Das Australian Institute of Company Directors (AICD) hat im Oktober 2024 eine neue Richtlinie zur Überwachung der Compliance-Verpflichtungen von Unternehmen durch Direktoren veröffentlicht. Die neue Praxiserklärung umreißt die Hauptverantwortlichkeiten von Direktoren, um sicherzustellen, dass ihre Unternehmen die gesetzlichen Vorschriften einhalten. Sie betont die Bedeutung eines proaktiven Risikomanagements, der Wachsamkeit gegenüber potenziellen Compliance-„Red Flags“ und der gegebenenfalls erforderlichen Infragestellung des Managements, um die Einhaltung gesetzlicher Verpflichtungen sicherzustellen.

Für Organisationen bedeutet dies einen stärkeren Fokus auf die Compliance-Kultur, regelmäßige Audits und den Einsatz von GRC-Technologie zur Überwachung von Risiken und zur besseren Sichtbarkeit von Compliance-Verpflichtungen. Von Direktoren wird erwartet, dass sie sich auf dem Laufenden halten, um aufkommende Compliance-Risiken besser zu verstehen und anzugehen.

In diesem Blog untersuchen wir, was diese neue Richtlinie für Unternehmensleiter und die von ihnen beaufsichtigten Organisationen bedeutet. Wir untersuchen auch, wie GRC-Software Transparenz über Compliance-Verpflichtungen und deren Status schaffen kann, um Organisationen bei der Einhaltung der Anforderungen zu unterstützen.

Warum hat der AICD diese Richtlinien eingeführt?
Der AICD hat diese neue Richtlinie aufgrund zunehmend komplexer regulatorischer Anforderungen, einer Vielzahl von Risiko- und Compliance-Fehlern und des Grades der Unklarheit bezüglich der Verantwortlichkeiten eingeführt. Die Richtlinie soll sicherstellen, dass Organisationen einen proaktiveren, strukturierteren Ansatz zur Verwaltung von Risiken und Compliance verfolgen, um Transparenz und Rechenschaftspflicht zu gewährleisten. Die neuen Mandate werden von den Vorständen verlangen, eine aktivere Rolle bei der Compliance zu übernehmen und Einzelpersonen ermutigen, sich zu äußern, wenn sie Fälle von Nichteinhaltung feststellen, um sicherzustellen, dass diese schnell angegangen und gelöst werden. Ziel ist es, das „Compliance-Risiko“ zu reduzieren und aus Fehlern und Beinahe-Unfällen zu lernen.

Für welche Art von Compliance-Verpflichtungen gilt die Verordnung?
Australische Unternehmen müssen eine Vielzahl von nicht-finanziellen regulatorischen Verpflichtungen einhalten, darunter Arbeitsschutz, Arbeitnehmerrechte, Cybersicherheit und Datenschutz. Sie sind auch an Gesetze zur Bekämpfung von Geldwäsche, Bestechung und Korruption gebunden. Darüber hinaus müssen viele Unternehmen Nachhaltigkeitsstandards erfüllen, wie z. B. die Berichterstattung über Klimarisiken, die Verfolgung von Emissionen, die Bekämpfung moderner Sklaverei in der Lieferkette, die Schließung der geschlechtsspezifischen Lohnlücke und die Verhinderung sexueller Belästigung am Arbeitsplatz. Es gibt auch eine ganze Reihe branchenspezifischer und ESG-bezogener Standards und Vorschriften, die Unternehmen einhalten müssen, um betriebsbereit zu bleiben.

Unabhängig von Branche oder Größe eines Unternehmens können seine Verpflichtungen komplex sein und operative, Compliance- und regulatorische Risiken bergen. Diese Verpflichtungen erfordern eine kontinuierliche Aufsicht durch die Direktoren. Nichteinhaltung kann zu erheblichen rechtlichen, finanziellen und reputativen Schäden führen und potenziell die Beziehungen zu Kunden, Mitarbeitern, Aktionären und Aufsichtsbehörden beeinträchtigen.

Wann können Direktoren für Compliance-Fehler verantwortlich gemacht werden?
Ein Verstoß gegen die gesetzlichen oder regulatorischen Verpflichtungen eines Unternehmens bedeutet nicht automatisch, dass ein Direktor seine Sorgfaltspflicht verletzt hat. Umgekehrt können Direktoren dennoch für eine Pflichtverletzung zur Rechenschaft gezogen werden, auch wenn das Unternehmen seine Compliance-Verpflichtungen nicht verletzt hat. Die AICD-Praxiserklärung bietet umfassende Leitlinien, um Unternehmen dabei zu unterstützen, zwischen Governance-Fehlern, organisatorischer Rechenschaftspflicht und individuellem Fehlverhalten zu unterscheiden.

Es ist daher wichtig, dass eine Organisation Systeme implementiert, die sicherstellen, dass Einzelpersonen die Compliance-Verpflichtungen des Unternehmens kennen und dass Unternehmen Nachweise über die Schritte und Prozesse erbringen können, die sie zur Sicherstellung der Compliance implementiert haben. Es müssen auch Verfahren vorhanden sein, damit Unternehmen Bereiche der Nichteinhaltung angehen und potenzielle Warnsignale und Beinahe-Unfälle protokollieren können, um sicherzustellen, dass diese behoben werden. Solche Prozesse werden sowohl Organisationen als auch Aufsichtsbehörden klar machen, ob der Compliance-Fehler auf die Compliance-Systeme der Organisation und mangelnde Kommunikation zurückzuführen war oder ob eine Einzelperson für vorsätzliche Fahrlässigkeit und die Missachtung von Anforderungen verantwortlich war.

Der AICD erklärt, dass Direktoren auf „Warnsignale“ achten müssen, die weitere Untersuchungen erfordern. Dazu gehören beispielsweise:

  • Mangelnde oder lückenhafte Berichterstattung oder mangelnde Offenheit des Managements gegenüber dem Vorstand in wichtigen Compliance-Angelegenheiten.
  • Kritische Berichte oder Rückmeldungen von Aufsichtsbehörden, die auf ein schlechtes Risikomanagement hindeuten.
  • Anhaltender Mangel an Investitionen in Schlüssel-Systeme und Risikobereiche.
  • Häufige oder zunehmende Ausnahmen von Richtlinien und Protokollen.
  • Eine Risikokategorie, die als hoch und/oder steigend eingestuft wird.
  • Ungelöste oder wiederkehrende interne Kontrollmängel in Bezug auf Compliance-Angelegenheiten.
  • Mangelnde Kommunikation oder Informationsaustausch über Funktions- und Geschäftsbereiche hinweg.
  • Mangelnde Nachweise oder dokumentierte Sorgfalt zur Unterstützung von Managementzusicherungen.
  • Hohes Vertrauen des Managements in die Wirksamkeit von Risikokontrollen ohne regelmäßige Überprüfung oder Verifizierung.
  • Zunehmende Kunden-/Lieferantenbeschwerden.
  • Umfassende Auslagerung von Dienstleistungen mit begrenzter Managementaufsicht oder -kontrolle.

*Quelle: AICD

Wie kann GRC-Software Unternehmen dabei unterstützen, Prozesse an die neue AICD-Praxiserklärung anzupassen?
GRC-Software (Governance, Risk und Compliance) kann eine entscheidende Rolle dabei spielen, Organisationen dabei zu helfen, ihre Prozesse an die neue AICD-Praxiserklärung anzupassen. Diese Systeme bieten sofort einsatzbereite Best-Practice-Frameworks, Vorlagen, Workflows und Formulare, um Unternehmen zu unterstützen bei:

  • Verständnis ihrer Compliance-Verpflichtungen.
  • Implementierung von Governance-Checks, Richtlinien und Verfahren zur Sicherstellung der Compliance.
  • Verfolgung von Compliance-Fehlern und Beinahe-Unfällen.
  • Risikomanagement.
  • Implementierung von Kontrollen.
  • Mitarbeitern die Möglichkeit geben, potenzielle Verstöße gegen gesetzliche Vorschriften und Beinahe-Unfälle zu melden.
  • Nutzung von Fallmanagement-Workflows zur Behebung von Compliance-Verstößen.

Hier erläutern wir, wie GRC-Software die Anpassung an die AICD-Praxiserklärung in mehreren Schlüsselbereichen unterstützen kann:

Verfolgung von Compliance-Verpflichtungen
Unternehmen können die GRC-Software nutzen, um eine digitale Verpflichtungsbibliothek aufzubauen. Jede anwendbare Vorschrift und die Anforderungen werden im System erfasst, und Kontrollen, Prozesse, Verfahren und Richtlinien werden implementiert, um die Einhaltung sicherzustellen. Für jede Verpflichtung und die zur Sicherstellung der Einhaltung implementierten Schritte wird die Verantwortung zugewiesen.

Automatisierte Workflows werden verwendet, um eine regelmäßige Compliance-Überwachung und -Prüfungen zur Überwachung des Compliance-Status einzurichten, und Incident-Management-Workflows werden verwendet, um Warnsignale, Compliance-Lücken oder Beinahe-Unfälle zu eskalieren, damit sie behoben werden können.

