IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

ComplianceDas Compliance Management weist nach den Beobachtungen von Carmao in vielen Unternehmen erhebliche Schwächen auf, auch eine kürzlich durchgeführte Studie des Beratungshauses kam zu diesem Ergebnis. Der Compliance-Experte Ulrich Heun hat deshalb aus Praxissicht einige Optimierungstipps zusammengestellt.

Regelungen scheitern oft an ihrer Praktikabilität

  1. Bedarfsgerecht definieren
    Compliance ist nicht gleich Compliance, da es abhängig von regulativen Anforderungen an die jeweilige Branche ist oder gemäß dem Selbstverständnis eines Unternehmens sehr unterschiedlich konzipiert sein kann. Allein der Download einer Compliance Policy im Internet oder die Verwendung von Standardregelungen kann Compliance nicht zu einem wirkungsvollen Instrument machen, da die unternehmensspezifischen Erfordernisse unberücksichtigt bleiben. Vor allem aber ist das Compliance Management nicht nur eine Frage von Vorschriften, sondern benötigt auch entsprechende Prozesse, die definiert und eingehalten werden müssen.
     
  2. Auf Überflüssiges verzichten
    Bei Regelungen gleich welcher Art besteht oft die Tendenz, über das Ziel hinauszuschießen. Dadurch kann schnell eine Komplexität entstehen, bei der deutlich mehr als notwendig geregelt und gesteuert wird. Deshalb sollte mit einem sehr selbstkritischen Blick darauf geachtet werden, die Vorgaben und Prozesse von Anforderungen freizuhalten, die keinen tatsächlichen Compliance-Nutzen gewährleisten.
     
  3. Auf die Praktikabilität achten
    Wer das Compliance Management nicht auf die tatsächlichen betrieblichen Belange zuschneidet, wird die Arbeitsprozesse unnötig hemmen und vor allem die Kreativität fördern, Vorschriften zu umgehen. Notwendig ist vielmehr eine Compliance-Strategie, die auf ausreichend Entscheidungsfreiraum und Schwellenwerten beruht, damit sie sich harmonisch in den betrieblichen Alltag integrieren kann und auch umgesetzt wird.
     
  4. Für Verständnis sorgen
    Die Qualität der Kommunikation ist der ganz entscheidende Faktor bei der Wirksamkeit von Compliance und wie sie von oben bis nach unten durchdringt. Wird lediglich formal und nicht persönlich informiert, entstehen allein schon deshalb zwangsläufig Schwächen, weil die Anforderungen von den Mitarbeitern entweder gar nicht wahrgenommen oder nicht ausreichend verstanden werden. Zielgerechter sind Schulungs- und Informationsprozesse mit Dialogmöglichkeiten, außerdem sollte die Compliance-Kommunikation kontinuierlich erfolgen.
     
  5. Compliance von oben vorleben
    Die Chefetage und die weiteren Managementebenen müssen sichtbar als Vorbilder agieren, wenn die Regelungen nicht nur auf dem Papier stehen, sondern gelebt werden sollen. Je weniger oder unklarer sich die Führungskräfte zu Compliance äußern, desto schwerer ist es auch, bei den Mitarbeitern die notwendige Akzeptanz aufzubauen.
     
  6. Sinnvoll kontrollieren
    Ein Compliance-System kann nur dann effizient sein, wenn es auch entsprechende Kontrollen vorsieht und Verstöße sanktioniert. Aber Kontrollverfahren müssen transparent, verständlich und angemessen sein, weil sich das Verhalten der Mitarbeiter ansonsten nicht darauf konzentriert, die Compliance-Regeln aktiv zu leben, sondern vor allem zu vermeiden, dass sie in die Falle des Kontrollsystems tappen. Personalrotationen unterstützen übrigens auch darin, dass sich in den Kontrollfunktionen ein zu starkes Eigenleben/Vakuum entwickelt.
     
  7. Compliance Regelwerk implementieren
    Von zentraler Bedeutung ist die Einführung eines zentralen Compliance oder Ethikkodex, der die wesentlichen Regelungen und Verhaltensanforderungen zusammenfasst, unternehmensweit Gültigkeit hat und Teil der arbeitsvertraglichen Regelung des Unternehmens mit seinen Mitarbeitern ist. Der Inhalt des Kodex ist zum Teil von den Ergebnissen einer Risikoanalyse im Unternehmen abhängig und beruht ansonsten auf den Wertevorstellungen, die sich das Unternehmen selbst auferlegen möchte.
     
  8. Hinweisgebersysteme und Ombudsmann einrichten
    Mitarbeiter müssen die Möglichkeit zur (anonymen) Einreichung von Hinweisen auf mögliche Compliance Verstöße haben. Dies kann beispielsweise über ein Briefkasten-System, durch die Einrichtung einer Telefonhotline oder durch einen externen Anwalt erfolgen. Nicht nur die Mitarbeiter, sondern auch die Zulieferer des Unternehmens sollten dieses Hinweisgebersystem nutzen können.
     
  9. Einbindung in das operative Geschäft
    Die Compliance Organisation sollte in das operative Geschäft eingebunden sein, um unmittelbar mögliche Compliance Risiken oder Defizite zu erkennen und um geeignete Präventionsmaßnahmen einzuleiten.
     
  10. Den zahnlosen Tiger vermeiden
    Das Compliance Management muss über den nötigen Durchgriff im Unternehmen verfügen, um Verstöße gegen Gesetze oder die Compliance Richtlinien untersuchen zu können, Fehlverhalten zu unterbinden und Sanktionen auszusprechen. Ansonsten wird sich die Compliance Organisation als wirkungslos erweisen.
     
  11. Agil bleiben
    Das Compliance Management lässt sich nicht mit dauerhafter Gültigkeit konzipieren. Dies gilt für die inhaltlichen Regelungen ebenso wie für die Prozesse und die Definition der Kontrollen. Stattdessen muss es so angelegt sein, dass die veränderbaren Anforderungen kontinuierlich, schnell und umsetzbar einbezogen werden können. Dies verlangt einen agilen statt starren Ansatz.

Ulrich Heun, Carmao GmbH

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet