Was ist ein Compliance-Audit?

Ein Compliance-Audit ist eine unparteiische Überprüfung der Aktivitäten und Aufzeichnungen einer Organisation, um die Einhaltung interner und externer Richtlinien, Standards und Vorschriften zu überprüfen. Sie kann Bereiche wie Cybersicherheit, Datenschutz, Finanzberichterstattung sowie Gesundheit und Sicherheit abdecken.

Compliance Audits werden häufig als Teil des Compliance Management Systems eines Unternehmens durchgeführt. Ein Compliance Management System oder CMS ist ein integriertes System, das zur Erfüllung regulatorischer Anforderungen, interner Richtlinien und Branchenstandards verwendet wird.

Zusätzlich zu den regelmäßigen Compliance-Audits kann ein effektives CMS auch einen Vorstand umfassen, der sich auf die Schaffung einer Compliance-Kultur im Unternehmen konzentriert, einen Chief Compliance Officer oder Manager, der Compliance-Richtlinien und -Verfahren einführt oder umsetzt, sowie ein Compliance-Monitoring, das die Überwachung von Abläufen zur Identifizierung von Bereichen der Nichteinhaltung beinhaltet.

Die Praxis des Auditings fasste während der ersten industriellen Revolution in der Gesellschaft Fuß, als sich Unternehmen entwickelten und Investoren durch die Prüfung von Finanzunterlagen die Sicherheit ihrer finanziellen Stabilität sicherstellen wollten. Mitte des 19. Jahrhunderts wurde in Großbritannien ein Gesetz erlassen, das Audits von Unternehmen vorschrieb und damit die Entwicklung von Compliance-Vorschriften einleitete, die bis heute Bestand haben.¹

Die heutigen Compliance-Anforderungen gehen über die Prüfung von Jahresabschlüssen hinaus und umfassen eine Vielzahl von Bereichen, wie z. B. den Schutz sensibler Informationen oder die Einhaltung von Umweltvorschriften.

Um die Bedeutung von Compliance-Audits zu verstehen, ist es hilfreich, zunächst die aktuelle Compliance-Landschaft zu betrachten.

Auf der ganzen Welt setzen Regierungen und Branchenverbände eine große und vielfältige Palette von Compliance-Anforderungen zum Nutzen von Verbrauchern, Arbeitnehmern, Investoren und anderen Interessengruppen durch. Ein Verstoß gegen diese Anforderungen kann zu massiven Strafen, Sanktionen und Reputationsschäden führen.

So können Unternehmen, denen ein schwerer Verstoß gegen die Datenschutz-Grundverordnung der Europäischen Union nachgewiesen wird, mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Compliance-Audits können Unternehmen helfen, ihre Geschäftsziele zu erreichen und gleichzeitig derart kostspielige Konsequenzen zu vermeiden. Unternehmen können feststellen, ob sie ihre eigenen Best Practices für das Risikomanagement einhalten. Sie können erkennen, ob die Gefahr einer Nichteinhaltung besteht, und aufdecken, wann Korrekturmaßnahmen erforderlich sind. Außerdem geben Audits den Stakeholdern die Gewissheit, dass das Unternehmen die Vorschriften einhält.

Der Begriff Ordnungsmäßigkeitsprüfung wird häufig speziell für externe Prüfungen verwendet, die von unabhängigen externen Prüfern durchgeführt werden. Aber auch interne Audits, die von einem internen Prüfer oder einem Audit-Team innerhalb des Unternehmens durchgeführt werden, können unter den Begriff Compliance-Audit fallen.

Interne Compliance-Prüfungen konzentrieren sich häufig auf die Einhaltung der eigenen Richtlinien und Verfahren sowie auf die Verbesserung der Effizienz von Geschäftsprozessen und Risikomanagementaktivitäten. Externe Audits hingegen werden oft zu dem Zweck durchgeführt, externen Stakeholdern die Gewissheit zu geben, dass ein Unternehmen externe Standards, wie z. B. staatliche Vorschriften, einhält.

In beiden Fällen sollte das Audit-Verfahren unparteiisch durchgeführt werden, damit die Ergebnisse (Feststellungen und Empfehlungen, die in einem Audit-Bericht zusammengefasst werden) den Organisationen und Compliance-Beauftragten helfen können, die Einhaltung der Vorschriften aufrechtzuerhalten und potenzielle Compliance-Risiken zu erkennen.

