Compliance Monitoring und Reporting

Compliance Monitoring und Reporting schaffen Transparenz über Compliance-Risiken und Maßnahmen und sind so selbst ein Mittel zur Reduktion dieser Risiken. Wie können Reports aussehen? Welche Daten sollten erfasst und ausgewertet werden? Und welche Möglichkeiten bieten Softwarelösungen zur Automatisierung?

Compliance Monitoring und Reporting als interne Kontrollsysteme

Interne Kontrollsysteme sind systematische Steuerungs- und Kontrollregeln in Organisationen, die zum Ziel haben, die Einhaltung von Richtlinien sicherzustellen und Schäden von der Organisation abzuhalten. Bekannte Prinzipien von Internen Kontroll­systemen sind z.B. das Vier-Augen-Prinzip, aber auch insbesondere das Transparenzprinzip. Ersteres besagt, dass jede Entscheidung durch ein „zweites Paar Augen“ kontrolliert und bestätigt werden muss. Zweiteres, dass alle Daten und Erwägungen, die zu einer Entscheidung geführt haben, offen und nachvollziehbar dokumentiert sind. Das dahinterstehende Kalkül ist, dass wenn Prozesse und Vorgänge transparent und für nicht direkt daran Beteiligte dennoch nachvollziehbar gestaltet sind, die Wahrscheinlich von Regeltreue insgesamt erhöht wird. Fehlverhalten kann somit leichter aufgedeckt werden.

Monitoring und Reporting als Teil von Compliance Services

In diesem Zusammenhang hat das Compliance Monitoring und Reporting eine transparenzstiftende Rolle und stellt ein internes Kontrollsystem auf verschiedensten Ebenen der Organisation dar. Unter Monitoring wird meist die Erhebung von Daten verstanden. Unter Reporting die strukturierte Mitteilung von Daten.

Beispielsweise schafft das Reporting von erhaltenen oder vergebenen Geschenken von Mitarbeitern Transparenz für die Compliance-Verantwortlichen und die Unternehmensleitung. Sie können dadurch erkennen, welche Risiken für Fehlverhalten in diesem Bereich bestehen. Gleichzeitig wird ein Mitarbeiter, der weiß, dass er z.B. Geschenke oder Einladungen an Kunden melden muss, sich in der Wahl dieser Geschenke und Einladungen tendenziell eher an die gesetzten Standards halten.

Monitoring im Compliance-Umfeld setzt i.d.R. Reporting voraus. Erst wenn Daten über Reports von bestimmten Stellen bereitgestellt werden, kann darauf ein Monitoring aufsetzen, das diese Daten in einen Zusammenhang stellt und über Vergleiche interpretiert. Ziel des Monitorings ist es, bei Abweichungen von einem Vergleichswert, Alarm zu schlagen and Gegenmaßnahmen entwickeln zu können. Grundsätzlich sind unzählige Reports und Datenerhebungen im Compliance-Umfeld denkbar. In der Praxis beschränkt sich das Monitoring und Reporting aber auf einige wenige relevante Felder, nämlich meist Aufbau- und Ablauforganisation des Compliance-Management-Systems, Compliance-Risiken, mögliche oder nachgewiesene Compliance-Vorfälle sowie Compliance-Trainings- und Kommunikationsmaßnahmen. Viele dieser Reports und Monitorings werden heute im Compliance-Umfeld nachwievor manuell erfasst und verarbeitet. Zunehmend besteht durch die Digitalisierung aber auch die Möglichkeit, Teile davon zu automatisieren.

Compliance Software für Monitoring und Reporting

Automatisierung findet im Compliance-Bereich natürlich in erster Linie über geeignete Software statt, die die Erfassung und Übermittlung von Daten strukturiert, vereinfacht und vereinheitlicht. Für die diversen Reportingzwecke und -quellen gibt es zwischenzeitliche eine Vielzahl von Software-Anbietern und -Lösungen. Hauptsächlich von Relevanz sind Automatisierungslösungen in diesen Bereichen:

  • Monitoring von Compliance-Risiken: Compliance-Management-Systeme müssen nach gängiger Meinung an den jeweiligen Compliance-Risiken des Unternehmens ausgerichtet sein, d.h. Maßnahmen müssen sich auf die Felder fokussieren, wo die Wahrscheinlichkeit von Rechtsverstößen am höchsten und schädlichsten ist. Dazu müssen Risiken zunächst identifiziert, dann bewertet und abschließend dokumentiert werden. Außerdem verändern sich Risiken gelegentlich, so dass dieser Vorgang auch regelmäßig wiederholt werden muss.
  • Whistleblowing und Nachverfolgung von Vorfällen (Case Management): Hinweise auf Compliance-Vorfälle können auf verschiedenen Kanälen eingehen. Neben Telefon, Brief müssen auch regelmäßig anonyme Kanäle für Hinweisgeber angeboten werden. Dies kann über ein softwarebasiertes Hinweisgebersystem geschehen. Hinweisen auf Vorfälle muss aber auch nachgegangen werden. Es empfiehlt sich, Investigations und das Case Management ebenfalls zu automatisieren. Dies verhindert nicht nur Fehler bei dieser sensiblen Arbeit, sondern ermöglicht auch einen kontrollierten Umgang mit personenbezogenen Daten, was insbesondere in Bezug auf den Datenschutz (Stichwort: DSGVO) von erheblicher Relevanz ist. Es empfiehlt sich bei der Anbieterauswahl darauf zu achten, dass diese beiden Systeme über eine Schnittstelle miteinander kommunizieren können. Ansonsten hat man manuellen Übertragungsaufwand. Es empfiehlt sich außerdem auf entsprechende Export-Möglichkeiten (z.B. in Spreadsheets) oder Schnittstellen für das Reporting zu achten.
  • Monitoring von Anfragen: Compliance Officer erhalten viele Anfragen. Entweder haben Mitarbeiter einfache Verständnisfragen z.B. zu einer interpretierbaren Passage in einer Policy oder eine Policy sieht vor, dass der Compliance Officer bestimmte Vorgänge absegnen muss, z.B. die Einladung eines Amtsträgers wie dem Bürgermeister zum 50jährigen Firmenjubiläum. Diese Anfragen zu erfassen und zu überwachen empfiehlt sich dem Compliance Verantwortlichen aus verschiedenen Gründen. Einerseits kann er dadurch Muster erkennen und für sich entsprechende Maßnahmen ableiten. Die Erfassung von Anfragen kann manuell z.B. über Listen und Spreadsheets erfolgen oder über verschiedene Softwarelösungen.
  • Business Partner Checks: Compliance Officer müssen nicht nur dafür sorgen, dass in der eigenen Organisation keine Rechtsverstöße stattfinden, sondern immer häufiger auch dass durch Geschäftspartner keine in die Organisation getragen werden. Dies geschieht beispielsweise durch entsprechende Due Diligence Maßnahmen und bestenfalls durch einen Softwareanbieter, um das Risiko zu minimieren, dass ein Händler zur Kundenakquise Bestechung nutzt und z.B. über den UK Bribery Act eine eigene Haftung auslöst.
  • Selfservice / Geschenkeregister: Wenn Compliance Verantwortliche ihre tägliche Arbeit beschreiben, umfasst dies regelmäßig an prominenter Stelle und mit erheblichem Zeitaufwand die Prüfung und Genehmigung von Geschenken und Einladungen. Dabei wenden sie häufig festgelegte Kriterien an, geben dem Anfragesteller Feedback und dokumentieren anschließend den Vorgang. Da der Genehmigungsprozess und die einzelnen Sachverhalte in der Regel einem festgelegten Schema folgen, können auch verschiedene automatisierte Lösungen zum Einsatz kommen, die zunehmend auch Self-Services durch die Anfragenden ermöglichen und dadurch den Compliance Officer entlasten.
  • Monitoring von Trainings / Learning Management: Zur Planung, Abwicklung und Überwachung von Trainingsaktivitäten haben sich seit längerem so genannte Learning Management Systeme etabliert.  Sie werden im Compliance-Umfeld in der Regel zur Administration von Compliance-E-Learnings eingesetzt. Sie können aber meist zusätzlich auch zur Administration von Präsenztrainings genutzt werden. Dies empfiehlt sich auch, da so ein automatisiertes Reporting und Monitoring sämtlicher Trainingsaktivitäten ermöglicht wird.

Ein Compliance Monitoring aufbauen

Um ein sinnvolles Monitoring aufzubauen, kann nur bedingt auf Blaupausen zurückgegriffen werden. Es hängt stark von der Risikosituation des Unternehmens, von seiner Struktur und der bereits vorhandenen Ausstattung ab, aber auch von Budget- oder sonstigen Restriktionen Es gibt aber verschiedene allgemeine Aussagen, die aus der Erfahrung immer empfehlenswert erscheinen:

  • Definieren Sie sinnvolle Key Performance Indikatoren, von denen Sie annehmen können, dass Sie aus ihnen tatsächlich Rückschlüsse auf das Funktionieren Ihres Compliance Management Systems ziehen können.
  • Schaffen Sie Vergleichbarkeit der Key Performance Indikatoren, damit Sie erkennen können, ob diese im erwartbaren Bereich liegen oder außerhalb und Sie entsprechend handeln müssen. Falls Branchen-Benchmarks vorliegen, können Sie die Indikatoren mit diesen vergleichen.
  • Starten Sie einfach und bauen Sie ihr System nach und nach aus.
  • Nachfolgende Prioritäten haben sich inzwischen verschiedentlich als brauchbar erwiesen:

Erste Priorität: Identifikation und Bewertung von Risiken/Whistleblowing und Case Management/Trainingsaktivitäten

Zweite Priorität: Business Partner Checks/Anfragen/Selfservices/Kultur

Bestandteile eines Compliance Report

Inhalt und Form von Compliance-Reports sind abhängig von der Zielgruppe. Verschiedene Stakeholder wie Vorstand, Aufsichtsrat, Corporate Compliance, Mitarbeiter, Kunden oder Investoren verlangen unterschiedliche Formate und Detaillierungsgrade. Der Vorstand muss z.B. über die Art der Compliance-Vorfälle und deren Bearbeitungsstand detaillierter informiert werden als z.B. Kunden oder auch Investoren im Rahmen der Nachhaltigkeitsbericht­erstattung.

Was aber allen Compliance-Reports, unabhängig vom Empfänger, gemeinsam ist, ist dass die enthaltenen Informationen möglichst auf einen Blick leicht erfassbar sein sollten. Dafür bieten sich die bereits erwähnten einfachen und aussagekräftigen Key Performance Indikatoren an. Umfassende Berichte sollten i.d.R. Angaben zu folgenden Indikatoren enthalten:

  • Art und Aufbau der Compliance-Organisation (z.B. zentral vs. dezentral, Anzahl der Mitarbeiter/FTE),
  • Wesentliche Risikobereiche (z.B. Risikofelder wie Korruption, Kartellrecht etc. aber auch Regionen wie Naher Osten oder Länder wie Iran),
  • Compliance-Vorfälle und deren Bearbeitungsstand und evtl. gezogene Konsequenzen,
  • Stand der Compliance-Trainings und andere Kommunikationsmaßnahmen (z.B. Anzahl erreichter bzw. geschulter Personen, Art und Intensität bzw. Länge des Trainings, Trainings-Themen und evtl. ein Vergleich mit Bezugsgrößen unterschiedlichen Unternehmensbereiche oder Vergleich zum Vorjahr),
  • Maßnahmen zur Entwicklung des CMS (z.B. Projekte, evtl. inkl. Budget, zur Reduktion bestimmter Risiken).

Darüber hinaus, ja nach Reife oder Risikoausprägung der Organisation:

  • Anzahl und Art der Anfragen an die Compliance-Abteilung,
  • Nutzung von Selfservice-Angeboten,
  • Risiken in der Lieferkette oder durch Kunden (z.B. Businesspartnerchecks für Lieferanten oder Kunden, insbesondere dort wo Geldwäscheproblematik besteht).

Compliance Monitoring – Training?

Ein erster Schritt hin zu einem effektiven Compliance-Training ist eine sinnvolle Planung. Zielgruppe und Inhalt bestimmen, wie eine effektive Schulung aussehen muss. Die Zielgruppen leiten sich aus den Compliance-Risikogruppen ab. Eine Gruppe von Personen, die besonders gefährdet ist eine bestimmte Regelverletzung zu begehen, muss intensiver und tiefergehend geschult werden als eine andere. Beispielsweise sollten Mitarbeiter der Marketingabteilung, die regelmäßig Massenmailings verfassen, mehr und detaillierter über Datenschutzregelungen Bescheid wissen.

Teil der Trainingsplanung ist anschließend die Frage des Trainingsformats.

Format, Intensität und Frequenz können aber je nach Branche, Internationalität und Risikolage durchaus stark variieren.

Die Inhalte und Themen eines Trainings bestimmen sich aus der Risikolage und der Zielgruppe. Wird z.B. für den Vertrieb ein erhöhtes Risiko bezüglich Korruption und Kartellrechtsverstößen gesehen, sollte diese Gruppe zu diesen beiden Themen intensiv geschult werden.

Um diese Planung aufzusetzen und anschließend die Umsetzung auch zu überwachen, bieten sich die bereits oben erwähnten Learning Management Systeme an.

Das Compliance-Trainings-Monitoring sollte dabei diese Daten umfassen:

  • Welche Risikogruppen gibt es und wie werden diese eventuell weiter untergliedert (z.B. nach Risikofeldern wie Korruption, Wettbewerb, Datenschutz).
  • Erfassung der Trainings für diese Gruppen. Nicht nur die Anzahl geschulter Personen ist von Relevanz, sondern auch die Intensität und Dauer der Schulungen zu bestimmten Themen.
  • Was ergibt der Vergleich der Trainings mit einer Referenzgröße, z.B. wurden die selbst definierten Ziele wie die Anzahl zu trainierender Personen, Trainingsstunden etc. erreicht. Oder auch: was ergibt der Vergleich mit empirischen Vergleichsgrößen wie Trainings in der eigenen Vergangenheit.
  • Art der Trainings
  • Messen des Lernerfolgs

Fazit

Compliance Monitoring und Reporting sind Teil eines internen Kontrollsystems, weil sie Transparenz über Compliance-Risiken und Maßnahmen schaffen. Sie wirken dadurch disziplinierend auf allen Hierarchieebenen. Reporting und Monitoring sind aber auch aufwändig. Nur so behalten sie auch ihre Aussagekraft und können der Compliance-Abteilung und den restlichen Stakeholdern dabei helfen, die richtigen Schlüsse zu ziehen.

Schlagworte zum Thema:  Compliance-Organisation, Compliance-Kultur