Business Process Management

Compliance mit standardisierten Prozessen sichern

19.09.2016 von Dirk Pohla

Compliance-Verstöße können Unternehmen teuer zu stehen kommen. Rechtskonform aufgesetzte und automatisierte Prozesse können dies verhindern. Dabei helfen Business-Process- und Case-Management.

Zunächst musste Sepp Blatter zurücktreten, kurz darauf verzichtete sein potentieller Nachfolger Michel Platini gleich ganz auf seine Kandidatur. Im Zuge der Abgas-Affäre trat VW-Chef Winterkorn zurück und die Panama-Papers werden wohl auch den ein oder anderen Chefsessel freimachen. Was diese drei Beispiele gemeinsam haben? Compliance-Verstöße. Unter das Thema Compliance fällt die Einhaltung von nationalen und internationalen Gesetzen, Vorschriften und freiwilligen Selbstverpflichtungen sowie internen Richtlinien.

Doch obwohl der Druck durch zunehmende Regulierung und strafrechtliche Konsequenzen bei Compliance-Verstößen stetig wächst, bleiben nach wie vor viele Unternehmen in Sachen Compliance Management auf halber Strecke stehen. Zu diesem Ergebnis kommt eine Befragung von 169 deutschen Unternehmen nach dem Status Quo ihres Compliance-Management-Systems (CMS), die Recommind, ein Anbieter von E-Discovery-Lösungen und Suchmaschinentechnologie, gemeinsam mit einem Studienprojekt der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt durchgeführt hat.

Selbst dort, so die Umfrage, wo die Befragten in einem ersten Schritt Compliance-Standards in Form von Kodizes und anderen Richtlinien festgelegt und dokumentiert (82 Prozent) und ihre Mitarbeiter durch Präventionsmaßnahmen geschult haben (79 Prozent), mangelt es an notwendigen Kontrollen. Lediglich 69 Prozent überwachen die Einhaltung der verabschiedeten Compliance-Richtlinien durch regelmäßige Kontrollmaßnahmen. Prozesse, wie sie mit aufgedeckten Regelverstößen umgehen, hat sogar nur rund jedes zweite der befragten Unternehmen festgelegt.

Ob Fifa, DFB oder VW - Compliance entscheidet über den Erfolg.
Foto: garagestock - shutterstock.com

Fehlende Kontrolle & Unkenntnis: Explosive Mischung

Zu den fehlenden Kontrollmechanismen gesellt sich die Unkenntnis der Mitarbeiter. Denn viele Mitarbeiter wissen nicht oder zumindest nur ungenügend darüber Bescheid, welche Regeln ihr Arbeitgeber aufgestellt hat, um gesetzlichen und ethischen Anforderungen Genüge zu tun. Das hat eine ergänzende Umfrage unter 1000 Arbeitnehmern gezeigt. Lediglich 36 Prozent der Befragten gaben an, von bestehenden Compliance-Regeln im Unternehmen zu wissen und sich auch daran zu halten. Jeder vierte Arbeitnehmer gab zu, dass es zwar ein Regelwerk gäbe, sich aber aufgrund mangelnder Kontrollen ein eher lockerer Umgang mit bestehenden Vorschriften eingeschlichen habe. 17 Prozent gaben an, dass es in ihrem Unternehmen keine Compliance-Richtlinien gäbe; 23 Prozent konnten sich unter dem Begriff Compliance noch nicht einmal etwas vorstellen.

Dass diese Ergebnisse keine Ausnahme sind, zeigt der "CMS Compliance Barometer 2015", für den das Marktforschungsinstitut Ipsos 175 zufällig ausgewählte Compliance-Verantwortliche in deutschen Unternehmen mit mehr als 500 Mitarbeitern befragt hat. Der Umfrage zufolge weist der "CMS Compliance-Index", der sich aus 25 verschiedenen abgefragten Variablen aus den Bereichen Organisation, Ausstattung, Bedarf, Vorsorge und Kultur der Compliance in den Unternehmen berechnet, aktuell einen Wert von 64 von 100 möglichen Zählern auf. Die deutsche Rechtsanwaltskanzlei CMS Hasche Sigle, mit über 600 Rechtsanwälten und Steuerberatern eine der führenden Anwaltssozietäten auf dem Gebiet des Wirtschaftsrechts in Deutschland, nennt dies "eine moderate Durchdringung der Unternehmen mit Compliance".

Wesentliche Bereiche der IT-Compliance

1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG)

2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz)

3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz)

4. Stabilität und Sicherheit der IT-Prozesse

5. Gewährleistung der physischen Sicherheit

6. Datenaufbewahrung und –archivierung

7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)

8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)

9. Kontrolle der ausgelagerten Bereiche (Outsourcing)

10. Materieller Datenschutz

Compliance durch Business-Process- und Case-Management-Plattformen

Entscheidungsträger, die sich und ihr Unternehmen schützen wollen, stehen vor einer großen Herausforderung: Sie müssen Mittel und Wege finden, um die Einhaltung externer sowie interner Regelungen und Gesetze sicher zu stellen. Eine effiziente Methode ist der Einsatz einer BPM- (Business Process Management) und Case-Management-Plattform. Denn auf einer solchen Plattform können Unternehmen alle notwendigen Compliance-Prozesse vollständig und rechtssicher definieren, ausführen und ihre Einhaltung dokumentieren.

Nehmen wir als Beispiel die Einhaltung der Compliance beim Antrag einer medizinischen Studie sowie einer anschließenden Medikamentenzulassung in der pharmazeutischen Industrie. Compliance hat hier einen besonders großen Stellenwert. Schließlich geht es bei der Einhaltung der Compliance-Prozesse nicht nur darum, das Unternehmen zu schützen, sondern immer auch um den Schutz und die Gesundheit der Patienten.

Anforderungen an BPM-Werkzeuge

Anforderungen an BPM-Werkzeuge
Ein BPM-Projekt sollte mit einer klaren Fokussierung auf den zu er-zielenden Nutzen, geplant werden; die für die Umsetzung notwendi-gen Werkzeuge sollten im Anschluss ausgewählt werden. Für die Auswahl eines geeigneten Werkzeuges ergeben sich dann wiederum folgende Anforderungen:

Definition einer Schichtenarchitektur zur Abbildung von Varianten.

Dynamisches Case-Management zur Abbildung von Vorgängen, Abhängigkeiten oder Ad-Hoc-Prozessmanagement.

Modellgetriebene Entwicklung aller Artefakte – Case, Prozess, UI, oder Regeln – für ein besseres Verständnis der zukünftigen Anwendung durch den Businessanwender.

Unterstützung und Integration aller Kanäle wie Mobile, Web, Social, POS oder CRM.

Collaboration Support für eine enge Zusammenarbeit von Business und IT.

Antrag auf medizinische Studie leicht gemacht

Beginnen wir mit dem Antrag auf eine medizinische Studie - ein hochkomplexer Prozess. Zunächst benötigt das Pharmaunternehmen für jede Studie die Zustimmung der zuständigen nationalen Behörden und der Ethik-Kommission. Gestützt auf vorherige Untersuchungen wägt die Ethik-Kommission ab, ob und unter welchen Voraussetzungen die Studie aus ethischer, medizinischer und rechtlicher Sicht durchgeführt werden kann. Ein besonderes Augenmerk gilt dabei stets dem Schutz der Studienteilnehmer. Die Kommission prüft unter anderem, welche medizinischen Einrichtungen und Ärzte für die Studie geeignet sind.

Eine BPM- und Case-Management-Plattform kann dabei helfen, den Antragsprozess effizient zu gestalten. Beispielsweise können Mitarbeiter aus den Fachabteilungen des Pharmaunternehmens alle notwendigen Prozesse auf einer grafischen Benutzeroberfläche via "Drag & Drop" modellieren und in eine Anwendung integrieren. Über ein Social-Collaboration-Tool können sich zudem Mitarbeiter aus verschiedenen Abteilungen - zum Beispiel der Rechts- und der Forschungsabteilung - an der Entwicklung beteiligen, etwa indem sie Kommentare hinterlassen und Verbesserungsvorschläge hinzufügen. Sind erst sämtliche Prozesse definiert und alle Fachabteilungen mit der Anwendung zufrieden, reicht ein Knopfdruck. Sogleich erstellt die Anwendung in Echtzeit einen Bericht, in dem alle notwendigen Unterlagen und Dokumentationen zur beantragten klinischen Studie zusammengeführt sind.

Collaboration-Programme im Test

Es muss nicht immer Exchange sein
Wir vergleichen sieben Collaboration-Alternativen zu Microsofts Exchange und Outlook - mit Datenblättern sowie den Vor- und Nachteilen.

Zimbra
Die Softwareschmiede Zimbra, die zwischenzeitlich mehrfach den Besitzer gewechselt hat und von VMware über Telligent zu Synacor gewandert ist, machte bereits vor Jahren durch die gelungene Nachbildung von Outlook in einer Ajax-Web-Oberfläche von sich reden und war damit einer der Ajax-Pioniere.

Open-Xchange
Open-Xchange (OX) als einer der wegbereitenden Microsoft-Wettbewerber vereint neben Messaging die Bereiche Terminkalender, Adress-, Aufgaben- und Dokumentenverwaltung in einer umfassenden Produktsuite (Test-Drive).

Zarafa
"Zarafa" aus der gleichnamigen niederländischen Softwareschmiede schlägt technisch etwas andere Wege ein, um eine überzeugende Exchange- und Outlook-Alternative auf die Beine zu stellen.

Kerio
Kerio Connect (vormals Kerio MailServer) ist ein vorwiegend auf Messaging ausgerichtetes System (Testversion) mit Collaboration-Funktionen. Es präsentiert sich sehr flexibel, läuft es doch als Server auf allen Windows-Server-Plattformen sowie Windows 7, auf Linux und Mac OS

Communigate Pro
CommuniGate Pro bündelt seinen Hochleistungs-Mailserver mit umfangreichen Groupware-Funktionen sowie Kommunikationstools für Instant Messaging, Internet-Telefonie und Dropbox-ähnlichen Diensten in einem Paket.

Scalix
Im Kern ist "Scalix" eine Weiterentwicklung von Hewlett-Packards "Openmail" und hat den Schwerpunkt bei Mail- und Gruppenkalender-Funktionen. Im November 2013 belebte dann überraschend ein Management Buyout das Unternehmen neu.

Intra2net
Die Tübinger Intra2Net AG bezeichnet ihre gleichnamige Software für E-Mail und Groupware als kostengünstige Exchange Alternative für Unternehmen mit 5 bis 250 Mitarbeitern. In einer Gegenüberüberstellung mit MS Exchange rechnet der Hersteller eine 40 bis 50%ige Ersparnis vor – bei praktisch gleichem Funktionsumfang.

Berichte für Medikamentenzulassung auf Knopfdruck

Auch nachdem das Pharmaunternehmen die Studie erfolgreich beendet hat und schließlich einen Antrag auf Medikamentenzulassung stellt, kann eine BPM- und Case-Management-Plattform die Effizienz deutlich erhöhen. Denn auch diese Antragsstellung ist ein Compliance-Thema und mit zahlreichen komplexen Prozessen verbunden. Unter anderem müssen Pharmaunternehmen beispielsweise Unterlagen zur Reinheit und Haltbarkeit des Arzneimittels sowie sämtliche vorklinischen und klinischen Studienergebnisse einreichen. Schnell ist so ein Antrag eine halbe Millionen Druckseiten stark - weswegen die Anträge bei den entsprechenden Stellen mittlerweile in der Regel meist auf physischen Datenträgern oder über eine geschützte Internetverbindung eingereicht werden.

Mit einer entsprechenden BPM- und Case-Management-Plattform kann das Pharmaunternehmen auch hier eine Anwendung entwickeln, die sämtliche benötigten Unterlagen automatisch zusammenstellt und in ein standardisiertes Format bringt. Voraussetzung ist allerdings, dass die Plattform über eine Funktionalität verfügt, die auf alle notwendigen, internen und externen IT-Systeme bei Dienstleistern zugreifen kann und Daten aus diesen Systemen zu einem einzigen, übersichtlichen Datensatz zusammenführt. Haben die Zulassungsbehörden Rückfragen, kann das Pharmaunternehmen sämtliche Unterlagen schnell durchsuchen und der Behörde die Antwort unverzüglich und rechtskonform übermitteln.

Probleme mit BPM-Lösungen

Keine Möglichkeiten zur Simulation oder Trendvoraussage

Kein verlässliches Monitoring

Große Verständnislücken zwischen Fachbereich und IT-Abteilung

Nur mit hohen Kosten und/oder viel Zeit erweiter-, anpass- oder optimierbar

Von Mitarbeitern nicht akzeptiert

Zu kompliziert

Compliance? Sicher doch!

Viele Unternehmen haben in Sachen Compliance Nachholbedarf. Eine explosive Mischung, die Unternehmen teuer zu stehen kommen kann, sind fehlende beziehungsweise nicht ausreichend kontrollierte Compliance-Richtlinien in Kombination mit der Unkenntnis von Mitarbeitern. Eine BPM- und Case-Management Plattform kann Unternehmen dabei helfen, Prozesse rechtssicher aufzusetzen und zu automatisieren. Das bringt Sicherheit und spart - wie das Beispiel aus der Pharmabranche zeigt - nicht nur Nerven, sondern obendrein auch noch Zeit und somit Geld. (fm)

CIOs über Compliance und Geschenke

Consultant Theo Bergauer
Consultant Theo Bergauer weiß, wie schwierig das Thema Geschenke und Gefälligkeiten in der Businsswelt seit dem Fall Christian Wulff geworden ist. Sein Tipp: "Es sind ja nicht die großen Geschenke oder Gefälligkeiten, die die Freundschaft erhalten. Sondern kleine Dinge. Wenn ich weiß, dass jemand Anhänger eines bestimmten Vereins ist oder ein bestimmtes Hobby pflegt, maile ich ihm einen interessanten Zeitungsartikel dazu."

Wenn es um die Wurst geht
Bergauer weiter: "Viele Unternehmen haben erstmals Abteilungen rund um Compliance eingerichtet. Dabei gehen die Policies manchmal schon ins Lächerliche. Wenn die Mitarbeiter keine Bratwurst-Semmel mehr annehmen dürfen, kann das Trotz wecken."

Äußerungen meist off the records
Wir haben zu diesem Thema eine - nicht repräsentative - Umfrage unter einigen CIOs gestartet. Die meisten mochten sich nicht öffentlich äußern - der Brisanz des Themas wegen. Teilweise haben die CIOs schleche Erfahrungen mit unternehmensinternen Petzen gemacht. Deren "Anlass" bewegte sich in den uns geschilderten Fällen auf dem Niveau der besagten Bratwurst-Semmel.

Matthias Moritz, Almirall-CIO
Matthias Moritz, CIO bei Almirall, sagt: "Ich habe es mir zu eigen gemacht, meinen persönlichen Werten entsprechend, eigentlich weder Geschenke noch Einladungen et cetera anzunehmen." Ausgenommen ist davon lediglich das ein oder andere Geschäftsessen. Moritz Erfahrung: Geschäft funktioniert auch ohne! "Und meist besser...", sagt er.

Die Geste macht die Musik
Der Almirall-CIO bestätigt Bergauers These vom Wert der kleinen Geste. Moritz spielt Bass in einer Pop-Band und sagt: "Über musikalischen Gedankenaustausch freu ich mich natürlich immer gern..." Zum Beispiel über Presseartikel oder gute Tipps.

Klaus Weiß, CIO der dwpbank
Auch Klaus Weiß, CIO der dwpbank, nimmt Geschenke und Einladungen zu Events nur in Ausnahmefällen an. "Nicht nur wegen der strengen Compliance-Regeln, sondern ganz grundsätzlich", sagt er.

Die Kunst der Geschäftsfreundschaft
Auch er hat die Erfahrung gemacht, dass eine Aufmerksamkeit ohne großen materiellen Wert mehr Freude bringt. Einmal hat zum Beispiel das Team eines Geschäftspartners eigenes Bier gebraut. Ein anders Mal nahm Weiß an einer besonderen Führung durch die Kunsthalle Schirn (Foto) teil.