Sie sind hier: Home » Fachartikel » Hintergrund

Mit geteilter Verantwortung zu mehr Compliance


Risikomanagement als pro-aktives Werkzeug: Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens


Von Stephan Roßner, Staufen AG (*)

(08.04.09) - Korruption ist kein Kavaliersdelikt und kann teuer werden. Dies machen einschlägige Urteile gegen verschiedene deutsche Firmen deutlich, die mit hohen Bußgeldern einhergehen. Die Gerichtsentscheidungen der vergangenen zwei Jahre zeigen, wie wichtig es heutzutage für Unternehmen ist, diesem Thema besondere Aufmerksamkeit zu schenken. Stephan Roßner, Berater der Staufen AG, erklärt, wie Unternehmensprozesse aufgestellt werden können, um Compliance – die Einhaltung von Gesetzen, Richtlinien und Unternehmens-Kodizes – zu realisieren. Den Mittelpunkt seines praktischen Ansatzes bildet dabei die Einbindung aller Mitarbeiter.

In der Praxis existieren seit jeher viele Beispiele von rechtlichen Verfehlungen rund um den Globus, quer durch alle Kulturen und das Thema Bestechung macht auch vor renommierten Unternehmen nicht Halt. Zahlreiche Statistiken, unter anderem von der Organisation Transparency International, geben Aufschluss über Art und Häufigkeit der Vergehen. Darin werden einzelne Länder der Dritten Welt, in denen "Bakschisch" rund 30 Prozent der Auftragssumme ausmacht, vorrangig genannt. Die Gefahr von Bestechung und Korruption ist dabei, standortunabhängig, insbesondere in den Bereichen Einkauf und Vertrieb immanent.

Hier wird über die Auswahl von Geschäftspartnern oder die Vergabe von Aufträgen entschieden, die Abwicklung von Leistungen und Lieferungen überwacht und der Rechnungseingang geprüft. Unternehmen, die kein besonderes Augenmerk auf diese Vorgänge legen, schaden sich selbst. Ob durch Unwissenheit oder Korruption werden technischer Fortschritt und Leistungsverbesserung langfristig untergraben. Mögliche Konsequenzen sind sinkende Qualität, unzureichender Service, das Ausbleiben von Innovationen und Kunden. Nicht zuletzt werden Sicherheitsvorschriften verletzt und sowohl das Unternehmen selbst als auch seine Mitarbeiter können sich strafbar machen.

Einhaltung rechtlicher Vorgaben mit Standardprozessen sichern
Die Notwendigkeit der Korruptionsprävention erkennen immer mehr Unternehmen. Sie befassen sich zunehmend mit dem Compliance-Management. Der betriebswirtschaftliche Begriff zielt auf Regelkonformität ab, die Korruption und Bestechung vorbeugen soll. Ein aktives Risikomanagement kann in diesem Zusammenhang erfassen und analysieren, welche Gesetze und Richtlinien für das Unternehmen im jeweiligen Land zutreffen. Ist beispielsweise von US-börsennotierten Unternehmen die Rede, so sind – neben firmeninternen Kodizes – die Anforderungen aus nationalen und internationalen Antikorruptionsgesetzgebungen wie dem Foreign Corrupt Practices Act (FCPA) zu befolgen. Es besteht zudem die Verpflichtung zu Prozesstransparenz und Dokumentation gemäß dem Sarbanes-Oxley Act (SOX).

Wichtig ist vor allem die Objektivität in der Entscheidungsfindung. Dabei müssen Prozesse, Entscheidungen und Abläufe nachvollziehbar sein. Zudem sollte ein Genehmigungs- und Freigabeprozedere vorliegen, das dem "Mehr-Augen-Prinzip" folgt. Ergänzt werden diese Vorgaben durch Anforderungen aus wirtschaftlich getriebenen Interessen eines Unternehmens. Dazu gehören die Budget-Kontrolle und der effiziente Einsatz der Ressourcen ebenso wie die Standardisierung, um gegenüber den Geschäftspartnern Bedienerfreundlichkeit, Transparenz und ein einheitliches Bild zu gewährleisten. Außerdem sollten die markt-, standort- oder abteilungsspezifischen Bedürfnisse und Besonderheiten berücksichtigt werden.

Risikomanagement hierarchie- und bereichsübergreifend einführen
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens. Sie sollte deshalb von der Geschäftsleitung gesteuert werden. Eine gründliche Projektplanung, -verfolgung und -kontrolle ist ebenso erforderlich, wie die Einbindung von abteilungsübergreifenden Ressourcen, Fachexpertise und die regelmäßige Abstimmung und Bewertung der Zwischenergebnisse auf der bereichsübergreifenden Managementebene. Ziel ist eine Reorganisation aller Prozesse, Standards und unterstützenden Systeme sowie die Installation zusätzlicher Aufgaben und Verantwortungen, die direkt oder indirekt zu einer pro-aktiven Risikovermeidung beitragen können. Im Fokus stehen dabei, wie bereits zu Anfang geschildert, die beschaffungs- und vertriebsrelevanten Prozesse und Bereiche.

Ein mögliches Vorgehen soll am Beispiel der Beschaffung verdeutlicht werden. Gemeint ist damit üblicherweise der gesamte Einkaufsprozess, von der Genehmigung über die Anfrage und Lieferantenauswahl, Vertragsgestaltung, Auftragserteilung, Überwachung und Kontrolle der eingegangenen Lieferungen oder erbrachten Dienstleistungen bis hin zur Bezahlung und der anschließenden Lieferantenbewertung. Besondere Aufmerksamkeit gilt der Auswahl von Lieferanten. So sollte nur beauftragt werden, wer das Geschäftsgebaren und die Anforderungen seiner Kunden kennt und bestätigt, dazu vertrauenswürdig erscheint, alle erforderliche Dokumente bereitstellt und seine Besitzverhältnisse offenlegt. Ein umfassendes Lieferantenmanagement ermöglicht den Entscheidern, die Auswahl potenzieller Lieferanten, den Vergleich des Wettbewerbs und die Vergabe und Überwachung von Aufträgen objektiv beurteilen zu können.

Neue Zulieferer werden pro-aktiv und anhand messbarer Kriterien identifiziert und freigegeben. Ausgeschlossen werden solche, die entweder die gestellten Anforderungen nicht erfüllen oder bezüglich ihres Leistungsgrades schlecht beurteilt wurden. Neben Prozessbeschreibungen sind hier auch Standards und Systeme nötig, die einen einheitlichen Informationsaustausch, Risikobewertungen und ein transparentes Datenmanagement nachhaltig unterstützen. Ein Lieferantenregister schafft Übersicht: Zulieferer, die einen firmenspezifischen "Compliance Due Diligence Check" erfolgreich durchlaufen haben, können für neue Auftragsvergaben herangezogen werden. Das Leistungsprofil sowie die bisherigen Bewertungen führen zusammen mit dem Wettbewerbsvergleich und der detaillierten Analyse mehrerer Angebote (von wirklich vergleichbaren Anbietern pro Waren- oder Produktgruppe) zu objektiven Entscheidungen, die dann auch entsprechend dokumentiert werden können.

Die aktive Zusammenarbeit liefert anschließend weitere Zahlen und Fakten zum bestehenden Lieferantenportfolio. Die Entscheidungen selbst sollten durch bereichsübergreifende Gremien ("Sourcing Committee", "Tender Board") betrieben werden. Neben dem "Mehr-Augen-Prinzip" werden damit auch eine bessere Kommunikation zwischen den Bereichen, ein gemeinsames Verständnis und das bereichsübergreifende Festlegen langfristiger Lieferantenstrategien gefördert.

Compliance im Griff: Theorie in der Praxis erfolgreich machen
"Compliance-Projekte" sind für Unternehmen und Konzerne gleichermaßen sinnvoll und sollten auch die Niederlassungen im Ausland umfassen. Aufgrund ihrer Objektivität lohnt es sich, externe Berater für die Projektumsetzung hinzuzuholen. Sie können die Einführung von professionellen Einkaufsorganisationen und -prozessen unterstützen. Begonnen wird generell mit der Erfassung der Rahmenbedingungen und einer Analyse der bestehenden Organisation, der Vorgänge und Marktbedingungen. Bei Bedarf wird auch die Umsetzung der entwickelten Konzepte mit effizienten Prozessen, professionellen Standards und kundenspezifischen Systemen begleitet. Ein wesentlicher Schlüssel zum Erfolg – und damit ein wichtiges Auswahlkriterium bei der Auswahl eines Beraters – ist die Einbeziehung und Qualifikation der am Prozess beteiligten Mitarbeiter.

Sie müssen den Strukturwandel tragen und durch eine Verbesserungskultur nachhaltig weiterentwickeln. Interne Audits und die Auswahl geeigneter Kennzahlen ("Key Perfomance Indicators") liefern fortlaufend und quantifiziert Aufschluss über Erfolge und Handlungsbedarf. Wesentliche Elemente im Rahmen der Beratungsprojekte sollten mitarbeiter- und aufgabengerechte Trainingsmaßnahmen sein. Beispielsweise das Coaching von Schlüsselpersonen, internen Trainern und Entscheidungsgremien. Außerdem die Unterstützung zum "Learning by Doing" durch Vorbildfunktionen und gemeinsames Agieren in den Pilotprojekten und im Tagesgeschäft.

Den letzten Schliff erhalten solche Projekte durch die sogenannte "Compliance Risk FMEA", einer "Failure Mode and Effect Analysis" oder "Fehler-Maßnahmen-Einfluss-Analyse". Hier führen Management und Mitarbeiter risikobelasteter Bereiche in regelmäßigen Abständen ein "Risk Assessment" im Team durch. Sie erfassen vorhandene, geänderte oder neue Risiken, bewerten quantifiziert die Risikolandschaft und deren Eintrittswahrscheinlichkeit und Auswirkungen. Auf dieser Grundlage werden Maßnahmenpakete zur Risikominimierung entwickelt. Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind, selbst Verantwortung übernehmen und so kontinuierlich an der pro-aktiven Risikominimierung mitwirken.

Der Erfolg spricht für sich: Ein namhafter, international agierender OEM hat seine Aktivitäten auf dem chinesischen Markt wie beschrieben mit einem Compliance-Projekt optimiert. Neben einer erfreulichen Verbesserung der Kommunikationskultur konnte eine spürbare Verschlankung der administrativen Prozesse, eine signifikante Steigerung der Daten- und Dokumentenqualität sowie die deutliche Kostenreduktion bei gestiegenem Leistungsniveau umgesetzt werden. Das Unternehmen verfügt heute über eine transparente, dokumentierte Lieferantenbasis von rund 1.000 Zulieferern in China. Etwa 150 davon sind als Vorzugslieferanten gelistet. In bereichsübergreifenden Gremien wird entschieden, welche – einem definierten Prozess und Warengruppenstrategien folgend – für eine längerfristige Vertragsbindung in Frage kommen. Die installierten Prozesse, Standards und Systeme gelten heute innerhalb des Konzerns als Best Practice-Benchmark für alle Auslandsaktivitäten in Asien.

Voraussetzungen bei der Einführung eines aktiven Risikomanagements:
>> Sensibilität des Topmanagements und der Mitarbeiter bezüglich Korruption und deren Folgen
>> Klares Verständnis über Umfang, Reichweite und Aufwand der erforderlichen Maßnahmen
>> Bekenntnis zur konsequenten, dauerhaften und nachhaltigen Umsetzung durch alle Ebenen bis hin zu den internen und externen Geschäftspartnern
>> Sanktionierung der verantwortlichen Mitarbeiter und Geschäftspartner bei Nichteinhaltung
(Staufen: ra)

(*) Stephan Roßner ist Consultant bei der Staufen AG. Die international operierende Staufen AG unterstützt beim Aufbau einer Lean-Führungskultur, eines Lean-Systems sowie bei der Schaffung einer individuellen Verbesserungsorganisation. Darüber hinaus entwickeln die Berater maßgeschneiderte Konzepte zur Bewältigung von Krisensituationen.



Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen