Mit der Analyse der bestehenden Prozess- und Systemlandschaft soll eine Datengrundlage geschaffen werden. Dabei gibt es verschiedene Stufen der Digitalisierung und Automatisierung.

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Digitalisierung und Compliance

Wie verändert die digitale Revolution die Compliancearbeit?

24. November 2022, von Andreas Pyrcek und Felix Kraft

Beitrag als PDF (Download)

 

Die Welt wird schneller, dynamischer und digitaler. Dabei ist die Digitalisierung der Compliancefunktion selbst eine der wichtigsten Herausforderungen für Compliance-Manager – nicht nur in den letzten Jahren, sondern auch weiterhin. Während viele Firmen noch damit kämpfen, ihre Prozesse zu digitalisieren, um Risikoanalysen oder auch Complianceprozesse effizienter zu machen, zeichnet sich am Horizont schon der nächste Schritt der Digitalisierung ab: künstliche Intelligenz (KI) und Machine Learning (ML). Und ein Ende ist nicht in Sicht.

Wie also müssen sich Complianceabteilungen aufstellen, um den Schritt in die digitale Zukunft zu gehen und die Grundlagen für den künftigen Einsatz von KI und ML zu schaffen? Und welche Risiken und Chancen bietet Digital Compliance überhaupt?

Wie wird Compliance digital?

Das Herz von zukunftsfähigen Unternehmen werden die funktionierende und an das Unternehmen angepasste IT-Infrastruktur sowie ein vernetztes Datenmanagement sein. Auch die Complianceabteilung bildet hier keine Ausnahme, da nur mithilfe einer stabilen und gut durchdachten System- und Datenlandschaft digitale Prozesse effektiv laufen und auch in Zukunft skaliert werden können.

Entscheidend bei der Digitalisierung ist dabei im Bereich Compliance vor allem die Festlegung eines konkreten Zielbilds und einer Strategie zu dessen Erreichung. Entlang dieser Parameter müssen anschließend die konkreten Schritte abgeleitet werden. Doch was heißt das für die Praxis?

Zunächst einmal bedeutet dies, dass ein konkretes Zielbild definiert werden muss. Dabei geht es vor allem darum, sich über die Hauptgründe für die Digitalisierung klar zu werden, sie zu artikulieren und zu definieren und mit der Gesamtstrategie des Unternehmens und der Fachbereiche in Einklang zu bekommen. Fragen, die in dieser ersten Phase beantwortet werden sollten, sind unter anderem: Was ist das Ziel, das durch die Digitalisierung erreicht werden soll? Was können Maßnahmen sein, um das Ziel im Rahmen der Unternehmensstruktur zu realisieren? Beispiele hierfür können das vereinfachte Management komplexer Unternehmensstrukturen, die sich nur digital managen lassen, Ad-hoc-Reporting-Anforderungen, die Handhabung weit verstreuter Risiken oder das Streben nach einem global einheitlichen, systematischen Ansatz mit zentralem Durchgriff aus der Zentralfunktion sein.

Auch sollte definiert werden, ob ein globales System oder einzelne lokale Systeme mit Schnittstellen zueinander geschaffen werden sollen. Während ein globales System einen einheitlichen Standard und die gleiche Datenverfügbarkeit garantiert, ermöglichen lokale Systeme eine höhere Flexibilität und können gegebenenfalls lokalen Anforderungen besser gerecht werden – gleichzeitig gibt es aber durch die Vielzahl der „Product-Owners“ möglicherweise intern einen erhöhten Abstimmungsbedarf.

Aus diesen (und eventuell weiteren Anforderungen) sollte das Zielbild in einem kurzen, prägnanten Statement formuliert werden. Anschließend gilt es, eine Strategie zu entwickeln, um dieses Zielbild zu erreichen. Dabei ist bereits früh die Frage zu klären, wer für die strukturierte Digitalisierung verantwortlich ist und wie weit die Eingriffsmöglichkeiten in regionale Strukturen reichen sollen.

Auf die Definition eines konkreten Zielbilds folgt die Analyse der bestehenden Prozess- und Systemlandschaft. Hierdurch wird überprüft, welche vorhandenen Prozesse und Systeme dem Zielbild gerecht werden und welche angepasst werden müssen. Dies beginnt bei der Auswahl der Mitarbeitenden in der Compliancefunktion (Stichwort Digitalkompetenz) und geht von der Risikoanalyse über das Hinweisgebersystem und Case-Management bis hin zur kontinuierlichen Überwachung des Gesamtsystems. Dabei sind insbesondere auch Prozesse zu berücksichtigen, die nicht originär in der Complianceabteilung angesiedelt, jedoch auch für die Compliancefunktion interessant sind, wie etwa klassischerweise die Reisekostenabrechnung.

Ziel der Analyse ist es, eine Datengrundlage zu schaffen, mit der das Zielbild erreicht werden kann – und das möglichst automatisiert. Dabei gibt es verschiedene Stufen der Digitalisierung und Automatisierung, die berücksichtigt werden können und je nach Zielbild gegebenenfalls nicht alle durchlaufen werden müssen:

1. Stufe:
Standardisierung von Prozessen (beispielsweise in verschiedenen Abteilungen, Divisionen oder Ländern)

2. Stufe:
Erhöhung der Datenqualität (beispielsweise durch Standardisierung von Eingabemöglichkeiten durch Dropdown-Felder, Validierungen im System, Abgleich mit Daten in anderen Systemen)

3. Stufe:
Erstellung von Dashboards (zur Abbildung von KPIs, kritischen Kontrollen und anderem)

4. Stufe:
Digitalisierung von Prozessen (beispielsweise durch IT-gestützte Workflows, gegebenenfalls bereits mit kleineren Automatisierungen)

5. Stufe:
Automatisierung von Prozessen über verschiedene Systeme hinweg (etwa durch Robotic Process Automation oder Makros; alternativ durch ein zentrales Compliance-Dashboard, das auf die Daten anderer Systeme zugreift und diese verarbeitet; ggf. bereits Entscheidungsunterstützung durch vorgegebene, einfache Entscheidungsbäume)

6. Stufe:
Sammlung relevanter Daten und Nutzung für ML

7. Stufe:
automatisierte Entscheidungsfindung durch KI

Insgesamt ist zu erwarten, dass sich in Zukunft das Zielbild auch im Bereich Compliance kontinuierlich in Richtung der höheren Stufen verschieben wird. Daher gilt es, das Zielbild regelmäßig zu überprüfen und gegebenenfalls anzupassen.

Aus Theorie wird Praxis

Nachdem sich aus vielen Diskussionen ein Zielbild herauskristallisiert hat und auch ein grundsätzlicher Ansatz beziehungsweise eine Strategie entwickelt worden ist, stehen viele Complianceabteilungen vor der Frage, wie es konkret weitergehen soll.

Die Prozesse sind zu komplex, international nicht einheitlich genug oder in vielen Bereichen noch überhaupt nicht digital, vielleicht sogar noch nicht einmal dokumentiert oder bekannt. Und weder das verfügbare Budget noch die Ressourcen reichen aus, um alles auf einmal zu digitalisieren. Es gilt daher, die Themen nacheinander anzugehen. Dabei sind, wann immer ein Prozess angepasst oder ein System verändert werden soll, die Strategie und das Zielbild zu berücksichtigen und die Entscheidungen daran auszurichten, da nur so mittel- bis langfristig eine digitale Compliancelandschaft geschaffen werden kann.

Zu beachten ist dabei, dass im Rahmen der Digitalisierung nicht die Suche nach der richtigen IT-Lösung an erster Stelle stehen sollte, sondern vielmehr die Frage, ob eine IT-Lösung überhaupt sinnvoll ist. Nicht jedes Problem lässt sich digital besser lösen. Falls die Entscheidung für eine IT-Lösung jedoch gefallen ist, geht es um die Auswahl des richtigen Ansatzes. Das zentrale System sollte modular aufgebaut sein und flexible Anpassungsmöglichkeiten bieten, um auch in Zukunft beispielsweise neue Risikofelder oder Unternehmensumstrukturierungen zu berücksichtigen. Bei dezentralen Systemen liegt der Fokus vor allem auf (vollautomatischen) Schnittstellen, die den Datenaustausch und -abgleich ohne manuellen Import und Export von Listen ermöglichen. Denn Letzterer führt auf lange Sicht zu Ineffizienzen und Fehlerpotentialen.

Abzuraten ist in der Regel auch von IT-Lösungen „von der Stange“, sofern diese nicht vollständig zu den individuellen Anforderungen passen, oder von der Anpassung schon im Unternehmen bestehender Anwendungen, die für andere Zwecke aufgebaut worden sind. Diese bieten erfahrungsgemäß oftmals nur für kurze Zeit eine passable Lösung. Die eigenständige, individuelle Entwicklung von Lösungen bietet sich aufgrund ihrer häufig schnellen Umsetzbarkeit vor allem bei kleineren Problemstellungen an. Für komplexere Themen sind jedoch modulare Lösungen zu bevorzugen, da diese schrittweise implementiert werden können und in der Regel auch individuelle Anforderungen besser berücksichtigen. Auch können von Fachleuten spezifische, individuelle Lösungen entwickelt werden, sofern keine andere Lösung gefunden wird. Standardlösungen wiederum sind oftmals in sehr analogen Fragestellungen und linearen Prozessabläufen zu präferieren, insbesondere für Commodity-Compliance-Tech, etwa im Bereich Hinweisgebersysteme, Ticket-Systeme oder auch Workflows für standardisiertes Geschäftspartnermanagement. Bei solchen Standardlösungen ist jedoch explizit auf ausreichende Schnittstellen zu achten.

