- Anzeigen -

Sie sind hier: Home » Fachartikel » Hintergrund

Mit geteilter Verantwortung zu mehr Compliance


Risikomanagement als pro-aktives Werkzeug: Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens


Von Stephan Roßner, Staufen AG (*)

(08.04.09) - Korruption ist kein Kavaliersdelikt und kann teuer werden. Dies machen einschlägige Urteile gegen verschiedene deutsche Firmen deutlich, die mit hohen Bußgeldern einhergehen. Die Gerichtsentscheidungen der vergangenen zwei Jahre zeigen, wie wichtig es heutzutage für Unternehmen ist, diesem Thema besondere Aufmerksamkeit zu schenken. Stephan Roßner, Berater der Staufen AG, erklärt, wie Unternehmensprozesse aufgestellt werden können, um Compliance – die Einhaltung von Gesetzen, Richtlinien und Unternehmens-Kodizes – zu realisieren. Den Mittelpunkt seines praktischen Ansatzes bildet dabei die Einbindung aller Mitarbeiter.

In der Praxis existieren seit jeher viele Beispiele von rechtlichen Verfehlungen rund um den Globus, quer durch alle Kulturen und das Thema Bestechung macht auch vor renommierten Unternehmen nicht Halt. Zahlreiche Statistiken, unter anderem von der Organisation Transparency International, geben Aufschluss über Art und Häufigkeit der Vergehen. Darin werden einzelne Länder der Dritten Welt, in denen "Bakschisch" rund 30 Prozent der Auftragssumme ausmacht, vorrangig genannt. Die Gefahr von Bestechung und Korruption ist dabei, standortunabhängig, insbesondere in den Bereichen Einkauf und Vertrieb immanent.

Hier wird über die Auswahl von Geschäftspartnern oder die Vergabe von Aufträgen entschieden, die Abwicklung von Leistungen und Lieferungen überwacht und der Rechnungseingang geprüft. Unternehmen, die kein besonderes Augenmerk auf diese Vorgänge legen, schaden sich selbst. Ob durch Unwissenheit oder Korruption werden technischer Fortschritt und Leistungsverbesserung langfristig untergraben. Mögliche Konsequenzen sind sinkende Qualität, unzureichender Service, das Ausbleiben von Innovationen und Kunden. Nicht zuletzt werden Sicherheitsvorschriften verletzt und sowohl das Unternehmen selbst als auch seine Mitarbeiter können sich strafbar machen.

Einhaltung rechtlicher Vorgaben mit Standardprozessen sichern
Die Notwendigkeit der Korruptionsprävention erkennen immer mehr Unternehmen. Sie befassen sich zunehmend mit dem Compliance-Management. Der betriebswirtschaftliche Begriff zielt auf Regelkonformität ab, die Korruption und Bestechung vorbeugen soll. Ein aktives Risikomanagement kann in diesem Zusammenhang erfassen und analysieren, welche Gesetze und Richtlinien für das Unternehmen im jeweiligen Land zutreffen. Ist beispielsweise von US-börsennotierten Unternehmen die Rede, so sind – neben firmeninternen Kodizes – die Anforderungen aus nationalen und internationalen Antikorruptionsgesetzgebungen wie dem Foreign Corrupt Practices Act (FCPA) zu befolgen. Es besteht zudem die Verpflichtung zu Prozesstransparenz und Dokumentation gemäß dem Sarbanes-Oxley Act (SOX).

Wichtig ist vor allem die Objektivität in der Entscheidungsfindung. Dabei müssen Prozesse, Entscheidungen und Abläufe nachvollziehbar sein. Zudem sollte ein Genehmigungs- und Freigabeprozedere vorliegen, das dem "Mehr-Augen-Prinzip" folgt. Ergänzt werden diese Vorgaben durch Anforderungen aus wirtschaftlich getriebenen Interessen eines Unternehmens. Dazu gehören die Budget-Kontrolle und der effiziente Einsatz der Ressourcen ebenso wie die Standardisierung, um gegenüber den Geschäftspartnern Bedienerfreundlichkeit, Transparenz und ein einheitliches Bild zu gewährleisten. Außerdem sollten die markt-, standort- oder abteilungsspezifischen Bedürfnisse und Besonderheiten berücksichtigt werden.

Risikomanagement hierarchie- und bereichsübergreifend einführen
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens. Sie sollte deshalb von der Geschäftsleitung gesteuert werden. Eine gründliche Projektplanung, -verfolgung und -kontrolle ist ebenso erforderlich, wie die Einbindung von abteilungsübergreifenden Ressourcen, Fachexpertise und die regelmäßige Abstimmung und Bewertung der Zwischenergebnisse auf der bereichsübergreifenden Managementebene. Ziel ist eine Reorganisation aller Prozesse, Standards und unterstützenden Systeme sowie die Installation zusätzlicher Aufgaben und Verantwortungen, die direkt oder indirekt zu einer pro-aktiven Risikovermeidung beitragen können. Im Fokus stehen dabei, wie bereits zu Anfang geschildert, die beschaffungs- und vertriebsrelevanten Prozesse und Bereiche.

Ein mögliches Vorgehen soll am Beispiel der Beschaffung verdeutlicht werden. Gemeint ist damit üblicherweise der gesamte Einkaufsprozess, von der Genehmigung über die Anfrage und Lieferantenauswahl, Vertragsgestaltung, Auftragserteilung, Überwachung und Kontrolle der eingegangenen Lieferungen oder erbrachten Dienstleistungen bis hin zur Bezahlung und der anschließenden Lieferantenbewertung. Besondere Aufmerksamkeit gilt der Auswahl von Lieferanten. So sollte nur beauftragt werden, wer das Geschäftsgebaren und die Anforderungen seiner Kunden kennt und bestätigt, dazu vertrauenswürdig erscheint, alle erforderliche Dokumente bereitstellt und seine Besitzverhältnisse offenlegt. Ein umfassendes Lieferantenmanagement ermöglicht den Entscheidern, die Auswahl potenzieller Lieferanten, den Vergleich des Wettbewerbs und die Vergabe und Überwachung von Aufträgen objektiv beurteilen zu können.

Neue Zulieferer werden pro-aktiv und anhand messbarer Kriterien identifiziert und freigegeben. Ausgeschlossen werden solche, die entweder die gestellten Anforderungen nicht erfüllen oder bezüglich ihres Leistungsgrades schlecht beurteilt wurden. Neben Prozessbeschreibungen sind hier auch Standards und Systeme nötig, die einen einheitlichen Informationsaustausch, Risikobewertungen und ein transparentes Datenmanagement nachhaltig unterstützen. Ein Lieferantenregister schafft Übersicht: Zulieferer, die einen firmenspezifischen "Compliance Due Diligence Check" erfolgreich durchlaufen haben, können für neue Auftragsvergaben herangezogen werden. Das Leistungsprofil sowie die bisherigen Bewertungen führen zusammen mit dem Wettbewerbsvergleich und der detaillierten Analyse mehrerer Angebote (von wirklich vergleichbaren Anbietern pro Waren- oder Produktgruppe) zu objektiven Entscheidungen, die dann auch entsprechend dokumentiert werden können.

Die aktive Zusammenarbeit liefert anschließend weitere Zahlen und Fakten zum bestehenden Lieferantenportfolio. Die Entscheidungen selbst sollten durch bereichsübergreifende Gremien ("Sourcing Committee", "Tender Board") betrieben werden. Neben dem "Mehr-Augen-Prinzip" werden damit auch eine bessere Kommunikation zwischen den Bereichen, ein gemeinsames Verständnis und das bereichsübergreifende Festlegen langfristiger Lieferantenstrategien gefördert.

Compliance im Griff: Theorie in der Praxis erfolgreich machen
"Compliance-Projekte" sind für Unternehmen und Konzerne gleichermaßen sinnvoll und sollten auch die Niederlassungen im Ausland umfassen. Aufgrund ihrer Objektivität lohnt es sich, externe Berater für die Projektumsetzung hinzuzuholen. Sie können die Einführung von professionellen Einkaufsorganisationen und -prozessen unterstützen. Begonnen wird generell mit der Erfassung der Rahmenbedingungen und einer Analyse der bestehenden Organisation, der Vorgänge und Marktbedingungen. Bei Bedarf wird auch die Umsetzung der entwickelten Konzepte mit effizienten Prozessen, professionellen Standards und kundenspezifischen Systemen begleitet. Ein wesentlicher Schlüssel zum Erfolg – und damit ein wichtiges Auswahlkriterium bei der Auswahl eines Beraters – ist die Einbeziehung und Qualifikation der am Prozess beteiligten Mitarbeiter.

Sie müssen den Strukturwandel tragen und durch eine Verbesserungskultur nachhaltig weiterentwickeln. Interne Audits und die Auswahl geeigneter Kennzahlen ("Key Perfomance Indicators") liefern fortlaufend und quantifiziert Aufschluss über Erfolge und Handlungsbedarf. Wesentliche Elemente im Rahmen der Beratungsprojekte sollten mitarbeiter- und aufgabengerechte Trainingsmaßnahmen sein. Beispielsweise das Coaching von Schlüsselpersonen, internen Trainern und Entscheidungsgremien. Außerdem die Unterstützung zum "Learning by Doing" durch Vorbildfunktionen und gemeinsames Agieren in den Pilotprojekten und im Tagesgeschäft.

Den letzten Schliff erhalten solche Projekte durch die sogenannte "Compliance Risk FMEA", einer "Failure Mode and Effect Analysis" oder "Fehler-Maßnahmen-Einfluss-Analyse". Hier führen Management und Mitarbeiter risikobelasteter Bereiche in regelmäßigen Abständen ein "Risk Assessment" im Team durch. Sie erfassen vorhandene, geänderte oder neue Risiken, bewerten quantifiziert die Risikolandschaft und deren Eintrittswahrscheinlichkeit und Auswirkungen. Auf dieser Grundlage werden Maßnahmenpakete zur Risikominimierung entwickelt. Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind, selbst Verantwortung übernehmen und so kontinuierlich an der pro-aktiven Risikominimierung mitwirken.

Der Erfolg spricht für sich: Ein namhafter, international agierender OEM hat seine Aktivitäten auf dem chinesischen Markt wie beschrieben mit einem Compliance-Projekt optimiert. Neben einer erfreulichen Verbesserung der Kommunikationskultur konnte eine spürbare Verschlankung der administrativen Prozesse, eine signifikante Steigerung der Daten- und Dokumentenqualität sowie die deutliche Kostenreduktion bei gestiegenem Leistungsniveau umgesetzt werden. Das Unternehmen verfügt heute über eine transparente, dokumentierte Lieferantenbasis von rund 1.000 Zulieferern in China. Etwa 150 davon sind als Vorzugslieferanten gelistet. In bereichsübergreifenden Gremien wird entschieden, welche – einem definierten Prozess und Warengruppenstrategien folgend – für eine längerfristige Vertragsbindung in Frage kommen. Die installierten Prozesse, Standards und Systeme gelten heute innerhalb des Konzerns als Best Practice-Benchmark für alle Auslandsaktivitäten in Asien.

Voraussetzungen bei der Einführung eines aktiven Risikomanagements:
>> Sensibilität des Topmanagements und der Mitarbeiter bezüglich Korruption und deren Folgen
>> Klares Verständnis über Umfang, Reichweite und Aufwand der erforderlichen Maßnahmen
>> Bekenntnis zur konsequenten, dauerhaften und nachhaltigen Umsetzung durch alle Ebenen bis hin zu den internen und externen Geschäftspartnern
>> Sanktionierung der verantwortlichen Mitarbeiter und Geschäftspartner bei Nichteinhaltung
(Staufen: ra)

(*) Stephan Roßner ist Consultant bei der Staufen AG. Die international operierende Staufen AG unterstützt beim Aufbau einer Lean-Führungskultur, eines Lean-Systems sowie bei der Schaffung einer individuellen Verbesserungsorganisation. Darüber hinaus entwickeln die Berater maßgeschneiderte Konzepte zur Bewältigung von Krisensituationen.



Meldungen: Hintergrund

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.

  • Identity- und Access-Management-Systeme

    Der regulatorische Druck auf Unternehmen und Organisationen, geeignete Kontrollmechanismen zu etablieren, steigt stetig. Moderne IAM-Lösungen (Identity & Access Management) können wichtige Kernfunktionen übernehmen, um Vermögenswerte und Prozesse der Firmen besser zu schützen. IAM trägt bereits präventiv zur Risikominimierung bei, indem es Identitäten regelmäßig überprüft und nur autorisierten Nutzern Zugriff auf bestimmte Daten gewährt. Zentrale Compliance-Anforderungen erfüllen moderne IAM-Lösungen auch mit der Bereitstellung umfangreicher Analysen und Reports, die jederzeit tiefgreifende Einblicke in die Zugriffsstrukturen eines Unternehmens gewähren. Moderne IAM-Systeme beziehen hierfür ihre Daten aus zahlreichen Quellen und erstellen jederzeit detaillierte Analysen und Berichte. Dies beschleunigt die Reaktionszeit, um Autorisierungsfehler korrigieren zu können, verbessert die Systemsteuerung und vermindert die Risiken.

  • Stauatlas: IT in der Bankenregulierung

    Eine Vielzahl von Regularien von BCBS 239 bis MiFID II stellt die Compliance- und IT-Abteilungen der Kreditinstitute vor große Herausforderungen. Vor allem in Kombination mit ambitionierten Zeitplänen und einer großen Verunsicherung über die konkrete Ausgestaltung und potenzielle neue Gesetze. Dabei kämpfen die Compliance-Beauftragten oft mit reiner Pflichterfüllung statt Kür in den Abteilungen, drei Viertel der Bankmanager mangelt es an Akzeptanz für die Bedeutung der Regularien. In der Studie "Stauatlas: IT in der Bankenregulierung" hat das Software- und Beratungshaus PPI AG den Status Quo bei der Umsetzung in IT-Abteilungen untersucht.

  • Aufklärungspflichten in der Anlageberatung

    Der Bundesgerichtshof (BGH) hat die Aufklärungspflichten der Banken bei der provisionsgetriebenen Anlageberatung zu Gunsten der Anleger geklärt. Einerseits! Doch das janusköpfige Urteil mit dem XI ZR 147/12 hat eine Kehrseite. Denn der BGH hat die Banken nur für die Zukunft zur umfassenden Aufklärung über Provisionen verpflichtet. Für vergangene Beratungssünden erhielten die Banker dagegen - zumindest teilweise - einen höchstrichterlichen Sündenerlass. Mit diesem janusköpfigen Urteil versucht der BGH einen gordischen Knoten zu lösen, den er zuvor selbst geknüpft hat.