Nutzung der Compliance-Prüfung
Grundsätzliche Funktionsweise
Mithilfe des Compliance-Moduls kann überprüft werden, ob die im CRM vorhandenen Geschäfts- und Ansprechpartner auf PEP-Listen, Sanktionslisten oder Watch-/Blacklists aufgeführt sind und damit eine Geschäftsbeziehung mit den betroffenen Kontakten ein Risiko für das eigene Unternehmen darstellt.
Bei der Prüfung von juristischen Personen ist das abgleichende Kriterium der Name der Organisation. Natürliche Personen werden auf ihren Vor- und Nachnamen geprüft, in Kombination mit dem Geburtsdatum (wenn vorhanden). Weitere Kriterien (wie z.B. Unternehmenssitz oder Geburtsort) werden bei der automatischen Prüfung nicht herangezogen. Gleichzeitig werden alternative Schreibweisen (z.B. Namen mit Sonderzeichen) und / oder Aliase berücksichtigt.
Die unten beschriebene Nutzung des Compliance-Moduls setzt eine ordnungsgemäße Konfiguration der mitgelieferten Prozesse und globalen Variablen voraus.
Auslösen der Compliance-Prüfung
Die Compliance-Prüfung von Geschäfts- und Ansprechpartner kann mehrere Auslöser haben und sowohl automatisiert als auch manuell durchgeführt werden.
Compliance-Prüfung bei der Neuanlage von Geschäfts- und Ansprechpartnern
Eine Compliance-Prüfung wird automatisch nach der Neuanlage von Geschäfts- und Ansprechpartnern durchgeführt. Ausgelöst wird die Prüfung durch das Speichern der Informationen, die in der Schnellerfassungsmaske bei der Neuanlage eingegeben wurden.
Die Compliance-Prüfung setzt dabei das Vorhandensein gewisser Informationen voraus, um eine sinnhafte Prüfung durchführen zu können. Zu notwendigen Informationen gehören:
Firma bei juristische Personen (ist bereits im Standard ein Pflichtfeld)
Nachname und Vorname bei natürlichen Personen (lediglich Nachname ist im Standard ein Pflichtfeld)
Bei der Prüfung von natürlichen Personen ist es empfehlenswert, auch das Geburtsdatum - wenn möglich - einzutragen, damit dieses bei der Compliance-Prüfung abgeglichen werden kann. Dies hilft dabei, die Qualität der Prüfungsergebnisse deutlich zu steigern, da eine Identifizierung von Personen mit gängigen Namen damit verbessert wird.
Sind die notwendigen Informationen nicht vorhanden (z.B. ein Ansprechpartner wird nur mit einem Nachnamen angelegt), wird keine Compliance-Prüfung durchgeführt. Der betreffende Ansprechpartner bekommt in diesem Fall den Compliance-Status “Ungeprüft”.
Compliance-Prüfungen bei Änderungen von bestimmten Werten
Bei der Änderung von Stammdaten an bestehenden Geschäfts- oder Ansprechpartnern wird eine (erstmalige oder erneute) Compliance-Prüfung empfohlen. Dazu zählen folgende Wertänderungen:
Hinzufügen von Informationen wie Vorname oder Geburtsdatum einer natürlichen Person
Hinzufügen von Zusatz 1 oder Zusatz 2 einer juristischen Person
Änderung von Nachname, Vorname oder Geburtsdatum einer natürlichen Person
Änderung von Firma, Zusatz 1 oder Zusatz 2 einer juristischen Person
Wird eine solche Änderung durch den Anwender vorgenommen (z.B. die Korrektur eines Tippfehlers im Nachnamen eines Ansprechpartners oder eine Eheschließung mit Namensänderung) und der Anwender hat Rechte zur manuellen Prüfung, erscheint nach dem Speichern eine Hinweismeldung, dass eine erneute Compliance-Prüfung empfohlen wird.
Hat der Anwender keine Rechte, um die Prüfung selbst durchzuführen, erhalten die der Compliance-Gruppe zugeordneten Anwender eine Mitteilung im Benachrichtigungssystem des CRMs. Diese können über die Nachricht in den jeweiligen Datensatz springen und die manuelle Compliance-Prüfung durchführen.
Manuelle Compliance-Prüfung
Eine Compliance-Prüfung kann auch unabhängig der im Standard definierten Auslöser manuell durch den Anwender angestoßen werden.
Hierfür gibt es in der Aktionsbox des Geschäfts- und Ansprechpartners einen Ordner "Compliance-Prüfung", der den Prozess "Compliance-Prüfung starten" enthält. Vor der Ausführung der Prüfung erfolgt eine Abfrage an den Anwender, ob eine manuelle Compliance-Prüfung tatsächlich durchgeführt werden soll, um eine versehentliche Abfrage zu verhindern. Wird die Abfrage mit “Ja” bestätigt, erfolgt die Prüfung im Hintergrund. Wird sie verneint, wird naturgemäß keine Prüfung durchgeführt.
Die Berechtigung zur Durchführung einer manuellen Compliance-Prüfung kann eingeschränkt werden.
Compliance-Prüfungen in einem regelmäßigem Zeitintervall
Um ungeprüfte Geschäfts- und Ansprechpartner nicht manuell prüfen zu müssen oder Prüfungen nach einem festgelegten Zeitraum zu wiederholen, können diese in einem regelmäßigen Zeitintervall im Hintergrund durchgeführt werden. Welche Geschäfts- und Ansprechpartner dabei geprüft werden sollen, kann über eine Suche gezielt definiert werden. Wann und wie oft diese Prüfung erfolgt, wird mithilfe eines Timers festgelegt, der hierfür eingerichtet werden muss (siehe → Einrichtung der Compliance-Prüfungen in einem regelmäßigem Zeitintervall).
Durchführung der automatisierten Compliance-Prüfung
Der Compliance-Service gleicht nach dem Auslösen des Prüfungsprozesses im Hintergrund die eingegebenen Suchkriterien mit Einträgen auf den zu prüfenden Listen ab.
Das Compliance-Modul kann grundsätzlich alle durch den Compliance-Service verfügbaren Listen weltweit abprüfen. Welche Listen tatsächlich geprüft werden, ist abhängig von der individuellen Vereinbarung mit dem Dienstgeber. Es ist möglich, die Prüfung auf die relevante(n) Liste(n) zu beschränken.
Die Compliance-Prüfung ist im Standard so eingestellt, dass nach exakten Treffern gesucht wird, um eine möglichst hohe Qualität der Suchergebnisse zu erreichen. Dies bedeutet, dass z.B. bei der Eingabe von “Maria Müller” keine “Marie Möller” gefunden wird.
Ergebnis der automatisierten Compliance-Prüfung
Das Ergebnis der automatisierten Prüfung wird als Protokoll-Aktivität bei dem betreffenden Geschäfts- bzw. Ansprechpartner hinterlegt. Diese Aktivität enthält Informationen zu dem Prüfungsergebnis, d.h. die Anzahl der Treffer und die grundsätzlichen Informationen zu den gefundenen Treffern. Die Detailinformationen werden aus Übersichtlichkeitsgründen an dieser Stelle nicht gespeichert.
Fall A: Es wurden keine Treffer gefunden
Im Best Case wurden bei der Compliance-Prüfung keine Treffer gefunden. Der Compliance-Status des Geschäfts- oder Ansprechpartners wird automatisch auf “In Ordnung” gesetzt und die Prüfung ist damit abgeschlossen.
Ein Geschäftspartner, dessen Compliance-Status in Ordnung ist.
Fall B: Es wurden Treffer gefunden
Es kann vorkommen, dass im Rahmen der automatisierten Compliance-Prüfung Treffer zu den eingegebenen Suchkriterien gefunden werden. Beispielsweise ist die Wahrscheinlichkeit, bei gängigen Vor- und Nachnamen Treffer zu erhalten, naturgemäß höher als bei seltenen Namen.
Werden Treffer gefunden, wird dies in der Protokoll-Aktivität ersichtlich und der Compliance-Status des Geschäfts- oder Ansprechpartners wird auf “In Prüfung” gesetzt. Zusätzlich wird im CRM ein Vorgang angelegt und an die zuständige Compliance-Gruppe delegiert. Im nächsten Schritt muss eine manuelle Nachprüfung der gefundenen Treffer erfolgen, um zweifelsfrei festzustellen, ob es sich bei den gefundenen Treffern tatsächlich um den eigenen Geschäftskontakt handelt.
