Mit geteilter Verantwortung zu mehr Compliance
Risikomanagement als pro-aktives Werkzeug: Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens
Von Stephan Roßner, Staufen AG (*)
(08.04.09) - Korruption ist kein Kavaliersdelikt und kann teuer werden. Dies machen einschlägige Urteile gegen verschiedene deutsche Firmen deutlich, die mit hohen Bußgeldern einhergehen. Die Gerichtsentscheidungen der vergangenen zwei Jahre zeigen, wie wichtig es heutzutage für Unternehmen ist, diesem Thema besondere Aufmerksamkeit zu schenken. Stephan Roßner, Berater der Staufen AG, erklärt, wie Unternehmensprozesse aufgestellt werden können, um Compliance – die Einhaltung von Gesetzen, Richtlinien und Unternehmens-Kodizes – zu realisieren. Den Mittelpunkt seines praktischen Ansatzes bildet dabei die Einbindung aller Mitarbeiter.
In der Praxis existieren seit jeher viele Beispiele von rechtlichen Verfehlungen rund um den Globus, quer durch alle Kulturen und das Thema Bestechung macht auch vor renommierten Unternehmen nicht Halt. Zahlreiche Statistiken, unter anderem von der Organisation Transparency International, geben Aufschluss über Art und Häufigkeit der Vergehen. Darin werden einzelne Länder der Dritten Welt, in denen "Bakschisch" rund 30 Prozent der Auftragssumme ausmacht, vorrangig genannt. Die Gefahr von Bestechung und Korruption ist dabei, standortunabhängig, insbesondere in den Bereichen Einkauf und Vertrieb immanent.
Hier wird über die Auswahl von Geschäftspartnern oder die Vergabe von Aufträgen entschieden, die Abwicklung von Leistungen und Lieferungen überwacht und der Rechnungseingang geprüft. Unternehmen, die kein besonderes Augenmerk auf diese Vorgänge legen, schaden sich selbst. Ob durch Unwissenheit oder Korruption werden technischer Fortschritt und Leistungsverbesserung langfristig untergraben. Mögliche Konsequenzen sind sinkende Qualität, unzureichender Service, das Ausbleiben von Innovationen und Kunden. Nicht zuletzt werden Sicherheitsvorschriften verletzt und sowohl das Unternehmen selbst als auch seine Mitarbeiter können sich strafbar machen.
Einhaltung rechtlicher Vorgaben mit Standardprozessen sichern
Die Notwendigkeit der Korruptionsprävention erkennen immer mehr Unternehmen. Sie befassen sich zunehmend mit dem Compliance-Management. Der betriebswirtschaftliche Begriff zielt auf Regelkonformität ab, die Korruption und Bestechung vorbeugen soll. Ein aktives Risikomanagement kann in diesem Zusammenhang erfassen und analysieren, welche Gesetze und Richtlinien für das Unternehmen im jeweiligen Land zutreffen. Ist beispielsweise von US-börsennotierten Unternehmen die Rede, so sind – neben firmeninternen Kodizes – die Anforderungen aus nationalen und internationalen Antikorruptionsgesetzgebungen wie dem Foreign Corrupt Practices Act (FCPA) zu befolgen. Es besteht zudem die Verpflichtung zu Prozesstransparenz und Dokumentation gemäß dem Sarbanes-Oxley Act (SOX).
Wichtig ist vor allem die Objektivität in der Entscheidungsfindung. Dabei müssen Prozesse, Entscheidungen und Abläufe nachvollziehbar sein. Zudem sollte ein Genehmigungs- und Freigabeprozedere vorliegen, das dem "Mehr-Augen-Prinzip" folgt. Ergänzt werden diese Vorgaben durch Anforderungen aus wirtschaftlich getriebenen Interessen eines Unternehmens. Dazu gehören die Budget-Kontrolle und der effiziente Einsatz der Ressourcen ebenso wie die Standardisierung, um gegenüber den Geschäftspartnern Bedienerfreundlichkeit, Transparenz und ein einheitliches Bild zu gewährleisten. Außerdem sollten die markt-, standort- oder abteilungsspezifischen Bedürfnisse und Besonderheiten berücksichtigt werden.
Risikomanagement hierarchie- und bereichsübergreifend einführen
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens. Sie sollte deshalb von der Geschäftsleitung gesteuert werden. Eine gründliche Projektplanung, -verfolgung und -kontrolle ist ebenso erforderlich, wie die Einbindung von abteilungsübergreifenden Ressourcen, Fachexpertise und die regelmäßige Abstimmung und Bewertung der Zwischenergebnisse auf der bereichsübergreifenden Managementebene. Ziel ist eine Reorganisation aller Prozesse, Standards und unterstützenden Systeme sowie die Installation zusätzlicher Aufgaben und Verantwortungen, die direkt oder indirekt zu einer pro-aktiven Risikovermeidung beitragen können. Im Fokus stehen dabei, wie bereits zu Anfang geschildert, die beschaffungs- und vertriebsrelevanten Prozesse und Bereiche.
Ein mögliches Vorgehen soll am Beispiel der Beschaffung verdeutlicht werden. Gemeint ist damit üblicherweise der gesamte Einkaufsprozess, von der Genehmigung über die Anfrage und Lieferantenauswahl, Vertragsgestaltung, Auftragserteilung, Überwachung und Kontrolle der eingegangenen Lieferungen oder erbrachten Dienstleistungen bis hin zur Bezahlung und der anschließenden Lieferantenbewertung. Besondere Aufmerksamkeit gilt der Auswahl von Lieferanten. So sollte nur beauftragt werden, wer das Geschäftsgebaren und die Anforderungen seiner Kunden kennt und bestätigt, dazu vertrauenswürdig erscheint, alle erforderliche Dokumente bereitstellt und seine Besitzverhältnisse offenlegt. Ein umfassendes Lieferantenmanagement ermöglicht den Entscheidern, die Auswahl potenzieller Lieferanten, den Vergleich des Wettbewerbs und die Vergabe und Überwachung von Aufträgen objektiv beurteilen zu können.
Neue Zulieferer werden pro-aktiv und anhand messbarer Kriterien identifiziert und freigegeben. Ausgeschlossen werden solche, die entweder die gestellten Anforderungen nicht erfüllen oder bezüglich ihres Leistungsgrades schlecht beurteilt wurden. Neben Prozessbeschreibungen sind hier auch Standards und Systeme nötig, die einen einheitlichen Informationsaustausch, Risikobewertungen und ein transparentes Datenmanagement nachhaltig unterstützen. Ein Lieferantenregister schafft Übersicht: Zulieferer, die einen firmenspezifischen "Compliance Due Diligence Check" erfolgreich durchlaufen haben, können für neue Auftragsvergaben herangezogen werden. Das Leistungsprofil sowie die bisherigen Bewertungen führen zusammen mit dem Wettbewerbsvergleich und der detaillierten Analyse mehrerer Angebote (von wirklich vergleichbaren Anbietern pro Waren- oder Produktgruppe) zu objektiven Entscheidungen, die dann auch entsprechend dokumentiert werden können.
Die aktive Zusammenarbeit liefert anschließend weitere Zahlen und Fakten zum bestehenden Lieferantenportfolio. Die Entscheidungen selbst sollten durch bereichsübergreifende Gremien ("Sourcing Committee", "Tender Board") betrieben werden. Neben dem "Mehr-Augen-Prinzip" werden damit auch eine bessere Kommunikation zwischen den Bereichen, ein gemeinsames Verständnis und das bereichsübergreifende Festlegen langfristiger Lieferantenstrategien gefördert.
Compliance im Griff: Theorie in der Praxis erfolgreich machen
"Compliance-Projekte" sind für Unternehmen und Konzerne gleichermaßen sinnvoll und sollten auch die Niederlassungen im Ausland umfassen. Aufgrund ihrer Objektivität lohnt es sich, externe Berater für die Projektumsetzung hinzuzuholen. Sie können die Einführung von professionellen Einkaufsorganisationen und -prozessen unterstützen. Begonnen wird generell mit der Erfassung der Rahmenbedingungen und einer Analyse der bestehenden Organisation, der Vorgänge und Marktbedingungen. Bei Bedarf wird auch die Umsetzung der entwickelten Konzepte mit effizienten Prozessen, professionellen Standards und kundenspezifischen Systemen begleitet. Ein wesentlicher Schlüssel zum Erfolg – und damit ein wichtiges Auswahlkriterium bei der Auswahl eines Beraters – ist die Einbeziehung und Qualifikation der am Prozess beteiligten Mitarbeiter.
Sie müssen den Strukturwandel tragen und durch eine Verbesserungskultur nachhaltig weiterentwickeln. Interne Audits und die Auswahl geeigneter Kennzahlen ("Key Perfomance Indicators") liefern fortlaufend und quantifiziert Aufschluss über Erfolge und Handlungsbedarf. Wesentliche Elemente im Rahmen der Beratungsprojekte sollten mitarbeiter- und aufgabengerechte Trainingsmaßnahmen sein. Beispielsweise das Coaching von Schlüsselpersonen, internen Trainern und Entscheidungsgremien. Außerdem die Unterstützung zum "Learning by Doing" durch Vorbildfunktionen und gemeinsames Agieren in den Pilotprojekten und im Tagesgeschäft.
Den letzten Schliff erhalten solche Projekte durch die sogenannte "Compliance Risk FMEA", einer "Failure Mode and Effect Analysis" oder "Fehler-Maßnahmen-Einfluss-Analyse". Hier führen Management und Mitarbeiter risikobelasteter Bereiche in regelmäßigen Abständen ein "Risk Assessment" im Team durch. Sie erfassen vorhandene, geänderte oder neue Risiken, bewerten quantifiziert die Risikolandschaft und deren Eintrittswahrscheinlichkeit und Auswirkungen. Auf dieser Grundlage werden Maßnahmenpakete zur Risikominimierung entwickelt. Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind, selbst Verantwortung übernehmen und so kontinuierlich an der pro-aktiven Risikominimierung mitwirken.
Der Erfolg spricht für sich: Ein namhafter, international agierender OEM hat seine Aktivitäten auf dem chinesischen Markt wie beschrieben mit einem Compliance-Projekt optimiert. Neben einer erfreulichen Verbesserung der Kommunikationskultur konnte eine spürbare Verschlankung der administrativen Prozesse, eine signifikante Steigerung der Daten- und Dokumentenqualität sowie die deutliche Kostenreduktion bei gestiegenem Leistungsniveau umgesetzt werden. Das Unternehmen verfügt heute über eine transparente, dokumentierte Lieferantenbasis von rund 1.000 Zulieferern in China. Etwa 150 davon sind als Vorzugslieferanten gelistet. In bereichsübergreifenden Gremien wird entschieden, welche – einem definierten Prozess und Warengruppenstrategien folgend – für eine längerfristige Vertragsbindung in Frage kommen. Die installierten Prozesse, Standards und Systeme gelten heute innerhalb des Konzerns als Best Practice-Benchmark für alle Auslandsaktivitäten in Asien.
Voraussetzungen bei der Einführung eines aktiven Risikomanagements:
>> Sensibilität des Topmanagements und der Mitarbeiter bezüglich Korruption und deren Folgen
>> Klares Verständnis über Umfang, Reichweite und Aufwand der erforderlichen Maßnahmen
>> Bekenntnis zur konsequenten, dauerhaften und nachhaltigen Umsetzung durch alle Ebenen bis hin zu den internen und externen Geschäftspartnern
>> Sanktionierung der verantwortlichen Mitarbeiter und Geschäftspartner bei Nichteinhaltung
(Staufen: ra)
(*) Stephan Roßner ist Consultant bei der Staufen AG. Die international operierende Staufen AG unterstützt beim Aufbau einer Lean-Führungskultur, eines Lean-Systems sowie bei der Schaffung einer individuellen Verbesserungsorganisation. Darüber hinaus entwickeln die Berater maßgeschneiderte Konzepte zur Bewältigung von Krisensituationen.