Nur die wenigsten mögen es, wenn sie geprüft werden. Das gilt für den neuen Verlobten, für den Schüler im Chemie-Test und natürlich auch für den CIO. Diejenigen denen sich die Nackenhaare aufstellen wenn sie daran denken vergessen jedoch eines: bei so einer Prüfung lernt man eine Menge über sich selbst, unabhängig vom Ausgang.
Unternehmenslenker können ab einer gewissen Größe nicht mehr jede kleine Frage selbst regeln. Demnach können sie auch nicht für jeden Fall sicherstellen, dass in ihrem Sinne gehandelt wird. Also werden Regeln aufgestellt, an die sich die Mitarbeiter zu halten haben. Die Einhaltung dieser Regeln will natürlich auch überwacht werden, wozu interne und externe Prüfer eingesetzt werden können. Externe Prüfungen haben den großen Vorteil, auch nach außen wirksam zu zeigen wir sind Basel-, IFRS- oder GDPR-compliant. Interne Prüfungen hingegen haben den Charme dass die Ergebnisse zunächst auch intern bearbeitet werden können. Im Normalfall wird man also beides kombinieren, schon weil externe Prüfungen in vielen Umgebungen Pflichtübungen sind.
Objekt der Prüfung ist im Normalfall ein Unternehmensbereich, eine Abteilung, eine Prozessumgebung oder ein Projekt. Die verantwortlichen Kollegen sind im Normalfall nur wenig begeistert über so viel Aufmerksamkeit. Es entsteht ein Gefühl der Überwachung, als würde man ihnen ihren Job nicht zutrauen und noch dazu eine Menge Zeit verschwenden. Diese Einschätzung verkennt jedoch den Kern der Prüfung: die Einhaltung der Regeln kontrollieren. Wohl dem, der sich innerlich und organisatorisch auf die Prüfung vorbereitet hat.
Schritt 1) Prüfer sind keine Aliens
Wer den Audit verstehen will, schaue sich den Auditor an. Was sind seine Ziele, welche Aufgabe hat er erhalten, von wem und warum? Ein Prüfer prüft im Normalfall viele verschiedene Fachfunktionen und kann daher selten fachlich so tief drinstecken wie sie. Daher wird er auch selten beurteilen können ob Sie Ihren Job gut machen. Das ist jedoch zum Glück auch gar nicht seine Aufgabe.
Er kommt hingegen zu Ihnen, weil er wissen will ob Sie Ihren Job regelkonform ausführen. Das ist also keine Bewertung der Qualität Ihrer Leistung (nach Maßstäben der Effizienz, Innovation oder Mitarbeiterfreundlichkeit) oder Ihrer Person, sondern nur ob die geltenden Regeln in Organisation und Prozessen adäquat umgesetzt sind. Um nun sicherzustellen dass hier keine Findings aufkommen ist es also zunächst empfehlenswert, die Regeln zu kennen und anschließend die Einhaltung der geltenden Regeln sicherzustellen.
Dabei lassen sich drei Regelungsebenen unterscheiden
- legal (Landes- und ggf. EU-Recht; hierbei auch die ausländischen Niederlassungen beachten in denen Ihre Mitarbeiter möglicherweise tätig sind)
- aus Verträgen (das können Kunden- und Lieferantenverträge sein, aber auch allgemeinere schriftliche Vereinbarungen wie bspw. ISO-Konformität)
- interne Regulierungen (hier gibt es im Normalfall Prozeduren und Richtlinien an denen Sie sich orientieren können)
Das ist natürlich nicht wenig, jedoch ist es unabdingbar dass Sie sich mit diesen Themen auseinandersetzen. Das gilt natürlich nicht nur für den Audit, sondern auch grundsätzlich – um externe und interne Vereinbarungen nicht zu verletzen. Auch wenn es manchmal nicht so aussieht, haben diese Vereinbarungen ja meist einen Sinn der über die Regelung selbst hinausgeht.
Schritt 2) Machen Sie sich schick
Um diese zugegebenermaßen teils überbordende Anzahl an Regelungen im Blick zu halten, und den eigenen Bereich daran zu messen, empfiehlt sich eine professionelle Audit- (Organisation und Prozesse) und Asset Management (Technik) Lösung. Sie sind nicht der oder die einzige die sich diesem Problem gegenübersieht, und da draußen gibt es Anbieter die sich auf diese Anforderung spezialisiert haben, und entsprechende Tools bereitstellen. Wie immer können Sie mit den Big Four zusammenarbeiten, werden den gebotenen Umfang und die Professionalität der Lösung jedoch auch bezahlen dürfen. Alternativ gibt es auch kleinere Anbieter am Markt, die für weniger Geld ähnliches bieten, oft jedoch nicht alles aus einer Hand.
