Effektive Compliance geht über die Aufklärung der Mitarbeiter über neue Vorschriften und die Verfolgung der Anzahl von Verstößen hinaus. In diesem Implementierungsleitfaden konzentrieren wir uns auf eine ganzheitliche Sichtweise der Compliance, die die wichtigsten Interessengruppen einbezieht, und schlagen eine spezifische Quantifizierung der Compliance-Bemühungen und -Ergebnisse in 7 Schritten vor.
Definition von Stakeholdern
Beginnen wir mit der Definition der allgemeinen Stakeholder, die an der Compliance beteiligt sind:
- Vorstand. Vertritt die Interessen einer Organisation.
- Compliance Office. Eine spezialisierte Abteilung, die die Einhaltung der geltenden Gesetze, Vorschriften, internen Richtlinien usw. durch die Organisation sicherstellt.
- Interne Geschäftssysteme. IT- und andere Geschäftssysteme, die die Einhaltung von Vorschriften unterstützen.
- Mitarbeiter, die sich auf die Compliance-Richtlinien auswirken oder von ihnen betroffen sein können.
- Dritte Parteien. Partner und ähnliche externe Interessengruppen.
- Externer Prüfer. Ein Experte für die betreffende Verordnung.
- Regulierer. Behörde, die die Verordnung festlegt.
Navigieren Sie im BSC Designer zu Einstellungen > Strategie > Stakeholder, um die relevanten Stakeholder der Liste hinzuzufügen. Später können diese Stakeholder über das Feld Eigentümer mit spezifischen Zielen und Metriken in Einklang gebracht werden.
Compliance-Vorlage und KPIs
Benutzer von BSC Designer haben Zugriff auf die Vorlage für die Compliance-Scorecard mit den in diesem Artikel besprochenen KPIs:
- Diese Vorlage kann angepasst werden, um den Anforderungen der jeweiligen Verordnung zu entsprechen.
- Die für verschiedene Vorschriften erstellten Scorecards können später zu einer umfassenden Compliance-Scorecard mit einem Gesamtindex für die Einhaltung der Vorschriften kombiniert werden.
1. Strategien proaktiv anpassen
Regulierungsbehörden beginnen mit der Formulierung neuer Vorschriften als Reaktion auf eine Vielzahl von Faktoren, darunter soziale, technologische, politische usw. Unternehmen können proaktiv Strategien für potenzielle Regulierungen vorbereiten, indem sie eine Analyse der externen Faktoren durchführen, ähnlich der von den Regulierungsbehörden durchgeführten Analyse.
Verwenden Sie die PESTEL-Analyse-Vorlage, die im BSC-Designer zur Verfügung steht:
- Formulieren Sie potenzielle Antriebskräfte und
- Bestimmen Sie Frühindikatoren
.
Um diese proaktive Vorbereitung zu quantifizieren, können wir den folgenden Indikator verwenden:
Anzahl der mit der regulären PESTEL-Analyse identifizierten treibenden Kräfte.
In der Vorlage ist diese Kennzahl für jährliche Aktualisierungen konfiguriert:
So werden beispielsweise aufkommende Technologien, insbesondere Fortschritte in der KI, in der PESTEL-Analyse als eine der treibenden Kräfte identifiziert.
2. Erkennen Sie neue geltende Vorschriften frühzeitig
Die Rolle des Compliance Office besteht darin, neue anwendbare Vorschriften frühzeitig zu erkennen und mit der Vorbereitung innerhalb der Organisation zu beginnen. In der Regel gewähren die Regulierungsbehörden ausreichend Zeit für die Analyse und Vorbereitung, indem sie zunächst einen Entwurf der Verordnung veröffentlichen, und es gibt eine Übergangsfrist, sobald die Verordnung offiziell freigegeben ist.
Um die Effizienz des Compliance Office zu quantifizieren, verwenden wir:
Regulierungsabdeckung, %. Verfolgung des Prozentsatzes der anwendbaren Regulationen, die vom Compliance Office frühzeitig erkannt wurden.
In der Vorlage hat die Kennzahl Regulierungsabdeckung im Vergleich zu anderen Kennzahlen eine höhere Gewichtung im Index.
Zeit zur Überprüfung der Regulation. Durchschnittliche Zeit, die von der ersten Veröffentlichung der Regulation bis zur Entwicklung des Vorbereitungsplans vergeht.
Zeit für die Entwicklung von Richtlinien. Durchschnittliche Zeit, die für die Entwicklung interner Richtlinien und relevanter Schulungsmaterialien benötigt wird.
Die Schätzungen für die Zeitkennzahlen könnten als Kriterien dienen, um zu entscheiden, ob die Arbeit an bestimmten Vorschriften intern durchgeführt oder an eine externe Beratungsfirma ausgelagert werden soll.
