14.01.2015 – Kategorie: Hardware & IT
Produktmeldung: Mitarbeiter-Screening – eine Existenzfrage für Unternehmen
Als Reaktion auf die Terroranschläge vom 11. September 2001 haben unter anderem die EU und die USA Listen mit verdächtigen Personen und Organisationen erstellt, mit denen Unternehmen keine Geschäftskontakte unterhalten dürfen. In Europa sollen beispielsweise die Verordnungen 2580/2001 und 881/2002 dafür sorgen, dass der internationale Terrorismus keine finanzielle Unterstützung erhält.
Als Reaktion auf die Terroranschläge vom 11. September 2001 haben unter anderem die EU und die USA Listen mit verdächtigen Personen und Organisationen erstellt, mit denen Unternehmen keine Geschäftskontakte unterhalten dürfen. In Europa sollen beispielsweise die Verordnungen 2580/2001 und 881/2002 dafür sorgen, dass der internationale Terrorismus keine finanzielle Unterstützung erhält.
Die Namenslisten als Anlagen zu den beiden Verordnungen werden regelmäßig – oft mehrmals die Woche – aktualisiert. Um den Status eines „Authorized Economic Operator“ (AEO) – auch „Zugelassener Wirtschaftsbeteiligter“ (ZWB) genannt – zu erlangen, wird von den Unternehmen verlangt, eine elektronische Überprüfung von Kunden, Lieferanten, Dienstleistern, Besuchern und Personal durchzuführen und zu dokumentieren.
Bei Verstößen droht der Ruin
Für die Unternehmen bedeutet das: Schon bei der Einstellung eines neuen Mitarbeiters müssen sie im Vorfeld überprüfen, ob diese Person auf einer der internationalen Sanktionslisten steht. Außerdem müssen sie ihre Mitarbeiter auch regelmäßig untersuchen – so wie es Daimler mittlerweile tut. Unterlässt ein Unternehmen diese Prüfung und zahlt einem Terrorverdächtigen Lohn oder Gehalt aus, drohen hohe Haftstrafen oder der Einzug des Vermögens. „Darüber hinaus laufen die Betroffenen Gefahr, selbst auf eine der Sanktionslisten gesetzt zu werden“, erklärt Falko Richter vom Berliner SAP-Spezialisten Mercoline. „Das bedeutet in der Praxis, dass sie nahezu nirgends auf der Welt noch legal Geschäfte machen können – also den fast sicheren Ruin.“
Wie schnell ein Unternehmen durch vermeintliche Verstöße in Schieflage geraten kann, zeigte sich 2014 am Beispiel der Deutschen Forfait AG: Der Außenhandelsfinanzierer war im Februar des Jahres vom US-amerikanischen Office of Foreign Assets Control (OFAC), einer Behörde des US-Finanzministeriums, auf dessen Sanktionsliste („SDN list“) gesetzt worden. Obwohl die Deutsche Forfait in der Rekordzeit von nur 249 Tagen – die durchschnittliche Verweildauer auf der OFAC-Liste beträgt 850 Tage – und ohne eine Strafzahlung wieder von der Liste gestrichen wurde, führten die Sanktionen zu einem Verlust von rund neun Millionen Euro und zur zweimaligen Herabstufung des Unternehmens-Rankings von BB+ auf CCC.
Um solche Risiken zu minimieren, hat Mercoline für SAP-Anwendungsunternehmen das SAP-Add-On M.SecureTrade Sanktionslistenprüfung entwickelt und seit Jahren bei mehr als 100 Kunden im Einsatz. Es kann automatisch alle Listen einlesen, so dass die jeweils aktuellen Daten im SAP-System zur Verfügung stehen. Standardmäßig greift M.SecureTrade Sanktionslistenprüfung auf die EU-, US- und diverse andere internationale Sanktionslisten zu, die der Bundesanzeigerverlag veröffentlicht. Die Lösung kann wegen ihrer flexiblen Architektur aber auch andere Listen wie die EU-XML-Liste nutzen. Darüber hinaus unterstützt sie selbst erstellte Whitelists und Blacklists. M.SecureTrade Sanktionslistenprüfung überprüft neben den Personal- auch Kunden- und Lieferanten-Stammdaten sowie Bewegungsdaten (Aufträge, Rechnungen, Lieferscheine, Zahlungen).
Alle Prüfungen können per Job regelmäßig automatisch gestartet werden. Um den Prüfaufwand bei den sensiblen Personalstammdaten so gering wie möglich zu halten, lassen sie sich auf bestimmte Abrechnungs- und Mitarbeiterkreise einschränken. Über die Vergabe von SAP-Berechtigungen wird zudem sichergestellt, dass die geprüften Daten nicht durch unberechtigte Personen eingesehen werden können.
Voraussetzung für regelmäßige Compliance-Reports
Beim Abgleich der Namen bzw. Namensbestandteile kann der Anwender die Prüfgenauigkeit sehr granular einstellen. Eine Fuzzy-Logic ermittelt Ähnlichkeiten durch einen „unscharfen“ Such-Algorithmus. So können unterschiedliche Schreibweisen (Meyer, Meier, Mayer, Mair), die sich z. B. aus Schreibfehlern oder der Übernahme arabischer Namen in das lateinische Alphabet ergeben, berücksichtigt werden. Bei einem Treffer sperrt M.SecureTrade Sanktionslistenprüfung die entsprechenden Personalstammdaten, Debitoren- und Kreditionenstammdaten oder andere Bewegungsdaten wie Aufträge oder Lieferungen. Für anstehende Zoll- oder Außenwirtschaftsprüfungen protokolliert die Lösung alle Prüfjobs und schafft damit die Voraussetzungen für regelmäßige Compliance-Reports.
Zudem lässt sie sich schnell implementieren und kommt ohne Schnittstellen für den Datenaustausch mit Fremdsystemen aus. Durch die konsequente Integration der Mercoline-Lösung in das SAP ERP entfallen die hohen, fortlaufenden Kosten für die Pflege solcher Schnittstellen und den Betrieb weiterer Systeme. Das hat viele SAP-Anwendungsunternehmen überzeugt und häufig auch zur Ablösung bestehender Anwendungen geführt. Mit der Implementierung einer solchen SAP-integrierten Software dokumentieren Anwenderunternehmen den prüfenden Institutionen gegenüber, dass sie verantwortungsvoll, gesetzeskonform (compliant) und somit im Zweifel auch nicht (grob) fahrlässig handeln.
„Aufgrund der Rechtslage sollten alle Unternehmen eine automatisierte und IT-gestützte Prüfung ihrer Mitarbeiter und Geschäftskontakte einführen“, fasst Richter zusammen. „Denn dem begrenzten Aufwand für die Einführung solcher Systeme steht ein großer Gewinn an Sicherheit gegenüber – im Extremfall können sie sogar die Existenz eines Unternehmens retten.“
Teilen Sie die Meldung „Produktmeldung: Mitarbeiter-Screening – eine Existenzfrage für Unternehmen“ mit Ihren Kontakten:
Zugehörige Themen:
IT-Security | IT-Sicherheit | Cybersecurity