Compliance Intelligence

Buch Compliance Intelligence

Praxisorientierte Lösungsansätze für die risikobewusste Unternehmensführung

Schäffer-Poeschel,

Rezension

2007 war ein düsteres Jahr für den Weltkonzern Siemens: Über ein weit verzweigtes System schwarzer Kassen waren mehr als eine Milliarde Euro an Schmiergeldern geflossen. Reputation und Aktienkurs des ehemaligen Vorzeige­un­ternehmens waren am Boden. Das im Buch vorgestellte Konzept stammt aus dieser Zeit, das Unternehmen wird allerdings nicht namentlich erwähnt. Die Autoren standen vor der gi­gan­tis­chen Aufgabe, poten­ziellen Falschspiel­ern in über 1000 Geschäft­sein­heiten weltweit auf die Finger zu klopfen. Zu­fall­skon­trollen, so ihre Erkenntnis, wären da nur ein Tropfen Wasser auf den Wüstensand. Stattdessen sollte ein ausgeklügelter IT-Bull­dozer die ganze Wüste umpflügen und sie Tag für Tag, Sandkorn für Sandkorn nach Unregelmäßigkeiten durchsuchen. Klingt einfach, ist aber ebenso wie die Lektüre dieses Fachbuches recht kompliziert. Offen bleibt zudem die Frage, wie ein System formaler Berech­ti­gungs- und Funk­tion­stren­nun­gen auf der Vor­stand­sebene funk­tion­ieren soll. BooksInShort empfiehlt das Buch CEOs und CFOs, Aufsichtsräten, Com­pli­ance-Of­fi­cers und Wirtschaft­sprüfern, die nach neuen Wegen in der Fi­nan­za­uf­sicht suchen.

Take-aways

  • Corporate Governance hat sich zu einem K.-o.-Kriterium für global tätige Unternehmen entwickelt.
  • Manuelle Kontrollen reichen nicht aus, um die Einhaltung interner und geset­zlicher Vorschriften zu garantieren.
  • Com­pli­ance-In­tel­li­gence führt IT-Systeme und Prüfmethoden so zusammen, dass Kontrollen automatisch ablaufen.
  • Die meisten Mitarbeiter übertreten Regeln, weil sich ihnen die Gelegenheit dazu bietet.
  • Interne Kon­troll­sys­teme müssen Ver­suchun­gen aufspüren und abbauen, z. B. sollten Mitarbeiter nicht zugleich Bestel­lun­gen aufgeben und Rechnungen bezahlen.
  • Bieten Sie Ihren Mi­tar­beit­ern die Möglichkeit, Missstände anonym zu melden.
  • Ergänzen Sie präventive Kontrollen um de­tek­tivis­che und führen Sie beide in einem kon­tinuier­lichen Verbesserung­sprozess zusammen.
  • Kon­tinuier­liches In­for­ma­tion-Min­ing deckt In­ef­fizien­zen in Ar­beit­sprozessen auf.
  • Im CFO-Mon­i­tor­ing-Cock­pit verfolgen Sie die Wirksamkeit der Maßnahmen und passen Kon­troll­regel­w­erke an.
  • Transparenz ist Trumpf: Com­pli­ance-Sys­teme spionieren nicht, sondern dienen dem Wohl aller.
 

Zusammenfassung

Aktives Risiko­man­age­ment

Globale Geschäftstätigkeit ist eine komplexe An­gele­gen­heit. Angesichts der kom­mu­nika­tiven Vernetzung kann es passieren, dass der Ruf eines Un­ternehmens in Gegenden ruiniert wird, in denen es nicht einmal präsent ist. Compliance, d. h. die Einhaltung geset­zlicher Pflichten und interner Leitlinien, ist heute wichtiger denn je, auch weil sie sich direkt auf den Un­ternehmenswert auswirkt. Grobe Ver­fehlun­gen haben nicht wenige Unternehmen an den Rand des Abgrunds gebracht. Die multipolare Welt bietet zwar viele Chancen, etwa den Zugang zu neuen Märkten, aber es drohen auch neue Risiken wie steigende reg­u­la­torische An­forderun­gen, politische und soziale Unruhen oder abnehmende Mi­tar­beit­er­loy­alität. Ein aktives Risiko­man­age­ment ist heute unerlässlich.

„Compliance nur als notwendiges Übel oder gar als Bedrohung aufzufassen, scheint den Autoren zu kurz gegriffen. Sie ist, wie andere Her­aus­forderun­gen auch, mit Chancen verbunden, wenn man ihr nicht nur defensiv begegnet.“

Gov­er­nance-Pro­gramme bieten im Dschungel geset­zlicher und frei­williger Vorschriften Ori­en­tierung. Sie sind der „Knigge“ jedes Un­ternehmens. Ermöglichen Sie Ihren Mi­tar­beit­ern, Missstände anonym zu melden und führen Sie scharfe Sanktionen bei Zuwider­hand­lun­gen ein. Einfache Tätigkeiten, die sich mit Transak­tio­nen befassen, können Sie intern konzen­tri­eren oder in Länder mit niedrigen Lohnkosten auslagern. Hoch spezial­isierte Tätigkeiten wie die zentrale Berichter­stat­tung, M&A-Aktivitäten und das Risiko­man­age­ment sollten Sie hingegen in der Fi­nan­z­abteilung zusammenführen. Com­pli­ance-In­tel­li­gence hilft dieser, bestehende In­for­ma­tion­stech­nolo­gie und Prüfmethoden so zusam­men­zubrin­gen, dass Kontrollen automatisch ablaufen.

Kontrolle ist besser

Ein Ver­trauensverhältnis zu Mi­tar­beit­ern und Geschäftspartnern ist Gold wert – sich allein darauf zu verlassen jedoch naiv. Die meisten Gele­gen­heits­betrüger im Job würden sich niemals als kriminell bezeichnen. Vielmehr geraten sie kurzfristig privat oder beruflich unter Druck, es bietet sich die Möglichkeit zur unbemerkten Regel­widrigkeit, und sie finden einen Weg, ihre Tat einigermaßen rational zu recht­fer­ti­gen. Ziel der Com­pli­ance-In­tel­li­gence ist es, solche Gele­gen­heiten zu reduzieren. Wenn etwa vor Schulanfang die Bestel­lun­gen für Bürobedarf stark ansteigen, ist das ein Hinweis darauf, dass es zu viele Möglichkeiten zum Schummeln gibt. Manuelle Kontrollen greifen zu kurz und sind zu kostspielig. Demgegenüber haben au­toma­tisierte Systeme viele Vorteile:

  • Die Bestimmung von Stich­probenkri­te­rien und Stichtagen entfällt. Kon­trol­liert wird kon­tinuier­lich, nicht nur innerhalb begrenzter Zeiträume.
  • Die Frage, ob es sich bei Unregelmäßigkeiten um Einzelfälle handelt, wird obsolet.
  • Das Unternehmen mit all seinen Geschäft­sein­heiten und Schnittstellen wird abgedeckt.
  • Die Ausgaben sinken langfristig, da nach der Einführung kaum Folgekosten anfallen.
  • In­tel­li­gente Systeme decken Prozessin­ef­fizien­zen und Op­ti­mierungspoten­ziale auf.