Auch beim Projektaufsatz gilt es, einige Punkte zu beachten. Grundsätzlich sollte bei der Auswahl der IT-Lösungen bereits frühzeitig die IT-Abteilung einbezogen werden, um später einen erhöhten Abstimmungsbedarf zu vermeiden und sicherzustellen, dass die IT-Lösung der Compliance in die grundsätzliche IT-Landschaft des Unternehmens passt. Die Erfahrung zeigt, dass früh geführte Diskussionen die Wahrscheinlichkeit für Probleme im weiteren Verlauf deutlich reduzieren. Auch hilft es in der Regel, die Unterstützung der höheren Managementebenen für das Thema frühzeitig einzuholen und gegebenenfalls auch den Betriebsrat frühzeitig über die Bestrebungen in Kenntnis zu setzen und eine Begleitung des Projekts anzubieten. Der Einsatz von Fachleuten bietet sich vor allem bei komplexeren Projekten an. Diese verfügen nicht nur über einen dezidierten Erfahrungsschatz, sondern helfen auch, die personellen Kapazitäten der Complianceabteilung nicht zu sehr zu binden.

Zukunftsmusik ML und KI

Während Maßnahmen, die sich den oben aufgeführten Digitalisierungsstufen 1-4 zurechnen lassen, mittlerweile von vielen Unternehmen aktiv vorangetrieben werden, ist die erweiterte, automatisierte Datenanalysen durch ML und KI oftmals noch nicht umsetzbar. Der Hauptgrund dafür ist häufig die fehlende Datengrundlage, um die Systeme ausreichend zu trainieren. Dies liegt vor allem daran, dass die Unternehmen in den letzten Jahren nicht effektiv und effizient genug waren, um die notwendigen Daten zu sammeln und zu speichern – oft deshalb, weil die Notwendigkeit schlichtweg nicht erkannt worden ist.

Die Erfahrung hat gezeigt, dass im Zweifel immer zu wenige Daten gesammelt werden. Die großen Tech-Konzerne wie Google, Meta, Amazon oder auch Tesla1 haben früh erkannt, dass es deutlich einfacher ist, einmal erhobene Daten unberücksichtigt zu lassen als Daten nachträglich zu erheben. Wichtig ist dabei – neben der Berücksichtigung etwa von Datenschutz und Arbeitnehmerrechten – die strukturierte Erhebung und Speicherung der Daten, sei es in den dezentralen Systemen, aus denen sie bei Bedarf abgerufen werden können, oder in einem zentralen „Data Lake“.

Wenn die Datengrundlage geschaffen ist, sind die Einsatzmöglichkeiten für ML und KI vielfältig – sei es im Bereich der automatischen Risikoidentifikation, beim kontinuierlichen Monitoring, bei der automatischen und zielgerichteten Trainingsansprache oder beim Reporting. Auch sind vielfältige Einsatzmöglichkeiten außerhalb der Kernkompetenz von Compliance denkbar. Ein Beispiel hierfür ist die biometrische Erkennung bei der Überwachung des physischen Zugangs zu Firmengeländen, die unbefugte Eindringlinge anhand von Bewegungsmustern erkennt und die Unternehmenssicherheit entsprechend auf solche Muster hinweist.

Zukunftsgerichtet gilt es dabei jedoch auch, die sich verändernden rechtlichen Rahmenbedingungen wie den EU-AI-Act2 zu beachten, die den Einsatz und die Anforderungen an KI-Systeme regeln werden. Hieraus ergeben sich wiederum Risiken, die durch die Complianceabteilung berücksichtigt werden müssen, auch um mit einer gut durchdachten Governance eine Selbstüberwachung zu vermeiden.

Die Einführung und breite Anwendung von ML- und KI-Systemen in der Compliance und in Unternehmen insgesamt wird also nicht nur von potentiellen Kosten und Nutzen bestimmt, sondern vor allem auch durch geltende und bald in Kraft tretende Regulatorik. Gleichzeitig gilt es auch, die „hidden costs“ der Automatisierung zu berücksichtigen, beispielsweise dass Mitarbeitende eine geringere Leistungsbereitschaft zeigen, wenn sie mit automatisierten Systemen interagieren als mit anderen Menschen. Die Einführung von KI-Systemen ist daher nicht für jeden theoretisch denkbaren Einsatzbereich auch wirklich sinnvoll.

Risiken und Chancen

Digitalisierung geht immer mit erhöhten Einführungskosten einher, die sich – so die Erwartung – durch Zeit- und Ressourceneinsparungen in der Zukunft amortisieren. Dabei ist es wichtig, dass nicht am Ziel vorbeidigitalisiert wird. In diesem Fall besteht die Gefahr, dass bereits nach kurzer Zeit eine erneute Anpassung oder gar komplette Neuimplementierung nötig wird, was wiederum den Amortisierungszeitpunkt deutlich nach hinten verschiebt. Dies kann durch die Festlegung eines klaren Zielbilds und einer passenden Strategie und deren Berücksichtigung bei der Anpassung oder Neueinführung von Systemen und Prozessen vermieden werden.

Um auch zukunftsgerichtet gut aufgestellt zu sein, kommt es vermehrt darauf an, die richtigen Daten zu erheben und diese strukturiert zu speichern. Dabei gilt es, die damit einhergehenden Risiken aus Bereichen wie Datenschutz, Arbeitnehmerrechte, Informationsqualität und Cybersicherheit angemessen zu berücksichtigen.

Der von der EU angekündigte AI-Act bedeutet dabei zunächst einen erhöhten regulatorischen Aufwand, schafft aber relativ früh einen internationalen Standard, der voraussichtlich von anderen Regulatoren als Vorlage und Maßstab herangezogen werden wird. Da sich der EU-AI-Act noch in der Entwurfsphase der europäischen Gesetzgebung befindet, bieten sich sogar Möglichkeiten einer aktiven Mitbestimmung bei der Ausarbeitung der Gesetze, sei es im EU-weiten Rahmen oder in der Umsetzung der Landesregierungen.

Der AI-Act und die generellen Entwicklungen zu einer Digitalcompliance zeigen, dass sich das Berufsbild des Compliance-Officers wandelt und in Zukunft digitale Kompetenzen weiter an Bedeutung gewinnen werden. Wer sich bereits jetzt mit den aktuellen Entwicklungen vertraut macht und seine Organisation und Systeme in naher Zukunft solide, skalierbar und in Übereinstimmung mit der Regulatorik aufstellt, kann deutliche Mehrwerte im Vergleich zu Wettbewerbern generieren, die sich erst später in diesem komplexen Feld zurechtfinden müssen.

 

de.ey.com/eyforensics

 

_____

1 Die Unternehmen sind beispielhaft aufgeführt.
2 Durch das Einführen des EU-AI-Acts [REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS] wird die EU zum weltweiten Vorreiter in der Kontrolle von künstlicher Intelligenz. Das Gesetz sieht unter anderem Strafzahlungen bei Non-Compliance vor, die deutlich höher sind als bei Verstößen gegen die DSGVO. So sollen Strafen in Höhe von bis zu 30 Millionen Euro oder 6% des weltweit erzielten Umsatzes für Unternehmen möglich sein.

Themen

Aktuelle Beiträge

Ein Verstoß gegen das LkSG soll vorliegen, „wenn in der Lieferkette eines deutschen Unternehmens eine Verletzung von im Gesetz genannten Menschenrechten oder Umweltbelangen eingetreten ist oder unmittelbar bevorsteht“.
ComplianceBusiness
Haftung unter dem Lieferkettensorgfaltspflichtengesetz Ein Vergleich mit dem EU-Richtlinienentwurf zur Corporate Sustainability Due Diligence (CSDD) weiterlesen
Smarte Compliance-Management-Tools decken das HSE,- ESG,- und Lieferantenmanagement nach LkSG vollständig ab, so dass Unternehmen ihre Anforderungen in allen drei Disziplinen kennen und beherrschen. Unternehmen mit einer starken digitalen Compliance verschaffen sich dadurch erhebliche Wettbewerbsvorteile.
ComplianceBusiness
HSE im Kontext mit ESG und dem neuen Lieferkettensorgfaltspflichtengesetz Nachhaltigkeit beginnt beim eigenen betrieblichen Arbeits- und Umweltschutz weiterlesen
Nur wenn die meldenden Personen keine Repressalien befürchten müssen, leisten sie auch tatsächlich „einen wichtigen Beitrag zur Aufdeckung und Ahndung von Missständen“, wie es im Gesetzesentwurf ausdrücklich betont wird.
ComplianceBusiness
Der Countdown für das Hinweisgeberschutzgesetz läuft Darum sollten kleine und große Unternehmen jetzt handeln weiterlesen
© 2023 Deutscher AnwaltSpiegel