Die Einhaltung von Vorschriften ist für viele Branchen von entscheidender Bedeutung. Finanzwesen, Bankwesen, Gesundheitswesen - praktisch alle Unternehmen, zumindest in den Vereinigten Staaten, die eine bestimmte Größe überschreiten oder sich in öffentlichem Besitz befinden, müssen Compliance-Vorschriften einhalten. Und da am 25. Mai die Datenschutz-Grundverordnung (GDPR) in Kraft tritt und weltweit neue Vorschriften entstehen, ist die Einhaltung von Vorschriften weltweit ein Thema.

Die Strafen für Verstöße können enorm sein, und die Nichteinhaltung der Vorschriften ist praktisch ein willkommener Vorwand für die Cyberkriminalität, die zu Rufschädigung und finanziellem Desaster führt.

Unabhängig davon, ob Sie IT-Experte oder Dienstleister sind, können Sie keinen Compliance-Plan erstellen, wenn Sie nicht über den aktuellen Stand Ihres Unternehmens informiert sind. Dazu ist eine gründliche und disziplinierte Bewertung erforderlich.

RapidFire Tools ., ein Anbieter von Tools zur Bewertung der HIPAA-Compliance,hatMSPs zum Wert solcher Bewertungenbefragt. Dabei stellte sich heraus, dass Dienstleister diese Bewertungen nutzen, um mit potenziellen Neukunden ins Gespräch zu kommen und letztendlich neue Kunden zu gewinnen. Ein MSP steigerte seinen Umsatz um über 12.000 US-Dollar pro Monat.

Laut derKaseya 2018 MSP Survey bieten 52 Prozent der MSPs weltweit (und 55 Prozent in EMEA) Compliance-Bewertungen an. Diese Bewertungen kommen MSP dem MSP seinen Kunden zugute, da sie dem MSP neue Einnahmequellen MSP und MSP bewusst MSP , welche Änderungen zum Schutz beider Unternehmen umgesetzt werden müssen.

Das Wirtschaftsprüfungs-, Beratungs- und Technologieunternehmen Crowe Horwath hat ein schrittweises Verfahren entwickelt, das mit der Definition der Ziele beginnt. "Bewertungen dienen dazu, den Umfang der Compliance-Aktivitäten im gesamten Unternehmen, die Effektivität des Compliance-Programms und das Ausmaß, in dem die Unternehmenskultur den Compliance-Aktivitäten förderlich ist, zu ermitteln. Eine Bewertung kann dem Unternehmen eine Vorstellung von den Stärken und Schwächen seines Compliance-Programms sowie von den Bereichen geben, in denen es verbessert werden kann", erklärt das Unternehmen.

Die Prüfer sollten nicht bei Null anfangen müssen, sondern sich auf die vorhandenen Dokumente zur Einhaltung der Vorschriften stützen. "Beispiele für relevante Dokumente, die typischerweise während einer Bewertung gesammelt und überprüft werden, sind:

Organigramme der Geschäftsleitung und des Compliance Office
Grundsätze und Verfahren in Bezug auf das Compliance Office oder Bereiche mit hohem Risiko
Beispiele für Compliance-Schulungen der Mitarbeiter und Muster für Mitteilungen an die Mitarbeiter über den Verhaltenskodex für Compliance
Beispiele für die Überwachung der Einhaltung der Vorschriften und Arbeitspläne zur Einhaltung der Vorschriften
Frühere Bewertungen des Compliance-Programms
Bewertung von Compliance-Risiken und Strategien zur Bewertung von Compliance-Risiken"

Kennenlernen der Spieler

Die Prüfer müssen nicht nur die Struktur und die Aufgaben der Organisation verstehen, sondern auch die Mitarbeiter selbst kennen lernen. Dies kann durch Interviews geschehen. Die Dokumentenprüfung hilft den Prüfern, sich auf diese Gespräche vorzubereiten. Ziel ist es, herauszufinden, wie gut die Hauptakteure die Einhaltung der Vorschriften verstehen und ob sie in der Lage sind, ihre Risiken zu definieren und Maßnahmen zur Risikominderung zu ergreifen.

Zu den Personen, die befragt werden können, gehören Personen, die direkt für die Einhaltung der Vorschriften verantwortlich sind, Mitarbeiter, deren Aufgaben die Einhaltung der Richtlinien erfordern, sowie die Unternehmensleitung.

Durchführung einer Lückenanalyse

Eine Lückenanalyse zeigt auf, wo die Organisation die Vorschriften bereits einhält und welche Schritte unternommen werden müssen, um die vollständige Einhaltung der Vorschriften zu gewährleisten. Die Analyse "sollte die bestehenden Trends des Compliance-Programms innerhalb der Organisation aufzeigen, einschließlich der Stärken des Programms und der Möglichkeiten zur Verbesserung. Darüber hinaus sollte der Prüfer Empfehlungen für das Unternehmen aussprechen, die auf bewährten Verfahren beruhen, die in führenden Unternehmen ähnlicher Größe und Struktur beobachtet wurden", erklärt das Unternehmen.

Dies alles sollte in einem Abschlussbericht festgehalten werden, in dem das Gute definiert und spezifische Verbesserungen empfohlen werden.

Das Finanzberatungsunternehmen Deloitte erklärt in seinem Whitepaper "Compliance Risk Assessments", warum eine Compliance-Bewertung nicht ausreicht:Die dritte Zutat zu einem erstklassigen Ethik- und Compliance-Programm".

Viele Unternehmen glauben möglicherweise, dass sie hinsichtlich der Compliance gut aufgestellt sind, weil sie eine Risikobewertung durchgeführt haben. Compliance und Risiko sind zwar miteinander verbunden, erfordern jedoch unterschiedliche Prozesse. „Wie unterscheidet sich eine Compliance-Risikobewertung von anderen Risikobewertungen? Unternehmen führen Bewertungen durch, um verschiedene Arten von Unternehmensrisiken zu identifizieren. Beispielsweise können sie Unternehmensrisikobewertungen durchführen, um die strategischen, operativen, finanziellen und Compliance-Risiken zu identifizieren, denen das Unternehmen ausgesetzt ist. In den meisten Fällen konzentriert sich der Prozess der Unternehmensrisikobewertung auf die Identifizierung von Risiken, die das Unternehmen gefährden könnten – also Risiken, die sich auf die Fähigkeit des Unternehmens auswirken könnten, seine strategischen Ziele zu erreichen“, erklärt Deloitte.

„Die Compliance-Risikobewertung hilft dem Unternehmen, das gesamte Spektrum seiner Risikoexposition zu verstehen, einschließlich der Wahrscheinlichkeit, dass ein Risikoereignis eintritt, der Gründe, aus denen es eintreten kann, und der potenziellen Schwere seiner Auswirkungen. Eine effektiv konzipierte Compliance-Risikobewertung hilft Unternehmen auch dabei, Risiken zu priorisieren, diese Risiken den zuständigen Risikoverantwortlichen zuzuordnen und resources effektiv resources die Risikominderung einzusetzen.“

Wer macht was?

Sobald Sie wissen, wer wer ist und wer welche Aufgaben hat, können Sie klare Zuweisungen festlegen. "Legen Sie eine klare Risikoverantwortung für bestimmte Risiken fest und sorgen Sie für eine bessere Transparenz: Eine umfassende Bewertung der Compliance-Risiken hilft bei der Identifizierung der Personen, die für die Verwaltung der einzelnen Risikotypen verantwortlich sind, und erleichtert den Führungskräften den Überblick über Risikominderungsmaßnahmen, Abhilfemaßnahmen und neue Risiken", rät Deloitte.

Ein Teil davon ist eine Bewertung, die klare Schritte erfordert. „Machen Sie die Bewertung umsetzbar: Die Bewertung priorisiert Risiken und zeigt auf, wie diese gemindert oder behoben werden sollten. Abhilfemaßnahmen sollten allgemein verständlich und grenzüberschreitend umsetzbar sein. Stellen Sie sicher, dass die Ergebnisse der Risikobewertung in der operativen Planung zur Zuweisung resources verwendet werden können resources dass sie auch als Ausgangspunkt für Test- und Überwachungsprogramme dienen können“, fasst das Unternehmen zusammen.

Die Compliance-Arbeit ist nie abgeschlossen, warnt Deloitte. „Behandeln Sie die Bewertung als ein lebendiges, atmendes Dokument: Sobald Sie resources Minderung oder Behebung von Compliance-Risiken zuweisen, ändert sich die potenzielle Schwere dieser Risiken. Das Gleiche gilt für Ereignisse im Geschäftsumfeld. All dies sollte zu Änderungen an der Bewertung selbst führen“, schreibt Deloitte. „Wiederholen Sie die Risikobewertung regelmäßig: Effektive Compliance-Risikobewertungen zielen darauf ab, einen konsistenten Ansatz zu gewährleisten, der über einen längeren Zeitraum hinweg, z. B. alle ein bis zwei Jahre, umgesetzt wird. Gleichzeitig erfordert die Risikoanalyse eine kontinuierliche Analyse und Umfeldbeobachtung, um aufkommende Risiken oder Frühwarnzeichen zu erkennen.“