Fehlende Ressourcen und Prozesse

Compliance und Risk ohne Schwung

Für viele Firmen sind Compliance und Risk Management lästige Übel, für die sie nur so viel wie unbedingt nötig ausgeben und planen. Die Praxis ist dementsprechend chaotisch und riskant.

von Werner Kurzlechner, am 5. Mai 2010

Für Compliance und Risikomanagement bekommen deutsche Unternehmen weiterhin keine guten Noten. Zumindest, nicht von Analysten und Beratern von Deloitte und BearingPoint oder von der Wissenschaftlerin Birgit Galley. Gemeinsamer Tenor der Kritik: Die Firmen sparen Personal an der falschen Stelle, halten ihre IT nicht auf dem neuesten Stand und vergeuden Geld durch schlechte Organisation. 70 Prozent der Banken sind nicht einmal in der Lage, ihre Compliance-Kosten korrekt und vollständig zu ermitteln, moniert etwa Deloitte.

Nichts aus dem Siemens-Skandal gelernt

Vor allem der Korruptionsskandal bei Siemens, der das Unternehmen jede Menge Geld und Renommee kostete, machte den großen Unternehmen die Bedeutung von Compliance bewusst. "Leider fielen viele Vorstände nach Einbruch der Finanz- und Wirtschaftskrise wieder in einen Dornröschenschlaf", kritisiert Birgit Galley, Direktorin der School of Governance, Risk & Compliance an der Steinbeis-Hochschule Berlin. Um Geld zu sparen, sei Personal abgebaut oder nicht wie geplant aufgestockt worden, so Galley. Gekürzt hätten die Firmen auch bei der Fortbildung und Schulung der Mitarbeiter, dabei hänge eine erfolgreiche Compliance vor allem am Engagement und Wissen der Belegschaft. „Eigentlich müsste man in Krisenzeiten antizyklisch vorgehen", sagt Galley. Aber diese Strategie werde nur von wenigen Unternehmen umgesetzt.

Heißes Eisen Datenschutz

Vernachlässigt wird auch die IT, die etwa bei der Betrugsentlarvung eine zentrale Rolle spielt. Dafür müssten beispielsweise Zahlungseingänge und E-Mail-Verkehr regelmäßig gescannt werden (ebenso wichtig ist eine rechtskonforme Archivierung von Emails). In diesem Bereich kehrte aber auch wegen der Datenschutzskandale bei Unternehmen wie der Deutschen Telekom Zurückhaltung ein. "Die Unternehmen trauen sich seither an dieses Thema überhaupt nicht mehr heran", sagt Galley (mehr zum Datenschutz in Unternehmen lesen Sie hier).

Compliance-Regeln werden nicht gelebt

"Oft agieren Unternehmen bei Risikomanagement und Compliance noch eher reaktiv – etwa um mit neuen oder verschärften Regularien des Gesetzgebers beziehungsweise der Aufsichtsbehörden Schritt zu halten", sagt Dr. Robert Wagner, Partner bei BearingPoint. Eine flächendeckende Verankerung in allen Unternehmensbereichen bleibe dann meist aus (auch die Wirtschaftsprüfer von KPMG hatten erst kürzlich die Umsetzung von Compliance-Programmen in Unternehmen bemängelt). Dabei sollten Kenntnis und Einhaltung von Compliance-Vorschriften Aufgabe eines jeden Mitarbeiters sein, so Wagner. Schließlich stünden nicht nur direkte Folgen wie Geschäftsausfälle, Vermögensschäden oder Strafzahlungen auf dem Spiel, sondern auch indirekte Schäden wie der Rückzug von Geschäftspartnern aufgrund von Reputationsschäden.

CFO als Vorbild gefragt

Compliance und Risikomanagement müssten Teil der Unternehmenskultur werden und dürften nicht einfach in eine entsprechende Abteilung „wegdelegiert“ werden, so Wagner. Zu den wesentlichen Erfolgsfaktoren zählt auch er neben Transparenz, Messung und Reporting das Training der Mitarbeiter. Entscheidend sei aber vor allem die Vorbildfunktion durch das Management – was insbesondere auch den CFO betrifft, zu dem oft der direkte Berichtsweg der Compliance-Bereiche führt (siehe auch die Lage beim Risiko Management in vielen Unternehmen).