Fünf Stufen der Entwicklung von »Augen zu und durch« bis zur Integration von Compliance in die Geschäftsstrategie und -kultur für unternehmerische Vorteile.
Illustration: Geralt Absmeier
Spätestens nach einer Nacht in U-Haft wird Managern klar, dass Compliance-Verstöße doch ernsthaftere Auswirkungen haben können, als manch einem bewusst ist – so die Erfahrung eines Wirtschaftsstrafverteidigers in einem Artikel der Wirtschaftswoche [1]. Bisher machten vor allem Strafzahlungen in Rekordhöhe, wie die 870 Millionen im Fall des Daimler-Dieselskandals, Schlagzeilen. Erste Präzedenzfälle zeigen jedoch, dass auch Geschäftsführern kleinerer Unternehmen eine sofortige Kündigung drohen kann, wenn sie beispielsweise gegen Vorgaben im Bereich Kommissionsvergabe verstoßen, wie ein aktuelles Urteil des Oberlandesgerichts Hamm belegt [2].
Bekannter sind die zahlreichen Fälle, in denen Sicherheitslücken dazu geführt haben, dass Kundendaten in die falschen Hände gerieten. Dies zeigt, dass das Einhalten von Compliance-Vorgaben nicht nur die Management-Ebene, sondern die gesamte Belegschaft betrifft, wenn es beispielsweise um Daten- und IT-Sicherheit geht. Compliance-Richtlinien betreffen aber auch viele weitere Bereiche, wie die Einhaltung von Branchenvorgaben, Transparenz gegenüber Produkteigenschaften, die Arbeitssicherheit, ethische Verhaltensgrundsätze, etc. Compliance-Unterweisungen sind also notwendig, um die haftungstechnischen und rechtlichen Risiken, die ein Unternehmen jeden Tag bewältigen muss, zu minimieren. Aber wie lassen sich diese Compliance-Schulungen in die Geschäftsstrategie des Unternehmens einbinden?
Skillsoft unterstützt Unternehmen seit über 20 Jahren mit Schulungsinhalten für den Bereich Compliance. Im Rahmen einer Untersuchung hat der Corporate-Learning-Spezialist festgestellt, dass viele Unternehmen bei der Erweiterung ihrer Compliance- und Ethikkompetenzen einem ausgeprägten Handlungsmuster folgen [3]. Dabei sind fünf Stufen erkennbar:
STUFE 1: Auf das Beste hoffen bis zum Ernstfall
In vielen Unternehmen hat die Beachtung von Compliance- und Ethikanforderungen noch immer eine vergleichsweise niedrige Priorität. Für die Informationsvermittlung zu grundlegenden Standards werden den Mitarbeitern nur minimale Ressourcen zur Verfügung gestellt. Man hofft, dass kein Problemfall auftritt. Sollte es jedoch zu einem Verstoß kommen, der bekannt wird, zahlen Unternehmen in der Regel hohe Bußgelder oder andere Schadensersatzleistungen. Erst nachdem es zu schwerwiegenden Verstößen gekommen ist, werden Compliance-Schulungen angesetzt, um zu demonstrieren, dass man sich zukünftig um Einhaltung von Compliance-Standards bemüht.
STUFE 2: Mindestanforderungen per Gießkanne oder Führungskräftetraining
Mitarbeitern wird Zugang zu Schulungsmaterialien bereitgestellt. Den Unternehmen ist es wichtig, nachweisen zu können, dass man sich um die Einhaltung der Vorschriften und Normen bemüht hat.
In manchen Unternehmen richten sich die Schulungen lediglich an Führungskräfte, die dann die Verantwortung dafür tragen, dass die ihnen unterstellten Mitarbeiter über die verschiedenen Anforderungen informiert werden, die sie betreffen. Bei diesem Ansatz lässt sich jedoch im Fall von Verstößen nicht klar nachweisen, ob Mitarbeiter informiert wurden oder nicht.
Andere Organisationen arbeiten mit dem »Gießkannenprinzip« und bieten allen Mitarbeitern die gleiche Schulung – ohne Berücksichtigung der speziellen, auf den Arbeitsplatz zugeschnittenen Funktionen, Verantwortlichkeiten oder rollenspezifischen Aufgaben. So durchlaufen zwar alle Mitarbeiter eine Schulung, allerdings verlieren sie schnell das Interesse, wenn viele der Schulungsinhalte für ihre beruflichen Aufgaben und Zuständigkeiten nicht relevant sind.
STUFE 3: Wandel durch Top-Down-Ansatz einleiten
Die Führungsspitze des Unternehmens sieht die Bedeutung von Compliance und gibt dies über Führungskräfte an alle Mitarbeiter weiter. Schulungen werden als strategisches Element angesehen und die Einteilung von Inhalten erfolgt auf Basis von Rollen und Verantwortlichkeiten. Zusätzlich zu den aufsichtsrechtlichen Anforderungen werden standortspezifische Informationen sowie örtliche Richtlinien und Verfahren behandelt.
Viele Unternehmen setzen ihre Bemühungen an dieser Stelle nicht fort, weil sämtliche Ebenen eine Verantwortung tragen. Auf die Compliance wird hier allerdings nur deshalb geachtet, damit das Unternehmen nicht mit Strafen belegt wird. Aber wie können leitende Angestellte Richtlinien durchsetzen, wenn sie niemals Zeuge von Fehlverhalten werden?
STUFE 4: Selbstständige Verhaltensänderung
Wenn der Ansatz eines Unternehmens in Bezug auf Compliance einen höheren Reifegrad zeigt, verlagert sich der Schwerpunkt darauf, den einzelnen Mitarbeitern mehr Eigenverantwortung zuzuweisen. Damit können diese fundierte Entscheidungen treffen, um die gesetzesmäßige und ethische Kultur des Unternehmens zu stärken. Diese Phase ergibt sich sozusagen als Nebenprodukt, wenn sich eine Kultur mit sehr starkem Compliance-Bewusstsein durchsetzt. Die Mitarbeiter aller Hierarchiestufen des Unternehmens sind dafür verantwortlich, dass übergeordnete Standards eingehalten werden und treffen eigenverantwortliche Entscheidungen. Sie sind sich über die Richtlinien und entsprechenden Beweggründe im Klaren. Auf dieser Stufe ist das Engagement höher, da alle Mitglieder der Organisation nun für den Erfolg des Programms verantwortlich sind.
STUFE 5: Compliance als integraler Teil der Geschäftsstrategie
Compliance wird als integraler Bestandteil der Geschäftsstrategie begriffen und als Unternehmensleistung gemessen. Um diese Stufe der Umsetzung zu erreichen, müssen Compliance-Programme so ausgerichtet sein, dass sie Unternehmen bei der Erreichung ihrer Geschäftsziele unterstützen, anstatt nur der Risikominimierung zu dienen. Ein Nicht-Einhalten der Compliance-Vorgaben würde daher die gesamte Geschäftsstrategie gefährden – entsprechend hoch ist das Engagement bei der Umsetzung. Ehrlichkeit, Eigenverantwortung, Respekt und Führung sind die Grundprinzipien dieser Unternehmen und Transparenz ist als Standardvorgabe zu verstehen. Dieser Reifegrad lässt sich nicht über Nacht erreichen und erfordert zudem kontinuierliche Fortbildung in Bezug auf neue Compliance-Anforderungen.
Resümee
Im Idealfall entwickeln sich Compliance-Schulungen in einem Unternehmen von einer anfänglichen Zielsetzung für mehr Compliance-Bewusstsein über einen mittelfristigen auf Verhalten und Kultur gerichteten Fokus bis hin zur Reife, bei der die Lernerfahrung im Bereich Compliance zu einem vollständig integrierten Bestandteil der Geschäftsstrategie wird. Bei dieser Entwicklung verschiebt sich auch die werteorientierte Basis der Compliance-Investitionen vom der Vermeidung negativer Auswirkungen, die eine Nichteinhaltung haben würde, hin zu einer Kultur der Compliance, die einen umfassenderen Geschäftsnutzen ermöglicht: das Unternehmen etabliert sich als bevorzugter Partner für Kooperationen, die Marke wird positiv wahrgenommen, Top-Talente sind am Unternehmen interessiert, die Wettbewerbsfähigkeit und die Mitarbeiterbindung werden verbessert.
[1] https://blog.wiwo.de/management/2019/05/13/wirtschaftswoche-topkanzleien-2019-compliance-und-wirtschaftsstrafrecht-die-rankings/
[2] https://www.vku.de/themen/recht/verstoesse-gegen-compliance-vorgaben-rechtfertigen-ausserordentliche-kuendigung/
[3] Ein Whitepaper zu diesem Thema steht zum Download zur Verfügung
1070 Artikel zu „Compliance“
NEWS | BUSINESS PROCESS MANAGEMENT | EFFIZIENZ | FAVORITEN DER REDAKTION | IT-SECURITY | ONLINE-ARTIKEL
Die Bedeutung von Governance, Risiko und Compliance für die Cybersicherheit
Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt…
TRENDS 2019 | TRENDS SECURITY | NEWS | TRENDS INFRASTRUKTUR | TRENDS CLOUD COMPUTING | TRENDS GESCHÄFTSPROZESSE | TRENDS SERVICES | STRATEGIEN
IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation
Studie: Digitalisierung ausbaufähig, intelligente Technologien im Kommen. Ihren Erfolg bei der Digitalisierung stufen Unternehmen in Deutschland, Österreich und der Schweiz wie im Vorjahr durchschnittlich als mittelmäßig ein [1]. Angesichts der großen Anstrengungen in diesem Bereich und der hohen Ausgaben für die Digitalisierung ist diese Bilanz ernüchternd. Als technologischer Trend zeigt sich, dass mehr als zwei…
TRENDS 2019 | NEWS | TRENDS INFRASTRUKTUR | BUSINESS INTELLIGENCE | DIGITALISIERUNG | TRENDS GESCHÄFTSPROZESSE | FAVORITEN DER REDAKTION | INFOGRAFIKEN | SERVICES
Compliance als Haupttreiber von Data Governance
Die Datenschutzgrundverordnung (DSGVO) entfaltet ihre Wirkung und zwingt Unternehmen zur Umsetzung von Data Governance, insbesondere im europäischen Raum. Ein gut definierter Data-Govnernance-Prozess hilft, die Sichtweisen von Datensammlern und Datenkonsumenten näher zusammenzubringen und so insgesamt zu einer besseren Datenqualität beizutragen. Das Business Application Research Center (BARC) veröffentlicht »How To Rule Your Data World«, eine weltweite…
NEWS | BUSINESS PROCESS MANAGEMENT | EFFIZIENZ | GESCHÄFTSPROZESSE | IT-SECURITY | ONLINE-ARTIKEL | STRATEGIEN | TIPPS
Cybersicherheit und Compliance: Wie Sie Mitarbeitende ins Boot holen
Der Oktober stand wie immer ganz im Zeichen nationaler Cybersicherheit. Tendenziell kein schlechter Zeitpunkt Mitarbeitende in Sachen Cybersicherheit auf den aktuellen Stand zu bringen. Dazu bedarf es allerdings etwas mehr als nur Informationen zu verteilen. Firmen brauchen stattdessen umsetzbare Strategien, die nicht nur unterstreichen wie wichtig Cybersicherheit ist, sondern die Mitarbeitende aktiv und kontinuierlich einbeziehen.…
NEWS | IT-SECURITY | KOMMENTAR
Gute Sicherheitslösungen brauchen keine Compliance-Argumentation
Anbieter von Sicherheitssoftware werben mit dem Argument »Herstellen von Compliance-Konformität«. Es stellt sich aber die Frage, was wichtiger ist: Compliance oder Sicherheit? Soll mit der Compliance-Argumentation vielleicht vertuscht werden, dass die Lösungen keine zuverlässige Sicherheit bieten? Der Verdacht drängt sich auf. Es gibt heute Hunderte von verschiedenen IT-Sicherheitslösungen. Unternehmen und Behörden können kaum den Überblick…
NEWS | INFRASTRUKTUR | IT-SECURITY | LÖSUNGEN | TIPPS
Sichere Speichermedien und USB-Device-Management bieten Ansatzpunkte für schnell realisierbare DSGVO-Compliance
Weniger als ein Monat bis zum »DSGVO-Stichtag« 25.05.2018: Unternehmen haben nun entweder die Weichen bereits gestellt und können sich beruhigt zurücklehnen – oder aber, die massiven Änderungen im Datenschutz wurden bisher mehr oder weniger bewusst ignoriert. Für den ganz großen Wurf ist es jetzt eigentlich deutlich zu spät. Doch anstatt zu kapitulieren, lässt sich mit…
NEWS | BUSINESS PROCESS MANAGEMENT | CLOUD COMPUTING | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | OUTSOURCING | RECHENZENTRUM | SERVICES | TIPPS
Compliance im Multi-Cloud-Zeitalter
Die Multi-Cloud ist heute Realität. Dazu kommt, dass Public Clouds grundsätzlich weltweit verteilt sind. Dies führt zu neuen Herausforderungen bei Compliance und Datenschutz. Denn hier sind oft nationale Regeln zu berücksichtigen. Um bei der Cloud-Nutzung die Compliance sicherzustellen, sind laut Rackspace folgende Punkte zu berücksichtigen: Der Cloud-Provider Viele Cloud Service Provider (CSP) erfüllen inzwischen…
NEWS | IT-SECURITY | KOMMUNIKATION | SERVICES | TIPPS | AUSGABE 3-4-2018
DSGVO-Compliance in der Kommunikation – Die sieben häufigsten Fehler bei der digitalen Kommunikation
Viele Unternehmen gehen zu sorglos mit ihrer digitalen Kommunikation um. Damit riskieren sie den Verlust von Betriebsgeheimnissen und laufen Gefahr, gegen gesetzliche Vorgaben wie die Datenschutzgrundverordnung (DSGVO) der Europäischen Union zu verstoßen. Das kann in beiden Fällen große Schäden verursachen und extrem teuer werden. Die Brabbler AG, Spezialist für sichere digitale Kommunikation, erläutert die sieben gängigsten Fehler.
NEWS | PRODUKTMELDUNG
IFS stattet seine Business Software mit Funktionen zur DSGVO-Compliance aus
Neue Funktionen in IFS Applications und IFS Field Service Management unterstützen Unternehmen dabei, personenbezogene Daten gemäß EU-Datenschutzgrundverordnung vorzuhalten und zu verarbeiten. Der global agierende Anbieter von Business Software IFS (www.ifsworld.com/de/loesungen/ifs-applications) hat spezielle Funktionen für IFS Applications veröffentlicht, die Unternehmen die Compliance mit der neuen Datenschutzgrundverordnung (DSGVO) der EU erleichtern. Über ein Update im…
TRENDS SECURITY | NEWS | DIGITALISIERUNG | TRENDS 2017 | TRENDS 2018 | IT-SECURITY | RECHENZENTRUM | STRATEGIEN
Cyberbedrohungen: Angriffe werden aggressiver und zielgerichteter, mangelnde DSGVO-Compliance kann erpressbar machen
Vor allem gezielte, strategische und profitbringende Angriffe sind auf dem Vormarsch. Der neue Sicherheits-Roundup von Trend Micro mit dem Titel »Das Paradoxon der Cyberbedrohungen« bündelt aktuelle Forschungsergebnisse der IT-Sicherheitsfirma zur derzeitigen IT-Bedrohungslage. Wie daraus hervorgeht, konnten die Sicherheitsforscher im Jahr 2017 eine deutliche Zunahme bei Ransomware, dem Mining von Kryptowährungen und Business-E-Mail-Compromise (auch bekannt als…
NEWS | INFRASTRUKTUR | INTERNET DER DINGE | IT-SECURITY | KOMMUNIKATION | LÖSUNGEN
Mit Technologie DSGVO-Compliance sicherstellen
Die Bedeutung von Technologie im Hinblick auf die Einführung neuer EU-Vorschriften zum Datenschutz. Die europäische Datenschutzgrundverordnung (DSGVO) tritt ab dem 25. Mai 2018 mit dem Ziel in Kraft, den Datenschutz für alle Personen innerhalb der EU zu stärken und zu vereinheitlichen. Sanktionen für Datenschutzverletzungen belaufen sich auf bis zu 20 Millionen Euro oder bis zu…