Laut einer Befragung des Compliance-Unternehmens, NAVEX, zeigen deutsche Unternehmen bei Third-Party-Risiken europaweit die größte Bereitschaft, sich radikal von Lieferanten und Dienstleistern zu trennen [1]. Und obwohl sie Geschäftsbeziehungen strenger managen als andere Länder, werden viele dieser Entscheidungen nicht bis zu den Vorständen eskaliert.
Aus der Umfrage geht außerdem hervor, dass strategische Verantwortung an vielen Stellen fehlt und bestehende Leitlinien oft unzureichend sind. Die daraus entstehenden Unsicherheiten gefährden Geschäftschancen und bremsen die so dringende Innovation hierzulande weiter aus. Oliver Riehl, Regional Vice President Sales bei NAVEX, beschäftigt sich intensiv mit dem Spannungsfeld zwischen Compliance und Geschäftschancen.
Der Experte erklärt, warum verbindliche Vorgaben und eine stärkere Governance auf Vorstandsebene entscheidend sind, um Risiken wirksam zu steuern und Firmen langfristig zukunftssicher aufzustellen.
In den letzten zwölf Monaten trennten sich deutsche Unternehmen im Durchschnitt von über 14 Partnern. Angeführte Gründe waren Bedenken hinsichtlich Ethik, Menschenrechten oder Umweltpraktiken. Das zeigt eine aktuelle Umfrage von NAVEX. Befragt wurden Manager von B2B-Unternehmen mit mehr als 500 Mitarbeitenden aus Deutschland, Frankreich, der Schweiz, den USA, Großbritannien und Skandinavien. Deutlich wurde dabei, dass »die Betriebe hierzulande schnell und konsequent handeln, wenn sich bei Geschäftspartnern Problemfelder abzeichnen.
Im Ernstfall werden Beziehungen beendet, bevor es zu größeren Schäden kommt«, erläutert Oliver Riehl, Regional Vice President Sales bei NAVEX. Dadurch verzeichneten nur 58 Prozent der deutschen Unternehmen in den letzten zwölf Monaten Störungen durch Lieferanten; weniger als in allen anderen befragten Ländern. Doch der Experte warnt, dieser Erfolg habe eine Kehrseite: »Risiken werden in Deutschland zwar kurzfristig effektiv gemanagt. Doch gleichzeitig wird im Ernstfall in lediglich 66 Prozent der Fälle die Verantwortung dem Vorstand zugeschrieben – der niedrigste Wert aller untersuchten Länder«, erklärt Riehl.
Das führe zu Wissenslücken in der Unternehmensführung, warnt er: »Viele Entscheidungen werden auf Management-Ebene getroffen, statt systematisch eskaliert zu werden. Wenn dann neue Gesetze oder Krisen auftreten, kann kleinteiliges Risikomanagement Betriebe schnell in existenzielle Schwierigkeiten bringen.« Die folgenden Ergebnisse zeigen, wo deutsche Unternehmen in Sachen Verantwortung und Risikosteuerung noch Nachholbedarf haben.
Governance wird selten strategisch verankert, wenn Vorstände außen vor bleiben
Laut der Umfrage möchten die wenigsten deutschen Unternehmen etwas an ihrer Strategie ändern. Nur zehn Prozent der befragten Betriebe wünschen sich bei Entscheidungen über Drittparteien-Risiken mehr Verantwortung auf Vorstandsebene. »Der Wunsch nach Veränderung ist in Deutschland geringer als in allen anderen befragten Ländern. Vielen Unternehmen fehlt das Bewusstsein dafür, dass strategische Governance genauso wichtig ist wie operative Kontrolle«, stellt Riehl klar. Weiter erläutert er: »Solange die Lieferketten stabil sind, sehen die Betriebe keinen Handlungsbedarf. Doch wenn es Schlag auf Schlag kommt, müssen sie handlungsfähig sein: Es braucht klare Eskalationswege und Compliance-Prozesse, um auf mehrere Probleme gleichzeitig konsequent reagieren zu können.«
Um der Verzahnung von operativer Compliance und strategischer Verantwortung gerecht zu werden, rät der Experte deutschen Unternehmen: »Ein integriertes GRC-Programm wie NAVEX One kann Organisationen dabei helfen, sich in der Risikolandschaft zurechtzufinden und gleichzeitig die Kontinuität der Berichterstattung, die regulatorische Sicherheit und die langfristige Compliance zu gewährleisten.«
9 von 10 deutschen Unternehmen überschätzen ihr Risikomanagement
Aus der Befragung geht hervor, dass 91 Prozent der deutschen Betriebe davon überzeugt sind, Probleme rechtzeitig identifizieren zu können, bevor diese eskalieren. Doch laut Riehl sprechen die Daten eine andere Sprache: »Während fast alle Unternehmen sich zuversichtlich geben, haben doch über die Hälfte von ihnen im letzten Jahr schwerwiegende Störungen der Lieferkette erlebt. Das deutet darauf hin, dass Risiken teils zu spät erkannt oder ihre Auswirkungen unterschätzt werden.«
Doch nicht nur in Bezug auf Partner besteht in Deutschland Nachholbedarf. 31 Prozent der Unternehmen gaben in der Befragung an, in den letzten zwölf Monaten einen Kunden, eine Investition oder eine Partnerschaft verloren zu haben, weil sie selbst die entsprechenden Compliance-Anforderungen nicht erfüllen konnten. Laut Riehl ist das ein deutliches Warnsignal: »Compliance wirkt heute wie eine Eintrittskarte in viele Geschäftsbeziehungen. Wir sehen, dass Unternehmen bei Partnern stark auf Kontrolle setzen, aber noch zu selten in die eigene Risikosteuerung auf Vorstands-Ebene investieren. Schulungen helfen Führungskräften und Mitarbeitenden, Risiken angemessen einzuschätzen und zu bewältigen.«
Der Experte mahnt auch zur Selbstkontrolle: »Das kostet deutsche Betriebe aktiv Wettbewerbspotenziale. Wer sich die besten Marktchancen sichern will, muss auch die eigenen Prozesse überprüfen.«
Mangelnde Leitlinien zu KI bremsen deutsche Firmen weiter aus
Auch im Bereich der künstlichen Intelligenz herrscht unter deutschen Unternehmen weiter Unsicherheit. Zwar geben 84 Prozent der Teilnehmer an, es gäbe klare interne Regeln zum Einsatz von KI, doch nur rund ein Drittel hat das Gefühl, damit vollständig auf regulatorische Anforderungen wie den EU AI Act vorbereitet zu sein.
»Deutschland geht beim Einsatz von KI besonders vorsichtig vor«, ordnet Riehl ein. Laut der Befragung haben 58 Prozent der deutschen Betriebe im vergangenen Jahr KI-Projekte wegen ethischer oder regulatorischer Bedenken pausiert oder angepasst. 17 Prozent setzen KI aktuell überhaupt nicht ein, der höchste Wert unter allen untersuchten Ländern. Der Experte erklärt: »Projekte werden eher gestoppt, als Entscheidungen unter Unsicherheit zu treffen. Das schützt vor regulatorischen und Reputationsschäden, darf aber langfristig nicht zu einem Innovationsnachteil führen.«
Entscheidend sei daher eine stärkere strategische Verankerung von Compliance auf Vorstandsebene, so der Experte: »Umfassende Leitlinien schaffen Orientierung sowohl für den Umgang mit KI als auch für Entscheidungen im Third-Party-Management. Wenn Governance, Eskalationsmechanismen und regulatorische Anforderungen klar definiert sind, lassen sich Risiken einfacher steuern und Projekte schneller verantwortungsvoll umsetzen.«
Welche Compliance-Risiken beschert KI deutschen Unternehmen – Vom Regelhüter zum Risikonavigator
Das Interview mit Oliver Riehl, Regional Vice President DACH bei NAVEX, beleuchtet die Herausforderungen und Chancen, die künstliche Intelligenz (KI) für deutsche Unternehmen im Bereich Compliance mit sich bringt. Riehl betont, dass KI helfen kann, Ordnung in die wachsende Komplexität der Regularien zu bringen, jedoch eine gute Governance und klare Richtlinien erforderlich sind, um effektiv eingesetzt zu werden. Zudem wird die Bedeutung einer vertrauensvollen Compliance-Kultur hervorgehoben, um Datenverluste zu vermeiden und die Effizienz von Hinweisgebersystemen zu steigern.
Die Bedeutung von Governance, Risiko und Compliance für die Cybersicherheit
Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt…
Governance, Risk und Compliance – Risikoanalysen für kritische IT-Infrastrukturen
Risikoanalysen sind das Fundament für den systematischen Aufbau und die Verbesserung der Informationssicherheit in jeder Institution. Nur die Kenntnis der Risikolage ermöglicht es, gezielte und wirkungsvolle Maßnahmen zur Risikominimierung zu ergreifen.
Wie Unternehmen Compliance für Cyberversicherungen erreichen können
Möglichkeiten zur Senkung der Versicherungsprämien. Der weltweite Markt für Cybersicherheitsversicherungen ist bis 2026 auf rund 20 Milliarden US-Dollar angewachsen – ein Trend, der sich voraussichtlich fortsetzen wird, da immer stärker ausgefeilte Ransomware-Kampagnen, KI-gestützte Angriffe und der regulatorische Druck zunehmen. Da Cyberkriminalität im Jahr 2026 voraussichtlich wirtschaftliche Schäden in Höhe von Billionen US-Dollar verursachen wird,…
NIS2, KRITIS, ISO und DORA verlässlich einhalten: Wie digitale Zwillinge die IT-Compliance sichern
Ob NIS2, KRITIS, ISO oder DORA – das regulatorische Umfeld für den Betrieb von IT-, Rechenzentrums- und Netzwerkinfrastrukturen war noch nie so dynamisch wie heute. Um die steigenden Compliance-Anforderungen erfolgreich zu meistern, sind Verantwortliche auf intelligente Lösungen und Tools angewiesen. Eine wichtige Rolle hierbei spielt ein digitaler Zwilling der Infrastruktur. Er ermöglicht eine hohe strategische…
Dateninfrastruktur 2026: sieben Prognosen für Leistung, Compliance und Innovation
2026 wird das Jahr, in dem Leistung, Compliance und Innovation zusammenkommen. Für IT-Führungskräfte und Architekten signalisiert dies einen Paradigmenwechsel: Weg von der reinen Beschleunigung von Systemen, hin zu nachweislich kontrollierbaren Architekturen, in denen Transparenz und Steuerbarkeit die neuen Leistungskennzahlen sind. Mit Blick auf die Infrastrukturlandschaft der Daten sieht Scality in 2026 folgende Trends: Die…
Robuste Informationssicherheit und durchgängige Compliance
Wie Controlware mit externen Informationssicherheitsbeauftragten (eISB) bei der Einhaltung regulatorischer Vorgaben unterstützt. Angesichts strenger regulatorischer Vorgaben wie NIS2 und einer zunehmend dynamischen Cyber-Bedrohungslage stehen Unternehmen unter Druck, ihre sensiblen Daten angemessen zu schützen. Hier empfiehlt das BSI die Benennung eines dedizierten Informationssicherheitsbeauftragten (ISB). Doch die damit verbundenen Kosten und der Mangel an Fachkräften stellen…
E-Invoicing mit Pleo – Unterstützung auf dem Weg zu Compliance und Wachstum
Seit Januar 2025 müssen Unternehmen in Deutschland elektronische Rechnungen empfangen können. Viele haben die Umstellung verschoben, doch jetzt wird es ernst. Wer nicht nur regulatorische Pflichten erfüllen, sondern auch interne Abläufe effizienter gestalten will, sollte jetzt handeln. Das Fintech Pleo zeigt, wie E-Invoicing hierbei zum Digitalisierungstreiber wird.
Digitalisierung: Geschwindigkeit ist kein Risiko – sie ist der neue Standard
Über Jahre war Digitalisierung vor allem eines: komplex. Ob im Mittelstand, in der Verwaltung oder im Konzernumfeld – der Anspruch, Prozesse digital zu transformieren, führte häufig zu überdimensionierten Projekten mit unklarem Return on Investment. Heute jedoch zeichnet sich ein grundlegender Wandel ab: Digitale Exzellenz wird nicht mehr an der Tiefe der Integration, sondern an der…
Sicherheit der Kommunikationssysteme und der Cloud-Telefonie – Maßnahmen zur Risikostreuung
Dr. Christian Stredicke, CEO des Kommunikationsanbieters Vodia, betont die Bedeutung der Sicherheit von Kommunikationssystemen und Cloud-Telefonie in deutschen Unternehmen. Besonders zu beachten sind die Risiken und Herausforderungen, die mit der Nutzung von Cloud-Diensten verbunden sind, was für Multi-Cloud- und Hybrid-Modelle zur Risikostreuung spricht. Zudem warnt er vor der einseitigen Abhängigkeit von großen Cloud-Anbietern und den damit verbundenen Datenschutzrisiken, sowie vor Softphones.
Kritische Infrastrukturen: Risikomanagement in Datenzentren
Ein Systemausfall in einem Rechenzentrum gleicht einem Blackout mit potenziell verheerenden wirtschaftlichen Konsequenzen. Studien belegen eindrucksvoll die finanziellen Risiken: Bereits eine Ausfallstunde kann Unternehmen zwischen 1 und 5 Millionen US-Dollar kosten [1]. Hauptursache für längere Ausfälle sind laut einer Studie des Uptime Institute vor allem Probleme mit der Stromversorgung [2] – ein Risikofaktor, der durch…
Whitepaper: 12 Projekte entscheiden über Ihre DORA-Compliance
Der Digital Operational Resilience Act (DORA) gilt seit dem 17. Januar 2025 verbindlich für alle Finanzunternehmen in der EU. Kleinere Institute, die unter das Kreditwesengesetz fallen, hatten in Deutschland zwar eine verlängerte Umsetzungsfrist erhalten. Diese endet allerdings am 1. Januar 2027, sodass sich Institute, die bislang von der Übergangsregelung profitiert haben, dringend auf die Umsetzung…
Compliance by Default: Wie kann Automatisierung die Cyberresilienz stärken?
Die regulatorische Dichte wächst rasant: Mit NIS2, DORA, KRITIS-Verordnungen und der DSGVO steigt der Druck auf Unternehmen, Sicherheits- und Compliance-Anforderungen konsequent umzusetzen. Sie fordern strengere Maßnahmen zur Sicherung der IT-Infrastruktur und verpflichten viele Betriebe, Cyberangriffe zu melden. Damit geht es nicht nur um den Schutz einzelner Organisationen, sondern um die digitale Widerstandsfähigkeit Europas insgesamt. Für…
Whitepaper: So bauen Unternehmen ein Frühwarnsystem für mehr Effizienz und ein besseres Risikomanagement auf
Mit den von der EU geplanten Vereinfachungen der ESG-Berichtspflichten entstehen für Unternehmen neue Handlungsspielräume. Denn statt endlos die regulatorischen Vorgaben abzuarbeiten, ist es nun möglich, ökologische und soziale Auswirkungen systematischer und passgenauer zu analysieren. Wie sich dadurch Risiken früher erkennen, Kosten verringern und Lieferketten resilienter aufstellen lassen, steht im Mittelpunkt des neuen Whitepapers »Nachhaltigkeit: Strategischer…
Quick Check Services: Der schnellste Weg zur lückenlosen Compliance
Controlware unterstützt Unternehmen mit maßgeschneiderten Quick Check Services – einem Beratungsangebot für die effektive Standortbestimmung im Hinblick auf definierte Informationssicherheitsziele, etwaige Standards oder interne Richtlinien. Mit dem kosten- und zeiteffizienten Angebot wird der Ist-Zustand bestimmt, das Delta zum angestrebten Soll aufgezeigt und eine hilfreiche Entscheidungsgrundlage für das weitere Vorgehen geliefert. »Im Zuge der voranschreitenden Digitalisierung,…
Modernes Datenmanagement – Compliance-Stolperfallen bei unstrukturierten Daten vermeiden
Unternehmen sammeln und verarbeiten immer größere Mengen von Daten. Über 80 Prozent dieser Daten sind inzwischen unstrukturiert – einschließlich Word-Dokumenten, PDF-Dateien und E-Mails. Dass diese kein definiertes Format haben, erschwert nicht nur ihre Organisation, Speicherung und Analyse. Ohne ein adäquates Datenmanagement können sich auch Sicherheits- und Compliance-Risiken auftun.
Ganzheitlicher Blick: Deutsche Unternehmen unterschätzen Compliance-Risiken
Eine Studie des Risikomanagementunternehmens NAVEX zeigt: Deutsche Unternehmen bewerten ihre eigenen Compliance-Strukturen im Schnitt sehr gut, obwohl mehr als ein Drittel der Befragten in den letzten drei Jahren von Sicherheitsverletzungen betroffen war. Durch veraltete Strukturen und eine unzureichende Priorisierung können viele Betriebe den zunehmenden Anforderungen und Vorschriften des Risikomanagements nur schwer gerecht werden. Oliver Riehl,…
Versteckte Risiken – Mitarbeiter als Cybersicherheitsrisiko
Cyberangriffe werden immer raffinierter, insbesondere durch neue Technologien und die Notwendigkeit ständig verbunden zu sein. Daher ist es für Unternehmen entscheidend, ihre Mitarbeiter so zu schulen, dass sie diese komplexen Angriffe effektiv erkennen und darauf reagieren können. Amit Kapoor, Vizepräsident und Head of Continental Europe bei Tata Communications, spricht darüber, wie Mitarbeiter sowohl Schwachstelle als auch erste Verteidigungslinie bei Cybersicherheitsvorfällen sein können.
Risikobasiertes Schwachstellen-Management schützt kritische Geschäftsprozesse – »Der CVSS-Score ist nur der Anfang«
Sicherheitsverantwortliche sehen sich mit einer rasant steigenden Zahl potenziell gefährlicher Schwachstellen konfrontiert – und tun sich zunehmend schwer damit, diese Flut fundiert zu priorisieren. Unternehmen stellen mit einem risikobasierten Schwachstellen-Management die Weichen für eine an den Geschäftsprozessen ausgerichtete Cybersecurity – und reduzieren so ihre Ausfall- und Verlustrisiken nachhaltig.
Digitalisierung auf unternehmensweitem Niveau – 360-Grad-Digitalisierung sichert Compliance und Zukunftsfähigkeit
2016 stellte die Nürnberger Wach- und Schließgesellschaft die Weichen für digitale Prozesse und eine zentrale Bündelung der Unternehmensinformationen. Eine ECM-Plattform bildet hierfür seither das Fundament. Ziele waren neben Rechtssicherheit und Compliance auch eine optimierte Zusammenarbeit sowie höhere Effizienz im Arbeitsalltag.