Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Fachartikel Hintergrund

Fachartikel


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Mit geteilter Verantwortung zu mehr Compliance


Risikomanagement als pro-aktives Werkzeug: Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens

Anzeige

Von Stephan Roßner, Staufen AG (*)

(08.04.09) - Korruption ist kein Kavaliersdelikt und kann teuer werden. Dies machen einschlägige Urteile gegen verschiedene deutsche Firmen deutlich, die mit hohen Bußgeldern einhergehen. Die Gerichtsentscheidungen der vergangenen zwei Jahre zeigen, wie wichtig es heutzutage für Unternehmen ist, diesem Thema besondere Aufmerksamkeit zu schenken. Stephan Roßner, Berater der Staufen AG, erklärt, wie Unternehmensprozesse aufgestellt werden können, um Compliance – die Einhaltung von Gesetzen, Richtlinien und Unternehmens-Kodizes – zu realisieren. Den Mittelpunkt seines praktischen Ansatzes bildet dabei die Einbindung aller Mitarbeiter.

In der Praxis existieren seit jeher viele Beispiele von rechtlichen Verfehlungen rund um den Globus, quer durch alle Kulturen und das Thema Bestechung macht auch vor renommierten Unternehmen nicht Halt. Zahlreiche Statistiken, unter anderem von der Organisation Transparency International, geben Aufschluss über Art und Häufigkeit der Vergehen. Darin werden einzelne Länder der Dritten Welt, in denen "Bakschisch" rund 30 Prozent der Auftragssumme ausmacht, vorrangig genannt. Die Gefahr von Bestechung und Korruption ist dabei, standortunabhängig, insbesondere in den Bereichen Einkauf und Vertrieb immanent.

Hier wird über die Auswahl von Geschäftspartnern oder die Vergabe von Aufträgen entschieden, die Abwicklung von Leistungen und Lieferungen überwacht und der Rechnungseingang geprüft. Unternehmen, die kein besonderes Augenmerk auf diese Vorgänge legen, schaden sich selbst. Ob durch Unwissenheit oder Korruption werden technischer Fortschritt und Leistungsverbesserung langfristig untergraben. Mögliche Konsequenzen sind sinkende Qualität, unzureichender Service, das Ausbleiben von Innovationen und Kunden. Nicht zuletzt werden Sicherheitsvorschriften verletzt und sowohl das Unternehmen selbst als auch seine Mitarbeiter können sich strafbar machen.

Einhaltung rechtlicher Vorgaben mit Standardprozessen sichern
Die Notwendigkeit der Korruptionsprävention erkennen immer mehr Unternehmen. Sie befassen sich zunehmend mit dem Compliance-Management. Der betriebswirtschaftliche Begriff zielt auf Regelkonformität ab, die Korruption und Bestechung vorbeugen soll. Ein aktives Risikomanagement kann in diesem Zusammenhang erfassen und analysieren, welche Gesetze und Richtlinien für das Unternehmen im jeweiligen Land zutreffen. Ist beispielsweise von US-börsennotierten Unternehmen die Rede, so sind – neben firmeninternen Kodizes – die Anforderungen aus nationalen und internationalen Antikorruptionsgesetzgebungen wie dem Foreign Corrupt Practices Act (FCPA) zu befolgen. Es besteht zudem die Verpflichtung zu Prozesstransparenz und Dokumentation gemäß dem Sarbanes-Oxley Act (SOX).

Wichtig ist vor allem die Objektivität in der Entscheidungsfindung. Dabei müssen Prozesse, Entscheidungen und Abläufe nachvollziehbar sein. Zudem sollte ein Genehmigungs- und Freigabeprozedere vorliegen, das dem "Mehr-Augen-Prinzip" folgt. Ergänzt werden diese Vorgaben durch Anforderungen aus wirtschaftlich getriebenen Interessen eines Unternehmens. Dazu gehören die Budget-Kontrolle und der effiziente Einsatz der Ressourcen ebenso wie die Standardisierung, um gegenüber den Geschäftspartnern Bedienerfreundlichkeit, Transparenz und ein einheitliches Bild zu gewährleisten. Außerdem sollten die markt-, standort- oder abteilungsspezifischen Bedürfnisse und Besonderheiten berücksichtigt werden.

Risikomanagement hierarchie- und bereichsübergreifend einführen
Die Einführung eines vorbeugenden Risikomanagements besitzt Projekt-Charakter aufgrund der Bedeutung, seiner Größe und der Einmaligkeit des Vorhabens. Sie sollte deshalb von der Geschäftsleitung gesteuert werden. Eine gründliche Projektplanung, -verfolgung und -kontrolle ist ebenso erforderlich, wie die Einbindung von abteilungsübergreifenden Ressourcen, Fachexpertise und die regelmäßige Abstimmung und Bewertung der Zwischenergebnisse auf der bereichsübergreifenden Managementebene. Ziel ist eine Reorganisation aller Prozesse, Standards und unterstützenden Systeme sowie die Installation zusätzlicher Aufgaben und Verantwortungen, die direkt oder indirekt zu einer pro-aktiven Risikovermeidung beitragen können. Im Fokus stehen dabei, wie bereits zu Anfang geschildert, die beschaffungs- und vertriebsrelevanten Prozesse und Bereiche.

Ein mögliches Vorgehen soll am Beispiel der Beschaffung verdeutlicht werden. Gemeint ist damit üblicherweise der gesamte Einkaufsprozess, von der Genehmigung über die Anfrage und Lieferantenauswahl, Vertragsgestaltung, Auftragserteilung, Überwachung und Kontrolle der eingegangenen Lieferungen oder erbrachten Dienstleistungen bis hin zur Bezahlung und der anschließenden Lieferantenbewertung. Besondere Aufmerksamkeit gilt der Auswahl von Lieferanten. So sollte nur beauftragt werden, wer das Geschäftsgebaren und die Anforderungen seiner Kunden kennt und bestätigt, dazu vertrauenswürdig erscheint, alle erforderliche Dokumente bereitstellt und seine Besitzverhältnisse offenlegt. Ein umfassendes Lieferantenmanagement ermöglicht den Entscheidern, die Auswahl potenzieller Lieferanten, den Vergleich des Wettbewerbs und die Vergabe und Überwachung von Aufträgen objektiv beurteilen zu können.

Neue Zulieferer werden pro-aktiv und anhand messbarer Kriterien identifiziert und freigegeben. Ausgeschlossen werden solche, die entweder die gestellten Anforderungen nicht erfüllen oder bezüglich ihres Leistungsgrades schlecht beurteilt wurden. Neben Prozessbeschreibungen sind hier auch Standards und Systeme nötig, die einen einheitlichen Informationsaustausch, Risikobewertungen und ein transparentes Datenmanagement nachhaltig unterstützen. Ein Lieferantenregister schafft Übersicht: Zulieferer, die einen firmenspezifischen "Compliance Due Diligence Check" erfolgreich durchlaufen haben, können für neue Auftragsvergaben herangezogen werden. Das Leistungsprofil sowie die bisherigen Bewertungen führen zusammen mit dem Wettbewerbsvergleich und der detaillierten Analyse mehrerer Angebote (von wirklich vergleichbaren Anbietern pro Waren- oder Produktgruppe) zu objektiven Entscheidungen, die dann auch entsprechend dokumentiert werden können.

Die aktive Zusammenarbeit liefert anschließend weitere Zahlen und Fakten zum bestehenden Lieferantenportfolio. Die Entscheidungen selbst sollten durch bereichsübergreifende Gremien ("Sourcing Committee", "Tender Board") betrieben werden. Neben dem "Mehr-Augen-Prinzip" werden damit auch eine bessere Kommunikation zwischen den Bereichen, ein gemeinsames Verständnis und das bereichsübergreifende Festlegen langfristiger Lieferantenstrategien gefördert.

Compliance im Griff: Theorie in der Praxis erfolgreich machen
"Compliance-Projekte" sind für Unternehmen und Konzerne gleichermaßen sinnvoll und sollten auch die Niederlassungen im Ausland umfassen. Aufgrund ihrer Objektivität lohnt es sich, externe Berater für die Projektumsetzung hinzuzuholen. Sie können die Einführung von professionellen Einkaufsorganisationen und -prozessen unterstützen. Begonnen wird generell mit der Erfassung der Rahmenbedingungen und einer Analyse der bestehenden Organisation, der Vorgänge und Marktbedingungen. Bei Bedarf wird auch die Umsetzung der entwickelten Konzepte mit effizienten Prozessen, professionellen Standards und kundenspezifischen Systemen begleitet. Ein wesentlicher Schlüssel zum Erfolg – und damit ein wichtiges Auswahlkriterium bei der Auswahl eines Beraters – ist die Einbeziehung und Qualifikation der am Prozess beteiligten Mitarbeiter.

Sie müssen den Strukturwandel tragen und durch eine Verbesserungskultur nachhaltig weiterentwickeln. Interne Audits und die Auswahl geeigneter Kennzahlen ("Key Perfomance Indicators") liefern fortlaufend und quantifiziert Aufschluss über Erfolge und Handlungsbedarf. Wesentliche Elemente im Rahmen der Beratungsprojekte sollten mitarbeiter- und aufgabengerechte Trainingsmaßnahmen sein. Beispielsweise das Coaching von Schlüsselpersonen, internen Trainern und Entscheidungsgremien. Außerdem die Unterstützung zum "Learning by Doing" durch Vorbildfunktionen und gemeinsames Agieren in den Pilotprojekten und im Tagesgeschäft.

Den letzten Schliff erhalten solche Projekte durch die sogenannte "Compliance Risk FMEA", einer "Failure Mode and Effect Analysis" oder "Fehler-Maßnahmen-Einfluss-Analyse". Hier führen Management und Mitarbeiter risikobelasteter Bereiche in regelmäßigen Abständen ein "Risk Assessment" im Team durch. Sie erfassen vorhandene, geänderte oder neue Risiken, bewerten quantifiziert die Risikolandschaft und deren Eintrittswahrscheinlichkeit und Auswirkungen. Auf dieser Grundlage werden Maßnahmenpakete zur Risikominimierung entwickelt. Der Idealzustand ist erreicht, wenn das Management und die Mitarbeiter sich der möglichen Risiken bewusst sind, selbst Verantwortung übernehmen und so kontinuierlich an der pro-aktiven Risikominimierung mitwirken.

Der Erfolg spricht für sich: Ein namhafter, international agierender OEM hat seine Aktivitäten auf dem chinesischen Markt wie beschrieben mit einem Compliance-Projekt optimiert. Neben einer erfreulichen Verbesserung der Kommunikationskultur konnte eine spürbare Verschlankung der administrativen Prozesse, eine signifikante Steigerung der Daten- und Dokumentenqualität sowie die deutliche Kostenreduktion bei gestiegenem Leistungsniveau umgesetzt werden. Das Unternehmen verfügt heute über eine transparente, dokumentierte Lieferantenbasis von rund 1.000 Zulieferern in China. Etwa 150 davon sind als Vorzugslieferanten gelistet. In bereichsübergreifenden Gremien wird entschieden, welche – einem definierten Prozess und Warengruppenstrategien folgend – für eine längerfristige Vertragsbindung in Frage kommen. Die installierten Prozesse, Standards und Systeme gelten heute innerhalb des Konzerns als Best Practice-Benchmark für alle Auslandsaktivitäten in Asien.

Voraussetzungen bei der Einführung eines aktiven Risikomanagements:
>> Sensibilität des Topmanagements und der Mitarbeiter bezüglich Korruption und deren Folgen
>> Klares Verständnis über Umfang, Reichweite und Aufwand der erforderlichen Maßnahmen
>> Bekenntnis zur konsequenten, dauerhaften und nachhaltigen Umsetzung durch alle Ebenen bis hin zu den internen und externen Geschäftspartnern
>> Sanktionierung der verantwortlichen Mitarbeiter und Geschäftspartner bei Nichteinhaltung
(Staufen: ra)

(*) Stephan Roßner ist Consultant bei der Staufen AG. Die international operierende Staufen AG unterstützt beim Aufbau einer Lean-Führungskultur, eines Lean-Systems sowie bei der Schaffung einer individuellen Verbesserungsorganisation. Darüber hinaus entwickeln die Berater maßgeschneiderte Konzepte zur Bewältigung von Krisensituationen.



Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.

Druckbare Version

Datenschutz und Enterprise Risk Services Active Directory und Compliance-Status