Porträt einer Programmiererin mit auf ihr Gesicht projiziertem Programmcode

Wie Managed Services bei der Steuerung von Compliance- und Integritätsrisiken helfen

Porträtfoto von Christoph Wockel
Dr. Christoph Wockel

Partner, Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

8 Minuten Lesezeit 17 Nov. 2022
Verwandte Themen
Forensic & Integrity Services
Managed Services
Risikomanagement

Die Digitalisierung stellt Compliance, Risikomanagement und Innenrevision vor neue Herausforderungen. Auch regulatorische Anforderungen nehmen zu.

Überblick

  • Managed Services für Datenanalysen sind ein effektives Tool zur Steuerung von Compliance- und Integritätsrisiken. Sie erlauben die Auslagerung der Datenanalysefunktion an einen externen Dienstleister.
  • Datenanalysen berücksichtigen beispielweise Korruption, Manipulation der Finanzberichtserstattung, Prozessverstöße und ESG-Risiken.

Verantwortliche für Compliance und interne Revision stehen vor immer neuen Herausforderungen in einem zunehmend digitalisierten Geschäftsumfeld, das immer komplexer, vernetzter und stärker automatisiert wird. Währenddessen steigen die regulatorischen Anforderungen, beispielsweise zur Verbesserung der SOX Compliance oder durch Vorgaben von SEC und DOJ zum vermehrten Einsatz datenanalytischer Prüfungen in diesen Funktionen. Gleichzeitig entstehen neue Betrugs- und Compliance-Risiken, sodass ein wirksames Risikomanagement immer anspruchsvoller wird.

Gleichzeitig eröffnen moderne IT-Konzepte und -Lösungen aber auch neue Möglichkeiten zur Quantifizierung und zum Management von Risiken. Dazu zählen Konzepte und Methoden wie Datenanalysen, künstliche Intelligenz, Process Mining, RPA, Dashboarding und Workflows. Sie ermöglichen die Gestaltung einer im Wesentlichen datengestützten Risikobeurteilung und die Einleitung effektiver Folgemaßnahmen. Ein zukunftsweisendes Beispiel hierfür sind Continuous-Monitoring-Systeme, die das Echtzeit-Monitoring wichtiger Geschäftsprozesse mithilfe von Advanced Analytics ermöglichen und die systematische Behebung identifizierter Auffälligkeiten durch den Einsatz von Workflow- und Case-Management-Systemen unterstützen.

Viele Risikoverantwortliche haben allerdings Schwierigkeiten, diese Konzepte in ihren Organisationen einzuführen oder umzusetzen. Dies kann an einem begrenzten Budget und fehlenden Kapazitäten liegen, aber auch an Faktoren wie der eingeschränkten Verfügbarkeit und Qualität von Daten, Datenschutzanforderungen oder einem Mangel an geeigneten IT-Anwendungen.

Zu den Kontrollen, die mit Datenanalysen wirksamer gestaltet werden können, zählen z. B. die Compliance von Geschäftspartnern oder die Einhaltung von Beschaffungsrichtlinien und Vorschriften zum Einsatz externer Mitarbeiter.

Christoph Wockel

Partner, Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland

So unterstützen wir Sie

Ein neueres Konzept, das sich gerade im Markt etabliert, sind Managed Services für Datenanalysen, die auf die Aufgaben der Steuerung von Compliance- und Integritätsrisiken zugeschnitten sind. Dabei werden größere Teile der Datenanalysefunktion und -kompetenz an einen Drittanbieter ausgelagert, sodass sich die Risikoverantwortlichen auf ihre Hauptaufgabe konzentrieren können: die Beurteilung des Risikos von Prozessverstößen im Kontext ihrer jeweiligen Betriebsvorgänge.

