5 wesentliche Elemente der Corporate Compliance
Die meisten Experten sind sich einig, dass unabhängig davon, welcher Rechtsordnung ein Unternehmen unterliegt, fünf gemeinsame Grundlagen für eine wirksame Corporate Compliance bestehen.
Viele Organisationen unterliegen heute mehreren Rechtsordnungen und zahlreichen Vorschriften, wie dem britischen Anti-Bribery Act, die auch Organisationen betreffen, die ihren Hauptsitz nicht im Vereinigten Königreich haben. Weitere Vorschriften sind weltweit entstanden, wie die GDPR, der CCPA in Kalifornien, PIPEDA in Kanada, APPI in Japan, das Gesetz zum Schutz personenbezogener Daten in Indien, der PDPA in Singapur und das Pilotprojekt zum CDR in Australien.
Angesichts der zunehmenden Regulierung war die Notwendigkeit einer wirksamen Einhaltung der Vorschriften noch nie so groß wie heute. Unternehmen sehen sich bei Verstößen gegen die Vorschriften mit immer höheren Strafen konfrontiert, die in einigen Ländern auch die persönliche Verantwortung einschließen, wobei leitende Angestellte dank der Einführung des SMCR mit Geldstrafen belegt oder strafrechtlich verfolgt werden.
Diese fünf Grundlagen können als Best-Practice-Prinzipien betrachtet werden, die bei der Konzeption, Entwicklung, Einführung und kontinuierlichen Verbesserung Ihres Compliance-Programms zu beachten sind:
Leiterschaft
Die Unterstützung für ein ethisches Compliance-Programm muss von der Spitze kommen, einschließlich der Geschäftsleitung und des Verwaltungsrats. Wird das Programm nicht von der obersten Führungsebene unterstützt, ist es kaum mehr als ein hohles, zahnloses Bündel interner Regeln und Vorschriften.
Die Rolle des Chief Compliance Officer sollte ebenfalls eine leitende Position sein, die unabhängig ist und dem CEO oder dem Vorstand untersteht.
Risikobewertung
Organisationen müssen über eine Reihe von Richtlinien und Verfahren verfügen, die den Rahmen für ihre Tätigkeit vorgeben. Dies beschränkt sich jedoch nicht auf einen Verhaltenskodex für Unternehmen, sondern sollte alle Aktivitäten der Organisation abdecken. Die Richtlinien und Verfahren sollten klar, praktisch und zugänglich sein und Bereiche wie Bestechung, Korruption und Buchhaltungspraktiken abdecken.
Dies sollte auch für Dritte gelten, egal ob es sich um Lieferanten oder Kunden handelt. Richtlinien und Verfahren sind nur dann wirksam, wenn sie auf dem neuesten Stand gehalten und regelmäßig kommuniziert werden, insbesondere wenn Änderungen vorgenommen werden.
Richtlinien und Verfahren
Organisationen müssen über eine Reihe von Richtlinien und Verfahren verfügen, die den Rahmen für ihre Tätigkeit vorgeben. Dies beschränkt sich jedoch nicht auf einen Verhaltenskodex für Unternehmen, sondern sollte alle Aktivitäten der Organisation abdecken. Die Richtlinien und Verfahren sollten klar, praktisch und zugänglich sein und Bereiche wie Bestechung, Korruption und Buchhaltungspraktiken abdecken.
Dies sollte auch für Dritte gelten, egal ob es sich um Lieferanten oder Kunden handelt. Richtlinien und Verfahren sind nur dann wirksam, wenn sie auf dem neuesten Stand gehalten und regelmäßig kommuniziert werden, insbesondere wenn Änderungen vorgenommen werden.
Ausbildung und Kommunikation
Die wirksame Umsetzung der Richtlinien und Verfahren des Compliance-Programms erfordert ein solides Schulungsprogramm. Die Aufsichtsbehörden erwarten, dass eine Organisation über einen umfassenden Schulungsplan verfügt, der die Compliance-Verantwortlichkeiten der Mitarbeiter effektiv vermittelt, insbesondere für Mitarbeiter in risikoreichen Positionen oder an Standorten.
Traditionelle Live-Schulungen sind nach wie vor wichtig, können aber durch E-Learning-Plattformen, Fernschulungen per Videokonferenz, Online-Tests usw. ergänzt und verstärkt werden, was den Zugang zu Schulungen erleichtert und sie kostengünstiger macht. Die Durchführung von Compliance-Schulungen für Mitarbeiter im Rahmen ihrer Einarbeitung reicht nicht aus, und die Schulungen müssen regelmäßig aufgefrischt werden.
Beaufsichtigung und Berichterstattung
Ein Schlüsselelement eines jeden Compliance-Rahmens ist die Einrichtung von Überwachungs- und Prüfungskontrollen, um sicherzustellen, dass die Organisation ihr Compliance-Programm überwacht und dass die Mitarbeiter sich an das Programm halten. Eine Organisation sollte ein regelmäßiges Überwachungssystem einrichten, um Probleme zu erkennen und zu beheben. Eine wirksame Überwachung bedeutet, dass eine Reihe von Protokollen, Prüfungen und Kontrollen, die auf die Risiken zugeschnitten sind, einheitlich angewandt werden, um Probleme mit der Einhaltung der Vorschriften laufend zu erkennen und zu beheben.
Wird ein Verstoß gegen die Vorschriften festgestellt, sollte die Organisation unverzüglich analysieren, wie es zu dem Verstoß gekommen ist, und Maßnahmen ergreifen, um eine Wiederholung zu verhindern. In den Compliance-Berichten sollte dargelegt werden, wie die Organisation die von den Aufsichtsbehörden und staatlichen Stellen festgelegten Regeln, Normen, Gesetze und Vorschriften einhält. Diese Analysen sollten der Geschäftsleitung, dem Vorstand und den Mitgliedern des Prüfungsausschusses vorgelegt werden. Die Nichteinhaltung von Vorschriften bedeutet, dass Unternehmen mit Strafen, einschließlich Geld- und Haftstrafen, belegt werden können.
Corporate Compliance muss proaktiv bleiben
Seit Jahren ist die Compliance-Funktion damit beschäftigt, die sich ständig verändernde Compliance-Landschaft proaktiv zu managen und mit ihr Schritt zu halten, und steht vor der Herausforderung, die Wirksamkeit ihrer Compliance-Programme nachzuweisen. Kombinieren Sie dies mit allgemeinen Unternehmensverpflichtungen und Branchenstandards, und Ihre Compliance-Funktion steht vor einer fast unmöglichen Aufgabe.
Aber nur "fast". Bewährte Technologielösungen für das Compliance-Management ermöglichen es Ihrem Unternehmen, die Einhaltung von Vorschriften und Unternehmensverpflichtungen zu automatisieren und zu kontrollieren. Sie unterstützen Ihre Risiko- und Compliance-Abläufe auf eine Weise, die es Ihnen ermöglicht, mit den ständigen Veränderungen und Herausforderungen des modernen Risikomanagements Schritt zu halten.
[bctt tweet="Laut IBM Security und Ponemon Institute kostet eine durchschnittliche Datenverletzung ein Unternehmen 3,86 Millionen Dollar." via="yes"]
