Wie Managed Services bei der Steuerung von Compliance- und Integritätsrisiken helfen

Die Digitalisierung stellt Compliance, Risikomanagement und Innenrevision vor neue Herausforderungen. Auch regulatorische Anforderungen nehmen zu.

Verantwortliche für Compliance und interne Revision stehen vor immer neuen Herausforderungen in einem zunehmend digitalisierten Geschäftsumfeld, das immer komplexer, vernetzter und stärker automatisiert wird. Währenddessen steigen die regulatorischen Anforderungen, beispielsweise zur Verbesserung der SOX Compliance oder durch Vorgaben von SEC und DOJ zum vermehrten Einsatz datenanalytischer Prüfungen in diesen Funktionen. Gleichzeitig entstehen neue Betrugs- und Compliance-Risiken, sodass ein wirksames Risikomanagement immer anspruchsvoller wird.

Gleichzeitig eröffnen moderne IT-Konzepte und -Lösungen aber auch neue Möglichkeiten zur Quantifizierung und zum Management von Risiken. Dazu zählen Konzepte und Methoden wie Datenanalysen, künstliche Intelligenz, Process Mining, RPA, Dashboarding und Workflows. Sie ermöglichen die Gestaltung einer im Wesentlichen datengestützten Risikobeurteilung und die Einleitung effektiver Folgemaßnahmen. Ein zukunftsweisendes Beispiel hierfür sind Continuous-Monitoring-Systeme, die das Echtzeit-Monitoring wichtiger Geschäftsprozesse mithilfe von Advanced Analytics ermöglichen und die systematische Behebung identifizierter Auffälligkeiten durch den Einsatz von Workflow- und Case-Management-Systemen unterstützen.

Viele Risikoverantwortliche haben allerdings Schwierigkeiten, diese Konzepte in ihren Organisationen einzuführen oder umzusetzen. Dies kann an einem begrenzten Budget und fehlenden Kapazitäten liegen, aber auch an Faktoren wie der eingeschränkten Verfügbarkeit und Qualität von Daten, Datenschutzanforderungen oder einem Mangel an geeigneten IT-Anwendungen.

ESG-Risiken

Die Steuerung von Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung (Environmental, Social, Governance – ESG) wird immer wichtiger. Ob ein Unternehmen Zielvorgaben für CO₂-Emissionen, Diversität oder soziales Engagement erreicht, bestimmt nicht nur seine Wahrnehmung durch die Öffentlichkeit, sondern wirkt sich auch direkt auf seine Ertragslage aus (z. B. durch die CO₂-Besteuerung). Durch die Quantifizierung, Messung und Überwachung der ESG-Ziele können Datenanalysen bei der Bewältigung zahlreicher ESG-Themen helfen. Die Compliance-Abteilung und das Management erhalten dadurch ein besseres Bild vom Fortschritt des Unternehmens bei der Erreichung der ESG-Ziele und können frühestmöglich Maßnahmen gegen Risiken ergreifen, die sich aus dem Verfehlen dieser Ziele ergeben.

Datenanalysen und Compliance-Management

Analyseverfahren eignen sich jedoch nicht nur zur Bewertung der oben genannten Risiken, sondern auch zur Überwachung von Compliance-Verstößen, die im Compliance-Management-System eines Unternehmens definiert sind. Zu den Kontrollen, die mit Datenanalysen wirksamer gestaltet werden können, zählen z. B. die Compliance von Geschäftspartnern oder die Einhaltung von Beschaffungsrichtlinien und Vorschriften zum Einsatz externer Mitarbeiter.

Wie Unternehmen Datenanalysen heute häufig nutzen

Dezentralisiert, fragmentiert, manuell und nicht standardisiert: Auf diese Art und Weise führen Unternehmen derzeit häufig Datenanalysen für das Compliance- und Integritätsmanagement durch. Dabei werden Stichprobendaten regelmäßig aus den ERP-Systemen extrahiert und in CSV- oder Excel-Dateien importiert. Anschließend werden die Stichproben manuell und unter Einsatz verschiedener Verfahren unterschiedlicher Qualität analysiert.

Die Extraktions- und Analyseverfahren benötigen beträchtliche Ressourcen und können daher oft nur einmal jährlich durchgeführt werden. Da sie zudem häufig nicht standardisiert sind, weisen sie im Hinblick auf ihre Relevanz und Wirksamkeit bei der Identifizierung von Fällen mit hohem Risiko deutliche Schwächen auf. Generell sind Stichprobenverfahren ohne umfassende Risikobewertung mit Nachteilen verbunden, da hierbei oft nicht der komplette Datensatz analysiert wird, sondern lediglich einzelne Ausschnitte, also eine Teilmenge der Daten. Dies hat zur Folge, dass die Ergebnisse nur einen Teil der Fälle abbilden, die möglicherweise ein hohes Risiko tragen. Darüber hinaus stehen oft keine risikoorientierten Stichprobenmethoden zur Verfügung oder werden aufgrund des hohen Implementierungsaufwands nicht angewandt, sodass potenziell risikobehaftete Fälle während des Stichprobenverfahrens übersehen werden.

Wie Managed Services für Datenanalysen das Compliance- und Integritätsmanagement unterstützen können

Nimmt ein Unternehmen Managed Services für Datenanalysen in Anspruch, lagert es die Datenanalysefunktion in einem weitgehend automatisierten Prozess zu einem externen Dienstleister aus. Dabei werden zunächst die Daten zum Dienstleister übertragen. Anschließend verarbeitet dieser die Daten, führt geeignete Analysen durch, wählt ggf. Stichproben aus und bereitet die Ergebnisse auf (z. B. in Form von Dashboards oder in einer Online-Anwendung). Die Ergebnisse – einschließlich Begleitmaterialien und Schulungen zu Folgemaßnahmen – werden den Anwendern im Unternehmen dann zur weiteren Bearbeitung zur Verfügung gestellt.

Vorteile und Herausforderungen von Managed Services

Für das Unternehmen haben Managed Services viele Vorteile. So ist der standardisierte, weitgehend automatisierte Prozess kostengünstig, kann in regelmäßigen Abständen durchgeführt werden und ermöglicht die Analyse des vollständigen Datensatzes statt einer Stichprobe. Der Kunde kann auf eine große Bandbreite an Analyseverfahren zugreifen, die alle wesentlichen Risikobereiche in seinem Unternehmen abdecken, sodass die Notwendigkeit, passgenaue Lösungen zu entwickeln und zu managen, erheblich verringert wird. Durch den von den Dienstleistern erbrachten Support erhalten Unternehmen Zugang zu spezialisiertem Know-how, mit dem sie ihre Risikoanalyse verbessern können.

Auch wenn Managed Services viele Vorteile mit sich bringen, sind sie dennoch mit verschiedenen Herausforderungen verbunden. Diese müssen im Vorfeld sorgfältig geprüft und berücksichtigt werden:

• Quelldaten:
  Quelldaten können aus unterschiedlichen Quellsystemen oder aus Quellsystemen mit unterschiedlichen Konfigurationen stammen. Die daraus resultierende Vielzahl von Datenstrukturen kann sich als Hindernis für standardisierte Lösungen erweisen, bei denen Daten in einem vorab definierten Format bereitgestellt werden müssen. Daher ist es wichtig, dass Unternehmen bei der Extraktion der entsprechenden Daten aus ihren Quellsystemen Unterstützung erhalten und dass der Managed Service für unterschiedliche Quellsysteme angeboten wird. Er muss so konzipiert sein, dass ggf. eine Vielfalt an Quelldaten mittels einer entsprechenden Transformationslogik, Validierungen, eines unterstützenden Datenmodells und einer effektiven Kommunikation mit dem Unternehmen über datenbezogene Fragen bewältigt werden kann.
• Standardisierung vs. Individualisierung:
  Je standardisierter ein Managed Service für Datenanalysen ist, desto kostengünstiger und schneller kann er angewandt werden und Ergebnisse liefern. Spezielle Anforderungen an die Quelldaten und funktionelle Analyseanforderungen können jedoch spezifische Anpassungen erforderlich machen, sodass die Managed-Service-Lösung solche Anpassungsmöglichkeiten vorsehen muss. Hierfür müssen Gespräche mit dem Unternehmen über spezifische Anforderungen fester Bestandteil des Prozesses für das Onboarding sein. Wurden diese Anforderungen konfiguriert, kann der Service nach Bedarf ausgeführt werden.
• Datenschutz:
  Da die zu analysierenden Daten an den Managed-Service-Anbieter übertragen werden müssen, müssen sowohl die jeweiligen Landesgesetze als auch die Datenschutzrichtlinien des Unternehmens beachtet werden. Datenschutzgesetze untersagen beispielsweise häufig die Bereitstellung personenbezogener Daten über Mitarbeiter an Drittanbieter. Wenn es um Datenschutz geht, wird meist zwischen bewegten Daten („data in motion“) und ruhenden Daten („data at rest“) unterschieden, also zwischen Daten, die übertragen werden, und Daten, die in internen Datenbanken gespeichert sind. Für den Schutz bewegter Daten ist oftmals deren Verschlüsselung während der Übertragung notwendig, während ruhende Daten durch die Datenschutzrichtlinien und die Maßnahmen der IT-Systemverwaltung des Anbieters geschützt werden müssen.

Um die Risiken und Herausforderungen, die mit Datenanalysediensten einhergehen, zu minimieren, ist es notwendig, die Anwender der Analyseergebnisse entsprechend zu schulen und ihnen fortlaufend Unterstützung zu bieten. Während des Onboardings müssen außerdem Risikobeurteilungen durchgeführt und die Anforderungen hinsichtlich Quelldaten und Datenschutz sowie mögliche Anpassungen geprüft werden.

Praktische Anwendung von Managed Services für Datenanalysen im Bereich Compliance- und Integritätsmanagement

In der Praxis umfassen Managed Services für Datenanalysen im Bereich Compliance- und Integritätsmanagement mindestens folgende Schritte:

• Festlegung der Risiken, die durch den Managed Service abgedeckt werden sollten, sowie der Analyseverfahren und der erforderlichen Datenpunkte
• Datenexport und -import in die Analyseumgebung des Anbieters
• Durchführung der Datenanalyse und Bereitstellung der Ergebnisse für die Anwender
• mögliche Anpassungen der Daten, des Analyseumfangs oder der Eingangsinformationen
• kontinuierliche, regelmäßige Aktualisierung der Daten, Bereitstellung von Ergebnissen und Folgemaßnahmen zu identifizierten Fällen

Co-Autor: Dr. Lars Willuweit