Mithilfe von Auditverfahren kann die Einhaltung von Compliance-Standards durch Unternehmen in verschiedenen Bereichen und Disziplinen bewertet werden. Dazu gehören:

• Cybersicherheit
• Datenschutz und -sicherheit
• Finanzberichterstattung und Sicherheit
• Environmental Social and Governance (Umwelt, Soziales und Governance, ESG)
• Gesundheit und Sicherheit

Durch Audits der Cybersicherheit von Unternehmen kann sichergestellt werden, dass diese über die richtigen Maßnahmen verfügen, um Cyberbedrohungen (von Phishing bis hin zu Malware) zu bewältigen und darauf zu reagieren.

Ein Standard, der häufig für Audits der Cybersicherheit verwendet wird, ist das US National Institute of Standards and Technology Cybersecurity Framework (NIST CSF). Dieser Standard enthält Leitlinien und Best Practices, die Organisationen des privaten Sektors befolgen können, um die Informationssicherheit und das Risikomanagement im Bereich der Cybersicherheit zu verbessern. Das Framework deckt eine Reihe von Cybersicherheitsmaßnahmen ab, darunter Risikobewertung, Identitätsmanagement, Zugriffskontrolle, Reaktionsplanung und Wiederherstellungsaktivitäten.

Ein weiterer wichtiger Standard, der die Grundlage für Audits der Cybersicherheit bildet, ist ISO/IEC 27001, auch bekannt als ISO 27001. Der globale Standard für Informationssicherheit, der gemeinsam von der Internationalen Organisation für Normung und der „International Electrotechnical Commission“ entwickelt wurde, ist eine Reihe von Anforderungen an Managementsysteme für die Informationssicherheit innerhalb eines Unternehmens. Er bietet Unternehmen einen Rahmen für die Verwaltung und den Schutz ihrer sensiblen Daten und anderer Informationen und verringert so das Risiko von Data Breaches, Cyberangriffen und anderen Sicherheitsvorfällen.

Darüber hinaus gibt es ein Cybersicherheits-Audit, das speziell für Serviceanbieter entwickelt wurde. SOC-Berichte (Service Organization Control) sind unabhängige Berichte Dritter, die von durch das American Institute of Certified Public Accountants (AICPA) zertifizierten Gutachtern erstellt werden. Sie befassen sich mit den Risiken, die mit einem extern vergebenen Service verbunden sind. Ein SOC-2-Bericht bewertet die internen Kontrollen, die eine Organisation zum Schutz der Kundendaten eingerichtet hat, und liefert Einzelheiten über die Art dieser internen Kontrollen.

Während Audits der Cybersicherheit in der Regel eine Prüfung der Datenschutzmaßnahmen eines Unternehmens beinhalten, konzentrieren sich Audits, die auf bestimmten Gesetzen und Vorschriften basieren, speziell auf diesen Bereich. Dazu gehören Prüfungen, die sich an Gesetzen zum Schutz von Verbraucherinformationen und zum Schutz von Gesundheitsdaten orientieren.

Zu den Gesetzen, die im Großen und Ganzen für Verbraucher gelten, gehören die Datenschutz-Grundverordnung (DSGVO) der EU und der California Consumer Privacy Act (CCPA). Um die DSGVO einzuhalten, müssen Unternehmen gesetzlich zugelassene Wege für die Übertragung und Verarbeitung personenbezogener Daten nutzen, personenbezogene Daten im Ruhezustand und bei der Übertragung schützen und die Rechte der in der EU ansässigen Personen hinsichtlich der Erhebung, der Nutzung und des Besitzes personenbezogener Daten respektieren, so wie es das Gesetz vorsieht.

Zur Einhaltung des CCPA müssen sich Unternehmen an Richtlinien halten, die mehrere Arten von personenbezogenen Daten von Einwohnern Kaliforniens abdecken, darunter Geburtsdatum, Führerscheinnummer, Reisepassnummer, Bankkontodaten und Kreditkarten- oder Debitkartennummern.

Eine der wichtigsten Arten von Compliance-Audits im Bereich des Datenschutzes im Gesundheitswesen ist das Audit des Health Insurance Portability and Accountability Act (HIPAA). Unternehmen, die unter dieses US-Gesetz fallen - darunter Gesundheitsdienstleister wie Ärzte und Krankenhäuser sowie Krankenversicherungen - und ihre angeschlossenen Geschäftspartner sind verpflichtet, eine Reihe von technischen, administrativen und physischen Kontrollen zum Schutz geschützter Gesundheitsinformationen einzuführen und zu unterhalten.

Durch Prüfungen der Jahresabschlüsse und Sicherheitskontrollen von Unternehmen kann deren Einhaltung von Gesetzen wie dem Sarbanes-Oxley Act (SOX) und Branchenregeln wie dem Payment Card Industry Data Security Standard (PCI DSS) bewertet werden.

Der SOX-Act ist ein US-Gesetz zur Verhinderung von Unternehmensbetrug. Es schreibt vor, dass börsennotierte Unternehmen interne Kontrollen einrichten, um Finanzdaten vor Manipulationen zu schützen, regelmäßig Berichte bei der Securities and Exchange Commission (SEC) einreichen, in denen die Wirksamkeit der Sicherheitskontrollen und die Richtigkeit der Finanzangaben bescheinigt werden, und eine jährliche unabhängige Prüfung ihrer Finanzabschlüsse und Kontrollen bestehen.

Der PCI DSS besteht aus einer Reihe von Sicherheitsanforderungen zum Schutz von Karteninhaberdaten – wie z. B. primäre Kontonummern (PANs), Namen, Ablaufdaten und Servicecodes – und anderen sensiblen Informationen während ihres gesamten Lebenszyklus.

Die Einhaltung des PCI DSS erfordert eine jährliche Berichterstattung durch Händler und Dienstleister sowie eine zusätzliche Berichterstattung nach wesentlichen Änderungen an der Umgebung der Karteninhaberdaten. Die Überprüfung der Einhaltung der Vorschriften umfasst auch eine kontinuierliche Bewertung des Sicherheitsstatus eines Unternehmens und die kontinuierliche Behebung von Sicherheitslücken in Richtlinien, Technologien oder Verfahren.

Prüfungen im Bereich Umwelt, Soziales und Unternehmensführung (Environmental, Social and Governance, ESG) können feststellen, ob Unternehmen die Gesetze und freiwilligen Rahmenregelungen in Bezug auf ökologische und soziale Auswirkungen einhalten. Dazu gehören die EU-Richtlinie über die Corporate Sustainability Reporting Directive (CSRD), die Vorschriften der US-Umweltschutzbehörde, die Global Reporting Initiative (GRI) und die Standards das Sustainability Accounting Standards Board (SASB).

Bei Sicherheitsaudits wird bewertet, ob Unternehmen die Regeln und Vorschriften zum Schutz der Gesundheit und Sicherheit von Arbeitnehmern einhalten. Zu den wichtigsten Standards gehören die ISO 45001, ein von der Internationalen Organisation für Normung entwickelter globaler Gesundheits- und Sicherheitsstandard, und in den USA die von der Occupational Safety and Health Administration (OSHA) festgelegten und durchgesetzten Vorschriften zur Sicherheit am Arbeitsplatz. 

Die Art eines Compliance-Audits kann je nach Art des Audits, des Compliance-Programms, der Organisation und der Branche variieren. Es gibt jedoch einige Schritte, die Prüfer bei der Prüfung der Einhaltung von Vorschriften üblicherweise durchführen. Dazu gehören:

Schritt 1: Planung des Audits

Bestimmen Sie den Umfang des Audits, seine Ziele und die erforderlichen Ressourcen. Eine Checkliste für Compliance-Audits, die den Prozess abbildet, kann sich als hilfreich erweisen.

Schritt 2: Überprüfung der Dokumente

Überprüfen Sie die Richtlinien und Verfahren des Unternehmens sowie alle anderen relevanten Dokumente, wie z. B. verschiedene Aufzeichnungen und Verträge.

Schritt 3: Durchführung zusätzlicher Recherchen

Befragen Sie Mitarbeiter und/oder Führungskräfte. Falls relevant, beobachten Sie die Abläufe und internen Prozesse.

Schritt 4: Erstellung eines Compliance-Auditberichts

Dokumentieren Sie Ergebnisse, Erkenntnisse und Empfehlungen für kontinuierliche Verbesserungen oder Korrekturmaßnahmen.

Schritt 5: Durchführung von Follow-ups

Überwachen Sie den Fortschritt bei der Umsetzung der empfohlenen Maßnahmen oder Aktionen.

Mithilfe von Softwarelösungen können Unternehmen die Einhaltung von Compliance-Anforderungen verfolgen und sich auf Compliance-Audits vorbereiten. Führende Lösungen bieten Funktionen wie: