- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance: Integraler Teil der Geschäftsstrategie


So wird Compliance vom notwendigen Übel zum Erfolgsmodell
Fünf Stufen der Entwicklung von "Augen zu und durch" bis zur Integration von Compliance in die Geschäftsstrategie und -kultur für unternehmerische Vorteile

- Anzeigen -





Von Norman Ford, VP Compliance Produkte, sowie Andreas Rothkamp, VP DACH Region bei Skillsoft

Compliance-Verstöße können ernsthaftere Auswirkungen haben: Bisher machten vor allem Strafzahlungen in Rekordhöhe, wie die 870 Millionen im Fall des Daimler-Dieselskandals, Schlagzeilen. Erste Präzedenzfälle zeigen jedoch, dass auch Geschäftsführern kleinerer Unternehmen eine sofortige Kündigung drohen kann, wenn sie beispielsweise gegen Vorgaben im Bereich Kommissionsvergabe verstoßen, wie ein aktuelles Urteil des Oberlandesgerichts Hamm belegt. Bekannter sind die zahlreichen Fälle, in denen Sicherheitslücken dazu geführt haben, dass Kundendaten in die falschen Hände gerieten.

Dies zeigt, dass das Einhalten von Compliance-Vorgaben nicht nur die Management-Ebene, sondern die gesamte Belegschaft betrifft, wenn es beispielsweise um Daten- und IT-Sicherheit geht. Compliance-Richtlinien betreffen aber auch viele weitere Bereiche, wie die Einhaltung von Branchenvorgaben, Transparenz gegenüber Produkteigenschaften, die Arbeitssicherheit, ethische Verhaltensgrundsätze, etc. Compliance-Unterweisungen sind also notwendig, um die haftungstechnischen und rechtlichen Risiken, die ein Unternehmen jeden Tag bewältigen muss, zu minimieren. Aber wie lassen sich diese Compliance-Schulungen in die Geschäftsstrategie des Unternehmens einbinden?

Im Rahmen einer Untersuchung hat Skillsoft festgestellt, dass viele Unternehmen bei der Erweiterung ihrer Compliance- und Ethikkompetenzen einem ausgeprägten Handlungsmuster folgen. Dabei sind fünf Stufen erkennbar:

Stufe 1: Auf das Beste hoffen bis zum Ernstfall
In vielen Unternehmen hat die Beachtung von Compliance- und Ethikanforderungen noch immer eine vergleichsweise niedrige Priorität. Für die Informationsvermittlung zu grundlegenden Standards werden den Mitarbeitern nur minimale Ressourcen zur Verfügung gestellt. Man hofft, dass kein Problemfall auftritt. Sollte es jedoch zu einem Verstoß kommen, der bekannt wird, zahlen Unternehmen in der Regel hohe Bußgelder oder andere Schadensersatzleistungen. Erst nachdem es zu schwerwiegenden Verstößen gekommen ist, werden Compliance-Schulungen angesetzt, um zu demonstrieren, dass man sich zukünftig um Einhaltung von Compliance-Standards bemüht.

Stufe 2: Mindestanforderungen per Gießkanne oder Führungskräftetraining
Mitarbeitern wird Zugang zu Schulungsmaterialien bereitgestellt. Den Unternehmen ist es wichtig, nachweisen zu können, dass man sich um die Einhaltung der Vorschriften und Normen bemüht hat.

In manchen Unternehmen richten sich die Schulungen lediglich an Führungskräfte, die dann die Verantwortung dafür tragen, dass die ihnen unterstellten Mitarbeiter über die verschiedenen Anforderungen informiert werden, die sie betreffen. Bei diesem Ansatz lässt sich jedoch im Fall von Verstößen nicht klar nachweisen, ob Mitarbeiter informiert wurden oder nicht.

Andere Organisationen arbeiten mit dem "Gießkannenprinzip" und bieten allen Mitarbeitern die gleiche Schulung – ohne Berücksichtigung der speziellen, auf den Arbeitsplatz zugeschnittenen Funktionen, Verantwortlichkeiten oder rollenspezifischen Aufgaben. So durchlaufen zwar alle Mitarbeiter eine Schulung, allerdings verlieren sie schnell das Interesse, wenn viele der Schulungsinhalte für ihre beruflichen Aufgaben und Zuständigkeiten nicht relevant sind.

Stufe 3: Wandel durch Top-Down-Ansatz einleiten
Die Führungsspitze des Unternehmens sieht die Bedeutung von Compliance und gibt dies über Führungskräfte an alle Mitarbeiter weiter. Schulungen werden als strategisches Element angesehen und die Einteilung von Inhalten erfolgt auf Basis von Rollen und Verantwortlichkeiten. Zusätzlich zu den aufsichtsrechtlichen Anforderungen werden standortspezifische Informationen sowie örtliche Richtlinien und Verfahren behandelt.

Viele Unternehmen setzen ihre Bemühungen an dieser Stelle nicht fort, weil sämtliche Ebenen eine Verantwortung tragen. Auf die Compliance wird hier allerdings nur deshalb geachtet, damit das Unternehmen nicht mit Strafen belegt wird. Aber wie können leitende Angestellte Richtlinien durchsetzen, wenn sie niemals Zeuge von Fehlverhalten werden?

Stufe 4: Selbstständige Verhaltensänderung
Wenn der Ansatz eines Unternehmens in Bezug auf Compliance einen höheren Reifegrad zeigt, verlagert sich der Schwerpunkt darauf, den einzelnen Mitarbeitern mehr Eigenverantwortung zuzuweisen. Damit können diese fundierte Entscheidungen treffen, um die gesetzesmäßige und ethische Kultur des Unternehmens zu stärken. Diese Phase ergibt sich sozusagen als Nebenprodukt, wenn sich eine Kultur mit sehr starkem Compliance-Bewusstsein durchsetzt. Die Mitarbeiter aller Hierarchiestufen des Unternehmens sind dafür verantwortlich, dass übergeordnete Standards eingehalten werden und treffen eigenverantwortliche Entscheidungen. Sie sind sich über die Richtlinien und entsprechenden Beweggründe im Klaren. Auf dieser Stufe ist das Engagement höher, da alle Mitglieder der Organisation nun für den Erfolg des Programms verantwortlich sind.

Stufe 5: Compliance als integraler Teil der Geschäftsstrategie
Compliance wird als integraler Bestandteil der Geschäftsstrategie begriffen und als Unternehmensleistung gemessen. Um diese Stufe der Umsetzung zu erreichen, müssen Compliance-Programme so ausgerichtet sein, dass sie Unternehmen bei der Erreichung ihrer Geschäftsziele unterstützen, anstatt nur der Risikominimierung zu dienen. Ein Nicht-Einhalten der Compliance-Vorgaben würde daher die gesamte Geschäftsstrategie gefährden – entsprechend hoch ist das Engagement bei der Umsetzung. Ehrlichkeit, Eigenverantwortung, Respekt und Führung sind die Grundprinzipien dieser Unternehmen und Transparenz ist als Standardvorgabe zu verstehen. Dieser Reifegrad lässt sich nicht über Nacht erreichen und erfordert zudem kontinuierliche Fortbildung in Bezug auf neue Compliance-Anforderungen.

Resümee: Im Idealfall entwickeln sich Compliance-Schulungen in einem Unternehmen von einer anfänglichen Zielsetzung für mehr Compliance-Bewusstsein über einen mittelfristigen auf Verhalten und Kultur gerichteten Fokus bis hin zur Reife, bei der die Lernerfahrung im Bereich Compliance zu einem vollständig integrierten Bestandteil der Geschäftsstrategie wird. Bei dieser Entwicklung verschiebt sich auch die werteorientierte Basis der Compliance-Investitionen vom der Vermeidung negativer Auswirkungen, die eine Nichteinhaltung haben würde, hin zu einer Kultur der Compliance, die einen umfassenderen Geschäftsnutzen ermöglicht: das Unternehmen etabliert sich als bevorzugter Partner für Kooperationen, die Marke wird positiv wahrgenommen, Top-Talente sind am Unternehmen interessiert, die Wettbewerbsfähigkeit und die Mitarbeiterbindung werden verbessert. (Skillsoft: ra)

eingetragen: 17.11.19
Newsletterlauf: 28.01.20

Skillsoft: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Beschwerden zu Analyse-Diensten auf Webseiten

    Vielen Nutzern im Internet ist nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut wird, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten können. Besonders bekannt sind Analyse-Dienste, die das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten ("Tracking"). Nicht jeder Webanbieter hat bei der Einbindung solcher Dienste das Datenschutzrecht im Blick. Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, sieht hier Nachholbedarf in der Gestaltung der Angebote: "Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten - das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben."

  • Drei häufige Fehleinschätzungen bei der DSGVO

    Da DGSVO-Verstöße mit hohen Geldbußen belegt werden, könnte man annehmen, dass verantwortliche Manager sich alle Mühe geben, die Einhaltung der Vorschriften zu gewährleisten. Jedoch ist dies nicht immer der Fall. Zwar haben die Unternehmen ihre Rechenschaftspflicht durch die Ernennung eines Datenschutzbeauftragten verbessert und einen Rechtsrahmen für den Datenschutz erstellt oder überarbeitet. Auch wurden Schutzmaßnahmen gegen Datenschutzverletzungen verbessert und Identitäten sowie Zugänge zu IT-Systemen werden konsequenter kontrolliert. Und dennoch zeigen Untersuchungen von Talend, dass im Rahmen der DSGVO noch immer Fehler gemacht werden: rund 70 Prozent der in Deutschland in einer Stichprobe befragten Unternehmen reagieren nicht auf Anfragen von Verbrauchern zu ihren personenbezogenen Daten innerhalb der vorgeschriebenen Frist von einem Monat.

  • Abfahren von Straßenzügen mit Kamera-Autos

    Apple lässt jetzt in Deutschland Autos mit auf dem Dach montierter Kamera fahren, mit denen Straßenansichten und Gebäudefronten aufgenommen werden. Apple gibt an, dass durch Analyse von Wegen und Verkehrszeichen das Datenmaterial des eigenen Kartendienstes verbessert werden soll. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion "Apple Look Around" ("Umsehen-Funktion") dargestellt und im Internet veröffentlicht werden. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält das Abfahren von Straßenzügen mit Kamera-Autos nicht nur für kritisch, wenn Menschen auf den Wegen erkennbar sind oder gar in private Häuser hineingefilmt wird: "Apple verspricht zwar, dass Gesichter und Autokennzeichen vor der Veröffentlichung unkenntlich gemacht werden und die dafür eingesetzte Software ziemlich zuverlässig arbeitet. Doch nicht jeder ist damit einverstanden, dass die Aufnahmen vom Privatgrundstück über Jahre abrufbar sind und etwa darauf zu erkennen ist, dass man seinen Vorgarten nicht perfekt gepflegt hat, dass teure Autos vor dem Haus parken oder wo Einbrecher leichtes Spiel haben könnten."

  • Tipps für mehr Datenhoheit

    Die Temperatur in unserer Wohnung regulieren wir mit dem Smartphone, für Online-Dienste registrieren wir uns mit Namen und Adresse, Smartwatches messen und analysieren unsere Körperfunktionen. Wer im Internet unterwegs ist und smarte Geräte benutzt, hinterlässt Spuren. Doch es gibt Möglichkeiten, um seine Privatsphäre zu schützen. So wenige Daten wie möglich von sich preiszugeben, ist dabei so naheliegend wie schwer. Schließlich basiert das Geschäftsmodell mancher Unternehmen - sogenannter Datenbroker - genau darauf, möglichst viele und präzise Informationen über Nutzer zu sammeln. Prominentestes Beispiel für einen solchen Datenbroker ist Cambridge Analytica. Dieses Unternehmen hat Daten von bis zu 87 Millionen Facebook-Nutzern abgegriffen, darunter rund 310.000 Nutzer aus Deutschland. Die Daten hat Cambridge Analytica etwa zur Erstellung politischer Profile genutzt, mit dem Ziel, Einfluss auf die letzte Präsidentschaftswahl in den USA zu nehmen. Ein weiterer großer Datenbroker ist Acxiom. Das Unternehmen verfügt über Daten von über 700 Millionen Menschen weltweit, darunter mehr als 40 Millionen aus Deutschland, mit mehr als 1.500 Eigenschaften pro Haushalt.

  • Vier Fragen zum Thema Auftragsverarbeitung

    Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt.