Fokus 06.06.2008, 09:01 Uhr

Compliance als Chance

Unternehmen sollten Compliance nicht als lästiges Übel ansehen. Vielmehr sollten die gesetzlich vorgegebenen Richtlinien als Impuls für eine transparente Unternehmenssteuerung genutzt werden.
Kirsten Messer-Schmidt ist Senior Consultant und Oliver Kuklok ist CEO bei der corporate quality consulting GmbH.
Unternehmen müssen heute eine Vielzahl von Gesetzen und Vorgaben nachweislich in ihre Prozesse integrieren, sich von externen Stellen prüfen lassen und so ihre Compliance unter Beweis stellen. Oft gewinnt man den Eindruck, dass es sich bei Compliance um ein neues Modethema handelt. Doch tatsächlich steht Compliance für nichts anderes als die nachweisliche Konformität mit gesetzlichen und regulatorischen Vorgaben, ist also kein neuer Sachverhalt.
Neu ist nur die Vielzahl der Gesetze und Vorgaben, denen die begegnen müssen, wie etwa SOX (Sarbanes Oxley Act), die 8. EU-Richtlinie, Basel II oder PCI (Payment Card Industry). Neben den gesetzlichen Vorgaben, die bei Nichterfüllung Bussgelder bis Haftstrafen nach sich ziehen, sind häufig Normen oder auch Good Practices zu erfüllen, deren Einhaltung in der Regel von Kunden- oder Wettbewerbsseite verlangt werden. Hier sind etwa die ISO 27001 (Informationssicherheit) oder auch die ISO 20000 (IT Service Management) zu nennen, aber auch Assessment-Modelle wie CMMI (Capability Maturity Model Integration).
Compliance: Ziele und Forderungen
Je nach Gesetz, Norm oder Standard liegt der Regelungsfokus auf einem anderen Unternehmensbereich (Finanzen, IT, Produktion, Gesamtunternehmen, etc.) oder Informationstyp. Mal geht es um rechnungsrelevante, mal um personen- oder kreditkartenbezogene oder um sonstige steuerungswirksame Informationen.
Doch trotz der unterschiedlichen Schwerpunkte verfolgen die Regelungen vergleichbare Ziele: Einerseits die Vermeidung von Missbrauch und Schaden für das Unternehmen oder seine Stakeholder (Aktionäre, Kunden, Mitarbeiter). Und anderseits die Etablierung effizienter und effektiver Prozesse zur Erreichung der Unternehmensziele.
Ihre Inhalte lassen sich auf einige wenige aber wesentliche Kernthemen herunterbrechen:

1. Risikomanagement: Ein funktionierendes Risikomanagement soll die frühzeitige Erkennung und Bewertung von Risiken für das Unternehmen und seine Vermögenswerte sowie den angemessenen Umgang mit ihnen sicherstellen.

2. Prozessmanagement: Prozesse sollen dokumentiert, kommuniziert, überwacht und gemessen werden, um geregelte und transparente Vorgehensweisen zu etab-lieren, Wiederholbarkeit zu gewährleisten und Verbesserung zu ermöglichen. Dies erfordert unter anderem die Einführung von stabilen Reporting-Strukturen.

3. Sicherheit im Umgang mit Informationen: Informationen sollen so behandelt werden, dass ihre Integrität, Vertraulichkeit und Authentizität gewahrt bleibt sowie ihre Verfügbarkeit gewährleistet ist. Auch muss der Umgang mit Informationen nachvollziehbar sein. So muss erkennbar sein, wer wann welche Informationen weitergegeben hat oder welche Verarbeitungsschritte Informationen in IT-Systemen durchlaufen. Der Begriff «Umgang mit Informationen» bezieht sich auf ihre Weitergabe, Verarbeitung, Speicherung und Löschung. Diese Aktivitäten erfolgen grösstenteils mit IT-Systemen, daher steht der EDV-Bereich fast immer im Zentrum von Compliance-Forderungen.

4. Verantwortung des Managements: Die Unternehmensleitung trägt die Verantwortung für die Einführung, die Funktionsfähigkeit und Korrektheit aller im Compliance-Umfeld erforderlichen Massnahmen.
Die Gemeinsamkeiten legen nahe, dass den unterschiedlichen Anforderungen möglichst mit einer übergreifenden Massnahme begegnet werden sollte. Die Realität sieht jedoch meist anders aus. Gesetze und Normen werden naturgemäss nicht alle zum gleichen Zeitpunkt unternehmensrelevant. So entstehen sukzessive parallele Management- und Kontrollsysteme, die von verschiedenen Abteilungen verantwortet und häufig mit grossem Widerwillen implementiert werden. Am Ende der Kette steht häufig der IT-Bereich, der die Kontrollen systemisch umsetzen muss.
Schlimmstenfalls werden heterogene oder auch gegenläufige Methoden der Darstellung und Umsetzung verwendet, so dass eine spätere Integration der Systeme ausgeschlossen ist. Es entstehen Insellösungen: Die Folge: Ein ausuferndes Berichtswesen, das in erster Linie Mehraufwand generiert, aber kaum Nutzen für die Unternehmenssteuerung bringt. Compliance wird so zu einem Ressourcenfresser und Kostentreiber.
Prozessorientiertes Kontrollsystem
Da Gesetze und Normen keine unangemessenen Forderungen stellen, sondern im Gegenteil Vorgehensweisen verlangen, die im Interesse eines zeitgemäss agierenden Unternehmens liegen (Risikomanagement, Transparenz und Nachvollziehbarkeit), empfiehlt sich ein proaktiver Umgang mit Compliance-Themen.
Ziel muss es sein, mit einem einheitlichen prozessorientierten Kontrollsystem, das primär auf die spezifische Unternehmensrealität und die damit verbundenen Steuerungsanforderungen des Managements ab-
gestimmt ist, den Unternehmenserfolg zu sichern und zusätzlich die gesetzlichen und regulatorischen Anforderungen zu bedienen. Das Kontrollsystem sollte als ein wesentliches Instrument der Enterprise Governance von innen getrieben und skalierbar aufgebaut sein, so dass auch auf neue von aussen kommende Vorgaben ohne grössere Anstrengungen reagiert werden kann.
Aufbau des Kontrollsystems
In einem ersten Schritt muss die Methode, die beim Aufbau des Kontrollsystems angewendet werden soll, unternehmensweit verbindlich definiert und kommuniziert werden, um die Verfolgung einer einheitlichen Strategie sicherzustellen.
Eine weitere Grundlage ist die Analyse der Unternehmensprozesse sowie ihre Aufzeichnung. Ausgehend von den Unternehmenszielen und den darin bereits aufgegangenen Compliance-Anforderungen werden im Rahmen des Risikomanagements sämtliche Risiken identifiziert, die die Erreichung der Ziele gefährden könnten. Aus den Risiken werden Kontrollziele (Control Objectives) abgeleitet.
Im nächsten Schritt wird entlang der Unternehmensprozesse geprüft, an welchen Stellen Controls erforderlich sind, um das jeweilige Risiko zu minimieren oder zu beseitigen. Mit der Bezeichnung Control sind keine Kontrollen gemeint, sondern Steuerungsaktivitäten, die dazu dienen, ein angestrebtes Kontrollziel zu erreichen, wie etwa Verfahren, Konzepte bis hin zu Organisationsstrukturen.
Ein Kontrollziel könnte folgendermas-sen festgelegt sein: «Durch definierte, angeordnete und kommunizierte Massnahmen wird angemessen sichergestellt, dass Änderungen an eingesetzten Software-Applikationen autorisiert, überprüft, abgenommen, richtig umgesetzt und dokumentiert werden». Entsprechende Controls dafür könnten sein: beschriebene Testmethoden, ein geregelter Change-Prozess mit -Freigabe- und Abnahmemechanismen, Dokumentation der Änderungen oder Funk-tionstrennung und definierte Zuständig-keiten.
Nach der Identifikation der notwendigen Controls müssen Massnahmen entwickelt werden, mit deren Hilfe die Wirksamkeit der Steuerungsaktivitäten überprüft wird. Diese Prüfung kann in Form interner Audits oder auf der Basis von Metriken erfolgen.
Damit das Kontrollsystem keine Papier-übung bleibt, müssen Schritte eingeleitet werden, um die Steuerungsaktivitäten zum Leben zu erwecken. Beispielsweise durch Benennung von Verantwortlichen, Schulung der Mitarbeiter, Definition von Metriken oder Formulierung von Arbeitsanweisungen. Insbesondere muss die Unternehmensleitung die Verantwortung für die Korrektheit und Angemessenheit des Kontrollsystems übernehmen. Mithilfe von Dashboards wird sie regelmässig über die Wirksamkeit der Controls informiert. Gleichzeitig können die Anforderungen von Wirtschaftsprüfern und Auditoren aus einem System bedient werden, damit keine Inkonsistenzen entstehen.
Erweisen sich Controls als nicht wirksam oder unbrauchbar, werden Verbesserungsmassnahmen eingeleitet. Auch ein Kontrollsystem unterliegt somit den üblichen Mechanismen des kontinuierlichen Verbesserungsprozesses.
Fazit
Das prozessorientierte Verfahren hat den Vorteil, dass abteilungszentrierte Vorgehensweisen vermieden werden und die Stabilität des Systems nicht durch organisatorische Änderungsmassnahmen gefährdet wird. Ausserdem können neue Compliance-Anforderungen problemlos in Form neuer Kontrollziele und Kontrollen in die bestehende Prozesslandschaft integriert werden. Auch ist eine reibungslose Einbettung in vorhandene - eventuell bereits zertifizierte - Managementsysteme möglich.
Ein integriertes prozessorientiertes Kontrollsystem hat hohen Steuerungs- und Wiederverwendbarkeitswerte. Ist es einmal etabliert, können sowohl interne als auch externe Anforderungen ohne grössere Probleme und Kosten bedient werden.
Der hohe Aufwand bei der Ersteinführung wird mittelfristig betrachtet niedriger sein, als der Aufwand, der entsteht, wenn für jedes neue Gesetz und jede Norm neue Kontrollstrukturen aufgesetzt würden.
Compliance wird zur Chance, wenn die von aussen vorgegebenen Regeln als Impuls für eine transparente Unternehmenssteuerung und Konsolidierung der Führungsinstrumente genutzt werden.
Oliver Kuklok, Kirsten Messer-Schmidt


Das könnte Sie auch interessieren