Michael RasmussenWas haben wir von 2020 gelernt? Ich denke, wir alle haben sowohl in unserem persönlichen als auch in unserem beruflichen Leben eine ganze Menge gelernt. 2020 hat uns als Einzelpersonen und als Organisationen auf verschiedene und unerwartete Weise gefordert.

Es gab sicherlich eine Menge Spannungen, Reaktionen, Verluste, Prüfungen und Schwierigkeiten. Aber es gibt auch positive Aspekte wie Beweglichkeit, Anpassung, Innovation und Zusammenarbeit. Es war ein Jahr der Katastrophen in den Bereichen Gesundheit und Sicherheit, Umwelt, Informationssicherheit, Verhalten und Führung, aber auch ein Jahr der Metamorphose. Mit Blick auf das Jahr 2021 hoffen wir alle, dass sich ein Phönix aus der Asche erhebt, um neue Höhen des Einfallsreichtums und des Fortschritts zu erklimmen.

Das Jahr 2020 bringt eine Reihe von Herausforderungen für die Wirtschaft mit sich. Das Jahr begann mit den verheerenden Waldbränden in Australien (und später in Kalifornien), dann kamen COVID-19 und weltweite Schließungen sowie Wirtschafts-, Gesundheits- und Sicherheitskrisen. Hinzu kamen große Skandale, Änderungen in der Gesetzgebung, Veränderungen in der Wirtschaft und Fehlverhalten. Das Jahr endet mit einer großen Verletzung der Informationssicherheit, die mit dem Vorfall bei SolarWinds die Regierung und große Organisationen in Mitleidenschaft zog.

Was können wir aus Sicht der Compliance und der Ethik aus dem Jahr 2020 lernen und anpassen, um in Zukunft eine widerstandsfähigere und integre Organisation aufzubauen?

Sehen Sie sich das Webinar an: Die 3 wichtigsten Gründe, warum Sie Policy Management brauchen

Jetzt anmelden!

Die Erkenntnisse aus dem Compliance-Management im Jahr 2020 sind:

  • Geschäftliche und betriebliche Integrität und Agilität. Das Jahr 2020 hat die Unternehmen vor die Herausforderung gestellt, ihre Werte auch angesichts widriger Umstände zu leben. Corporate Compliance ist mehr als das Abhaken einer Liste von Anforderungen in Vorschriften. Bei Compliance und Ethik geht es um die Integrität des Unternehmens. Seit 15 Jahren sage ich, dass ich die Rolle des CCO/CECO gerne in Chief Integrity Officer umbenennen würde (aber wir haben bereits einen CIO Executive, so dass dies verwirrend wäre). Inmitten der wirtschaftlichen, gesundheitlichen und ökologischen Herausforderungen ist es für Unternehmen von entscheidender Bedeutung, ihren Worten Taten folgen zu lassen und sie nicht nur im Zusammenhang mit Werten zu äußern. Die Compliance musste flexibel werden, um sich an ein geschäftliches, regulatorisches, rechtliches und risikoreiches Umfeld anzupassen, das sich täglich, wenn nicht sogar stündlich ändert.
  • Integriertes und föderiertes Compliance-Risikomanagement. 2020 hat die Unternehmen dazu gezwungen, zu erkennen, dass ihre Compliance- und Ethikrisiken nicht in Silos verwaltet werden können. Die Unternehmen haben erkannt, dass sie ein - wie ich es nenne - "föderiertes" Compliance-Programm benötigen, das abteilungsübergreifend ist (das lehre ich in meinem Workshops zum Thema Compliance Management by Design). Silos von Compliance-Risiken, die nicht zusammenarbeiten, führen zu größeren Compliance-Risiken. Bedenken Sie, dass das, was mit COVID-19 als Gesundheits- und Sicherheitsproblem begann, zu einer Kaskade wurde:
    • Risiken für die Einhaltung der Vorschriften. Die Organisation musste sich an Schließungen und wirtschaftliche Zwänge anpassen. Dies bedeutete die Entlassung von Mitarbeitern, die Verlegung von Mitarbeitern in eine Heimarbeitsumgebung und die Anpassung von Geschäftsprozessen, um mit weniger Personal arbeiten zu können. Einige Mitarbeiter mussten mehrere Rollen und damit mehr Compliance-Verantwortlichkeiten und -Aufgaben übernehmen. Die Compliance musste auf dem Laufenden bleiben und sich inmitten des geschäftlichen Wandels anpassen.
    • Risiken bei der Einhaltung von Arbeitsgesetzen. Die Entlassung von Mitarbeitern ist eine heikle Angelegenheit, und das Unternehmen musste sich nicht nur an die gesetzlichen Bestimmungen halten, sondern auch seine eigenen Werte, seine Integrität und seine kulturellen Bedürfnisse berücksichtigen. Da die Mitarbeiter mehr Aufgaben übernahmen, kam es auch zu Konflikten bei der Aufgabentrennung, die genauer überwacht werden mussten.
    • Risiken im Zusammenhang mit Belästigung und Diskriminierung. Die Umstellung auf Heimarbeit verändert die Unternehmenskultur und den Umgangston. Als "Zoom"-Besprechungen zum neuen Konferenzraum wurden, waren die Mitarbeiter, die von zu Hause aus arbeiteten, nicht nur legerer gekleidet, sondern auch im Umgang miteinander. In diesen Online-Meetings wurden Dinge gesagt, die in einem Büro niemals gesagt worden wären. Die Mitarbeiter mussten erkennen, dass die gleichen Regeln für Belästigung und Diskriminierung auch bei der Arbeit von zu Hause aus gelten.
    • Betrugsrisiken bei der Einhaltung der Vorschriften. Angesichts der wirtschaftlichen Besorgnis über die Pandemie sind gute Angestellte, die nie auf die Idee gekommen wären, Betrug zu begehen, nun in Versuchung geraten. Sie machen sich Sorgen um ihre persönlichen und familiären Finanzen und sind eher bereit, einen Betrug zu begehen, so dass das Betrugsrisiko gestiegen ist. Da weniger Personal für die Überwachung der Kontrollen und der Einhaltung der Richtlinien zur Verfügung steht, glauben sie vielleicht auch, dass ihre Chancen, erwischt zu werden, gering sind.
    • Risiken für die Einhaltung der Informationssicherheit. Die Arbeit von zu Hause aus brachte eine Reihe von Risiken für die Einhaltung der IT-Sicherheit mit sich, die es zu bewältigen galt. Die Kompromittierung von Endgeräten in Heimbüros könnte zu einer Kompromittierung von Daten, Netzwerken und Geschäftssystemen in den Rechenzentren führen.
    • Risiken durch Bestechung und Korruption. Aufgrund der eingeschränkten Lieferketten wurden die Waren in den Fabriken, in der Logistik und beim Zoll nur langsam befördert. Es besteht ein erhöhtes Compliance-Risiko in Bezug auf die Gesetze zur Bekämpfung von Bestechung und Korruption, da es wahrscheinlicher ist, dass ein Angestellter Beamte/Parteien besticht, um seine Waren unrechtmäßig vor anderen zu beschleunigen.
    • Regulatorische Änderungen. Bei der Reaktion auf die Pandemie und die Abriegelung waren die Vorschriften ein einziges Durcheinander. Einige wurden geändert, Fristen für andere verschoben, andere blieben unverändert. Die Unternehmen mussten sich inmitten der Krise zurechtfinden und über flexible Prozesse verfügen, um die sich ändernden gesetzlichen Anforderungen zu erfüllen.
  • Mitarbeiterengagement und -kultur. Das Jahr 2020 zwang Unternehmen dazu, die Art und Weise zu überdenken, wie sie ihre Mitarbeiter einbinden und eine Unternehmenskultur der Integrität inmitten einer Krise entwickeln und durchsetzen. Mit den veränderten Geschäftsprozessen und Rollen änderten sich auch die Richtlinien und Verfahren. Als die Unternehmen sich daran machten, die Richtlinien und Verfahren zu aktualisieren und sie den von zu Hause aus arbeitenden Mitarbeitern mitzuteilen, stellten sie fest, dass die Richtlinien und Verfahren unübersichtlich waren. Die meisten Unternehmen wissen nicht einmal, welche Richtlinien sie in ihrer Umgebung haben, und sie mussten feststellen, dass es Dutzende von Richtlinienportalen mit unterschiedlichen Richtlinienvorlagen und Schreibstilen gab. Die Einbindung der Mitarbeiter in die Heimarbeitsumgebung veranlasste viele Unternehmen, nach neuen Technologien zu suchen, um Richtlinien und Bewusstsein zu vermitteln.
  • Richtlinien sind eine Grundlage für die Einhaltung von Vorschriften. OK, das Jahr 2020 hat uns viel über Richtlinien gelehrt. Neben dem Engagement mussten Organisationen gegen unseriöse und nicht autorisierte Richtlinien kämpfen. Manager auf allen Ebenen verfassten Richtlinien zur Bewältigung der Krise und kommunizierten sie als solche, was die Organisation möglicherweise der Haftung aussetzte, da eine Richtlinie eine gesetzliche Sorgfaltspflicht festlegt. Die Unternehmen erkannten, dass sie alles, was als Richtlinie verstanden wurde, zentral beaufsichtigen und kontrollieren mussten, und die Verantwortung dafür lag bei den Bereichen Corporate Compliance und Ethik.
  • Risiko und Widerstandsfähigkeit gegenüber Dritten. Das Jahr 2020 hat uns gezeigt, wie exponiert die Organisation im gesamten erweiterten Unternehmen ist. Es gab nicht nur ein erhöhtes Bestechungs- und Korruptionsrisiko durch Dritte, sondern auch ein erhöhtes Risiko für die Informationssicherheit, den Schutz der Privatsphäre sowie für Menschenrechte und Sklaverei in den Beziehungen zu Dritten. Das erweiterte Unternehmen ging zu einer Heimarbeitsumgebung über, was zu einem höheren Sicherheits- und Datenschutzrisiko führte. Dienstleister und ausgelagerte Rechenzentren fielen aus, da es an Personal fehlte, um sie bei Schließungen zu warten. Fabriken, die durch kranke Arbeiter zerstört wurden, setzten Kinderarbeit und Zwangsarbeit ein, um Waren zu produzieren. Unternehmen mussten die Beziehungen zu Drittanbietern flexibel regeln und die Einhaltung der Vorschriften in diesen Beziehungen sicherstellen. Die Sicherheitslücke bei SolarWinds hat nun zahlreiche Organisationen und Regierungsbehörden in Mitleidenschaft gezogen.
  • Wir haben immer noch mit alten Problemen zu kämpfen. Das Jahr 2020 hat uns auch gezeigt, dass wir oft noch mit den Compliance-Herausforderungen vergangener Jahre zu kämpfen haben. Der WireCard-Skandal in Deutschland führt zu vielen Veränderungen bei der Einhaltung von Vorschriften und Kontrollen, aber er ist ein Spiegelbild von Enron und Worldcom von vor 18 Jahren.
  • Vertretbare Einhaltung. Das Jahr 2020 verdeutlichte ebenfalls die Notwendigkeit einer vertretbaren Compliance. Die Richtlinien des US-Justizministeriums zur Bewertung von Compliance-Programmen wurden im Juni 2020 aktualisiert. Eines der Schlüsselelemente ist, dass Organisationen einen nachweisbaren Prüfpfad und ein Aufzeichnungssystem für Compliance-Aktivitäten benötigen (z. B. wer auf Richtlinien im Portal zugegriffen hat).