Diese vollständige Transparenz darüber, welche Verpflichtungen bestehen und was das Unternehmen zur Einhaltung implementiert hat, dient als Audit-Trail, um die Einhaltung nachzuweisen und die Rechenschaftspflicht für Bereiche der Nichteinhaltung hervorzuheben.

Risikomanagement
Ein Best-Practice-Risikomanagementprogramm ist eine hervorragende Möglichkeit, einige der in der AICD-Praxiserklärung dargelegten Anforderungen zu erfüllen. GRC-Software bietet sofort einsatzbereite Best-Practice-Frameworks, Vorlagen, Workflows und Formulare zur Implementierung eines Best-Practice-Risikomanagementprogramms. Unternehmen können ein Risikoregister erstellen, das alle Arten von Risiken umfasst, von operativen und Unternehmensrisiken bis hin zu Compliance- und Cyberrisiken. Für jedes Risiko können wichtige Risikoindikatoren festgelegt werden, und die Risikostufen werden durch regelmäßige Risikobewertungen oder durch die Verknüpfung der Plattform mit anderen Systemen und Datenquellen überwacht. Workflows werden verwendet, um den „Risikobewertungsprozess“ vollständig zu automatisieren; Mitarbeiter erhalten einfach eine automatisierte E-Mail und füllen ein Online-Formular aus, und alle eingegebenen Daten fließen direkt in die Plattform ein.

Bei hohen Risikostufen alarmiert das System die relevanten Parteien, und Fallmanagement-Workflows ermöglichen es Unternehmen, das Risiko zu eskalieren und vollständig zu dokumentieren, wann und wie es gelöst wurde. Eine angemessene Überwachung des Compliance-Risikos auf allen Ebenen des Unternehmens unterstützt Unternehmen dabei, sich an die AICD-Praxiserklärung anzupassen. Mithilfe von GRC-Software können Direktoren leicht Einblick in Compliance- und Betriebsrisiken erhalten, was es ihnen ermöglicht, bei Bedarf einzugreifen.

Kontrollen und Kontrollüberwachung
Um Compliance zu erreichen und Risiken zu managen, muss ein Unternehmen eine Reihe von Kontrollen implementieren. Kontrollen können eine Richtlinie oder ein Verfahren sein, es kann eine regelmäßige Überprüfung oder Inspektion sein, es kann eine Schulung sein, es kann ein Stück Sicherheitsausrüstung sein. Was auch immer die Kontrolle ist, die Organisation muss regelmäßige Kontrollprüfungen und Kontrolltests durchführen, um die Wirksamkeit der Kontrollen sicherzustellen. GRC-Software erleichtert die Dokumentation des gesamten „Kontrollmanagementprozesses“. Die vollständige Dokumentation des Prozesses ermöglicht es Direktoren, Lücken und Kontrollfehler, die die Compliance gefährden könnten, leicht zu erkennen. Fallmanagement-Workflows werden auch verwendet, um Kontrolllücken zu eskalieren und Abhilfemaßnahmen zu dokumentieren. Dies ermöglicht die Sichtbarkeit von Kontrolllücken (und den betroffenen Compliance-Prozessen), wodurch verantwortliche Personen Maßnahmen ergreifen können und Direktoren über alle Probleme vollständig informiert werden.

Governance
GRC-Software unterstützt die Entwicklung robuster Governance-Frameworks, indem sie Rollen, Verantwortlichkeiten und Prozesse im Zusammenhang mit Compliance klar definiert. Dies stellt sicher, dass Direktoren und Management in ihrem Verständnis von Compliance-Verpflichtungen und Governance-Erwartungen übereinstimmen. Durch die Erleichterung der Kommunikation und Zusammenarbeit zwischen verschiedenen Abteilungen und die Formalisierung von Prozessen und Verfahren tragen GRC-Tools dazu bei, eine Compliance-Kultur im gesamten Unternehmen zu schaffen, wie vom AICD befürwortet.

Incident Management und Fallmanagement
GRC-Software optimiert die Incident-Reporting- und Fallmanagementprozesse und ermöglicht es Organisationen, Compliance-Vorfälle und -Verstöße schnell zu dokumentieren und zu beheben. Mitarbeiter aller Ebenen können einen „Vorfall“ protokollieren, dies kann ein Kontrollfehler, eine Compliance-Lücke, ein Richtlinienverstoß oder alles sein, was die Compliance gefährden könnte. Diese Funktionalität ermöglicht es Unternehmen, die Auswirkungen von Compliance-bezogenen Vorfällen zu bewerten, Korrekturmaßnahmen zu implementieren und ein Wiederauftreten zu verhindern, was für die Aufrechterhaltung der Compliance mit den Empfehlungen des AICD zur Bereitstellung von Transparenz in Bereichen der Nichteinhaltung, zur Eskalation von Compliance-Fehlern und zur Klärung der Verantwortlichkeiten unerlässlich ist.