 

Häufige Compliance- und Integritätsrisiken, die durch Datenanalysen erfasst werden können

 

Managed Services können zur Bearbeitung unterschiedlicher Compliance- und Integritätsrisiken verwendet werden. Besonders eignen sie sich bei Risiken in Prozessen mit einem hohen Standardisierungsgrad. Dies beinhaltet insbesondere die im Folgenden aufgeführten Risiken:

 

Betrug und Korruption
 

Korruption umfasst u. a. Bestechung, Betrug, Veruntreuung und Geldwäsche. Datenanalysen können Aktivitäten in einem Unternehmen bewerten, die ein hohes Betrugs- und Korruptionsrisiko bergen. Bei der Aufdeckung von Fällen mit einem hohen Risiko für geheime Absprachen, Betrug und Interessenkonflikte helfen beispielsweise die Identifizierung doppelter oder ähnlicher Stammdaten in Bezug auf Mitarbeitende, Kunden oder Zulieferer anhand von Bankkonten, Namen oder Adressen und die Zuordnung zu deren Transaktionen. Außerdem weisen Analysen wie die Identifizierung von Zahlungen ohne Rechnung, von Lieferungen ohne Bestellung oder von Transaktionen mit Einmallieferanten auf ein erhöhtes Risiko für Veruntreuung hin. Die Identifizierung ungewöhnlicher Buchungen (z. B. manuelle Zahlungen oder Buchungen am Wochenende), Buchungen in Länder oder aus Ländern mit hohem Risiko und solchen mit verdächtigen Beschreibungen können ebenfalls Aufschluss über potenziell verdächtiges Verhalten geben.

 

Manipulation der Finanzberichterstattung
 

Die Manipulation der Finanzberichterstattung ist ein wesentliches unternehmerisches Risiko, mit dem sich für gewöhnlich die Interne Revision befasst. Eine Analyse der Hauptbuchdaten kann Unternehmen beispielsweise helfen, Risikomuster zu erkennen, indem Buchungen mit aggregierten Risikoprofilen identifiziert werden. Diese Methoden werden oft von externen Prüfern verwendet, können aber auch von der Internen Revision eingesetzt werden, um besser zu verstehen, in welchen Situationen Hinweise auf eine Manipulation der Finanzberichterstattung vorliegen könnten.

 

Prozessverstöße

 

Prozessverstöße können in jedem Prozess eines Unternehmens auftreten (z. B. Purchase to Pay oder Order to Cash). Damit gemeint sind ungewöhnliche Prozessvarianten oder Verletzungen der internen Vorschriften. Auch wenn hierdurch nicht gegen Gesetze oder Verordnungen verstoßen wird, können solche Prozessvarianten das Risiko von Verstößen, Betrug, Korruption oder anderen dubiosen Verhaltensweisen erhöhen. Durch Datenanalysen können Prozesse regelmäßig überwacht werden, um risikobehaftete Transaktionen zu ermitteln, die näher zu untersuchen sind. Beispiele für Prozessverstöße, die so aufgedeckt werden können, sind Forderungen oder Rechnungen ohne Bestellung, die Nutzung veralteter Stammdaten oder Verletzungen des 4-Augen-Prinzips bei Zahlungen.

ESG-Risiken

Die Steuerung von Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung (Environmental, Social, Governance – ESG) wird immer wichtiger. Ob ein Unternehmen Zielvorgaben für CO2-Emissionen, Diversität oder soziales Engagement erreicht, bestimmt nicht nur seine Wahrnehmung durch die Öffentlichkeit, sondern wirkt sich auch direkt auf seine Ertragslage aus (z. B. durch die CO2-Besteuerung). Durch die Quantifizierung, Messung und Überwachung der ESG-Ziele können Datenanalysen bei der Bewältigung zahlreicher ESG-Themen helfen. Die Compliance-Abteilung und das Management erhalten dadurch ein besseres Bild vom Fortschritt des Unternehmens bei der Erreichung der ESG-Ziele und können frühestmöglich Maßnahmen gegen Risiken ergreifen, die sich aus dem Verfehlen dieser Ziele ergeben.

Datenanalysen und Compliance-Management

Analyseverfahren eignen sich jedoch nicht nur zur Bewertung der oben genannten Risiken, sondern auch zur Überwachung von Compliance-Verstößen, die im Compliance-Management-System eines Unternehmens definiert sind. Zu den Kontrollen, die mit Datenanalysen wirksamer gestaltet werden können, zählen z. B. die Compliance von Geschäftspartnern oder die Einhaltung von Beschaffungsrichtlinien und Vorschriften zum Einsatz externer Mitarbeiter.

