Das Compliance-Assessment
Renate Mayer, Compliance-Expertin beim Enterprise-Content-Management-Spezialisten FME AG in Braunschweig, rät, die juristischen, betriebswirtschaftlichen und IT-Fragen gleichrangig zu behandeln sowie alle Experten in ein gemeinsames Team zu holen. Der Beratungs- und Implementierungsdienstleister steht hierzu mit einem Experten für IT-Prozesse sowie einer auf IT-Recht spezialisierten Rechtsanwaltskanzlei in Verbindung.
Foto: FME
Ein solches "Compliance-Assessment" dient dazu, Schwachstellen im Unternehmen aufzuzeigen, die notwendigen Änderungen zu definieren und sie betriebswirtschaftlich zu bewerten. Erst auf dieser Grundlage könne ein angemessener Maßnahmenplan erstellt und mögliche Anpassungen der IT-Systeme eingeleitet werden, so FME-Managerin Mayer. Auf der Seite des Servicenehmers sollten neben der Unternehmensleitung das Rechnungswesen, die IT, der Datenschutzbeauftragte und die Revision im Team sein - gegebenenfalls auch der Chief Compliance Officer (CCO), wie ihn große Unternehmen, beispielsweise BASF oder Siemens, bereits haben. Der Ablauf sieht wie folgt aus:
1. Die zutreffenden Gesetze und Normen feststellen
Im ersten Schritt gilt es zu klären, welche Regularien für das Unternehmen relevant sind und welche internen Regelungen sowie Arbeitsanweisungen bereits existieren. Dazu Mayer: "Wir stellen immer wieder fest, dass es angesichts der vielen neuen Regelungen einen erheblichen Nachholbedarf gibt." Zum Beispiel werde die Archivierung von E-Mails fälschlicherweise auf die Frage des geeigneten IT-Systems reduziert. Manchmal würden auch neue Entwicklungen wie die Produkthaftung in der Fertigungsindustrie nicht ernst genug genommen. Zu berücksichtigen sie auch, inwiefern verschiedene Compliance-Felder, beispielsweise die Anforderungen an das Risk-Management (ISO 9000), die Corporate Governance (SOX), spezifische Regularien wie 21CFRPart11 (Pharma) sowie Datenschutz und Telekommunikationsgesetz, Handelsgesetzbuch und Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) einander überlappen.
2. Die betroffenen Prozesse und Systeme definieren (Scoping)
Im zweiten Schritt werden die betroffenen Prozesse und Systeme identifiziert. Dazu gehören unter anderem die installierte Hard- und Software sowie die Zugriffs- und Berechtigungsregelungen. Im Rechnungswesen fallen darunter etwa die Prozesse des Rechnungseingangs und -ausgangs, das ERP-System sowie alle Abläufe bis zum Archivsystem. Die Erfüllung dieser Auflagen muss gut dokumentiert werden. Eine Zulassung kann beispielsweise scheitern, wenn nicht nachweisbar ist, dass die Mitarbeiter alle relevanten Arbeitsanweisungen kennen und das per Unterschrift dokumentiert haben.