Große Vergehen passieren deutlich häufiger, wenn ein Klima herrscht, in dem kleine Verstöße stillschweigend toleriert oder ignoriert werden.
Nachgelagerte Stichprobenkontrollen sind nicht mehr ausreichend
Traditionelle Compliance-Management-Systeme basieren überwiegend auf nachgelagerten, oft manuellen Kontrollen, die in der Regel zusätzlich zum Tagesgeschäft zu erledigen sind. Gerade angesichts der rasanten Digitalisierung von Geschäftsprozessen ist dieses Vorgehen langsam, teuer und ineffektiv.
Hier setzt das Konzept „Embedded Controls“ an, das EY in Zusammenarbeit mit SAP entwickelt hat: Präventive Kontrollen, die in die Quellsysteme der IT-Lösungen eingebunden sind, sorgen dafür, dass Fehler oder Regelverstöße gar nicht erst vorkommen. Anwenden lassen sie sich unabhängig vom Datenvolumen.
Zum Beispiel lassen sich falsche Kontierungen oder Zahlungsbedingungen, aber auch inkorrekte Freigaben, die im Widerspruch zu den im Unternehmen verabschiedeten Freigaberegelungen stehen, in Echtzeit erkennen – was mit klassischen Methoden kaum umsetzbar ist.
„Embedded Controls“ nutzt die Möglichkeiten der SAP-S/4HANA-basierten Lösungen aus dem Financial-Risk-Management-Portfolio von SAP, um automatisierte Kontrollen so zu implementieren, dass Unregelmäßigkeiten augenblicklich entdeckt werden und eine angemessene Reaktion eingeleitet werden kann. Abhängig von der Schwere des Verstoßes wird ein Workflow angestoßen, der die verantwortlichen Mitarbeiter via E-Mail informiert und zur Korrektur auffordert. Die Ursprungsdaten, die untersucht werden, werden nicht direkt verändert, sondern Anwender werden informiert und können entscheiden, ob eine Anpassung vorgenommen werden soll. Eine automatisierte Anpassung nach Fehlerart ist ebenfalls möglich. In schwereren Fällen, beispielsweise wenn der Verdacht einer Straftat besteht, wird die Interne Revision alarmiert und die Transaktion gegebenenfalls gesperrt.
Direktes Feedback für jeden Mitarbeiter
Statt nur stichprobenhaft zu testen, prüft das System jeden einzelnen Vorgang. Bei einer falschen Eingabe wird der Bearbeiter informiert, sodass er das Problem sofort beheben kann. Anschließend kontrolliert das System, ob der Fehler beseitigt wurde.
Einer unserer Kunden setzte bislang auf die übliche Stichprobenkontrolle. Nach Einführung von ‚Embedded Controls‘ stellte er in einem Monat mehrere Tausend Regelverstöße fest – viel mehr, als er erwartet hatte.
Trefferquote: über 95 Prozent
Die Korrekturrate liegt bei über 95 Prozent. Fast alle Regelverstöße können umgehend vom jeweils Verantwortlichen korrigiert werden.
Der Vorteil für die Mitarbeiter: Sie bekommen direkt Feedback, ob sie den Prozess richtig durchgeführt haben und wie der korrekte Ablauf zu sein hat. Dadurch verinnerlichen sie die Policies schneller, gewinnen Sicherheit und lernen aus Fehlern.
Der Vorteil für das Unternehmen: Risikofaktoren werden früh abgefangen, die Compliance ist sichergestellt, die Prozessqualität steigt. Außerdem arbeiten die Mitarbeiter effizienter.
Fazit
Mit „Embedded Controls“ helfen Unternehmen ihren Mitarbeitern, das Richtige zu tun, Risiken zu reduzieren und ihre Prozess- und Datenqualität zu erhöhen, während sie gleichzeitig ihr Arbeitsklima verbessern.