F.: Was bedeutet Compliance in Bezug auf die Personalverwaltung sowie die Lohn- und Gehaltsabrechnung?
David Smiton (DS): Compliance bedeutet in erster Linie die Gewährleistung korrekter und pünktlicher HR- und Payroll-Dienstleistungen.
Die Aktualität der Daten zu gewährleisten, ist ein wichtiger Faktor für die Einhaltung der geltenden Datenschutzgesetze.
Für Personalabteilungen, in deren Unternehmen es täglich Neueinstellungen und Abgänge gibt, kann dies jedoch eine große Herausforderung sein. Hinzu kommt, dass aufgrund persönlicher Veränderungen von Mitarbeitern häufig Änderungen an den Personaldaten vorgenommen werden müssen.
Ganz zu schweigen von der Tatsache, dass internationale Unternehmen mit den unterschiedlichen Datenschutzgesetzen verschiedener Länder konfrontiert sind. Für Unternehmen ohne die richtige Unterstützung kann es schwierig werden, die geltenden Vorschriften einzuhalten.
F.: Was sind die wichtigsten Compliance-Probleme, die Sie bei unseren Kunden festgestellt haben?
Ewa Tworzydlo (ET): Unsere Kunden möchten die Compliance gewährleisten, indem sie in erster Linie sicherstellen, dass die Daten korrekt und sicher verarbeitet werden und mit der entsprechenden lokalen Gesetzgebung übereinstimmen.
Wir sehen uns als zusätzlichen Ansprechpartner für unsere Kunden. Wenn Unternehmen Änderungen an personenbezogenen Daten nicht bemerken, besteht nicht nur das Risiko, dass die Daten ungenau sind, sondern es kann auch zu einem rechtlichen Problem werden.
Viele Unternehmen sind sich jedoch mittlerweile bewusst, wie wichtig es ist, für korrekte und sichere Daten zu sorgen. Dies wurde zum Teil durch die Anforderungen der Datenschutzgrundverordnung (DSGVO) in Europa vorangetrieben. Zudem ist zu beobachten, dass immer mehr Unternehmen weltweit die Bestimmungen der DSGVO umsetzen, die als ein „Goldstandard” für Datengesetze angesehen wird.
Unternehmen, die geprüft werden, müssen die Sicherheit und Integrität der von ihnen verarbeiteten Daten nachweisen.
F.: Wie helfen SOC-Berichte (Service Organization Control) bei der Compliance?
DS: Mithilfe unserer Leistungen können unsere Kunden gewährleisten, dass ihre Daten sicher und korrekt bleiben und dass Berechtigte Zugriff auf sie haben. Für ihre eigenen Prüfzwecke verlangen viele Unternehmen SOC-Berichte (Service Organization Controls) als Nachweis für unabhängige Tests der Kontrollumgebung. Dies gibt unseren Kunden zusätzliche Sicherheit.
ET: Der 2002 in den USA eingeführte Sarbanes-Oxley Act verlangt von Unternehmen den Nachweis, dass unabhängige Wirtschaftsprüfer das interne Kontrollsystem überprüfen.
Das American Institute of Certified Public Accountants (AICPA) hat drei SOC-Berichtsoptionen entwickelt: SOC 1 analysiert Kontrollen, die für die Finanzberichterstattung relevant sind (in unserem Fall bezogen auf die Lohn- und Gehaltsabrechnung und die damit verbundenen IT-Kontrollen), SOC 2 befasst sich mit der Sicherheit und Verfügbarkeit der Systeme und SOC 3 ist eine Kurzversion des SOC 2-Berichts.
Immer mehr Unternehmen verlangen SOC 2-Berichte, denn sie benötigen detailliertere Informationen über Sicherheits- und Governance-Kontrollen, um Vertrauen in die Integrität und Sicherheit ihrer Lohn- und Gehaltsabrechnung haben zu können.
Wir stellen Auditberichte für SOC 1 und SOC 2 vom Typ 2 für einen Zeitraum von 9 Monaten zur Verfügung. In naher Zukunft werden wir eine Erweiterung auf 12 Monate vornehmen.
F.: Welche Auswirkungen hat COVID-19 auf die Compliance von Unternehmen?
DS: Seit der Corona-Pandemie ist die Compliance zu einer noch komplizierteren Aufgabe geworden. Da die Länder unterschiedliche Regelungen für Kurzarbeit einführen, stieg seit März 2020 die Zahl der Änderungen für die Lohn- und Gehaltsabrechnung um 90 %.
Diese Vielzahl von Änderungen kann Lohnbuchhaltern, die ihre Lohn- und Gehaltsabrechnung intern durchführen müssen, erhebliche Kopfschmerzen bereiten.
Daher suchen Unternehmen zunehmend nach Unterstützung bei der Verwaltung dieser immer komplexer werdenden Umgebung.
