Es als Herausforderung zu bezeichnen, wäre vielleicht noch untertrieben: Viele Manager fragen sich, inwieweit ihre Aufsichtsbehörden ihnen während COVID-19 Änderungen an den Compliance-Standards gestatten werden. Da ein großer Teil der unverzichtbaren Mitarbeiter von zu Hause aus arbeitet, ist es schwierig, Compliance- und Audit-Prozesse aufrechtzuerhalten.
Die Antwort lautet, dass die Finanzaufsichtsbehörden zwar Verständnis zeigen, aber dennoch entschlossen vorgehen – die SEC, die OCC, die Federal Reserve, die Bank of England und andere gewähren den von ihnen beaufsichtigten Unternehmen nur wenige Ausnahmen.
Fairerweise muss man sagen, dass die Regulierungsbehörden sich sehr bemühen, die damit verbundenen Herausforderungen zu verstehen. Sie möchten so flexibel wie möglich sein, um Unternehmen zu unterstützen. Außerdem sind sie bestrebt, potenzielle Risiken zu identifizieren und anzugehen, die wahrscheinlich auftreten werden, wenn die Menschen weiterhin von zu Hause aus arbeiten.
Angesichts der aktuellen Lage ist es bemerkenswert, dass das US-Justizministerium (DOJ) seine Erwartungen an Compliance-Programme von Unternehmen während der Pandemie aktualisiert und einen Entwurf vorgelegt hat, wie „gute“ Compliance aussehen sollte.
Seine Bedeutung liegt in der Art und Weise, wie Mitglieder der globalen Regulierungsgemeinschaft zusammenarbeiten, um gemeinsame Ziele zu erreichen. Die Maßnahme des DOJ dürfte die Erwartungen anderer Regulierungsbehörden hinsichtlich der Merkmale eines guten Compliance-Programms insgesamt beeinflussen und prägen.
Eine zeitnahe Ankündigung
Die Ankündigung des DOJ kommt gerade rechtzeitig, da aufgrund der vielen Menschen, die von zu Hause aus arbeiten, mit hoher Wahrscheinlichkeit Risikofälle aufgetreten sind. Sie enthält einen Leitfaden, der Unternehmen dabei hilft, zu überlegen, wo solche Risikofälle aufgetreten sein könnten und wie sie am besten gemindert werden können.
Es bietet auch einen Rahmen, der Unternehmen dabei hilft, über die Kerngeschäftsprozesse nachzudenken, die sich auf ihre Compliance auswirken und auf manuellen Prozessen beruhen. Die „neue Normalität“, mit der wir alle konfrontiert sind, wird stärker als vor der Pandemie auf Homeoffice-Strategien setzen, selbst wenn wir diese überwunden haben, und manuelle Prozesse, die nur funktionieren, wenn alle im Büro sind, müssen so schnell wie möglich abgeschafft werden.
Die Richtlinien des DOJ stellen drei Fragen:
1 • Ist das Compliance-Programm gut konzipiert?
Kriterien
Probleme
- Entwurf eines Compliance-Programms
- Risikobereitschaft
- Risikogerechte Ressourcenallokation
- Aktualisierungen & Währung
- Anwendung der gewonnenen Erkenntnisse
- Grundsätze und Verfahren
- Gestaltung
- Vollständigkeit
- Erreichbarkeit
- Verantwortung für die operative Integration
- Kontrollen & Gatekeeper
- Schulung und Kommunikation
- Risikobasiertes Training
- Wirksamkeit der Ausbildung
- Kommunikation über Fehlverhalten
2 • Wird das Programm in gutem Glauben verwaltet?
Kriterien
Probleme
- Das Engagement der mittleren und oberen Führungsebene
- Verhalten an der Spitze
- Gemeinsame Verpflichtungen
- Aufsicht
- Autonomie und Ressourcen
- Dienstalter & Struktur
- Erfahrung & Qualifikationen
- Finanzierung und Ressourcen
- Datenressourcen und Zugriff
- Autonomie vom Geschäft
- Verwaltung der Auslagerung von Compliance-Funktionen, wo dies erforderlich ist
- Anreize und Disziplinarmaßnahmen
- Personalprozesse
- Konsequente Anwendung
- Das Anreizsystem
3 • Funktioniert das Compliance-Programm in der Praxis?
Kriterien
Probleme
- Kontinuierliche Verbesserung, regelmäßige Tests und Überprüfungen
- Interne Revision
- Kontrollprüfung
- Fortlaufende Aktualisierungen
- Eine Kultur der Compliance
- Untersuchung der Einhaltung
- Eine umfassende Untersuchung durch qualifiziertes Personal
- Antworten auf Untersuchungen
- Analyse und Behebung des zugrunde liegenden Fehlverhaltens
- Ursachenanalyse
- Frühere Schwächen
- Schwächen des Zahlungssystems
- Verwaltung der Lieferanten
- Vorherige Indikationen
- Sanierung
- Rechenschaftspflicht
Das Dokument des DOJ ist wertvoll, da es ein klares Bild davon vermittelt, was ein Mitglied der Regulierungsgemeinschaft als bewährte Praxis ansieht. Es bietet eine Vorlage für alle Organisationen, die nach COVID-19 wieder ins Büro zurückkehren und ihr GRC-System optimieren möchten.
Die Aktualität dieses Themas ist darauf zurückzuführen, dass das hybride Modell aus Büro- und Heimarbeit eine Reihe von Problemen aufzeigen wird, die die Compliance, Überprüfbarkeit und Transparenz beeinträchtigen und durch manuelle Prozesse und nicht genehmigte technologische Workarounds verursacht werden. Unternehmen müssen schnell handeln, um eine Reihe von Risiko- und Compliance-Problemen im Zusammenhang mit Richtlinienmanagement, Compliance-Management, Endbenutzer-Computing-Anwendungen, Lieferkettenmanagement sowie der Berichterstattung und Verwaltung all dieser Aspekte zu beheben.
