Was ist Compliance?
Eine Studie der Marktforscher des Ponemon Institute und des Softwareherstellers Globalscape besagt, dass Compliance-Verstöße Unternehmen doppelt so viel kosten, wie die nötigen Investitionen, um die Vorgaben einzuhalten. Um Bußgelder, Betriebsausfälle und Reputationsschäden zu verhindern, sollten CIO wissen, waswas unter ComplianceCompliance zu verstehen ist, welche Rolle der IT-Chef dabei spielt und wie sie im eigenen Betrieb verbessert werden kann. Alles zu Compliance auf CIO.de Alles zu Was ist auf CIO.de
Was ist Compliance (Definition)
Compliance umfasst die Einhaltung aller gesetzlichen Vorgaben durch Unternehmen und seine Mitarbeiter. Hinzu kommt der strukturierte Aufbau und die Weiterentwicklung von internen Regeln und Richtlinien, die von den Mitarbeitern des Unternehmens eingehalten werden. Compliance-Systeme sollen sicherstellen, dass Unternehmen ihre Sorgfaltspflichten beispielsweise bezüglich Datenschutzbestimmungen und Geldwäscherichtlinien einhalten.
Einerseits müssen hierfür vorsorgliche Maßnahmen geleistet werden, wie Mitarbeiter aufzuklären, zu informieren und zu schulen. Andererseits müssen unternehmensinterne Vorgänge sicher und transparent überwacht werden.
Der Chief Information Officer (CIO) als Verantwortlicher für das Informationsmanagement in einer zentralen Position im Unternehmen hat dabei die Aufgabe, Compliance-Systeme aufzusetzen. Zudem müssen notwendige Maßnahmen eingeleitet werden, um sie technisch und nach gesetzlichen Vorgaben auf dem neusten Stand zu halten, um hohe Bußgelder und Reputationsschäden zu vermeiden.
Was ist Geldwäscheprävention
Geldwäscheprävention ist eine der zentralen Säulen von Compliance in Unternehmen. Geldwäsche dient der organisierten Kriminalität und dem internationalen Terrorismus als Finanzierungsquelle. Aktive Geldwäscheprävention erkennt und verhindert die Verschleierung von illegal erworbenen Geldmitteln und ihre Einschleusung in den regulären Wirtschafskreislauf.
Aus wirtschaftlicher Sicht sehen viele Verpflichtete des Geldwäschegesetzes (GwG) es nicht als ihre originäre Aufgabe, Geldwäsche zu verhindern. Dennoch sind sie vom Gesetzgeber dazu verpflichtet. Grund hierfür ist, dass es zunehmend schwieriger wird, die Spuren von gewaschenem Geld nachzuverfolgen, sobald dieses in den legalen Wirtschaftskreislauf eingeschleust wurde.
Verpflichtete nach dem Geldwäschegesetz, zu denen unter anderem Kreditinstitute, Notare, Kunsthändler, Immobilienmakler und Autohändler gehören, müssen besondere Sorgfaltspflichten einhalten. Dazu zählt die Verpflichtung zur Identifizierung von Vertragspartnern (Know your Customer, KYC), die Abklärung, ob der Vertragspartner für einen wirtschaftlich Berechtigten handelt oder ob es sich bei dem Kunden um eine politisch exponierte Person handelt.
Verstöße gegen Compliance
Verstöße gegen Datenschutz- und Geldwäschebestimmungen können weitreichende Auswirkungen haben. Neben massiven Reputationsschäden drohen hohe Geldstrafen, wenn Unternehmen beispielsweise Behördenprüfungen nicht standhalten oder von Geldwäschern missbraucht werden. Letztere wollen Gelder aus illegalen Quellen durch das Unternehmen in den regulären Wirtschaftskreislauf einschleusen. Deshalb ist eine konsequente Umsetzung der Compliance-Richtlinien nach dem Geldwäschegesetz und der Datenschutzverordnung umso wichtiger, um Missbrauch zu erkennen und zu verhindern.
Compliance und Risikomanagement
Verpflichtete nach dem Geldwäschegesetz müssen ein Risikomanagement durchführen. Wirksames Risikomanagement bedeutet, Geldwäscherisiken bei der Tätigkeit der Verpflichteten zu identifizieren und zu verhindern.
In einer Risikoanalyse müssen Unternehmen und Gewerbe das Risiko von Geldwäsche und Terrorismusfinanzierung feststellen und bewerten. Darauf aufbauend sollten Sicherungsmaßnahmen getroffen werden. Dazu zählt, Mitarbeiter zu schulen und zu überprüfen oder bei bestimmten Verpflichteten einen Geldwäschebeauftragten zu bestellen.
Daneben kann der Gesetzgeber oder Behörden fordern, Maßnahmen zu konzipieren, um weitere gesetzliche Verpflichtungen zu erfüllen. Darunter fallen etwa anonyme Hinweisgebersysteme oder ein verpflichtendes Transaktionsmonitoring.
Damit die Aufsichtsbehörden nachvollziehen können, was Verpflichtete geleistet haben, um ihre gesetzlichen Verpflichtungen einzuhalten, müssen all diese Prozesse transparent dokumentiert und archiviert werden. Aufsichtsbehörden legen viel Wert darauf, dass die Verfahren des Risikomanagements nicht nur einmalig aufgesetzt, sondern - auch vor dem Hintergrund sich stetig weiterentwickelnder Gesetzesvorgaben - regelmäßig überprüft und angepasst werden.
Compliance verbessern
Die Anforderungen an Compliance werden immer komplexer. Die Ausgaben für die Einhaltung von Compliance-Richtlinien werden sich laut Gartner in den nächsten fünf Jahren verdreifachen. Umso wichtiger sind daher digitale Compliance-Lösungen, Compliance einfach, bezahlbar und für alle zugänglich machen. Dazu gehören beispielsweiseein automatisiertes Transaktionsmonitoring oder KYC-Apps, um Geschäftspartner zu identifizieren.
CIOs müssen für eine enge Zusammenarbeit mit den Rechtsabteilungen einstehen, um die Lücke zwischen manuell-juristischer und automatisierter Abarbeitung von Compliance-Anforderungen sicher zu schließen. Häufig wird hierzu auf Governance, Risk & Compliance (GRC) Plattformen zurückgegriffen, die Compliance-Anforderungen zumindest abdecken, oft aber nicht automatisieren.
Mit dedizierten Produkten, um Anforderungen der Datenschutzgrundverordnung (DSGVO) oder dem Geldwäschegesetz einzuhalten, zu steuern und zu automatisieren, können Unternehmen und ihre Mitarbeiter die gesetzlichen Vorgaben effizient einhalten. Darüber hinaus können sie sicherstellen, dass die Einhaltung interner Regeln und Richtlinien auf einem technischen Stand ist, der es Unternehmen und Mitarbeitern ermöglicht, compliant zu sein und zu bleiben. Diese Plattformen in vorhandene Systemlandschaften einzubinden ist durch API- und REST-Schnittstellen heutzutage agil und schnell machbar.