HMD 263, 45. Jahrgang, Oktober 2008

Compliance & Risk Management

Herausgeber: Knut Hildebrand, Stefan Meinhardt

Als E-Book bestellen
Gedruckte Ausgabe bestellen
Feedback an den Herausgeber
Zum Inhaltsverzeichnis

Einwurf

von Hans Stemper

Kompliziert compliant?

Rund 140 Millionen Einträge in Google sowie eine große Anzahl an Presseartikeln und Whitepapers zeigen deutlich: Das Thema "Compliance" ist in und hat die übrigen "Hot Topics" der IT wie SOA (30 Millionen Einträge) oder Governance (50 Millionen Einträge) und Risk Management (70 Millionen Einträge) auf die hinteren Ränge verwiesen. Wobei die letzteren beiden in letzter Zeit häufig mit Compliance zusammen erwähnt werden.

Doch was bedeutet Compliance eigentlich genau?

Eine Definition ist schnell gefunden, so dachte ich anfangs. Eine erste Suche im Internet ergab 28 Definitionen auf Englisch, auf Deutsch immerhin noch elf - allerdings kaum mit Übereinstimmungen. Doch wofür gibt es Wikipedia? Dort wurde ich schließlich fündig: "Compliance bezeichnet die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien bei Unternehmen", so kann man dort lesen, wenn man die Spezialdefinitionen mal beiseite lässt. Dies gelte auch für IT-Compliance, wobei hier der Fokus jedoch stärker auf den Aspekten Datensicherheit, Verfügbarkeit und Datenschutz liege.

Der historische Rückblick zeigt: "Compliance" ist nicht neu. Die Ursprünge liegen Mitte der siebziger Jahre des vorigen Jahrhunderts, als die "United States Securities and Exchange Commission (SEC)" feststellte, dass ein bedeutender Anteil der amerikanischen Unternehmen in Bestechungsskandale in Übersee verwickelt war. Gemäß einer Aussage des "United States Department of Justice" im Jahr 2006 leisteten zu der Zeit mehr als 400 Unternehmen nach eigenen Angaben fragwürdige oder illegale Zahlungen an ausländische Regierungsmitglieder, Politiker und Parteien. In einem der infamsten Fälle gab ein Verantwortlicher von Lockheed Martin zu, 22 Millionen US-Dollar für Bestechungen an japanische Regierungsoffizielle zum Kauf von ihren Flugzeugen aufgewandt zu haben. Um das Vertrauen in die amerikanische Wirtschaft wiederherzustellen, wurde im Dezember 1977 der "Foreign Corrupt Practices Act" als Gesetz verabschiedet; eine der ersten Compliance-Richtlinien, der noch zahlreiche folgen sollten.

In den darauffolgenden Jahren häuften sich sowohl in den Vereinigten Staaten als auch in Europa die Unternehmensskandale. Bis heute wurden Milliarden an Firmenwerten vernichtet, wurden Anleger und Mitarbeiter um ihre Ersparnisse und Pensionsrückstellungen gebracht. So zum Beispiel bei dem Zusammenbruch der Barings Bank durch riskante und unerlaubte Zins- und Währungsspekulationen (1995), bei der Insolvenz von Enron nach der Aufdeckung von Bilanzfälschungen (2001), bei dem von Worldcom eingeleiteten Börsenskandal (2002), Tyco (2004) oder zuletzt durch die Milliardenverluste der Société Générale (2008).

Auch die IT-Branche blieb von derartigen Skandalen nicht verschont, ausgelöst beispielsweise durch mangelnde Sorgfalt beim Umgang mit Kundendaten. So mussten etliche Unternehmen in Großbritannien und den USA in den vergangenen Jahren eingestehen, Daten von etlichen Millionen Kunden aus den Augen verloren zu haben; zuletzt im Juni 2008, als die Bank of New York Mellon den Verlust eines Magnetbandes mit Daten von rund 4,5 Millionen Kunden bestätigen musste.

Die Gesetzgebung reagierte darauf mit neuen Gesetzen, die Überwachungsorgane mit zusätzlichen Richtlinien. Allein in den USA wurden in den letzten drei Jahren 14.000 neue Vorschriften erlassen, die die gesamte Bandbreite an unternehmerischen Aktivitäten abdecken: von Steuerzahlungen und Finanzberichterstattung bis zur Überprüfung der Fertigungsqualität und Überwachung der Materialnutzung. Der Sarbanes-Oxley Act (SOX), Basel II, die EU- Datenschutzrichtlinien oder Markets in Financial Instruments Directive (MiFID) sind nur einige der bedeutendsten Vorschriften. Auf IT-Seite werden sie vom Telekommunikationsgesetz, dem Bundesdatenschutzgesetz (BDSG) und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) begleitet.

Die Erfüllung dieser Vorschriften, und nichts anderes bedeutet Compliance, ist so für viele Unternehmen, vor allem für die international tätigen, zu einer millionenschweren Herausforderung geworden. Die Marktforscher von AMR Research schätzen, dass die Kosten für Compliance-bezogene Maßnahmen in den kommenden fünf Jahren die 80-Milliarden-Dollar-Grenze erreichen werden. Forrester spricht von 115 Millionen Euro, die von europäischen Großbanken allein zur Einhaltung der Basel-II-Richtlinie aufgewandt werden müssen. Und Gartner schätzte bereits 2006 die jährlichen Ausgaben der amerikanischen Unternehmen auf 7.000 Dollar pro Jahr und Mitarbeiter.

Die Finanzierung dieser Ausgaben ist nicht das einzige Problem. In einem regelrechten Compliance-Dschungel fällt es mittlerweile schwer, den Überblick zu behalten. Oft hat ein Unternehmen in verschiedenen Ländern mit entsprechend unterschiedlichen Bestimmungen zu kämpfen. Teilweise sind die Bestimmungen einiger Länder sogar widersprüchlich mit denen anderer Regionen und bringen so die Unternehmen in eine unangenehme Zwangslage.

Die Frage ist also: Wo endet der Nutzen von Compliance? Wann wird Compliance so kompliziert, dass der ursprüngliche Sinn verloren geht, nämlich das verantwortungsvolle Handeln von Unternehmen zu sichern?

Auf der einen Seite müssen Richtlinien und Vorschriften den Unternehmen wettbewerbskonformes Handeln ermöglichen. In der Realität ist jedoch das Gegenteil der Fall: Unternehmen in stark regulierten und kontrollierten Märkten sind am internationalen Markt benachteiligt.

Auf der anderen Seite streben die Gesetzgeber auch ein benchmarkführendes Handeln an, um die führenden Unternehmen anzuspornen und die nachfolgenden auf ein höheres Niveau zu zwingen. Um dieses Ziel zu erreichen, ist die frühzeitige Mitarbeit und Diskussion mit den betroffenen Unternehmen erforderlich.

Meiner Meinung nach gehört die Einhaltung der Richtlinien zum verantwortungsvollen Umgang mit Unternehmenskapital und sollte dem den Führungskräften entgegengebrachte Vertrauen entsprechen. Richtlinien und Vorschriften sind immer dann gut, wenn sie den Schutz der Anleger, Mitarbeiter und Kunden als primäres Ziel haben. Sollten die Führungskräfte dieses Vertrauen missbrauchen, so müssen sie sich dieser Verantwortung auch im rechtlichen Sinne stellen.

Hans Stemper Principal Consultant GFT Group Parc d'Activitats Econòmiques Can Sant Joan Av. de la Generalitat, s/n 08174 Sant Cugat del Vallès (Barcelona), Spanien hans.stemper@gft.com www.gft.com