Textversion
Gesetze/Standards Markt Produkte Services Branchen Whitepapers Fachbeiträge Schwerpunkte Webinare CCZ Literatur Governance Compliance-Archiv Compliance-Lexikon Success Stories Wer bietet was? Sponsoren Schulungen Security-News Compliance-Shop Specials Unternehmensprofile
Home Fachbeiträge Hintergrund

Fachbeiträge


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Schwerpunkt: Identity Management & Compliance Events / Veranstaltungen Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Newsletter Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Datenschutzerklärung Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Mit geteilter Verantwortung zu mehr Compliance


Risikomanagement als pro-aktives Werkzeug: Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens

Anzeige

Von Stephan Roßner, Staufen AG (*)

(08.04.09) - Korruption ist kein Kavaliersdelikt und kann teuer werden. Dies machen einschlägige Urteile gegen verschiedene deutsche Firmen deutlich, die mit hohen Bußgeldern einhergehen. Die Gerichtsentscheidungen der vergangenen zwei Jahre zeigen, wie wichtig es heutzutage für Unternehmen ist, diesem Thema besondere Aufmerksamkeit zu schenken. Stephan Roßner, Berater der Staufen AG, erklärt, wie Unternehmensprozesse aufgestellt werden können, um Compliance – die Einhaltung von Gesetzen, Richtlinien und Unternehmens-Kodizes – zu realisieren. Den Mittelpunkt seines praktischen Ansatzes bildet dabei die Einbindung aller Mitarbeiter.

In der Praxis existieren seit jeher viele Beispiele von rechtlichen Verfehlungen rund um den Globus, quer durch alle Kulturen und das Thema Bestechung macht auch vor renommierten Unternehmen nicht Halt. Zahlreiche Statistiken, unter anderem von der Organisation Transparency International, geben Aufschluss über Art und Häufigkeit der Vergehen. Darin werden einzelne Länder der Dritten Welt, in denen "Bakschisch" rund 30 Prozent der Auftragssumme ausmacht, vorrangig genannt. Die Gefahr von Bestechung und Korruption ist dabei, standortunabhängig, insbesondere in den Bereichen Einkauf und Vertrieb immanent.

Hier wird über die Auswahl von Geschäftspartnern oder die Vergabe von Aufträgen entschieden, die Abwicklung von Leistungen und Lieferungen überwacht und der Rechnungseingang geprüft. Unternehmen, die kein besonderes Augenmerk auf diese Vorgänge legen, schaden sich selbst. Ob durch Unwissenheit oder Korruption werden technischer Fortschritt und Leistungsverbesserung langfristig untergraben. Mögliche Konsequenzen sind sinkende Qualität, unzureichender Service, das Ausbleiben von Innovationen und Kunden. Nicht zuletzt werden Sicherheitsvorschriften verletzt und sowohl das Unternehmen selbst als auch seine Mitarbeiter können sich strafbar machen.

Einhaltung rechtlicher Vorgaben mit Standardprozessen sichern
Die Notwendigkeit der Korruptionsprävention erkennen immer mehr Unternehmen. Sie befassen sich zunehmend mit dem Compliance-Management. Der betriebswirtschaftliche Begriff zielt auf Regelkonformität ab, die Korruption und Bestechung vorbeugen soll. Ein aktives Risikomanagement kann in diesem Zusammenhang erfassen und analysieren, welche Gesetze und Richtlinien für das Unternehmen im jeweiligen Land zutreffen. Ist beispielsweise von US-börsennotierten Unternehmen die Rede, so sind – neben firmeninternen Kodizes – die Anforderungen aus nationalen und internationalen Antikorruptionsgesetzgebungen wie dem Foreign Corrupt Practices Act (FCPA) zu befolgen. Es besteht zudem die Verpflichtung zu Prozesstransparenz und Dokumentation gemäß dem Sarbanes-Oxley Act (SOX).

Wichtig ist vor allem die Objektivität in der Entscheidungsfindung. Dabei müssen Prozesse, Entscheidungen und Abläufe nachvollziehbar sein. Zudem sollte ein Genehmigungs- und Freigabeprozedere vorliegen, das dem "Mehr-Augen-Prinzip" folgt. Ergänzt werden diese Vorgaben durch Anforderungen aus wirtschaftlich getriebenen Interessen eines Unternehmens. Dazu gehören die Budget-Kontrolle und der effiziente Einsatz der Ressourcen ebenso wie die Standardisierung, um gegenüber den Geschäftspartnern Bedienerfreundlichkeit, Transparenz und ein einheitliches Bild zu gewährleisten. Außerdem sollten die markt-, standort- oder abteilungsspezifischen Bedürfnisse und Besonderheiten berücksichtigt werden.

Risikomanagement hierarchie- und bereichsübergreifend einführen
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens. Sie sollte deshalb von der Geschäftsleitung gesteuert werden. Eine gründliche Projektplanung, -verfolgung und -kontrolle ist ebenso erforderlich, wie die Einbindung von abteilungsübergreifenden Ressourcen, Fachexpertise und die regelmäßige Abstimmung und Bewertung der Zwischenergebnisse auf der bereichsübergreifenden Managementebene. Ziel ist eine Reorganisation aller Prozesse, Standards und unterstützenden Systeme sowie die Installation zusätzlicher Aufgaben und Verantwortungen, die direkt oder indirekt zu einer pro-aktiven Risikovermeidung beitragen können. Im Fokus stehen dabei, wie bereits zu Anfang geschildert, die beschaffungs- und vertriebsrelevanten Prozesse und Bereiche.

Ein mögliches Vorgehen soll am Beispiel der Beschaffung verdeutlicht werden. Gemeint ist damit üblicherweise der gesamte Einkaufsprozess, von der Genehmigung über die Anfrage und Lieferantenauswahl, Vertragsgestaltung, Auftragserteilung, Überwachung und Kontrolle der eingegangenen Lieferungen oder erbrachten Dienstleistungen bis hin zur Bezahlung und der anschließenden Lieferantenbewertung. Besondere Aufmerksamkeit gilt der Auswahl von Lieferanten. So sollte nur beauftragt werden, wer das Geschäftsgebaren und die Anforderungen seiner Kunden kennt und bestätigt, dazu vertrauenswürdig erscheint, alle erforderliche Dokumente bereitstellt und seine Besitzverhältnisse offenlegt. Ein umfassendes Lieferantenmanagement ermöglicht den Entscheidern, die Auswahl potenzieller Lieferanten, den Vergleich des Wettbewerbs und die Vergabe und Überwachung von Aufträgen objektiv beurteilen zu können.

Neue Zulieferer werden pro-aktiv und anhand messbarer Kriterien identifiziert und freigegeben. Ausgeschlossen werden solche, die entweder die gestellten Anforderungen nicht erfüllen oder bezüglich ihres Leistungsgrades schlecht beurteilt wurden. Neben Prozessbeschreibungen sind hier auch Standards und Systeme nötig, die einen einheitlichen Informationsaustausch, Risikobewertungen und ein transparentes Datenmanagement nachhaltig unterstützen. Ein Lieferantenregister schafft Übersicht: Zulieferer, die einen firmenspezifischen "Compliance Due Diligence Check" erfolgreich durchlaufen haben, können für neue Auftragsvergaben herangezogen werden. Das Leistungsprofil sowie die bisherigen Bewertungen führen zusammen mit dem Wettbewerbsvergleich und der detaillierten Analyse mehrerer Angebote (von wirklich vergleichbaren Anbietern pro Waren- oder Produktgruppe) zu objektiven Entscheidungen, die dann auch entsprechend dokumentiert werden können.

Die aktive Zusammenarbeit liefert anschließend weitere Zahlen und Fakten zum bestehenden Lieferantenportfolio. Die Entscheidungen selbst sollten durch bereichsübergreifende Gremien ("Sourcing Committee", "Tender Board") betrieben werden. Neben dem "Mehr-Augen-Prinzip" werden damit auch eine bessere Kommunikation zwischen den Bereichen, ein gemeinsames Verständnis und das bereichsübergreifende Festlegen langfristiger Lieferantenstrategien gefördert.

Compliance im Griff: Theorie in der Praxis erfolgreich machen
"Compliance-Projekte" sind für Unternehmen und Konzerne gleichermaßen sinnvoll und sollten auch die Niederlassungen im Ausland umfassen. Aufgrund ihrer Objektivität lohnt es sich, externe Berater für die Projektumsetzung hinzuzuholen. Sie können die Einführung von professionellen Einkaufsorganisationen und -prozessen unterstützen. Begonnen wird generell mit der Erfassung der Rahmenbedingungen und einer Analyse der bestehenden Organisation, der Vorgänge und Marktbedingungen. Bei Bedarf wird auch die Umsetzung der entwickelten Konzepte mit effizienten Prozessen, professionellen Standards und kundenspezifischen Systemen begleitet. Ein wesentlicher Schlüssel zum Erfolg – und damit ein wichtiges Auswahlkriterium bei der Auswahl eines Beraters – ist die Einbeziehung und Qualifikation der am Prozess beteiligten Mitarbeiter.

Sie müssen den Strukturwandel tragen und durch eine Verbesserungskultur nachhaltig weiterentwickeln. Interne Audits und die Auswahl geeigneter Kennzahlen ("Key Perfomance Indicators") liefern fortlaufend und quantifiziert Aufschluss über Erfolge und Handlungsbedarf. Wesentliche Elemente im Rahmen der Beratungsprojekte sollten mitarbeiter- und aufgabengerechte Trainingsmaßnahmen sein. Beispielsweise das Coaching von Schlüsselpersonen, internen Trainern und Entscheidungsgremien. Außerdem die Unterstützung zum "Learning by Doing" durch Vorbildfunktionen und gemeinsames Agieren in den Pilotprojekten und im Tagesgeschäft.

Den letzten Schliff erhalten solche Projekte durch die sogenannte "Compliance Risk FMEA", einer "Failure Mode and Effect Analysis" oder "Fehler-Maßnahmen-Einfluss-Analyse". Hier führen Management und Mitarbeiter risikobelasteter Bereiche in regelmäßigen Abständen ein "Risk Assessment" im Team durch. Sie erfassen vorhandene, geänderte oder neue Risiken, bewerten quantifiziert die Risikolandschaft und deren Eintrittswahrscheinlichkeit und Auswirkungen. Auf dieser Grundlage werden Maßnahmenpakete zur Risikominimierung entwickelt. Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind, selbst Verantwortung übernehmen und so kontinuierlich an der pro-aktiven Risikominimierung mitwirken.

Der Erfolg spricht für sich: Ein namhafter, international agierender OEM hat seine Aktivitäten auf dem chinesischen Markt wie beschrieben mit einem Compliance-Projekt optimiert. Neben einer erfreulichen Verbesserung der Kommunikationskultur konnte eine spürbare Verschlankung der administrativen Prozesse, eine signifikante Steigerung der Daten- und Dokumentenqualität sowie die deutliche Kostenreduktion bei gestiegenem Leistungsniveau umgesetzt werden. Das Unternehmen verfügt heute über eine transparente, dokumentierte Lieferantenbasis von rund 1.000 Zulieferern in China. Etwa 150 davon sind als Vorzugslieferanten gelistet. In bereichsübergreifenden Gremien wird entschieden, welche – einem definierten Prozess und Warengruppenstrategien folgend – für eine längerfristige Vertragsbindung in Frage kommen. Die installierten Prozesse, Standards und Systeme gelten heute innerhalb des Konzerns als Best Practice-Benchmark für alle Auslandsaktivitäten in Asien.

Voraussetzungen bei der Einführung eines aktiven Risikomanagements:
>> Sensibilität des Topmanagements und der Mitarbeiter bezüglich Korruption und deren Folgen
>> Klares Verständnis über Umfang, Reichweite und Aufwand der erforderlichen Maßnahmen
>> Bekenntnis zur konsequenten, dauerhaften und nachhaltigen Umsetzung durch alle Ebenen bis hin zu den internen und externen Geschäftspartnern
>> Sanktionierung der verantwortlichen Mitarbeiter und Geschäftspartner bei Nichteinhaltung
(Staufen: ra)

(*) Stephan Roßner ist Consultant bei der Staufen AG. Die international operierende Staufen AG unterstützt beim Aufbau einer Lean-Führungskultur, eines Lean-Systems sowie bei der Schaffung einer individuellen Verbesserungsorganisation. Darüber hinaus entwickeln die Berater maßgeschneiderte Konzepte zur Bewältigung von Krisensituationen.



Meldungen: Hintergrund

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.

Private Nutzung dienstlicher E-Mail-Systeme Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum Telekommunikationsanbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren. Es darf daher nicht mehr alle E-Mails seiner Mitarbeiter aufbewahren, da die Erhebung von personenbezogenen Daten auf ein Minimum beschränkt werden muss.

Compliance und Wertschöpfung eines Unternehmens Werte bilden praktisch immer die Basis jeder Compliance-Maßnahme. Wertebasierte Unternehmensführung hat also nicht nur unmittelbare wirtschaftliche Vorteile, sondern schafft auch den ethisch-kulturellen Unterbau von Corporate Compliance.

Im Wust neuer Compliance-Anforderungen gefangen? Für Banken und Finanzunternehmen hat die Einhaltung von Compliance-Richtlinen Top-Priorität. In keiner anderen Branche werden so hohe Anforderungen gestellt. Zu den aktuellen Bestimmungen zählen beispielsweise die MiFID, die das Kreditwesengesetzes (KWG) verschärft, die Euro-SOX und Basel II. Die strikte Ausrichtung an Compliance-Bestimmungen und ein sauberes IT-Risiko-Management sind dabei keine IT-, sondern eine Chefsache. Denn verantwortlich für die Einhaltung ist das Management der Finanzunternehmen.

Compliance in der Medizin Der Begriff "Compliance" steht in der Wirtschaft heute als Hilfeversuch bei Korruption, Affären und Skandalen. Meist sind es große Firmen, die nach Medienträchtigen schlechten und rufschädigenden Schlagzeilen einen Stamm von internen und externen Beratern in der Compliance-Abteilung beschäftigen, um den guten Ruf wieder herzustellen und zu verhindern, dass derartige Vorkommnisse und Schlagzeilen wieder auftauchen.

Web. 2.0 und Corporate Compliance Auch Unternehmen können die Möglichkeiten des Web 2.0 für die Kommunikation und Zusammenarbeit in ihren virtuellen Communities nutzen. Vorhandene Lösungen entsprechen allerdings nicht professionellen Anforderungen. Web 2.0 für Unternehmen muss die Flexibilität des Web 2.0 mit der Sicherheit und Stabilität von Enterprise-Applikationen verbinden.

Druckbare Version

Datenschutz und Enterprise Risk Services Active Directory und Compliance-Status