Zum Beispiel veröffentlichen und aktualisieren viele Regulierungsbehörden KI-bezogene Richtlinien. Mithilfe der genannten Kennzahlen können wir sicherstellen, dass diese Richtlinien im Kontext einer bestimmten Organisation ordnungsgemäß geprüft und in Leitverfahren umgesetzt werden.
3. Schulung der Mitarbeiter zur Einhaltung der neuen Regulation
Sobald die entsprechenden Richtlinien formuliert sind, muss das Unternehmen seine Mitarbeiter darin schulen, die neuen Regulationen zu befolgen. Um diesen Prozess zu verfolgen, verwenden wir eine einfache Kennzahl:
Abschluss von Schulungen zur Einhaltung von Regulationen. Dies kann ein grundlegendes Bewusstsein für neue Regulationen oder eine detaillierte Modellierung von Szenarien zur Einhaltung und Nichteinhaltung von Regulationen umfassen.
Für komplexere Regulationen sollten Sie eine spezielle Schulungs-Scorecard verwenden, um den Prozess zu verfolgen.
4. Überprüfen Sie die Compliance von Dritten
Die meisten Vorschriften verlangen einen Blick auf die gesamte Wertschöpfungskette und die Überprüfung der Einhaltung von Vorschriften durch Dritte. Die Organisation ist möglicherweise nicht daran interessiert, sich mit den Details zu befassen. Stattdessen kann sie sich darauf konzentrieren, die Gesamtbewertung der Partner für die Einhaltung der Regulationen und den Prozentsatz der Partner, die auf Einhaltung der Regulationen geprüft wurden, zu verfolgen.
% der Partner, die auf Einhaltung der Regulationen geprüft wurden.
Gesamtbewertung für die Einhaltung der Regulationen durch den Partner (siehe z. B. Scorecard für das Partner-Risikomanagement).
Die Identifizierung und Minderung von Risiken ist entscheidend für den langfristigen Erfolg der Compliance. In diesem Fall wurde ein Risiko als „Änderungen in der Regulation“ mit einem Plan zur Risikominderung identifiziert:
- „Auswirkungen gesetzlicher Änderungen auf Dritte, die die Compliance-Prüfung bereits bestanden haben, durch regelmäßige Überprüfungen und Überarbeitungen des Compliance-Scores mindern.“
5. Non-Compliance-Vorfälle simulieren
Um den Erfolg der Compliance-Schulung zu überprüfen, kann das Unternehmen Vorfälle simulieren, bei denen die Vorschriften nicht eingehalten wurden, und die entsprechenden Reaktionen der verantwortlichen Mitarbeiter bewerten. Die Ergebnisse einer solchen Validierung können wie folgt quantifiziert werden:
Effektivität von Schulungen zur Einhaltung von Vorschriften, validiert durch Simulationen der Nichteinhaltung.
Quantifizieren Sie die Auswirkungen der Nichteinhaltung
Die Auswirkungen der Nichteinhaltung können validiert werden mit:
Kennzahl für Rufschädigung – kann durch die Dauer der negativen Medienberichterstattung quantifiziert werden.
Direkter Gewinnverlust.
Bußgelder und Strafen der Regulierungsbehörden.
Ihre Dynamik im Laufe der Zeit wird Aufschluss über die Wirksamkeit der eingeführten Compliance-Maßnahmen geben. Auch wenn all diese Metriken ihrer Natur nach verzögert sind, kann das Compliance Office die mit diesen Metriken verbundenen Risiken nutzen, um bestimmte Aktivitäten zu priorisieren und Compliance-Budgets zu rechtfertigen.
6. Auditsysteme durch externe Prüfer
In Fällen, in denen es um kritische Vorschriften geht, deren Nichteinhaltung zu erheblichen wirtschaftlichen und rufschädigenden Konsequenzen führen könnte, beauftragt der Verwaltungsrat unabhängige Wirtschaftsprüfer.
Die Kennzahlen, auf die Sie sich im Zusammenhang mit einem externen Wirtschaftsprüfer konzentrieren sollten:
Abdeckungsgrad der Prüfung, %. Wir sind an einer umfassenden Prüfung aller relevanten Funktionen des Unternehmens interessiert, um sicherzustellen, dass die größtmöglichen Compliance-Risiken frühzeitig aufgedeckt wurden.
Anzahl der Audit-Feststellungen. Neben der direkten Anwendung kann diese Kennzahl auch dazu verwendet werden, die Effektivität des Compliance Office bei der Analyse und Umsetzung der Anforderungen der Verordnung zu überprüfen.
Bei sich wiederholenden Aktionen wie externen Audits ist es ratsam, Kennzahlen im Laufe der Zeit zu verfolgen. Benutzer von BSC Designer können Aktualisierungsintervalle für die Kennzahlen festlegen, um die Datenkonsistenz zu gewährleisten.
Eine weitere Nuance bei dieser Art von Kennzahlen ist die Schwierigkeit, ein Ziel festzulegen. So könnte eine geringe Anzahl von Prüfungsfeststellungen als unzureichende Aufmerksamkeit des Prüfers gewertet werden, während eine hohe Anzahl von Feststellungen darauf hindeuten könnte, dass das Compliance Office keine wirksame interne Prüfung durchgeführt hat. Um diese Idee zu erfassen, wurde die Leistungsfunktion des Indikators geändert.
Darüber hinaus können alle Ergebnisse nach ihrer Bedeutung kategorisiert werden, wobei die kritischsten Ergebnisse am stärksten gewichtet werden. Auf diese Weise können Sie vermeiden, dass die Kennzahl missbraucht wird, indem Sie sich auf eine große Anzahl von Ergebnissen mit geringem Wert konzentrieren. Ein Beispiel für eine solche Kategorisierung ist der gewichtete Risikoindex in der Cybersicherheits-Scorecard.
Ein gewisser Hinweis auf die Wirksamkeit der Umsetzung der Feststellungen des Prüfers lässt sich anhand der folgenden Zahlen ermitteln:
Abschlussrate der Audit-Ergebnisse. Obwohl das offensichtliche Ziel für diese Kennzahl 100 % ist, kann es sein, dass Zeit- und Ressourcenbeschränkungen die sofortige Umsetzung aller Empfehlungen des Auditors verhindern.
Reaktionszeit bei Audit-Ergebnissen. Eine andere Sichtweise auf die Behebung von Schwachstellen, die durch das Audit aufgedeckt wurden, ist die Zeit, die für die Schließung des Problems nach seiner Entdeckung benötigt wird.
Benutzer von BSC Designer können die Indikatoren mit den neuesten Daten aktualisieren und eine Notiz über die letzte Aktualisierung hinzufügen. Sie können zum Beispiel zusätzliche Details liefern, die erklären, warum es in einem bestimmten Stadium nicht möglich ist, einige der Prüfungsfeststellungen abzuschließen.
Sowohl die Abschlussquote als auch die Reaktionszeit sind wichtige Messgrößen für die Verbesserung der Compliance-Systeme, wobei der Schwerpunkt darauf liegt, den gesamten Prozess für die Endnutzer agiler und weniger komplex zu gestalten.
Management von Nichteinhaltungsvorfällen
Ordnungsgemäße Vorbereitungen durch die interne Compliance-Stelle und externe Audits sichern das Unternehmen nicht gegen mögliche Compliance-Verstöße ab.
Kennzahlen, die Sie in diesem Zusammenhang verfolgen können:
Reaktionszeit bei Vorfällen. Um sicherzustellen, dass Verstöße gegen die Compliance schnell behoben werden, um die Auswirkungen auf das Unternehmen zu minimieren.
Wiederholung von Vorfällen. Die Verhinderung der Wiederholung von Vorfällen der gleichen Art ist ein Indikator dafür, wie gut eine Organisation aus Fehlern lernt.
Die Maßeinheit für die Reaktionszeit kann je nach Art des Vorfalls Stunden oder Tage sein.
Der Logik folgend, dass das Wiederauftreten von Vorfällen ein Indikator für die Effektivität der Compliance-Stelle ist, wurde der Indikator „Wiederauftreten von Vorfällen“ anhand von Daten als nachlaufender Indikator mit dem Ziel „Schulung der Mitarbeiter zur Einhaltung der neuen Regulationen“ ausgerichtet.
7. Compliance-Scorecards ausrihchten
Die besprochenen Kennzahlen sind spezifisch für eine bestimmte Regulation. Für jede Regulation gibt es eine eigene Scorecard mit den für die jeweilige Regulation angepassten Kennzahlen.
>
Um ein umfassendes Bild der GRC-Bemühungen (Governance, Risiko und Compliance) zu erhalten, können wir die GRC-Scorecards für bestimmte Vorschriften in einer Gesamt-GRC-Scorecard zusammenfassen.
Was kommt als Nächstes?- Melden Sie sich für ein kostenloses Konto bei BSC Designer an, um Zugriff auf die Scorecard-Vorlagen, einschließlich „Compliance-Vorlage“, die in diesem Artikel besprochen werden, zu erhalten.
- Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder, strategische Ambitionen und Geschäftsrahmen in eine umfassende Strategie zu integrieren.
Mehr über Strategische Planung
Alexis ist ein Senior Strategy Consultant und CEO bei BSC Designer mit über 20 Jahren Erfahrung in der strategischen Planung. Alexis entwickelte das „5-Schritte-Strategie-Implementierungssystem“, das Unternehmen bei der praktischen Umsetzung ihrer Strategien unterstützt. Er ist ein regelmäßiger Redner auf Fachkonferenzen und hat über 100 Artikel zu Strategie und Leistungsmanagement veröffentlicht, einschließlich des Buches „10-Schritte-KPI-System“. Seine Arbeit wird häufig in der akademischen Forschung zitiert.
Abonnieren Sie Alexis’s Unedited auf Substack.