Lassen Sie sich also von den Anbietern da draußen helfen. Erste Beratungen, Whitepapers und Produktvorstellungen kosten Sie im Normalfall nichts außer Zeit. Führen Sie dann mit dem Einkauf eine Evaluierung durch und planen Sie nach Auswahl einer Lösung ein Implementierungsprojekt auf. Sobald das Projekt umgesetzt ist, sollten Sie wissen welche Ihrer Bereiche im Hinblick auf Auditierungen besondere Aufmerksamkeit erfordern und warum.
Vergessen Sie auch Ihre Mitarbeiter nicht. Benennen Sie je nach den Anforderungen in Ihrem Bereich einen oder mehrere Kollegen zu Verantwortlichen für die Compliance, und stellen Sie sicher dass diese ihren Job ernst nehmen. Es ist dann deren Aufgabe die (aus dem Gesamtwerk an Regelungen) Vorgaben im Blick zu behalten die für Ihren Bereich relevant sind, und die Abbildung in Ihrer Organisation zu überwachen und ggf. sicherzustellen.
Ist der Audit vorbei, sollten Sie ebenfalls interne Planungs- und Trackingprozesse etablieren welche sich um die angefallenen Findings kümmern. Da kommen Ihnen die frisch benannten internen Compliance Officers natürlich wie gerufen. Es wird schwer werden bei wiederholten Audits für die gleichen Findings Verständnis vom Prüfer zu erhalten. Da die Findings nicht immer operativ hoch-kritisch sind, müssen Sie als Führungskraft für die entsprechende Priorität sorgen, und Ihre Verantwortlichen mit der nötigen Durchschlagskraft ausstatten.
Schritt 3) Beziehungskitt
Wenn Sie es schaffen die Prüfung als hilfreiche Unterstützung anzusehen und sich und Ihre Organisation angemessen darauf vorbereiten, werden die internen und externen Audits ihren Schrecken schnell verlieren. Dabei hat die Wirkung eines Audit-Berichts nicht nur Nützliches für Sie und Ihren Bereich zu bieten. In Unternehmen besitzen Audits und ihre Ergebnisse eine teils enorme Strahlkraft.
Nutzen Sie diese in Ihrem Sinne. Ist Ihr Bereich chronisch unterbesetzt und deckt ressourcen- oder know-how-seitig gerade mal das Minimum ab, fallen notwendige Sorgfaltspflichten möglicherweise unter den Tisch. Werden diese jedoch weiterhin eingefordert, können Sie einen entsprechenden Audit-Bericht als Argumentationshilfe nutzen um hier an den Anforderungen wachsen zu können. Auch hier sollten Sie sich auf das Gespräch mit dem Top Management natürlich gut vorbereiten, insbesondere wenn es neben Budgets auch um Headcount geht. Ein entsprechender Bericht auf dem Tisch kann Ihre ohnehin schlüssigen Argumente so oder so sinnvoll untermauern.
Auch in der Umsetzung von Projekten kann es sich lohnen mit den Prüfern zusammenzuarbeiten. Sie können beispielsweise für große Projekte die internen Auditoren bereits einbeziehen, um schon im Setup eine möglichst gute Basis für spätere Prüfungen zu schaffen. Timeline und Projektbudget sollten dann dementsprechend dimensioniert werden. Für sehr große Projekte kann es sich sogar lohnen, schon während der Implementierung mit externen Prüfern zu zusammenzuarbeiten. Je nach Branche empfiehlt sich dies sogar unbedingt, um nach Go-Live teure Anpassungen zu vermeiden.
Zu guter Letzt ist so eine Prüfung auch der perfekte Zeitpunkt, die Regeln selbst noch einmal ins Rampenlicht zu stellen. Sind diese zeitgemäß, oder repräsentieren Sie eine überaltete Anforderungsumgebung? Erfüllen Sie Ihren Zweck, oder nur noch ihren Selbstzweck? Ist der Umfang und die Komplexität der bestehenden Regeln noch handhabbar, oder sollte hier dringend entschlackt werden? Feedback wie dieses kann sinnvoll nur im Audit erzeugt werden, wenn die Regeln auf die Praxis treffen. Durch Infragestellen der bestehenden Regelwerke mit entsprechend belastungsfähiger Argumentation werden Sie sicher nicht die Welt retten, aber Ihnen und Ihren Kollegen das Leben eventuell ein wenig leichter machen können.
Dabei wie immer viel Erfolg,