F.: Wie können Unternehmen das Risiko fehlender Compliance reduzieren?
ET: Viele Unternehmen sind sich der Compliance-Risiken sehr wohl bewusst. Das gilt vor allem seit der Einführung der DSGVO in Europa. Diese Datenschutzgrundverordnung verpflichtet Unternehmen dazu, ihre Daten sicher und konform zu gestalten.
Immer mehr Länder führen demnächst ihre eigene Versionen der DSGVO ein oder haben dies bereits getan, wie zum Beispiel Brasilien, Thailand, Chile oder in den USA mit dem California Consumer Privacy Act (CCPA). Jedes dieser Länder ist dem Beispiel der EU gefolgt und hat eigene, der DSGVO ähnelnde Datenschutzgesetze eingeführt.
Unternehmen müssen sich an diese regionalen sowie an lokale Bestimmungen halten. Intern kann das für Unternehmen, die in einer Reihe von Ländern tätig sind, schwierig werden. Wir raten Unternehmen daher, diesen Prozess auszulagern, um das Risiko fehlender Compliance zu reduzieren.
DS: Die EU-Verordnungen haben den Datenschutz zwar prinzipiell vereinheitlicht, doch in den Ländern gibt es immer noch Unterschiede. Obwohl es scheint, dass Gesetze wie die DSGVO Unternehmen bei der Compliance unterstützen, gibt es immer noch einzigartige Unterschiede in den Ländern, die beachtet werden müssen.
Ein Paradebeispiel dafür ist der Brexit.
Die britische Regierung hat angekündigt, die DSGVO für das Vereinigte Königreich in einer britischen Variante als Gesetz einführen zu wollen. In Zukunft kann es weitere Entwicklungen geben.
F.: Welche Konsequenzen gibt es für Unternehmen, die die Bedeutung der Compliance unterschätzen?
ET: Es gibt weitreichende Konsequenzen, oft finanzieller Natur. Verstößt ein Unternehmen gegen die DSGVO, kann es mit einer Geldstrafe von bis zu 4 % des weltweiten Umsatzes belegt werden. Das allein ist eine große Motivation für Unternehmen, ihre Datenrichtlinien und die Datensicherheit zu optimieren.
Wir können Alarm schlagen, wenn wir sehen, dass ein Unternehmen Gefahr läuft, die Compliance nicht zu erfüllen. So können Maßnahmen ergriffen werden, bevor das Problem größer wird.
DS: Eine weitere Konsequenz ist der Verlust des guten Rufs. Wird bekannt, dass ein Unternehmen Vorschriften nicht erfüllt und/oder gegen die DSGVO verstößt, kann sich dies massiv auf den guten Ruf der Marke auswirken.
Eine Reihe von Unternehmen hat unter Datenschutzverletzungen gelitten. Ihr Ruf für die Sicherung von Daten wurde dadurch beeinträchtigt. Die Verbraucher sind sehr vorsichtig, wenn es um die Weitergabe ihrer Daten an Unternehmen geht, die einen schlechten Ruf im Umgang mit ihren Daten haben.
Es handelt sich dabei nicht nur um eine finanzielle Auswirkung aus einer reinen Kostenperspektive.
F.: Die abschließende Frage lautet: Wie unterstützen wir unsere Kunden über die Compliance in der Lohn- und Gehaltsabrechnung hinaus auch bei IT-Risiken, die ihre IT-Abteilungen zur Sprache gebracht haben?
ET: Die Implementierung eines neuen Systems birgt immer Risiken. Verträge mit unseren Kunden enthalten in der Regel eine detaillierte Beschreibung der erforderlichen Sicherheitsmaßnahmen. Es wird erwartet, dass diese Maßnahmen in jedes neue System eingeführt werden.
Für die meisten unserer Kunden müssen wir SOC-1-Berichte erstellen. Sie enthalten die Ansicht des Wirtschaftsprüfers sowie Angaben über die Wirksamkeit der Kontrollen, die auch für eine große Bandbreite allgemeiner IT-Kontrollen bereitgestellt werden.
Die Lohn- und Gehaltsabrechnung oder die Dateneingabe sind Beispiele für Kontrollbereiche. Wir haben aber auch vier verschiedene, auf die IT bezogene Kontrollziele. Diese lauten: Zugriffsverwaltung, Change-Management, Datensicherung und Datenreplikation (einschließlich physischer Sicherheit). Alle diese Punkte sind alle auf hohem Niveau in den Kundenverträgen enthalten. Auf Wunsch können wir intensiver mit der IT-Abteilung des Kunden zusammenarbeiten.
Zuletzt prüft unser Sicherheitsteam jeden neuen Vertrag. Es findet heraus, ob zusätzliche Sicherheitskontrollen erforderlich sind oder ob wir die Sicherheitsanforderungen des Kunden bereits mit den bestehenden Sicherheitsmaßnahmen erfüllen.
Australia