Rahmenwerks, um festzustellen, ob die Einrichtung dieser risikomitigierenden Maßnahmen alle Elemente des Rahmenwerks abdeckt.
- Test der Effektivität der risikomitigierenden Maßnahmen: stichprobenartiger Test der Effektivität der Maßnahmen mit dem Ziel festzustellen, ob Mitarbeitende und Systeme in ihren täglichen Betriebsabläufen die definierten Tätigkeiten „leben“.
- Bewertung der Ergebnisse und Erstellung einer Gap-Analyse, um Schwerpunktbereiche für Verbesserungen zu identifizieren. Die Aktionspläne sollten den gewünschte Zielzustand für jedes Element der Kontrollen und eine Beschreibung der durchzuführenden Behebungsmaßnahmen umfassen.
Die Ergebnisse des CMS-Assessments werden nun in das Reifegradmodell übertragen, das so aufzeigt, wo Complianceaktivitäten auf der vorgegebenen Skala von etwa „Basic“ bis „Leading-Practice“ stehen. Basierend auf den Ergebnissen können die Verantwortlichen nun festlegen, welcher Reifegrad zukünftig erreicht werden soll und welche Maßnahmen dafür ergriffen werden sollen. Organisationen können hierfür auch digitale Tools nutzen, um ihr aktuelles Programm zu bewerten, Maßnahmen zu dokumentieren und deren Umsetzung nachzuverfolgen.
Fazit und Mehrwert
Nach erfolgter Bewertung des Reifegrads eines Complianceprogramms stellt sich für Complianceorganisationen die Frage, wie reif das CMS sein sollte oder vielmehr kann. Neue regulatorische Anforderungen, sich wandelnde Erwartungshaltungen an Rollen und Verantwortlichkeiten der Compliancefunktion, aber auch aufkommende Einsatzmöglichkeiten von Technologien im Compliance-Management machen deutlich, dass auch eine Reifegradanalyse nicht nur einmalig, sondern regelmäßig im Ganzen oder für bestimmte Elemente erfolgen sollte. Umso wichtiger ist es, dass ein CMS in seinen klassischen Grundzügen einen möglichst hohen Reifegrad aufweist, um so Resilienz und Flexibilität gegenüber neuen und unbekannten Risiken zu gewährleisten.
Autor
Andreas Pyrcek
EY, Düsseldorf
Partner, CCEP-I, Forensic & Integrity Services Globaler Service Leader Integrity, Compliance & Ethics Consulting
