Aufgrund der neuen Anforderungen der europäischen Datenschutzgrundverordnung (EU-DSGVO) in Hinblick auf die Prozesse des Rechtsmonitorings, die Datenschutzfolgeabschätzung sowie den Umgang mit Betroffenenrechten, aber auch in Hinblick auf die bankaufsichtlichen Anforderungen an die IT (BAIT), stellt die Softwareunterstützung in der Praxis einen bedeutenden Mehrwert dar. Mithilfe von toolbasierten Lösungen ist es möglich, insbesondere die geforderte Nachweis- und Dokumentationspflicht zu gewährleisten.
Das wirtschaftliche Handeln der Unternehmen wird durch immer mehr regulatorische Werke wie Basel II und III, MaRisk, MaComp oder die neue europäische Datenschutzgrundverordnung (EU-DSGVO) eingeschränkt. Diese Regulatorik stellt somit wachsende Anforderungen an das Compliance-Management. Um die Fülle der Anforderungen regelkonform umzusetzen, ist die Informationstechnologie in der heutigen Zeit nicht mehr wegzudenken. Dies dürfte auch im Bereich des Compliance-Managements allgemein akzeptiert sein.[1] Demnach hat die IT eine bedeutende Stellung für den Compliance-Verantwortlichen eingenommen. Dieser ist für die Verhinderung von Rechtsverstößen aus dem Unternehmen heraus verantwortlich. Sollte jedoch die präventive Tätigkeit des Compliance-Verantwortlichen fehlschlagen, kann es zu einer Untersuchung eines möglichen Fehlverhaltens, veranlasst durch die Geschäftsführung, das Aufsichtsorgan, die interne Revision oder sogar die Staatsanwaltschaft kommen.[2] In diesem Fall hat der Compliance-Verantwortliche präzise den aktuellen Stand der Compliance-Aktivitäten darzulegen, um idealerweise der Haftpflicht zu entgehen. Eine Möglichkeit, um diese Informationen präzise und schnell darlegen zu können, ist die Verwendung eines GRC-Tools. Anhand einer solchen Softwarelösung kann unter anderem die geforderte Nachweis- und Dokumentationspflicht gewährleistet werden. Manuell erstellte Unterlagen und Datenbanken sind dahingehend zeitintensiver und gegebenenfalls, beispielsweise aufgrund von Kommunikationsschwierigkeiten zweier Abteilungen, lückenhaft.
Die Qualität der IT gewinnt an Bedeutung
In die Geschäftsabläufe implementierte Softwarelösungen durchdringen heutzutage jede Abteilung eines Unternehmens, um die Effizienz, Effektivität und Transparenz zu steigern. Damit diese Lösungen jedoch keine Schäden durch Fehlverhalten oder das Nichteinhalten von Regularien verursachen, gewinnt die Qualität der IT für die Compliance immer mehr an Bedeutung.
IT birgt in sich ein gewisses Risiko. Mithilfe adäquater Maßnahmen lässt sich das mit dem Einsatz von IT verbundene Risiko jedoch eingrenzen. Demnach müssen die regulatorischen Anforderungen an die IT an internationale Standards und Best Practices wie ITIL, COSO und COBiT angepasst sein. Die Verwendung dieser Standards bei der Ausgestaltung der IT-Systeme wird auch von der BaFin vorausgesetzt, um die Vertraulichkeit, Integrität und Verfügbarkeit dieser zu gewährleisten.[3] Zudem wurden Konkretisierungen der MaRisk durch die bankaufsichtlichen Anforderungen an die IT (BAIT) sowie Konkretisierungen der MaGo durch die versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT) von der BaFin durchgeführt. Die direkte Bedeutung für die Compliance besteht darin, dass diese Regelungen neue Anforderungen darstellen und die Compliance somit für die unternehmensweite Einhaltung dieser Vorgaben verantwortlich ist. Es kann also festgehalten werden, dass die IT für die Compliance und sogar für das gesamte interne Kontrollsystem eine stark wachsende Bedeutung hat. Ohne die Zuhilfenahme von automatisierten Prozessen sind die aktuellen Herausforderungen kaum zu bewältigen.
Worauf Unternehmen achten müssen
Zum einen müssen Unternehmen also auf die Umsetzung der wichtigsten Aufgaben, wie die Überwachung, Kontrolle und regelmäßige Überarbeitung der Einhaltung und Anwendung der rechtlichen und aufsichtsrechtlichen Anforderungen sowie die Steuerung und Überwachung der Compliance-Risiken achten. Zum anderen müssen sie aber auch auf die zusätzlichen Aufgaben, die unter anderem durch die Schnittstellen zu den anderen Schlüsselfunktionen als auch den anderen Unternehmensbereichen entstehen, achten. Erfolgt das in einem zu geringen Maß, kann dies durchaus Auswirkungen auf das Risikoprofil sowie die daraus resultierenden Berichtspflichten haben.
Die Unternehmen müssen sich daher zum Beispiel mit dem Einsatz einer workflow- und IT-basierten zentralen GRC-Plattform für die Überwachung, Messung und Steuerung von Anforderungen und der daraus resultierenden Risiken auseinandersetzen. Die hohen Anforderungen, die unter anderem durch die Aufsicht sowohl an die geforderte Qualität als auch die teilweise kurzen Lieferfristen für Informationengestellt werden, können nur so erfüllt werden.
Hinweis: Den vollständigen Artikel können Sie hier herunterladen.
[1] Brockhausen, Compliance Praxis 2016, 14 (Heft 2).
[2] Brockhausen, Compliance Praxis 2016, 14 (Heft 2).
[3] Giebichenstein/Schirp, CB 2015, 430 (432).