Ein Geschäftspartner, bei dem in erster Instanz Compliance-Treffer gefunden worden sind.
Dies ist unabhängig davon, ob die Prüfung bei der Neuanlage, manuell durch den Anwender oder von einem Timer angestoßen wurde.
Nachprüfung der Treffer
Um zweifelsfrei festzustellen, ob es sich bei den gefundenen Treffern tatsächlich um den geprüften Geschäfts- oder Ansprechpartner handelt, müssen die Treffer durch den oder die Compliance-Verantwortlichen nachgeprüft werden.
Bearbeitung des Vorgangs
Diese Nachprüfung erfolgt innerhalb eines Vorgangs, der automatisch angelegt wird, sobald mindestens ein Treffer bei der Prüfung durch den Compliance-Service gefunden wird. Die Anwender in der Compliance-Gruppe erhalten bei der Anlage des Vorgangs eine Benachrichtigung im CRM.
Im Vorgang kann die Compliance-Gruppe sehen, um welchen Geschäfts- oder Ansprechpartner es sich handelt, da dieser automatisch mit dem Vorgang verknüpft wurde. Außerdem ist das Prüfungsprotokoll hinterlegt, sodass nachvollziehbar ist, welche Treffer zur Nachprüfung geführt haben.
Ein automatisch angelegter Compliance-Vorgang zur manuellen Nachprüfung.
Der Anwender der Compliance-Gruppe kann sich den jeweiligen Vorgang zuweisen, in dem er sich in das “Delegiert an”-Feld einträgt (und den Vorgang speichert). Der Vorgangsstatus wird damit automatisch auf “In Bearbeitung” gesetzt und andere Anwender können sehen, dass dieser Vorgang von einem Teammitglied abgearbeitet wird.
Detailprüfung im Compliance-Service
Details zu den gefundenen Treffern sind aktuell nur über die Oberfläche des Compliance-Services ersichtlich. Hierfür springt der Anwender mit einem Klick auf “Detailprüfung durchführen” in die Oberfläche ab. Dort können die Suchergebnisse angezeigt und Details aufgerufen werden.
Dabei wird wie folgt vorgegangen:
Erneute Ausführung der Suche zur Anzeige der Suchergebnisse
Mithilfe der Suchkriterien, die im Aktivitäten-Protokoll ersichtlich sind, kann die Suche in der Oberfläche erneut ausgeführt werden
Eingabe der “Referenznummer” (sichtbar im Aktivitätenprotokoll als “reference” unter den Suchkriterien)
Firmenname im Falle eines Unternehmens oder Nachname der Person als “Nachname / Begriffe”
Vorname im Falle einer Person
Geburtsdatum im Falle einer Person (falls vorhanden)
Die Suchergebnisse werden daraufhin angezeigt und die Details können eingeblendet werden.
Prüfung der Suchergebnisse
Mithilfe der Details können die Listeneinträge mit den Informationen, die zum Geschäfts- bzw. Ansprechpartner vorliegen, abgeglichen werden.
Beispielhaftes Suchergebnis der Compliance-Prüfung
In der Praxis müssen in diesem Schritt häufig weitere Informationen eingeholt werden, um beispielsweise Adressen, Geburtsdatum und -ort oder Verwandtschaftsverhältnisse zu klären. Jeglicher Informationsaustausch (E-Mails etc.) sollten im CRM-Vorgang hinterlegt werden, um dies später nachvollziehen zu können.
Relevanz / Übereinstimmung festlegen
Nach erfolgter Prüfung sollten bzw. können folgende Informationen pro Treffer festgehalten werden:
Übereinstimmung (ja/nein): Handelt es sich bei dem Listeneintrag tatsächlich um die Person, die in meinem CRM vorhanden ist und geprüft wurde?
Relevant (Haken): Ist der Listen-Treffer der relevant für das eigene Unternehmen?
Kommentar: Es bietet sich an, einen Kommentar zum jeweiligen Treffer zu hinterlegen, warum er (nicht) relevant bzw. übereinstimmend gekennzeichnet wurde
Kennzeichnungsmöglichkeit von Übereinstimmung & Relevanz mit Kommentar
Schließen der Oberfläche
Sobald die Treffer bearbeitet wurden, kann die Oberfläche des Compliance-Service wieder geschlossen werden.
Die Detailprüfung soll in einer fortgeschrittenen Version des Compliance-Moduls ins CRM überführt werden. Hierfür ist die neue Version der Schufa-Compliance-Schnittstelle notwendig, die voraussichtlich im Laufe des Jahres 2024 freigegeben wird.
Abschluss des Prüfungsvorgangs
Konnte der Anwender mithilfe der eingeholten Informationen feststellen, ob es sich tatsächlich um eine Organisation oder eine Person auf einer Sanktionsliste handelt, kann er auch im CRM den Prüfungsvorgang abschließen. Hierfür sollte der in der Aktionsbox vorhandene Prozess “Vorgang abschließen” genutzt werden. Darin kann der Anwender den Compliance-Status festlegen und das Prüfungsergebnis zusammengefasst protokollieren.
Der Vorgangsabschluss der manuellen Compliance-Prüfung
Das Ergebnis wird sowohl im Vorgang als beim betreffenden Geschäfts- bzw. Ansprechpartner als Protokollaktivität hinterlegt. Auch der Compliance-Status wird entsprechend von “In Prüfung” auf “In Ordnung” oder “Kritisch” aktualisiert (je nach Prüfungsergebnis).
Compliance-kritische Geschäfts- oder Ansprechpartner
Handelt es sich um eine Compliance-kritische Person oder Organisation, wird dies neben dem entsprechenden Setzen des Compliance-Status entsprechend visualisiert, damit andere Anwender sofort gewarnt sind.
Auf dem Geschäfts- bzw. Ansprechpartnerdatensatz wird ein roter Hinweis neben der Datenqualität angezeigt. Weiterhin weist ein auffälliges Absperrband visuell auf den Sachverhalt hin.
Visuelle Hinweise zum kritischen Compliance-Status bei einem Geschäftspartner-Datensatz
In Listen wird der entsprechende Datensatz mit einem besondere Entitäts-Icon sowie einer Schraffierung der entsprechenden Zeile hin. Die Farbgebung kann sich durch eventuell vorhandene Einstellungen der Zellen- oder Zeilenfarbe leicht unterscheiden.
Visuelle Hinweise zum kritischen Compliance-Status bei einem Geschäftspartner als Suchtreffer
Nicht zuletzt wird auch in Nachschlagefeldern auf den Compliance-Status des Geschäfts- oder Ansprechpartners hingewiesen. So kann beispielsweise auch auf Angebots- oder Projektdatensätzen direkt gesehen werden, dass es sich um eine Organisation oder Person handelt, die einen kritischen Status hat.
Einschränkungen in den verfügbaren Aktionen (z.B. Angebotsanlage) sind im Standard nicht vorgesehen und müssen je nach Unternehmens-Policy individuell umgesetzt werden.
Wiederholte Prüfung
Über die manuelle Prüfung oder eine Prüfung in regelmäßigen Zeitintervallen per Timer kann der Compliance-Status von Geschäfts- oder Ansprechpartnern jederzeit aktualisiert werden. Fällt die Prüfung ohne Treffer aus, wird der Status des Geschäfts- oder Ansprechpartners auf “In Ordnung” gesetzt (sofern er es vorher nicht bereits war). Werden jedoch Treffer gefunden, bleibt der bisher gültige Status bestehen, solange kein finales Ergebnis da ist. Es wird in diesem Fall nicht auf “In Prüfung” gewechselt.
Beispiel zur besseren Nachvollziehbarkeit:
Ein Geschäftspartner gilt als “Compliance-kritisch” und ist dementsprechend gekennzeichnet. Über die manuelle Nachprüfung erfolgt eine Abfrage aktualisierter Informationen.
Fall A: Werden nun keine Treffer gefunden (weil z.B. ein vormals sanktioniertes Land nun wieder freigegeben wurde), wird der Compliance-Status auf “In Ordnung” gesetzt und die Prüfung entsprechend dokumentiert.
Fall B: Werden auch bei der erneuten Prüfung Treffer gefunden, bleibt der Compliance-Status auf “Kritisch”. Innerhalb der Nachprüfung können die Treffer erneut überprüft werden und entschieden werden, ob der Status auf “In Ordnung” geändert werden kann oder auf “Kritisch” stehen bleiben muss.