Definieren Sie Compliance: Was ist Compliance im Unternehmen und warum ist sie wichtig?

Die Unternehmens-Compliance-Definition und die Unternehmensbedeutung ist, dass es sich um einen integrierten Ansatz zur Einhaltung von Vorschriften handelt, der umfasst mehrere Geschäftsbereiche und geografische Gebiete innerhalb einer Organisation. Sie wird von oben nach unten aufgebaut und wird durch die Mitarbeiter, Prozesse und Technologien des Unternehmens ermöglicht und aufrechterhalten.

Ein wirksames Compliance-Management-Programm konzentriert sich auf die Risiken, denen eine Organisation ausgesetzt ist. Es kann sich auf mehrere Rahmenwerke stützen und soll sicherstellen, dass die unternehmensweiten ethischen Grundsätze befolgt und die Compliance-Risiken unter Kontrolle gehalten werden.

Eine wirksame Compliance hat weitreichende Vorteile. Sie kann nicht nur das Risiko von Rechtsverstößen und des schlechten Rufs verringern, sondern auch sicherstellen, dass Ihr Unternehmen wettbewerbsfähig bleibt, eine integrierte Kultur für alle Mitarbeiter schafft, zu einer besseren Entscheidungsfindung führt und langfristige Nachhaltigkeit gewährleistet.

Laut der jüngsten EY 15. globale Betrugsstudie,

  • 97% von 2.550 Befragten halten es für wichtig, dass ihre Organisation omit Integrität arbeitet.
  • 43% der Befragten sind der Meinung, dass die Änderung eines rechtlichen Umfelds die größtes Risiko to ihr Geschäft.
  • 36% der Befragten Betrugs- und Korruptionsverdacht das größte Risiko für ihr Unternehmen darstellen.

Arten von Compliance in Unternehmen: interne und externe Unternehmens-Compliance

Externe Compliance umfasst die Gesetze und Vorschriften, die eine Regierung vorschreibt, wie eine Organisation ihre Geschäfte zu führen hat. Ein Beispiel hierfür wäre, wenn ein Unternehmen die personenbezogenen Daten von Kunden aus der EU verloren hätte - gemäß der Allgemeinen Datenschutzverordnung (GDPR) müsste es diese Verletzung innerhalb von 72 Stunden bekannt geben.

Interne Compliance ist die Art und Weise, wie ein Unternehmen diese Gesetze einhält. Diejenigen, die für die Einhaltung der Vorschriften verantwortlich sind - in der Regel ein Compliance-Beauftragter oder mehrere, wenn es sich um ein größeres Unternehmen handelt - entwickeln die Compliance-Programme. Die Mitarbeiter befolgen dann diese internen Richtlinien.

Wer ist dafür verantwortlich?

Die Anzahl der Compliance-Beauftragten in einer Organisation hängt von deren Größe und Bedarf. Ein Unternehmen Compliance-Beauftragter ist ein Mitarbeiter, dessen Aufgabe es ist, dafür zu sorgen, dass das Unternehmen sowohl die externen regulatorischen und rechtlichen Anforderungen als auch die internen Richtlinien und Verfahren einhält. In der Regel wird die Compliance-Abteilung vom Chief Compliance Officer geleitet.

Compliance-Beauftragte arbeiten mit der Geschäftsleitung und den Mitarbeitern zusammen, um die Risiken zu ermitteln und sicherzustellen, dass das Unternehmen über ausreichende interne Kontrollen verfügt, um alle Arten von Compliance-Risiken zu bewältigen, denen es ausgesetzt ist. Im Falle eines Verstoßes sollte der Compliance-Beauftragte disziplinarische Maßnahmen ergreifen, um mögliche Wiederholungen zu vermeiden.

Zu den Aufgaben kann es gehören, Standards für die externe Kommunikation zu überprüfen und festzulegen (z. B. können E-Mails Haftungsausschlüsse erfordern oder Einrichtungen müssen inspiziert werden, um Sicherheitsanforderungen zu erfüllen). Sie können interne Audits leiten, interne Richtlinien entwerfen, um das Risiko eines Verstoßes gegen Vorschriften zu mindern, und Notfallpläne für den Fall eines Verstoßes gegen Vorschriften entwerfen.

