Es ist ein sperriger Satz, der weitreichende Bedeutung hat und so auch als gängige Definition zu finden ist: „(IT-) Compliance liegt vor, wenn alle für das Unternehmen verbindlich vorgegebenen bzw. als verbindlich akzeptierten Regelwerke nachweislich eingehalten werden.“
Was bedeutet das nun in einer digitalisierten und globalen Welt? Oft wird nur die Compliance der IT-Funktion innerhalb der IT-Abteilung bzw. in deren Zuständigkeitsbereich betrachtet. Es ist aber enorm wichtig, auch die Compliance der IT-gestützten (Fach-)Prozesse zu beachten. Wenn zum Beispiel ein Prozess zur Reisekostenabrechnung digitalisiert wird, ist die digitale-Compliance-Sicht auf den Fachbereich auszudehnen. Beides kann nicht getrennt werden.
Chancen der digitalen Compliance
Es ist unumstritten, dass die digitale Compliance einen größeren Stellenwert bekommen hat und der Nutzen immer mehr greifbar und essenziell wird. Dies bezieht sich vor allem auf:
- die Vermeidung von Nachteilen aus Non-Compliance, u. a. Haftungsrisiken, Reputationsschaden, Steuerschätzung, Bußgelder, Freiheitsstrafen,
- die ethische Fundierung der Regelwerke bei gestiegenem öffentlichem Interesse, u. a. Schutz der Privatsphäre, Gleichbehandlung, Nachhaltigkeit und ESG,
- IT als wichtigste Unterstützungsfunktion aller Geschäftsprozesse, u. a. Wertbeitrag der IT, Steigerung der IT-Sicherheit, Erhöhung der Transparenz, Senkung von Überwachungskosten, Überwindung von Markteintrittsbarrieren.
Doch wo soll man als Unternehmen bzw. als Verantwortlicher für die digitale Compliance Prioritäten setzen bzw. was ist für mein Unternehmen wesentlich? Wo habe ich den größten Handlungsdruck?
Steigende Anforderungen an Compliance
Zwei Aspekte zählen mit Sicherheit zu den größten Herausforderungen: die Vielfalt der Regelungen, die es einzuhalten gilt, und die naturgemäß heterogene Verteilung der operativen Verantwortlichkeiten in verschiedenen Unternehmensprozessen und Abteilungen.
Die Regulatorik hinsichtlich der digitalen Compliance erstreckt sich dabei von den einschlägig Bekannten (z. B. GoBD, DSGVO) über teils uneinheitliche regulatorische Vorgaben in Bereichen wie künstliche Intelligenz und Intelligent Automation/Robotics bis hin zu themen- und branchenorientierten Regelungen (z. B. PCI DSS, TISAX). Zudem werden diskutierte Regulierungen wie das Gesetz zur Stärkung der Finanzmarktintegrität (FISG), das Sorgfaltspflichtengesetz und anstehende Regelungen zur Nachhaltigkeit, die dem Green Deal der EU folgen, eine indirekte und direkte Auswirkung auf die digitale Compliance haben.
Ebenso verstärkt die aktuelle Pandemiesituation die Digitalisierung von (Fach-)Prozessen, was zu weiteren Compliance-Anforderungen führt.
Komplexität reduzieren, Effektivität steigern
Ich bin klar der Meinung, dass die Risiken hinsichtlich der digitalen Compliance individuell für jedes Unternehmen eingeschätzt werden sollten, um ein optimales Kosten-Nutzen-Verhältnis zu gewährleisten. Denn der Grundsatz der (digitalen) Compliance hat natürlich auch immer dem Aspekt der Wirtschaftlichkeit zu genügen.
Wie können nun für das eigene Unternehmen passende Maßnahmen im Kontext der bestehenden (und teilweise fest verankerten) Prozesslandschaft sinnvoll und effektiv getroffen werden? Die Lösung liegt darin, Felder zu identifizieren, in denen aufgrund der Bindungswirkung der Regelungen sowie der geschäftsspezifischen Risiken eine konkrete Handlungsnotwendigkeit besteht.
Es gibt vielfältige Ansätze und Bewertungsschemata, um den Reifegrad der digitalen Compliance zu messen und das Compliance-Management auszurichten. Unternehmen sollten hierbei auch auf die möglicherweise bereits intern bestehenden Grundsätze zu Bewertungsskalen zurückgreifen bzw. diese abstimmen.
Das Ziel: ein Digital Compliance Target Operating Modell
Es ist ratsam, mittels eines ganzheitlichen Bewertungsschemas zu analysieren, ob alle relevanten Anforderungen an die digitale Compliance beachtet wurden. So sollte ein risikoorientiertes Gesamtbild der digitalen Compliance unter Betrachtung aller betroffenen Prozesse entstehen.
Aus meiner Sicht sind hierbei zusätzlich zur Risikobetrachtung folgende Grundprämissen wichtig und hilfreich:
- Top-Down ist besser als Bottom-Up: Ziele und Kernbereiche sollten klar definiert werden.
- Pragmatisch, schnell und umsetzungsorientiert vorgehen: Aufgrund meistens heterogener und gewachsener Aufbau- und Ablauforganisationen im Gesamtunternehmen ist es zielführend, mit klar definierten Kernbereichen zu starten.
- Eine ganzheitliche Betrachtung, aber mit klarem Fokus auf die IT: Da die IT meist nicht mehr von den Fachbereichen klar getrennt werden kann, gilt es den Gesamtkontext zu betrachten.
Ein Beispiel: Viele regulatorische und geschäftliche Anforderungen verfolgen gemeinsame Ziele. Dazu gehören Schutz und Verfügbarkeit von Daten und Informationen, die Nachvollziehbarkeit von Prozessen und der Informationsverarbeitung, Transparenz gegenüber Dritten, die Erfüllung von Sorgfaltspflichten und, im Hinblick auf die digitale Transformation, die Unterstützung der Dynamik moderner Geschäftsprozesse und Entwicklungen. Somit kann hier schon eine erste Clusterung angesetzt werden.
Nun können in einem zweiten Schritt die Regelungen und Vorgaben nach verschiedenen Prioritätsstufen und nach Bindungswirksamkeit (z. B. nach der Methodik des „House of IT Compliance“) zu den Zielen und Kernbereichen ergänzt werden. So entsteht ein Zielbild, das die Bindungswirksamkeit der Regelungen ebenso berücksichtigt wie die geschäftlichen Anforderungen und Risiken Ihres Unternehmens.
Durch die Priorisierung und Clusterung der Zielparameter kann nun ein konkreter Handlungsbedarf für die betreffenden Fach- und IT-Bereiche abgeleitet werden, unter Beachtung der spezifischen Unternehmenssituation.
Fazit
Das Thema Digital Compliance ist ein Dauerbrenner. Es strahlt auf nahezu alle Unternehmensbereiche und Geschäftsprozesse aus und führt zu vielen Diskussionen. Diese sind wichtig und gut, denn sie machen bewusst, wie elementar die Compliance in der digitalen Transformation ist – schließlich sind Daten und Informationen in unserer digitalen Welt ein hohes Gut. Angesichts sich ändernder Rahmenbedingungen und Umstände und bei gegebenenfalls weiter verschärften regulatorischen Anforderungen oder verhängten Bußgeldern ist jedenfalls reichlich Stoff zum Diskutieren vorhanden.
Hier können Sie die digitale Compliance Ihres Unternehmens mithilfe wesentlicher Fragen und Vergleiche schnell und pragmatisch einordnen: Digital Compliance Readiness Assessment