Richtlinienmanagement
Effektive GRC-Software bietet Tools zur Erstellung, Verteilung und Verwaltung von Richtlinien im gesamten Unternehmen. Dies stellt sicher, dass alle Mitarbeiter ihre Pflichten und Verantwortlichkeiten kennen und gemäß den Unternehmensrichtlinien handeln. Durch die Pflege aktueller Richtlinien und die Verfolgung von Änderungen, Genehmigungen und Mitarbeiterbestätigungen können Organisationen eine Kultur der Compliance und Rechenschaftspflicht fördern, wie in der AICD-Praxiserklärung hervorgehoben. Wenn ein Mitarbeiter gegen eine Richtlinie verstößt, kann dies im System erfasst und die ergriffenen Maßnahmen vollständig dokumentiert werden.

Whistleblowing
Viele GRC-Plattformen bieten ein diskretes Online-Whistleblowing-Portal an. Dies bietet Mitarbeitern einen einfachen anonymen Weg, um vermutete Fälle von Fehlverhalten oder Nichteinhaltung zu melden. Automatisierte Workflows eskalieren Fälle an das zuständige Team und erleichtern das Fallmanagement, bis der Vorfall gelöst ist. Dies zeigt dem AICD, dass die Organisation proaktiv mit potenziellem Fehlverhalten umgeht, das die Compliance beeinträchtigen könnte, und schafft Klarheit darüber, wer verantwortlich war.

Audit-Management
Unternehmen werden in der Regel auf ihre Compliance-Verpflichtungen hin geprüft, entweder durch regelmäßige interne Audits oder geplante externe Audits durch die Aufsichtsbehörden selbst. GRC-Software kann Unternehmen auch dabei unterstützen, den Audit-Prozess zu formalisieren. Unternehmen können die Software nutzen, um ihre Audits zu planen und zu terminieren und die Ergebnisse über Online-Formulare zu erfassen, wodurch eine vollständige Übersicht über alle Audits und deren Ergebnisse entsteht. Fallmanagement-Workflows können auch verwendet werden, um Nichtkonformitäten zu eskalieren und zu beheben, wobei der gesamte Audit-Prozess dokumentiert wird. Ähnliche Audits können zur einfachen Einrichtung geklont werden. Die Tools erleichtern es Unternehmen, aus früheren Audit-Ergebnissen zu lernen und so eine kontinuierliche Verbesserung sicherzustellen. Die Dokumentation des gesamten Audit-Prozesses zeigt dem AICD, dass Unternehmen Compliance ernst nehmen und Compliance-Fehler aktiv beheben.

Durch den Einsatz von GRC-Software zur Verwaltung dieser Schlüsselbereiche können Unternehmen ihre Prozesse effektiv an die neue AICD-Praxiserklärung anpassen und so sicherstellen, dass sie ihre gesetzlichen und regulatorischen Verpflichtungen erfüllen und gleichzeitig eine Kultur der Compliance und Governance fördern.

Fazit
Die Anpassung an die neue Praxiserklärung des AICD erfordert von Organisationen einen proaktiven und strukturierten Ansatz zur Compliance-Aufsicht. GRC-Software bietet die notwendigen Tools für Direktoren und ihre Unternehmen, um Einblick in Compliance-Verpflichtungen zu erhalten, Risiken zu managen und Kontrollen effektiv zu überwachen. Von der Verfolgung regulatorischer Anforderungen über die Vorfallmeldung, das Richtlinienmanagement bis hin zu regelmäßigen Audits ermöglichen GRC-Plattformen Unternehmen, eine Kultur der Rechenschaftspflicht und Compliance zu schaffen. Durch die Einführung dieser Technologien können Unternehmen nicht nur ihre gesetzlichen Verpflichtungen erfüllen, sondern auch ihre Governance-Frameworks verbessern und so langfristige Nachhaltigkeit und Vertrauen bei den Stakeholdern gewährleisten.

Wenn Sie mehr darüber erfahren möchten, wie GRC-Software Ihr Unternehmen dabei unterstützen kann, Prozesse an die neuen, vom AICD dargelegten Richtlinien anzupassen, fordern Sie eine Demo an.