Um diese Aufgaben effektiv wahrnehmen zu können, müssen die Compliance-Beauftragten das Unternehmen und seine Abläufe genau kennen und wissen, wo es zu Verstößen gegen Vorschriften kommen kann. Die wichtigsten ethischen Grundsätze müssen wirksam vermittelt werden, und Änderungen und Aktualisierungen der Vorschriften müssen regelmäßig im gesamten Unternehmen bekannt gemacht werden - zumal sich diese Richtlinien und Vorschriften ständig ändern.

Mehr als der Compliance-Beauftragte im Unternehmen?

Neben den Compliance-Beauftragten sind auch die obersten Führungskräfte, die Vorstandsmitglieder und das Management verantwortlich - und in geringerem Maße auch alle Mitarbeiter. Das Verständnis des Gesamtbildes, wie Compliance in einem Unternehmen funktioniert, kann helfen, Verwirrung zu vermeiden.

Der Vorstand spielt eine große Rolle, da sein persönlicher Ruf und der anderer Unternehmen, die er beaufsichtigt, ebenfalls durch mangelhafte Einhaltung der Vorschriften beeinträchtigt werden kann.
Die Führungsebene sollte alle Erwartungen und Unternehmenswerte in Bezug auf die Einhaltung der Vorschriften klar kommunizieren.

Hier kommen Transparenz und Schulung ins Spiel - von der Schulung bis zur Veranstaltung von Town Halls ist es von entscheidender Bedeutung, dass die Leistungsstandards, Ziele und Bewertungskriterien für alle Mitarbeiter klar sind. Auf dieser Grundlage können Konsequenzen und Belohnungen in den Rahmen eingebaut werden.

Über die internen Stakeholder hinaus muss die Einhaltung der Vorschriften auch für folgende Personen klar sein externe Kräfte wie Aufsichtsbehörden, Aktionäre, die Medien und Geschäftspartner. Transparenz kann dazu führen, dass diese Gruppen Vertrauen in die Organisation aufbauen - insbesondere in Bezug auf die ethischen Grundlagen des Unternehmens. Wenn Sie verstehen, wie diese Ethik vermittelt und gelebt wird, kann dies dazu führen, dass viele externe Gruppen zu Fürsprechern Ihres Unternehmens werden.

Verschiedene Kulturen, Länder und sogar Staaten können unterschiedliche Vorstellungen von der Einhaltung der Vorschriften haben. In den USA haben die einzelnen Bundesstaaten unterschiedliche Vorschriften und Richtlinien, und selbst Städte und Landkreise können ihre eigenen Anforderungen hinzufügen.

Welche Vorschriften wirken sich auf die Einhaltung der Vorschriften in Unternehmen aus?

Es gibt verschiedene Arten von Konformitätsprüfungen mit unterschiedlichen Anforderungen, aber hier sind einige der gängigsten Vorschriften aufgeführt.

CCPA

Die Kalifornisches Verbraucherschutzgesetz ist am 1. Januar 2020 in Kraft getreten. Es zielt darauf ab, die Rechte der Verbraucher zu schützen und für mehr Transparenz und Schutz der Privatsphäre zu sorgen, wenn es um ihre persönlichen Daten geht. Nach diesem Gesetz haben die Kalifornier das Recht zu erfahren, welche personenbezogenen Daten gesammelt werden, ob sie weitergegeben werden, an wen sie weitergegeben werden, und sie können sich gegen den Verkauf ihrer Daten entscheiden.

Erfahren Sie mehr über die Einhaltung des CCPA →

GDPR

Die EU Allgemeine Datenschutzverordnung ist im Mai 2018 in Kraft getreten und schützt den Datenschutz von EU-Bürgern. Diese Compliance-Verordnung gilt jedoch für jedes Unternehmen, das die Daten europäischer Bürgerinnen und Bürger verarbeitet, auch wenn sie ihren Sitz im Ausland haben.

Erfahren Sie mehr über die Einhaltung der GDPR →.

Sarbanes-Oxley-Gesetz (SOX)

Die US-Regierung verabschiedete dieses Bundesgesetz im Jahr 2002, um Prüfungs- und Finanzvorschriften für öffentliche Unternehmen festzulegen. Ziel des Gesetzes ist es, Aktionäre, Mitarbeiter und die Öffentlichkeit vor ungenauen Finanzberichten und Buchhaltungsfehlern zu schützen. Obwohl es hauptsächlich börsennotierte Unternehmen regelt, gelten einige Bestimmungen auch für private und gemeinnützige Organisationen.

Erfahren Sie mehr über die Einhaltung von SOX →

SOC 2

Ein vom American Institute of Certified Public Accountants definiertes Compliance-Audit, das für alle Unternehmen gilt, die Kundendaten in der Cloud speichern oder verarbeiten. (z. B. SaaS-Unternehmen) Es gibt zwei Arten: SOC 2 Typ I wird zu einem einzigen Zeitpunkt durchgeführt, während SOC 2 Typ II in der Regel über einen längeren Zeitraum erfolgt, der beim ersten Mal sechs Monate und danach ein Jahr umfasst.

Informieren Sie sich über Verpflichtungen zur Einhaltung gesetzlicher Vorschriften wie SOC 2 →

ISO 27001

Diese zur ISO- oder IEC 27K-Reihe gehörende Norm zur Einhaltung der Informationssicherheit hilft Unternehmen bei der Verwaltung der Sicherheit von Datenbeständen. Dazu können Daten von Mitarbeitern oder Dritten, Finanzinformationen und geistiges Eigentum gehören.

Entdecken Sie unsere Datenschutzlösungen →

Branchenspezifische Konformität

Es gibt mehrere branchenspezifische Compliance-Vorschriften, unter anderem:

HIPAA

Der HIPAA, auch bekannt als Health Insurance Portability and Accountability Act, wurde 1996 vom US-Gesundheitsministerium für das Gesundheitswesen verabschiedet. Es schützt die Gesundheitsinformationen der Patienten.

FINRA

Die FINRA, auch bekannt als Financial Industry Regulatory Authority, ist eine unabhängige, nichtstaatliche Organisation, die Vorschriften für die Finanzbranche erarbeitet und durchsetzt. Sie sollen die Anleger vor Betrug schützen und gelten für staatlich zugelassene Makler und Broker-Dealer-Firmen in den USA.

Bewährte Verfahren für das Compliance-Risikomanagement in Unternehmen

Was sind die richtigen Schritte, um die Einhaltung der Vorschriften im Unternehmen zu gewährleisten, und welche technischen Lösungen gibt es?

Verwaltung von Unternehmensinhalten

Durch die Zentralisierung von Daten und Dokumenten in einem sicheren Repository, in dem der Zugriff verwaltet werden kann und die vorgeschriebene Datengültigkeit gewährleistet ist, kann die riesige Menge an Informationen, die ein modernes Unternehmen sammelt, effektiv verwaltet werden, und zwar in Übereinstimmung mit den immer zahlreicher werdenden Datenschutzgesetzen.

Verwaltung digitaler Richtlinien

Das Verfassen, Verteilen und Erfassen von Bestätigungen zu wichtigen Richtlinien und Verfahrensaktualisierungen ist viel zu komplex, als dass es mit herkömmlichen manuellen Verfahren erledigt werden könnte. Da immer mehr Mitarbeiter an entfernten Standorten arbeiten und die Notwendigkeit besteht, schnell auf Marktkräfte oder Störungen zu reagieren, wenden sich Unternehmen automatisierten Lösungen für die Richtlinienverwaltung zu, um diese Prozesse zu rationalisieren und gleichzeitig die Kosten zu senken.

Prozessautomatisierung

Mithilfe von Tools zur Prozessautomatisierung kann die Einhaltung von Vorschriften buchstäblich in Arbeitsabläufe und betriebliche Prozesse im gesamten Unternehmen eingebettet werden. Diese Lösungen bieten auch eine Top-Down-Übersicht über alle Prozesse und helfen dabei, die Leistung zu optimieren und Risiken proaktiv zu mindern.

Entdeckung der Schatten-IT

Unternehmen verlassen sich zunehmend auf EUC-Ressourcen (End User Computing) wie z. B. Tabellenkalkulationen, die jedoch außerhalb der direkten IT-Kontrolle liegen und eine Vielzahl von Risiken bergen können. Mit immer mehr Remote-Mitarbeitern ist dies ein eskalierendes Problem, weshalb Unternehmen diese "Schatten-IT"-Anlagen identifizieren, bewerten und überwachen müssen.

Risikomanagement bei Lieferanten

Um Ihr Unternehmen zu schützen, müssen Sie nicht mehr nur interne Risiken verwalten. Viele Vorschriften sehen vor, dass Sie auch für Verstöße Ihrer Lieferanten und Zulieferer haften. Daher ist es wichtig, alle Risiken, die von Ihrem Lieferantennetzwerk ausgehen, zu überwachen und zu mindern, bevor sie sich auswirken Ihr Ruf und Ergebnis.