Bedarf an föderierter Einhaltung

Klar ist, dass das Jahr 2020 die Unternehmen gelehrt hat, dass sie eine föderale Compliance-Management-Strategie benötigen. Es gibt eine einzige Abteilung, die für alle Aspekte der Compliance zuständig ist. Heute sind die Compliance-Funktionen oft verstreut und arbeiten unabhängig voneinander. Es gibt IT-/Informations-Compliance, Datenschutz-Compliance, HR-Compliance, Umwelt-Compliance, Gesundheits- und Sicherheits-Compliance, Compliance bei öffentlichen Aufträgen, Beschaffungs-Compliance, Qualitäts-Compliance, Corporate Compliance und Ethik und vieles mehr.

Um inmitten einer sich verändernden und dynamischen Geschäftswelt agil zu sein, ist die Zusammenarbeit zwischen diesen Abteilungen/Rollen/Funktionen der Compliance erforderlich. Das Jahr 2020 hat uns gezeigt, dass der CECO an die Spitze einer unternehmensweiten Zusammenarbeit und Strategie für eine föderierte Compliance über diese Funktionen hinweg treten muss.

Das Jahr 2020 hat uns auch gezeigt, dass manuelle Compliance-Prozesse oder isolierte Technologielösungen ein Unternehmen, das flexibel sein muss, ausbremsen. Eine föderierte Compliance-Strategie, die agil ist, erfordert auch eine integrierte Compliance-Prozess-, Informations- und Technologiearchitektur, die es dem Unternehmen ermöglicht, inmitten von Chaos und Wandel ein höheres Maß an Effizienz, Effektivität und Agilität zu erreichen.

Mehr für Sie:
Experten-Leitfaden: Die 7 Merkmale einer effektiven Compliance
Anwendungsfälle: Entdecken Sie unsere Anwendungsfälle für die Automatisierung von Risiko- und Compliance-Workflows 
Infografik: GRC-Hürden und hohe Sprünge beim Aufbau einer Kultur der Compliance

[bctt tweet="Was können wir aus dem Jahr 2020 lernen und anpassen, um in Zukunft eine widerstandsfähigere und integre Organisation aufzubauen? - Michael Rasmussen" via="no"]

Unser Fokus? Auf Ihren Erfolg.

Vereinbaren Sie einen Termin für eine Demo, oder erfahren Sie mehr über die Produkte, Dienstleistungen und das Engagement von Mitratech.

Kontakt