Wie Unternehmen Datenanalysen heute häufig nutzen

Dezentralisiert, fragmentiert, manuell und nicht standardisiert: Auf diese Art und Weise führen Unternehmen derzeit häufig Datenanalysen für das Compliance- und Integritätsmanagement durch. Dabei werden Stichprobendaten regelmäßig aus den ERP-Systemen extrahiert und in CSV- oder Excel-Dateien importiert. Anschließend werden die Stichproben manuell und unter Einsatz verschiedener Verfahren unterschiedlicher Qualität analysiert.

Die Extraktions- und Analyseverfahren benötigen beträchtliche Ressourcen und können daher oft nur einmal jährlich durchgeführt werden. Da sie zudem häufig nicht standardisiert sind, weisen sie im Hinblick auf ihre Relevanz und Wirksamkeit bei der Identifizierung von Fällen mit hohem Risiko deutliche Schwächen auf. Generell sind Stichprobenverfahren ohne umfassende Risikobewertung mit Nachteilen verbunden, da hierbei oft nicht der komplette Datensatz analysiert wird, sondern lediglich einzelne Ausschnitte, also eine Teilmenge der Daten. Dies hat zur Folge, dass die Ergebnisse nur einen Teil der Fälle abbilden, die möglicherweise ein hohes Risiko tragen. Darüber hinaus stehen oft keine risikoorientierten Stichprobenmethoden zur Verfügung oder werden aufgrund des hohen Implementierungsaufwands nicht angewandt, sodass potenziell risikobehaftete Fälle während des Stichprobenverfahrens übersehen werden.

Wie Managed Services für Datenanalysen das Compliance- und Integritätsmanagement unterstützen können

Nimmt ein Unternehmen Managed Services für Datenanalysen in Anspruch, lagert es die Datenanalysefunktion in einem weitgehend automatisierten Prozess zu einem externen Dienstleister aus. Dabei werden zunächst die Daten zum Dienstleister übertragen. Anschließend verarbeitet dieser die Daten, führt geeignete Analysen durch, wählt ggf. Stichproben aus und bereitet die Ergebnisse auf (z. B. in Form von Dashboards oder in einer Online-Anwendung). Die Ergebnisse – einschließlich Begleitmaterialien und Schulungen zu Folgemaßnahmen – werden den Anwendern im Unternehmen dann zur weiteren Bearbeitung zur Verfügung gestellt.

Vorteile und Herausforderungen von Managed Services

Für das Unternehmen haben Managed Services viele Vorteile. So ist der standardisierte, weitgehend automatisierte Prozess kostengünstig, kann in regelmäßigen Abständen durchgeführt werden und ermöglicht die Analyse des vollständigen Datensatzes statt einer Stichprobe. Der Kunde kann auf eine große Bandbreite an Analyseverfahren zugreifen, die alle wesentlichen Risikobereiche in seinem Unternehmen abdecken, sodass die Notwendigkeit, passgenaue Lösungen zu entwickeln und zu managen, erheblich verringert wird. Durch den von den Dienstleistern erbrachten Support erhalten Unternehmen Zugang zu spezialisiertem Know-how, mit dem sie ihre Risikoanalyse verbessern können.

Auch wenn Managed Services viele Vorteile mit sich bringen, sind sie dennoch mit verschiedenen Herausforderungen verbunden. Diese müssen im Vorfeld sorgfältig geprüft und berücksichtigt werden:

  • Quelldaten:
    Quelldaten können aus unterschiedlichen Quellsystemen oder aus Quellsystemen mit unterschiedlichen Konfigurationen stammen. Die daraus resultierende Vielzahl von Datenstrukturen kann sich als Hindernis für standardisierte Lösungen erweisen, bei denen Daten in einem vorab definierten Format bereitgestellt werden müssen. Daher ist es wichtig, dass Unternehmen bei der Extraktion der entsprechenden Daten aus ihren Quellsystemen Unterstützung erhalten und dass der Managed Service für unterschiedliche Quellsysteme angeboten wird. Er muss so konzipiert sein, dass ggf. eine Vielfalt an Quelldaten mittels einer entsprechenden Transformationslogik, Validierungen, eines unterstützenden Datenmodells und einer effektiven Kommunikation mit dem Unternehmen über datenbezogene Fragen bewältigt werden kann.
  • Standardisierung vs. Individualisierung:
    Je standardisierter ein Managed Service für Datenanalysen ist, desto kostengünstiger und schneller kann er angewandt werden und Ergebnisse liefern. Spezielle Anforderungen an die Quelldaten und funktionelle Analyseanforderungen können jedoch spezifische Anpassungen erforderlich machen, sodass die Managed-Service-Lösung solche Anpassungsmöglichkeiten vorsehen muss. Hierfür müssen Gespräche mit dem Unternehmen über spezifische Anforderungen fester Bestandteil des Prozesses für das Onboarding sein. Wurden diese Anforderungen konfiguriert, kann der Service nach Bedarf ausgeführt werden.
  • Datenschutz:
    Da die zu analysierenden Daten an den Managed-Service-Anbieter übertragen werden müssen, müssen sowohl die jeweiligen Landesgesetze als auch die Datenschutzrichtlinien des Unternehmens beachtet werden. Datenschutzgesetze untersagen beispielsweise häufig die Bereitstellung personenbezogener Daten über Mitarbeiter an Drittanbieter. Wenn es um Datenschutz geht, wird meist zwischen bewegten Daten („data in motion“) und ruhenden Daten („data at rest“) unterschieden, also zwischen Daten, die übertragen werden, und Daten, die in internen Datenbanken gespeichert sind. Für den Schutz bewegter Daten ist oftmals deren Verschlüsselung während der Übertragung notwendig, während ruhende Daten durch die Datenschutzrichtlinien und die Maßnahmen der IT-Systemverwaltung des Anbieters geschützt werden müssen.

Um die Risiken und Herausforderungen, die mit Datenanalysediensten einhergehen, zu minimieren, ist es notwendig, die Anwender der Analyseergebnisse entsprechend zu schulen und ihnen fortlaufend Unterstützung zu bieten. Während des Onboardings müssen außerdem Risikobeurteilungen durchgeführt und die Anforderungen hinsichtlich Quelldaten und Datenschutz sowie mögliche Anpassungen geprüft werden.

Praktische Anwendung von Managed Services für Datenanalysen im Bereich Compliance- und Integritätsmanagement

In der Praxis umfassen Managed Services für Datenanalysen im Bereich Compliance- und Integritätsmanagement mindestens folgende Schritte:

  • Festlegung der Risiken, die durch den Managed Service abgedeckt werden sollten, sowie der Analyseverfahren und der erforderlichen Datenpunkte
  • Datenexport und -import in die Analyseumgebung des Anbieters
  • Durchführung der Datenanalyse und Bereitstellung der Ergebnisse für die Anwender
  • mögliche Anpassungen der Daten, des Analyseumfangs oder der Eingangsinformationen
  • kontinuierliche, regelmäßige Aktualisierung der Daten, Bereitstellung von Ergebnissen und Folgemaßnahmen zu identifizierten Fällen

Co-Autor: Dr. Lars Willuweit

Fazit

Mithilfe von Managed Services für Datenanalysen können die Verantwortlichen für Compliance- und Integritätsrisiken den aus datenanalytischen Konzepten resultierenden Wert abschöpfen, ohne dass die Compliance-Abteilung oder die Interne Revision komplexe technische Verfahren ausführen müssen. Unternehmen, die in der Vergangenheit von diesen Dienstleistungen Gebrauch gemacht haben, profitierten von einer Verbesserung der Qualität der von diesen Abteilungen ausgeführten Aufgaben, die aus dem erweiterten Umfang der analysierten Daten und dem stärker risikobasierten Ansatz resultierte. Da auf den Aufbau von Analysekapazitäten in diesen Abteilungen verzichtet werden konnte und risikobasierte Stichprobenverfahren eine höhere Erkennungsrate und eine geringere Falsch-positiv-Rate verzeichneten, kam es zudem zu Synergieeffekten und Kosteneinsparungen.

Über diesen Artikel

Porträtfoto von Christoph Wockel
Dr. Christoph Wockel
Partner, Assurance, EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft | Deutschland
Hat die Passion zu verstehen, was Daten über Risiken in komplexen Geschäftsanwendungen in Bezug auf Compliance, Integrität und Finanzberichterstattung aussagen.
Verwandte Themen
Forensic & Integrity Services
Managed Services
Risikomanagement

Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.