In­for­ma­tion-Min­ing lohnt sich

Die Haup­tauf­gabe interner Kon­troll­sys­teme liegt im „In­for­ma­tion-Min­ing“, d. h. in der au­toma­tisierten Suche nach Prozessin­ef­fizien­zen, Risiken und unrechtmäßigen Handlungen in großen Datenbeständen. Ein Beispiel für In­ef­fizien­zen sind verse­hentliche Dop­pelzahlun­gen an Lieferanten. Ein Risiko liegt vor, wenn etwa ein Mitarbeiter eine Bestellung gle­ichzeitig aufgeben und annehmen kann. Von unrechtmäßigem Handeln spricht man z. B., wenn Angestellte bestimmte Lieferanten bevorzugt behandeln oder Leistungen für den eigenen Gebrauch bestellen. Weiter liefert das In­for­ma­tion-Min­ing Hinweise darauf, wie effizient insgesamt gewirtschaftet wird. Z.B. könnte die Vol­u­men­verteilung auf un­ter­schiedliche Lieferanten nahelegen, dass deren Zahl reduziert wird. Ohne großen zusätzlichen Aufwand erhalten Sie so In­for­ma­tio­nen mit hohem Mehrwert. Die Investition in ein in­tel­li­gentes System zahlt sich immer aus. Laut einer Studie haben Unternehmen mit durch­schnit­tlichen Fi­nanz­funk­tio­nen von bis zu 44 % mehr Com­pli­ance-Mi­tar­beiter und zahlen bis zu 47 % mehr für externe Prüfungen als diejenigen mit den besten Fi­nanz­funk­tio­nen.

Regelwerke erarbeiten

So führen Sie Com­pli­ance-In­tel­li­gence in Ihrem Unternehmen ein:

  1. Analysieren Sie den Geschäftsprozess, und zwar im Hinblick auf Übergabepunkte: Zwischen Einkauf und Buchhaltung oder zwischen Bestellung und Rech­nungsstel­lung liegen die größten Gefahren für Unregelmäßigkeiten.
  2. Iden­ti­fizieren Sie die Kernrisiken. Welche sind die gefährlichsten? Beispiele sind Un­stim­migkeiten zwischen Leistung und Gegen­leis­tung oder die fehlende Trennung von Ve­r­ant­wortlichkeiten. Kein Mitarbeiter sollte unau­torisiert in den Prozess eingreifen oder Kon­trollpunkte umgehen können.
  3. Entwickeln Sie die Kon­troll­strate­gie, indem Sie Ziele definieren: Unter welchen Umständen kann eine Unregelmäßigkeit gar nicht erst auftreten? Definieren Sie die Aktivitäten, die das Erreichen dieser Ziele kon­trol­lieren. Die Aktivitäten fassen Sie zu un­ternehmensweiten Kon­troll­regel­w­erken zusammen.
  4. Passen Sie das Regelwerk an lokale Spezifika an: Nicht alle Geschäft­sein­heiten in allen Ländern lassen sich über einen Kamm scheren. Un­ter­schiedliche Daten­ver­ar­beitungssys­teme sind nur eine von vielen Her­aus­forderun­gen.
„Die praktische Umsetzung von Com­pli­ance-In­tel­li­gence ist sicherlich anspruchsvoll, aber auch der finanzielle und personelle Aufwand für manuelle Kontrollen ist bei einem großen Unternehmen dauerhaft hoch.“

Präventive Kontrollen verhindern, dass überhaupt ein Risiko besteht. Bei der Vergabe einer Berech­ti­gung können Sie automatisch prüfen lassen, ob diese mit einer bereits bestehenden im Konflikt steht. De­tek­tivis­che Kontrollen liefern Hinweise auf mögliche Unregelmäßigkeiten. Ein Beispiel wäre eine hohe Zahl von Buchungen am Monatsende, die kurz darauf storniert wird. Wohl gemerkt: Eine Zuwider­hand­lung ist damit nicht bewiesen. Aber der Fall sollte weiter verfolgt werden. De­tek­tivis­che und präventive Maßnahmen ergänzen einander in einem kon­tinuier­lichen Verbesserung­sprozess, da erstere die Ideen für letztere liefern.

Mitarbeiter schützen

Auf der Mi­tar­beit­erebene geht es in erster Linie um Prävention. Prüfen Sie zunächst die kritischen Einzel­berech­ti­gun­gen. Dann verteilen Sie wichtige Funktionen auf so viele Schultern wie möglich. Mit einer kon­se­quenten „Segregation of Duties“ (SoD) wird verhindert, dass z. B. ein IT-Mi­tar­beiter, der für Archivierung und Sys­temkon­fig­u­ra­tion gle­ichzeitig zuständig ist, Daten so verfälscht, dass sie nicht mehr geprüft werden können. Erstellen Sie ein Kon­troll­regel­w­erk, das SoD-kon­forme Berech­ti­gun­gen in sämtliche Prozesse des Un­ternehmens integriert. Mitarbeiter, die ihren Auf­gaben­bere­ich wechseln, müssen alte Berech­ti­gun­gen verlieren, wenn diese mit den neuen im Konflikt stehen. Selbstverständlich müssen Sie dafür sorgen, dass die gewonnenen Daten nicht für per­so­n­en­be­zo­gene Auswer­tun­gen missbraucht werden. Com­pli­ance-In­tel­li­gence ist keine un­ternehmerische Geheim­polizei, sondern ein Instrument zur Vorbeugung. Es geht um das Wohl des Mi­tar­beit­ers und aller In­ter­es­sen­grup­pen – und genau so sollten Sie es kom­mu­nizieren.

Aktionen auswerten

Auf der Ak­tion­sebene wird de­tek­tivisch gearbeitet. Tag für Tag überprüft der „Prozess­de­tek­tiv“ Geschäft­stransak­tio­nen, Stammdaten und die präventive Funk­tion­stren­nung auf ihre Ordnungsmäßigkeit. Zudem liefert er In­for­ma­tio­nen, die Ihnen helfen, Prozesse zu verbessern. Werden alle ver­traglichen Konditionen, etwa der Skontoabzug, genutzt? Wie lange dauern bestimmte Handlungen und an welchen Stellen könnte der Ablauf beschle­u­nigt werden? Con­tin­u­ous-Con­trols-Mon­i­tor­ing (CCM), die kon­tinuier­liche Analyse von Transak­tions­daten und Kontrollen, ermöglicht das Erreichen dieser Ziele. Die Rohdaten aus den Vorsystemen werden mithilfe stan­dar­d­isierter Methoden analysiert und auf die CCM-Plat­tform übertragen.

IT-Schutzschilde

Die dritte Kon­trollebene ist die der Ap­p­lika­tio­nen. Ap­p­lika­tion­skon­trollen sind IT-gestützte Schutzschilde, die anonyme oder un­berechtigte Daten­ver­ar­beitung verhindern und Ma­nip­u­la­tio­nen in der Daten­ver­ar­beitungslogik abwehren, z. B. mithilfe der Anlegung komplexer Passwörter. Sämtliche Sicher­heitsmaßnahmen auf der Mi­tar­beit­erebene sind wertlos, wenn es Betrügern gelingt, sich unter dem Namen anderer in das System einzuschle­ichen. Unrechtmäßige Handlungen wie das Zahlen zu hoher Mi­tar­beit­er­bezüge können Sie mithilfe einer entsprechen­den IT-Kon­fig­urierung verhindern. Das Konzept der PACs (Pre­ven­ta­tive-Ap­pli­ca­tion-Con­trols) ist nicht neu. Es gibt sie schon seit den Anfängen kaufmännischer Software. Oft sind sie jedoch gar nicht aktiviert oder gehen an den spez­i­fis­chen Bedürfnissen eines Un­ternehmens vorbei. Die Her­aus­forderung besteht in einer in­tel­li­gen­ten Anpassung mithilfe so genannter PAC-Kon­troll­moni­toren. Diese kon­trol­lieren die Wirksamkeit aller PACs und ko­or­dinieren sie un­tere­inan­der.

Ein Prax­is­beispiel

Die Her­aus­forderung war gewaltig: Das Projektteam musste Com­pli­ance-In­tel­li­gence innerhalb kürzester Zeit in einem deutschen In­dus­triekonz­ern mit rund 1000 Geschäft­sein­heiten im In- und Ausland einführen. Grund­vo­raus­set­zung war absolute Transparenz: Das Team berichtete wöchentlich an den Entschei­dungsauss­chuss und führte monatliche Re­view-Ses­sions mit den Geschäft­sein­heiten durch. Im In­tranet-basierten „Roll­out-Tracker“ waren alle relevanten Termine jederzeit einsehbar.

„Würden alle nur denkbaren Maßnahmen und Regelungen, die eine spezifische Risikosi­t­u­a­tion betreffen, im Unternehmen vollständig umgesetzt, käme die Geschäftstätigkeit praktisch zum Erliegen.“

Der Rollout selbst hing von der Risiko­pri­or­isierung ab: Ein Indikator für das Risikopoten­zial einer Geschäftseinheit war z. B. das Ko­r­rup­tion­srank­ing von Trans­parency In­ter­na­tional. Zunächst musste jede Geschäftseinheit de­tail­lierte Fragebögen über ihre Ar­beit­sprozesse und ihre IT-Systeme ausfüllen – der erste von vielen Meilen­steinen, die über den Pro­jek­tver­lauf hinweg gesetzt wurden. Nach einigen Testdurchläufen lief dann die „CCM factory“ an, eine au­toma­tisierte Da­te­n­analyse-Plat­tform, welche die wichtigsten In­for­ma­tio­nen her­aus­fil­terte. Anschließend folgten die ersten präventiven Kontrollen. Zu berücksichtigen waren lokale Beson­der­heiten: Kleine Geschäft­sein­heiten hätten etwa eine strikte Funk­tion­stren­nung nur durch zusätzliches Personal gewährleisten können. In solchen Fällen galt es, alternative Lösungen zu finden. Ein entschei­den­der Schritt war die Har­mon­isierung der Stammdaten.

„Kommt die Zentrale mit zusätzlichen An­forderun­gen, ist als erste Reaktion durchaus die Aussage zu hören: ,Wir müssen auch noch Geschäfte machen!‘“

Um zu vermeiden, dass Geschäftspartner in un­ter­schiedlichen Schreib­weisen mehrfach geführt wurden, teilte man jedem eine un­ternehmensweite Iden­ti­fika­tion­snum­mer zu. Das Mi­tar­beit­er­verze­ich­nis wurde um Funk­tions­beze­ich­nun­gen erweitert, damit die Einhaltung der SoDs überprüft werden konnte. Im Web-basierten CFO-Mon­i­tor­ing-Cock­pit wurden alle Ergebnisse zusam­menge­fasst. Der CFO kann darin durch Auswahl der Region, der Geschäftseinheit oder der Zeiträume recher­chieren, wie welche Maßnahme wo am besten greift – oder auch nicht.

„Let­z­tendlich wird aber jedes risikobe­wusste Kon­troll­sys­tem, das dauerhaft bestehen soll, an zwei Grund­prinzip­ien gemessen: Wirksamkeit und Wirtschaftlichkeit.“

Es­kala­tion­s­mech­a­nis­men sorgen dafür, dass die Mitarbeiter ein iden­ti­fiziertes Problem unverzüglich bearbeiten. Je länger sie es ignorieren, desto höher steht der CFO, der davon erfährt, in der Un­ternehmen­shier­ar­chie. Noch während des Rollouts übertrug das Projektteam das notwendige Know-how an die lokalen Geschäft­sein­heiten. Com­pli­ance-In­tel­li­gence ist nun fester Bestandteil des globalen, operativen Betriebs.

Über die Autoren

Michael H. Brauer ist Vice President und Klaus-Di­eter Steffen Director der Abteilung Corporate IT bei Siemens. Sie waren zuletzt für die konz­ern­weite Einführung eines Com­pli­ance-Pro­jekts ve­r­ant­wortlich. Sven Biermann und Andreas H. Schuler sind Un­ternehmens­ber­ater mit den Schw­er­punk­ten Finance- und Per­for­mance-Man­age­ment.