Business Circle: Sehr geehrter Herr Mrak, Sie sind Head of Compliance & Information Security bei der Casinos Austria AG , welche Regeln haben Sie in Ihrem Team in Bezug auf Home-Office und Büro-Präsenz und wie lange hat die Umstellung gedauert? Gab es einen Unterscheid zwischen Sommer und zweiten (dritten) Lockdown?
Michael Mrak: Dank der sehr guten technisch organisatorischen Vorbereitung mit riesengroßer Unterstützung unserer IT konnten wir ab Mitte März des vergangenen Jahres jedenfalls alle typischen „Bürojobs“ relativ unkompliziert umstellen. Den Schwerpunkt bei der Schulung und Awarenessbildung im Complianceumfeld haben wir in den Bereichen Informationssicherheit und Datenschutz gesetzt. Insbesondere was den Umgang mit Mobilgeräten und die Handhabung unserer Kundendaten betrifft – hier unterliegen wir neben der DSGVO ja den strengen Vorgaben des Glücksspielgesetzes (Spielgeheimnis).
Business Circle: Sie begleiten das Business Circle Compliance Programm eigentlich seit Beginn an. Was waren die größten Veränderungen im Compliance Management in dieser Zeit? Und wo könnten wir in 5 Jahren stehen?
Mrak: Ich bemerke den zunehmenden Wechsel von rein regelbasierten Vorgaben zum risikobasierten Ansatz, natürlich nur dort wo nicht explizite gesetzliche Vorgaben eine rein regelbasierte Vorgangsweise vorgeben. Und die Bedeutung von Awarenessbildung nimmt jedenfalls weiter zu und das ist gut so wie ich finde. Womit wir wie vermutlich jede größere Organisation derzeit kämpfen ist die im letzten Jahrzehnt gewachsene Flut an internen Richtlinien welche ehrlich gesagt für unsere KollegInnen gar nicht mehr verarbeitet werden können. Hier sehe ich auch ein großes Verbesserungpotential in der Zukunft: Wenige klare Rahmenbedingungen die in weiterer Folge aber auch von jedem verstanden und gelebt werden können.
Business Circle: Wie sehen Sie Österreich im internationalen Vergleich im Bereich der Anti-Korruption aufgestellt?
Mrak: Entgegen der aktuellen Medienberichterstattung kann sich Österreich meiner Ansicht nach durchaus sehen lassen. Im Bereich der Corporates, zu denen ich ja auch das Unternehme zähle in dem ich tätig bin, hat sich im letzten Jahrzehnt wirklich viel getan.
Business Circle: COVID-19 hat sich sicher als Treiber für Digitalisierungsprojekte erwiesen: Inwiefern machen sich jetzt dadurch auch Einsparungspotenziale bemerkbar?
Mrak: Seit einem Jahr leben wir sehr digital und es hat sich bei vielen Aufgabenstellungen auch bewährt. Interne und externe Audits können remote absolviert werden, Reisekosten werden denke ich auch zukünftig eine weniger relevante Kostenstelle darstellen.
Business Circle: Wie sehen Sie die bestehenden Compliance-Regelwerke aufgestellt, bedürfen diese einer grundsätzlichen Überarbeitung oder gab es eher nur neue Anwendungs- und Interpretationsfragen?
Mrak: Auf den Punkt gebracht und wie schon oben erwähnt – die zielgruppenorientierte Vermittlung der Vorgaben steht jetzt auf unserer Agenda. Damit einhergehend eine interne „Entbürokratisierung“ der compliancerelevanten Prozesse. Mehr „doing“ muss nicht unbedingt mehr Compliance bedeuten, das ist das aktuelle Hauptthema.
Business Circle: Sie werden in Ihrem Round Table auch „negative mediale Berichterstattung“ thematisieren. Was sollte jeder Compliance Officer als Notfallplan griffbereit haben? Gibt es so etwas wie einen Notfallplan, um PR-Katastrophen zu vermeiden oder zumindest einzugrenzen?
Mrak: Ohne jetzt konkret auf unsere Situation einzugehen kann ich schon sagen, dass es essentiell ist für alle Eventualitäten vorbereitet zu sein. Wenn die WKStA wegen des Verdachts der Bestechung bzw. Bestechlichkeit vor der Eingangstüre steht kann man nur noch mit bestehenden Notfallplänen die Situation halbwegs unter Kontrolle behalten. Ich würde das aber nicht nur auf die aktuellen Vorgänge im Zuge etwaiger Ermittlungen von Behörden so sehen sondern z.B. auch für Notfälle und Krisen wie die aktuelle COVID-19 Krise. In jedem Fall stellt bei uns ein Krisenstab in solchen Ausnahmesituationen den bestmöglichen „Normalbetrieb“ sicher.
Krisenszenerien im Vorfeld üben
Business Circle: Besser Vorsicht als Nachsicht: Welches sind jetzt die wichtigsten Präventiv- und Vorsichtsmaßmaßnahmen für Unternehmen?
Mrak: Gegen globale Krisen wie die durch COVID-19 verursachte Pandemie kann man in bestimmten Branchen kaum etwas unternehmen. Untere Casinos und WINWIN Outlets haben ja (Stand Februar) nach wie vor geschlossen. Das bedeutet 100% Einnahmenverlust. Nichts desto trotz kann man viele Krisenszenerien im Vorfeld üben. Wir machen dies beispielsweise im Rahmen jährlicher Krisenstabsübungen. Wir haben beispielsweise schon eine Bombendrohung simuliert, ein anderes Mal einen massiven Data Breach. Hier geht es weniger um das spezifische Szenario, sondern vielmehr um eine Übung des Zusammenspiels aller mit dem Management der Krise befassten Mitarbeitenden.
Unwissenheit schützt bekannterweise vor Strafe nicht, von daher legen wir großen Wert darauf unsere Mitarbeitenden periodisch zu allen für sie relevanten Compliancethemen nachweislich zu schulen. Drücken kann man sich davor nicht, hier sind wir streng. Wenn jemand die obligatorischen Schulungsmaßnahmen nicht absolviert wird dies an den Vorgesetzten und die Personalabteilung eskaliert.
Business Circle: Abschließend noch eine in die Zukunft gerichtete Frage: Wie sehen Sie die Aus- und Weiterbildung im Compliance-Bereich in Österreich aufgestellt, gibt es genügend qualifizierte Einsteiger für die kommenden Herausforderungen?
Mrak: Hier die Spreu vom Weizen zu trennen ist denke ich eine Herausforderung wenn man kein Insider ist. Das Angebot an Ausbildungsmaßnahmen ist riesig, Qualitätskriterien sind kaum im Vorfeld zu identifizieren. Ein guter Indikator kann natürlich das langjährige Bestehen eines Unternehmens welches aus- und weiterbildet sein. Und Mundpropaganda ist vermutlich hier auch eine gute Möglichkeit die Spreu vom Weizen zu trennen.
Qualifizierte Einsteiger zu finden ist auch 2021 eine Herausforderung. Die gut befüllten Seiten mit Stelleninseraten stellen diese Situation denke ich auch ganz gut dar.
Michael Mrak begann 1993 als IT-Projektmanager bei Casinos Austria. 2001 wechselte er in den Bereich Internal Audit und übernahm die Rolle des Datenschutz- und Informationssicherheitsbeauftragten. 2008 gründete er die Abteilung Datenschutz & Anti-Geldwäsche. Seit 2012 ist er als Leiter der Abteilung Compliance auch für den Themenbereich Anti-Korruption verantwortlich. Er ist regelmäßig Vortragender bei Business Circle Veranstaltungen:
• Lehrgang zum Datenschutzbeauftragten
• Corporate Compliance Officer
• Compliance now!
