5 Mythen über die Automatisierung im Regulatorik-Bereich

KAIT, IFRS 17, GxP, EU-DSGVO, ESG – je nach Branche gelten für Unternehmen zahlreiche regulatorische Anforderungen. Wenn Niederlassungen oder Geschäftspartner zudem im Ausland sitzen, kommen noch verschiedene nationale und internationale Vorgaben hinzu. Von den vielfältigen internen Compliance-Vorgaben ganz zu schweigen. Wer sich um die Einhaltung der Regelungen im Unternehmen kümmert, weiß, wie viel Aufwand die Nachweispflichten mit sich bringen: Neben umfangreichen Dokumentations- und Archivierungsauflagen kosten auch die konforme Gestaltung aller relevanten Prozesse und das Schulen von Mitarbeiter:innen viel Zeit. Wie schön wäre es, wenn sich solche Aufgaben automatisieren ließen! Das versprechen auch viele Beratungshäuser und Anbieter von Compliance Management-Software. In der Praxis gestaltet sich die Automatisierung von Prozessen dann aber oft herausfordernder als gedacht. Was ist tatsächlich möglich und wo gibt es Stolperfallen? Wir gehen fünf gängigen Mythen über die Automatisierung von Prozessen im Regulatorik-Bereich auf den Grund – und zeigen alternative Umsetzungsmöglichkeiten auf.

Mythos 1: Unsere Wirtschaftsprüfer:innen helfen beim Automatisieren regulatorischer Prozesse

Tatsächlich ist es ratsam, mit Expert:innen die regulatorischen Anforderungen zu ermitteln, die für das eigene Unternehmen gelten. Das können externe Wirtschaftsprüfer:innen sein oder auch Jurist:innen. Wenn es dann um die Umsetzung von automatisierten Prozessen geht, ist allerdings IT-Know-how gefragt. Die eigene Rechtsabteilung würde schließlich auch kein IT-Projekt alleine umsetzen. Professionelle Wirtschaftsprüfer:innen werden zudem in der Regel neben der Beratung keine Konzepte zur Umsetzung erstellen, um Interessenskonflikte zu vermeiden. Die Automatisierung der damit verbundenen Prozesse ist Aufgabe der IT bzw. externer IT-Consultants.

Mythos 2: Mit der richtigen Compliance-Software sind wir safe

Compliance-Softwarelösungen können in vielen Bereichen unterstützen – allerdings nur im Rahmen der Daten, die in diese Systeme gelangen. Für alle Informationen, die hier nicht berücksichtigt werden, bleiben Risiken bestehen. Ein Beispiel dafür sind personenbezogene Daten oder auch verschiedene Versionen von Verfahrensdokumentationen, die an unterschiedlichen Ablageorten aufbewahrt werden. Sollen z. B. Zugriffsrechte oder Löschfristen geregelt werden, kann schnell ein Teil der betreffenden Daten durchs Raster fallen. Und nur eine einzige nicht konform behandelte Information genügt für eine empfindliche Sanktion. Lösen lässt sich dies, indem ein Unternehmen alle Daten identifiziert, die für das Einhalten von Regulatorien relevant sind. Dabei kann eine KI-gestützte Klassifikation hilfreich sein. Sie erkennt u. a. vertrauliche und personenbezogene Daten und ordnet sie z. B. den dafür geltenden Aufbewahrungsfristen und Zugriffsrechten zu. Voraussetzung dafür sind entsprechend trainierte Machine Learning-Algorithmen, die Data Science- und ML-Spezialist:innen für das Unternehmen entwickeln.

Mythos 3: Durch Automatisierung werden Qualitätsmanagement und Controlling überflüssig

Diese Hoffnung oder Sorge – je nachdem wen man fragt – erübrigt sich. Automatisierte, KI-gestützte Prozesse helfen dabei, Prozesse gemäß regulatorischer Vorgaben einzuhalten, die richtigen Daten darin bereitzustellen, Berechtigungen und Lösch- und Aufbewahrungsfristen sicherer zu managen sowie Entscheidungen für Folgeschritte einfacher zu treffen. Sie ersetzen aber keine Menschen. Die Expertise von QM-Manager:innen und Controller:innen bleibt weiterhin gefragt, am Ende zählt ihre Entscheidung – ganz im Sinne der Leitlinien der Digitalen Ethik. KI und Automation unterstützen diese Mitarbeiter:innen allerdings enorm in ihrer Arbeit: Sie sorgen dafür, dass der manuelle Aufwand sinkt und Compliance-Vorgaben noch lückenloser eingehalten werden können.

Mythos 4: Mit Automation halten Mitarbeiter:innen regulatorische Vorgaben gerne ein

Seien wir ehrlich: Wirklich gerne möchte niemand regulatorische Anforderungen befolgen. Sie sind notwendig, keine Frage – aber eben oft mit viel Aufwand verbunden. Hier können automatisierte Prozesse Erleichterung bringen, z. B. indem sie Mitarbeiter:innen durch alle notwendigen Schritte lotsen, an Termine und Aufgaben erinnern sowie unbeabsichtigtes Verändern und Löschen von Informationen verhindern und all das durchgehend dokumentieren. Damit die Arbeitserleichterung wirklich eintritt, braucht es aber eine gute Usability. Schlanke Prozesse und intuitiv bedienbare Dialoge sind eine Möglichkeit, dies umzusetzen. Daneben sind Schulungen ratsam, durch welche Mitarbeiter:innen die Relevanz der verschiedenen Regularien und Maßnahmen nachvollziehen können. Transparenz schafft in diesem Fall meist mehr Akzeptanz als das bloße Einführen von technischen Lösungen.

Mythos 5. Out-of-the-Box-Tools reduzieren Aufwand und sparen Zeit

Fertige Lösungen installieren und nie mehr Compliance-Sorgen haben: Wenn das so einfach ginge, würde es weniger Meldungen von Datenschutzverstößen oder Ähnlichem in den Nachrichten geben. Die Realität sieht leider anders aus. Standardlösungen können sicher schon viele Funktionen mitbringen. Da die regulatorischen Anforderungen eines jeden Unternehmens aber unterschiedlich ausgeprägt sind, kommt man ohne Customizing nicht aus. Statt aufwändig und kostenintensiv nachzurüsten, lohnt es sich oft, eine direkt auf die eigenen Unternehmensanforderungen zugeschnittene Lösung aufzusetzen. Eine individuelle Beratung, Analyse und Konzeptentwicklung durch Consultants mit IT- und Cyber-Security-Expertise kann dabei hilfreich sein.

Wenn Sie das Einhalten von regulatorischen Vorgaben durch automatisierte Prozesse und Künstliche Intelligenz erleichtern möchten, begleiten wir Sie gerne und finden mit Ihnen die Lösungen, die zu Ihren Anforderungen passen. Kontaktieren Sie uns gerne für ein erstes unverbindliches Beratungsgespräch.