Prozessmanagement und Compliance – kein Selbstzweck

Mehr Arbeit und weniger Transparenz durch Compliance-Vorschriften?
Das muss nicht sein!

Autor: Armin Trautner, Managing Director EMEA, iGrafx GmbH

Bei Compliance-Initiativen und der Prozessdokumentation tappen viele Unternehmen und Finanzdienstleister immer wieder in ähnliche Fallen. In der jüngsten Vergangenheit haben Zahl und Umfang der Compliance-Projekte noch einmal kräftig zugelegt. Die Umsetzung der verschiedenen Compliance-Richtlinien kann – vor allem für die kleinen und mittelständischen Unternehmen – ein besonders schmerzhafter Kostenblock sein. Gleichzeitig werden insbesondere Richtlinien wie der Sarbanes-Oxley-Act und Basel III in diesem Bereich immer wichtiger. Erst kürzlich wurde angekündigt, dass die Vereinigten Staaten die international vereinbarten Eigenkapitalstandards Basel III für alle Banken des Landes einführen werden. Auch für die Banken hierzulande sind die gestiegenen Kapitalanforderungen nach Basel III eine enorme Herausforderung.

Nun stellt sich natürlich die Frage, inwiefern Compliance mit Geschäftsprozessen und deren Analyse zusammenhängt. Das mit Compliance verwandte Risk Management spielt schon seit langer Zeit bei der Six Sigma-Methode eine große Rolle, bei der es um die Fehlerminimierung geht. Der logische Schritt zur Prozessoptimierung ist demnach nicht weit. In einer vernünftigen Prozess-Analyse steckt also viel mehr Potenzial: Mit den richtigen Tools lassen sich nicht nur lästige Gesetzesvorgaben wie Sarbanes-Oxley erfüllen, sondern obendrein weitere Verbesserungspotenziale aufdecken. Das funktioniert freilich nur, wenn auch die Mitarbeiter von Anfang an in die Dokumentation der Arbeitsschritte eingebunden werden.

Nutzen für alle statt Wissen für das Archiv

Viele Unternehmen optimieren ihre Prozesse bereits sehr gezielt. Häufig kommen dabei zentrale Datenbanken zum Einsatz, die es ermöglichen, die Geschäftsprozesse auch dreidimensional zu betrachten. Jetzt verschmilzt dieses Management mit den neuen Compliance-Anforderungen. Aber auch wer bislang ohne Optimierung arbeitet, wird keine Probleme mit Richtlinien wie Sarbanes-Oxley bekommen, sofern er seine Prozesse ordentlich dokumentiert hat. Viele unserer Kunden berichten davon, dass z.B. ihre ISO-Zertifizierung, sobald sie mal nach großem Aufwand erreicht wurde, oftmals als “Isolierung” in dicken Aktenschränken endete. An diesen Insellösungen ist so mancher QM-Beauftragte schier verzweifelt. Statt dem Unternehmen eine Optimierung der Prozesse und eine Wissensdatenbank zu bieten, wurde damit eigentlich nur zusätzlicher undurchschaubarer Ballast angehäuft. Das ist für die Compliance von Basel III oder SOX zu wenig. Unternehmen, die bei der ISO Zertifizierung bereits einen Schritt weitergegangen sind, haben nun einen Vorsprung. Diese haben ihre visualisierten Geschäftsprozesse im Intranet hinterlegt und damit eine Transparenz im Unternehmen geschaffen. Somit ist auch bereits die Grundlage für eine Optimierung der Geschäftsprozesse gegeben oder gar für eine Abbildung von tatsächlich ablaufenden Vorgängen in einem Qualitätsmanagement-System. Denn hat man die Prozesse ordentlich dokumentiert vorliegen, kann man diese mittels Simulation modellieren und damit optimieren.

Effizienz optimieren und Risiken verringern

Fügt man nun noch die Komponente Risiko-Kontrolle hinzu, hat man schon einen entscheidenden Schritt Richtung Compliance und einer optimierten Prozesslandschaft getan. Auf diese Weise kann ein Unternehmen sowohl die Kosten senken als auch die Compliance erfüllen. Auch unser Kunde, die Commonwealth Bank, sah sich anfangs einer doppelten Herausforderung gegenüber: Da waren einerseits die neuen Regelungen der Behörden und andererseits die damit verbundenen Kosten. Wie viele andere Banken hatte auch die Commonwealth Bank große Summen investiert, um früheren Regelungen zu Kredit- und Marktrisiken zu entsprechen. Die Bank war deshalb bestrebt, dass die für eine Optimierung des Risikomanagements erforderlichen Ausgaben jetzt auch einen messbaren Nutzen für die operationalen Vorgänge bringen würden. Um sicherzustellen, dass die Commonwealth Bank ihren infolge neuer Risikoregelungen entstandenen Verpflichtungen nachkommt, setzt sie heute erfolgreich eine Software zur Prozessmodellierung- und analyse ein. Wer also die Richtlinien nicht nur aus gesetzlichen Gründen umsetzt, sondern dabei gleichzeitig die eigenen Prozesse optimiert, profitiert doppelt.

Wir unterstützen zum einen den Schritt zum Compliance Management für all diejenigen, die ihre Prozesse bereits dokumentiert haben – sei es mit Fremdprodukten aller Art, zu denen wir Schnittstellen haben, oder mit unseren eigenen Lösungen. Zum anderen helfen wir aber auch Unternehmen, die gerade erst anfangen, ihre Geschäftsprozesse zu dokumentieren und zu analysieren. Unsere Stärke sehen wir vor allem darin, dass wir mit unserer einfachen, intuitiven und auf Modulen aufgebauten Lösung zur entscheidenden Verringerung der Kosten beitragen, die mit der Erreichung der Compliance verbunden sind. So hat sich beispielsweise eine weitere große Bank durch den Einsatz von iGrafx schon ganze 330 Millionen Schweizer Franken eingespart, nur durch die Optimierung ihrer ETF-Handelsprozesse. Dabei verstehen wir die Anstrengungen im Zuge der Compliance nicht als Selbstzweck, sondern als lohnenswerte Möglichkeit, umständliche Prozesse zu entwirren.

Ob Compliance-Initiative oder Prozessmodellierung, so ähnlich die verschiedenen Prozess-Initiativen auch sind, so sehr gleichen sich die Fehler, die dabei gemacht werden. Dabei sind es nur wenige Punkte, die beachtet werden müssen, um aus einem solchen Projekt einen Rundum-Erfolg zu machen.

• Das Know-how nicht verlieren: In vielen Fällen erarbeitet sich ein externer Berater erhebliches Know-how über das Unternehmen. Geht es um ein anderes Projekt, ist dieses Wissen jedoch nicht mehr abrufbar und der ganze „Lernprozess“ startet unnötigerweise von vorne. Die Schlussfolgerung daraus ist, dass Compliance Unternehmens- und damit Chefsache ist. Die Verantwortung für jedes Compliance-Projekt sollte beim Unternehmen selbst bleiben.
• Nicht gegen die Mitarbeiter: Die Mitarbeiter müssen bei der Prozessdokumentation von Anfang an in die einzelnen Arbeitsschritte eingebunden werden. Ihre Arbeit muss als sinnvoll und wichtig anerkannt werden. Haben sie dagegen das Gefühl, die lästige Dokumentations-Aufgabe nur „aufgebrummt“ bekommen zu haben, ist das ein Garant für das Scheitern. Das bedeutet zugleich, dass die Ergebnisse der Arbeit nicht in einer Schublade verstauben, sondern über das Intranet für jeden Mitarbeiter als HTML-Dokumentation für die tägliche Arbeit nutzbar gemacht werden.
• IKS und SOX sind Chefsache: IKS und SOX müssen Chefsache sein, so verlangt es auch das Konzerntransparenzgesetz. Dazu muss ein funktionierendes internes Kontrollsystem etabliert werden. Dieses muss die klare Delegation von Verantwortung beschreiben und die zu verantworteten Unternehmensobjekte klar definieren.
• Quick Wins als Mehrwert mitnehmen: Bei der Prozessaufnahme lassen sich Quick Wins, also kleine Optimierungen, die mit wenig Aufwand im Rahmen eines bestehenden Systems umgesetzt werden, im gleichen Schritt gleich mit verbessern. Oft haben die Mitarbeiter selbst die besten Ideen. Das steigert neben dem Output auch die Motivation.
• Steuern statt kontrollieren: Prozesse, mit deren Hilfe Compliance eingeführt und sichergestellt werden soll, müssen dazu dienen, Unternehmen Schritt für Schritt effizienter zu gestalten. Statt sich auf die Kontrollfunktion zu stürzen – nach dem Motto „Wer hat einen Fehler gemacht?“ – hilft Prozess-Managementsoftware vor allem Finanzdienstleistern dabei, sich beständig weiterzuentwickeln. Das ist unter anderem auch einer der Hintergründe für SOX allgemein.
• Weniger ist manchmal mehr! Viele Finanzdienstleister haben zu viele Kontrollen für die Risikominimierung implementiert. In vielen Fällen sind diese unnötig und lassen sich durch die Nutzung eines grafischen BPM-Tools auf den ersten Blick erkennen.
• Prozesse intern sichtbar und nutzbar machen: Compliance-Initiativen bringen nur dann einen echten Mehrwert für das Unternehmen, wenn Prozesse für alle beteiligten Mitarbeiter nicht nur sichtbar, sondern auch leicht und schnell auffindbar und nutzbar sind. Nur ein BPM-System, das zugleich auch die Intranet-Publizierung steuern kann, ist für diese Aufgabe geeignet und schafft durch visualisierte Geschäftsprozesse Transparenz im Unternehmen.
• Proaktive Weiterverwendung: Wenn neue Prozesse, etwa eine neue E-Business-Anwendung, anstehen, muss das Rad nicht neu erfunden werden. Mit den einmal erfassten Prozessen sollen sich ohne Probleme auch andere Projekte abbilden lassen, etwa durch die Anpassung der vorhanden und Implementierung  der dadurch notwendigen neuen Prozesse. Wichtig dabei: Die Geschäftsprozesse sollten im Wesentlichen gekapselt von den Implementierungsspezifika, also von der technischen Unterstützung, modelliert werden.
• Ein IKS-Verantwortlicher reicht: Zu viele Köche verderben den Brei. Nur wenn ein einzelner Verantwortlicher alle einzelnen Schritte überwacht und die Koordinierung der IKS-Zertifizierung im Auge behält, entstehen keine unangenehmen Überraschungen.
• Eine Tool-Suite für alles: Nur einfache, integrierte und visuelle Tools werden allen genannten Anforderungen gerecht, indem Prozesse für alle Beteiligten leicht anzulegen, zu analysieren und zu verbessern sind. Eine modular aufgebaute Lösungslandschaft ermöglicht dabei einen ganzheitlichen Ansatz: So lassen sich etwa Auswirkungen von Prozessanpassungen in dynamischen Dashboards anzeigen, Analysen zur Risikobewertung und Kontrolle durchführen, Qualitäts-Audits leiten oder Mitarbeiter anhand des gemeinsam entwickelten Management-Handbuchs trainieren.   Zudem können alle Ergebnisse stets aktuell über eine HTML-Oberfläche im Intranet abgerufen werden.