Was ist Compliance?
Es existiert kein spezielles Compliance-Gesetz. Mit „Compliance“ (deutsch: Regeltreue) ist die Einhaltung aller einschlägigen Vorschriften und Vorgaben gemeint, die sich auf den betroffenen Unternehmensbereich oder Prozess beziehen. Dies umfasst ein breites Spektrum an Gesetzen, Verordnungen, Obliegenheiten, berufs- und standesrechtlichen Vorschriften, Normen, Pflichten und Vereinbarungen bis hin zu allgemein anerkannten Best Practices.
Compliance ist kein Selbstzweck. Sie sichert Unternehmen und deren Mitarbeiter, Kunden und Geschäftspartner vor dem Missbrauch oder Verlust schutzwürdiger Daten. Sie wendet Vertrauensschäden und Reputationsverlust ab und vermeidet ernste juristische Nachteile und Konsequenzen, wie etwa Bußgelder oder Zwangsmaßnahmen.
Im Standard IDW PS 980, einem vom Institut der Wirtschaftsprüfer definierten Compliance-Standard, und in der Internationalen Norm ISO 19600 sind Compliance Management Systeme (CMS) genauer definiert.
Compliance-Risiken in der Eingangsrechnungsbearbeitung
Wenn eine Rechnung im Unternehmen eingeht, wird sie normalerweise geprüft, bezahlt, gebucht und abgelegt. In diesem Prozess verbergen sich jedoch etliche Compliance-Risiken.
- Wenn die Verantwortlichkeit für das Anlegen von Kreditoren sowie die Prüfung, Freigabe und Zahlung der Rechnung nicht streng getrennt wird, besteht die Gefahr von Veruntreuung. Es würde dann niemand merken, wenn jemand sich selbst oder einen Komplizen oder Avatar als Kreditor im System anlegt, fingierte Rechnungen einschmuggelt und Zahlungen auf sein eigenes Konto laufen lässt.
- Wenn Rechnungen in der Buchhaltung offen herumliegen und Publikumsverkehr herrscht, kann jeder die Rechnungsdetails sehen. Lieferanten, bezogene Waren und Leistungen, und vereinbarte Zahlungsbedingungen sind dann kein Geheimnis mehr. Peinlich ist es, wenn Außenstehende sehen, dass das Unternehmen eine Mahnung erhalten hat.
- Auch Mitarbeiter aus fremden Abteilungen dürfen keinen Einblick in diese sensiblen Daten bekommen.
- Je mehr Personen etwas wissen, umso größer die Gefahr von Datenlecks. Was könnten z. B. Wettbewerber, Banken, Kunden oder die Öffentlichkeit aus solchen Rechnungsdaten ablesen?
- Eine offene Unternehmenskultur ist gut für das Klima, aber schlecht für den Datenschutz. Nicht jeder sollte auf alle Daten zugreifen können.
- Manche kleinen und mittleren Unternehmen haben ihre IT-Landschaft nicht ausreichend gegen Hacker und Bedrohungen aus dem Netz abgesichert.
…und wie Software hilft, sie zu vermeiden
Manche Unternehmens-Software unterstützt ihre Anwender durch einen Workflow zur Bearbeitung von Eingangsrechnungen, der die Einhaltung von Compliance-Anforderungen erleichtert und sich an bewährten Best Practices orientiert.
Dazu gehören die Prüfung, Freigabe und Buchung der Rechnungen. Für diese drei Schritte sollten unterschiedliche Personen zuständig sein (Vier-Augen-Prinzip). Alle Bearbeitungsschritte müssen lückenlos dokumentiert und nachvollziehbar sein. Der Zugang zu den schutzwürdigen Informationen im Abrechnungs- und Buchhaltungssystem muss streng geregelt und auf die jeweils Verantwortlichen beschränkt sein.
In der Unternehmenssoftware von Scopevisio wird der Prozess folgendermaßen abgebildet:
- Rechnungen werden unmittelbar nach Eingang digitalisiert. Dadurch liegen sie nicht länger auf dem Schreibtisch für jeden sichtbar herum.
- Digitale Rechnungen werden auch digital weiterverarbeitet, um einen durchgängigen, nachvollziehbaren Workflow zu gewährleisten und Fehler zu minimieren.
- Berechtigungseinstellungen in der Software garantieren dafür, dass nur befugtes Personal Einsicht in die Rechnung bekommt.
- Die Bearbeitungsschritte Einscannen, Prüfen, Freizeichnen und Buchen sowie das Anlegen von Kreditoren sind klar nach Verantwortlichkeiten getrennt.
- Ein Schritt folgt logisch auf den anderen und nach jeder Aktion springt die Verantwortlichkeit auf den nächsten Bearbeiter in der Kette über.
- Sowohl bei der Prüfung als auch bei der Freigabe und Buchung der Rechnung haben die Bearbeiter die Möglichkeit, die Rechnung zurückzuweisen, die Zahlung zu sperren, die Verarbeitung anzuhalten usw.
- Gleichzeitig hat jeder Bearbeiter die Möglichkeit, die Rechnung mit einem Kommentar zu versehen, z. B. mit einer Anweisung oder Erklärung für die Buchhaltung.
- Jeder dieser Schritte, Vermerke und Kommentare wird im System lückenlos dokumentiert, z. B. mit einem elektronisch vergebenen Bearbeitungsstempel und mit Angabe des Verantwortlichen.
- Die Rechnung wird versioniert in der Software gespeichert und mit einem Bearbeitungsprotokoll ergänzt, damit einfach überprüft werden kann, was mit der Rechnung geschehen ist.
- Das Hosting der Software erfolgt auf deutschen Hochsicherheits-Rechenzentren und die Datenübertragung ist stets verschlüsselt. Das garantiert ein Sicherheitsniveau, mit dem die IT in kleinen und mittelständischen Unternehmen meist nicht mithalten kann.