Skip to Content
Business Trends

Der Multi-Compliance-Cube

Unternehmerische Compliance ist heute ein „Muß“. Es gibt verschiedenste Regulative, mit denen sich Unternehmen heute auseinanderzusetzen haben. Diese Regulative sind auch global stark variierend, es werden alternative Personen und Abteilungen für jede spezifische Compliance verantwortlich gemacht und obenauf sind Systemdaten aus unterschiedlichsten IT-Applikationen relevant, um die Compliance sicherzustellen. Diese Gemengelage läßt sich am besten wie auf Abbildung 1 graphisch visualisieren:

Abbildung%201

Abbildung 1

 

Betrachten wir einige Beispiele aus dem Cube:

  1. Financial Compliance: hierunter kennt man den häufig erwähnten US-SOX (Sarbanes-Oxley-Act) bzw. die derivaten J-SOX oder K-SOX aber auch ähnlich gelagerte Gesetzes-verschärfungen im Rahmen des unternehmerischen Berichtswesens wie z.B. das deutsche BilMoG. Verantwortlich für diese Compliance ist hier die komplette Finance + Administration Abteilung unter dem CFO. Die zu prüfenden Systemdaten sind die buchhalterischen Finanzdaten, die meist aus heterogenen Systemlandschaften gewonnen werden müssen.
  2. Anti-Bribery & Corruption: bekannte Gesetze sind z.B. das FCPA (Foreign Corrupt Practices Act) in den USA oder auch der UK-Bribery-Act im Vereinigten Königreich. Anti-Korruptions-Bestimmungen herrschen aber in vielen Ländern und sind häufig auf die Unterbindung der Bestechung von Personen gezielt, die mit öffentlich-rechtlichen Machtbefugnissen ausgestattet sind. Die Compliance in diesem Bereich sichern in vielen Unternehmen dedizierte Compliance oder Legal Abteilungen. Auch in diesem Bereich ist es kritisch, Systemdaten zu erhalten und sie auf Verdachtsmomente auszuwerten. Insbesondere ist hier das Business Partner Screening mit der Möglichkeit auf PEP- (Politically Exposed People) Listen zurückzugreifen.
  3. Data Privacy: Insbesondere durch die Novelle zum EU-Datenschutzgesetz in 2018 hat das Thema nochmal richtig Fahrt aufgenommen und es gab infolge auch mehrere andere Länder oder auch US-Bundesstaaten (z.B. Kalifornien), die neue Regeln zum Datenschutz ihrer Bürger in speziellen Gesetzen erließen. Für den Datenschutz ist sowohl die IT-Abteilung aber auch häufig ein übergeordneter Datenschutz-Beauftragter verantwortlich, da es nicht immer zwingend IT-Prozesse sind, die zu Verstößen führen. Das Gros der Daten zu Kunden, Lieferanten und Mitarbeitern liegt natürlich in den ERP-Systemen, die in den meisten Konzernen nicht konsolidiert sind, und damit ist jedes einzelne System für sich nach diesen Regeln zu prüfen.
  4. Industry Compliance: Hierunter sind zuvorderst die hochregulierten Branchen Banken und Pharmazie zu betrachten. Der Banken-Branche wurden insbesondere durch die Basel-Kriterien viele bankenspezifische Regelungen oktroyiert (Eigenkapital-Unterlegung) während die Pharmaindustrie insbesondere in der Phase der Prüfung von neu erforschten Wirkmitteln und Substanzen aber auch bei der Logistik ihrer Medikamente bestimmte Regeln einhalten muss. Ein starkes regulatives Normativ geht hier insbesondere von der Food and Drug Administration (FDA) der USA aus. Dieses führt z.B. dazu, daß auch ERP Systeme „validiert“ werden, also entsprechende qualitätssichernde Merkmale aufweisen müssen (US-FDA -21 CFR Part 11). Banken müssen ihre Kennzahlen regelmäßig den Prüforganen wie z.B. der BaFin in Deutschland überlassen und brauchen dazu eigene Analyse-Systeme für das formale Reporting.

 

Was ist all diesen Themen gemein?

  1. Es gibt Risiken, die durch diese Normen reduziert oder gar ausgeschaltet werden sollen.
  2. Es resultiert daraus die Festlegung auf eine Unternehmens-Governance: welche Prozesse haben wie abzulaufen, so daß es in Übereinstimmung mit Normen geschieht?
  3. Es gibt das erforderliche Compliance-Reporting an die Aufsichtsorgane.

 

Hier kommt die Lösung SAP Process Control ins Spiel: wie auf dem Cube in der Abbildung 1 dargestellt, verwaltet sie all diese Daten in einer Lösung, ggf. streng nach Regulativ und Verantwortungsbereich getrennt. Gibt es Überschneidungen bei den zu prüfenden Prozessen kann es jedoch von Vorteil sein, die Ergebnisse eines Testings auch offenzulegen für andere Prüfvorgänge, so daß sinnlose und kostenintensive Mehrfach-Prüfungen unterbleiben können. Alle Prozesse, die darin inne liegenden Risiken und die dadurch erforderlichen Kontrollmaßnahmen werden an einer Stelle dokumentiert. Das Modul Process Control erlaubt dann die Durchführung von Tests mittels Workflow bzw. mittels automatischer Datenklassifizierung (Continuous Control Monitoring) und stellt diese Ergebnisse unter dem Hauptgesichtspunkt, nämlich der Compliance mit einer bestimmten Norm, übersichtlich zusammen (s. Abbildung 2)

 

Abbildung%202

Abbildung 2 Control Ratings Report

 

Am Ende lassen sich die Dinge auch sehr schön im sogenannten Digital Boardroom aggregiert betrachten (s. Abbildung 3):

Abbildung%203%3A%20Control%20Evaluation%20Report%20im%20SAP%20Digital%20Boardroom

Abbildung 3: Control Evaluation Report im SAP Digital Boardroom

 

Zusammenfassend läßt sich sagen, daß SAP Process Control die perfekte Lösung ist, die Compliance des Unternehmens in einer Applikation zu dokumentieren und die dort hinterlegten Prozesse und Kontrollen permanent auf Schwachstellen zu überprüfen.

Nähere Informationen auch unter https://www.sap.com/products/internal-control.html

Aktuelle Webinar-Empfehlung zu diesem und anderen GRC- und Security-Themen:

 

Martin Stecher

Dipl.-Kfm.

Presales Expert SAP Governance, Risk and Compliance

SAP Deutschland SE & Co. KG

 

Be the first to leave a comment
You must be Logged on to comment or reply to a post.