Dabei geht Jefferson Wells munter davon aus, dass Compliance mittlerweile nicht mehr als notwendiges Übel gilt, sondern als Chance, einen strategischen Vorteil zu generieren. Konkret: Das Automatisieren und Standardisieren von Prozessen, das unternehmensweite Managen von Risiken oder die Klärung von Rollen und Verantwortlichkeiten sollen zu besseren Ergebnissen führen.
Weil sich gesetzliche Regularien immer über das gesamte Unternehmen legen, raten die Analysten von Vornherein zum Zusammenschluss von Governance, Risiko-Management und Compliance. "Davon profitieren unternehmensinterne Prozesse nachhaltig", versprechen die Autoren der Studie. Und zwar mehr, als wenn nur ein Prüfer eingesetzt würde.
Prozess gilt überhaupt als das Stichwort bei Compliance: Wer die Vorgaben an sich als Ablauf begreift und die Position der Prozess-Verantwortlichen stärkt, kann Richtlinien und Geschäftsziele besser aufeinander abstimmen.
Jefferson Wells schreibt der IT erhebliche Bedeutung zu. Der CIO und der Compliance-Manager müssen festlegen, welche Prozesse wann zu automatisieren sind. Dabei ist GRC-Technologie (als Kürzel für Governance, Risk, Compliance) ein unternehmensweiter Ansatz. Eine enge Zusammenarbeit zwischen IT, Prozess-Verantwortlichen und Compliance-Team ist daher unerlässlich.
Vorteil dieser Kooperation: Redundanzen werden beseitigt und die Effizienz der einzelnen Anwendungen überprüft. Kapazitäten aus der Peripherie können integriert werden. Insgesamt zeigt sich die Struktur der Kontroll-Mechanismen mit ihren Stärken und bisherigen Schwächen.
Die Erfahrungen der Studienteilnehmer machen deutlich, dass ein zentraler Speicher, auf dem Prozess-Dokumentationen, Schulungs-Material und andere wichtige Informationen abgelegt werden, die Zusammenarbeit verbessert. Wichtig ist außerdem eine hohe Visibilität von Nutzungsberechtigungen und Workflows.
Es muss nicht immer das Neueste sein
Eine IT, die den Vorgang Compliance unterstützt, ist übrigens nicht immer neu und aus einem Guss. Vielmehr arbeiten die Studienteilnehmer nach wie vor mit ihrem Mix aus Alt-Systemen, Eigenentwicklungen und 08/15-Lösungen.
Der Compliance-Spezialist Jefferson Wells hat in Zusammenarbeit mit den Analysten APQC in 23 Unternehmen Fallstudien erarbeitet. Die Ergebnisse sind unter dem Titel "Leveraging SOX to optimize shareholder value" zusammengefasst worden.