Compliance
20.06.2013, 09:32 Uhr
Unternehmensrisiken im Einkauf
Die Compliance-Thematik betrifft immer mehr Geschäftsbereiche, gerade der Einkauf bleibt davon nicht unberührt. Wie kann Compliance erreicht werden und welche Hebel stehen unterstützend zur Verfügung?
Die Compliance-Thematik betrifft immer mehr Geschäftsbereiche, gerade der Einkauf bleibt davon nicht unberührt
Florian Lorenz und Patrick Sarbach sind beide Manager für Strategie-, Prozess- & Organisationsberatung bei der Business- und IT-Beratung Q_Perior. Laut einer Studie der Universität Salzburg haben über drei Viertel aller befragten Unternehmen ausgesagt, dass der Einkauf im Zusammenhang mit Compliance der sensibelste Funktionsbereich im Unternehmen ist (vgl. «Einkaufsmanagement und Compliance – eine ganzheitliche Ansicht», 2012). Ein Ergebnis, das wenig überrascht, wenn man bedenkt, dass der Einkauf in der Industrie im Durchschnitt ein Einkaufsvolumen von 50 bis 70 Prozent des Umsatzes verantwortet. Zudem werden die Supply Chains immer komplexer. Hier den Überblick über alle Facetten und Akteure zu behalten, wird immer schwieriger.
Was Bedeutet Compliance?
Grundsätzlich geht es beim Thema Compliance um die Anerkennung und Einhaltung firmenexterner, vorgegebener Gesetze und Regelungen sowie firmeninterner Richt- und Leitlinien, aber auch moralischer und ethischer Wertsysteme. Das Unternehmen und dessen Mitarbeiter sollen vor Schäden durch Compliance-Verstösse, dadurch entstehende rechtliche sowie finanzielle Konsequenzen und Imageverluste geschützt werden. Doch wie kann ein pragmatischer Umgang mit Compliance-Fragestellungen im Einkauf aussehen? Als Basis muss eine entsprechende gesamtunternehmerische Strategie definiert sein, welche die grundlegende Ausrichtung des Unternehmens mit dem Thema Compliance enthält. Darauf aufbauend ist eine Vorgehensweise nach dem folgenden Schema denkbar: Lesen Sie auf der nächsten Seite: Ist-Zustand offenlegen
Schritt 1: Ist-Zustand offenlegen
Jedes Unternehmen sollte den Ist-Zustand seiner Compliance kennen. Die Marktanalysten von Gartner haben dafür ein Maturitätsmodell entwickelt, auf dessen Basis sich der Compliance-Reifegrad eines Unternehmens anhand klar definierter Kriterien einstufen und ablesen lässt (vgl. Abbildung 1). Dieses Modell ist in fünf Reifegradstufen unterteilt. Jede einzelne Stufe baut dabei auf der vorhergehenden auf. Die unterste Stufe des Modells beschreibt ein Umfeld, in dem die Compliance schwer einzuschätzen ist, weil Kontrollaktivitäten weder definiert noch umgesetzt sind oder in denen die Compliance-Verantwortung seitens der Mitarbeiter nicht sichergestellt ist. Auf der höchsten Reifegradstufe sind die internen Kontrollen und ein Compliance-Monitoring in Echtzeit bereits umgesetzt und alle relevanten Aktivitäten technologieunterstützt. Die Erfahrung aus der Praxis zeigt aber, dass mit jeder Verbesserung des Reifegrads die Kosten zur Erreichung der nächsten Stufe überproportional steigen. Allerdings wird dadurch die Transparenz gesteigert und die Flexibilität erhöht, zudem verringert sich das Risiko einer negativen Berichterstattung und die Ressourcenbelastung für die Kontrollaktivitäten reduziert sich. Es stellt sich jedoch die Frage, inwieweit ein Unternehmen bzw. ein Unternehmensbereich überhaupt zum Ziel hat, die höchste Compliance-Reifegradstufe pro Risiko zu erreichen. Lesen Sie auf der nächsten Seite: Einkaufsrisiken aufdecken
Schritt 2: Einkaufsrisiken aufdecken
Die drei folgenden Beispiele mit unterschiedlichen Schwerpunkten zeigen exemplarisch, welchen typischen Compliance-Risiken der Einkauf gegenüberstehen kann: Risiko aus Einkaufssicht: Nicht-Anwenden von Einkaufsstrategien z.B. Single Sourcing aufgrund persönlicher Interessen des Einkäufers und dadurch eine Nicht-Ausschöpfung des Marktpotenzials. Risiko aus Bedarfsträgersicht: Beschaffung am Einkauf vorbei, z.B. Warenbezug direkt durch den Bedarfsträger ohne Einhaltung vorgegebener Bestellprozesse oder Wertänderungen nach Bestellung. Risiko aus Lieferantensicht: Zusammen-arbeit mit Lieferanten, die gegen Gesetze und gängige Wertvorstellungen verstossen z.B. Nicht-Zahlung von Sozialabgaben/Steuern oder Nicht-Beachtung der Menschenrechte (z.B. Kinderarbeit).
Schritt 3: Maturität einstufen
Es empfiehlt sich, die Maturitätseinstufung nicht generell für das Unternehmen, sondern für jedes identifizierte Einkaufsrisiko separat vorzunehmen. Durch die Kombination des Maturitätsmodells und der Risiken entsteht eine Compliance-Matrix (vgl. Abbildung 2). Der Hauptnutzen dieser standardisierten Vorgehensweise liegt nicht nur in der grafischen Darstellung der Ist-Situation, sondern auch in der Definition des strategisch verfolgten und angestrebten Soll-Zustands für jedes Risiko. Diese Form der Darstellung hat sich bereits branchenübergreifend bewährt. Lesen Sie auf der nächsten Seite: Maturität verbessern
Schritt 4: Maturität verbessern
Über verschiedene Stellschrauben lassen sich die angestrebten Maturitätsverbesserungen erreichen. Um dabei erfolgreich zu sein, müssen die Hebel und deren Massnahmen jedoch breit abgestimmt sein, von höchster Stelle vorgegeben und durch einen dedizierten Verantwortlichen kontinuierlich nachverfolgt werden. Für die erwähnten Einkaufsrisiken können so pragmatische und wirkungsvolle Compliance-erhöhende Hebel abgeleitet werden. -Persönliche Sourcing-Präferenzen lassen sich durch folgende Stellhebel reduzieren (vgl. Abbildung 2: H1–H7): Hebel 1: Sourcing-Entscheide immer im Vier-Augen-Prinzip und auf Basis von dokumentierten Entscheidungsmatrixen fällen. Hebel 2: Freigabestufen für Sourcing-Entscheide anhand vordefinierter Wertgrenzen definieren und einfordern. Hebel 3: Über Mindestanforderungen steuern, wer überhaupt Lieferant für das Unternehmen sein darf. Hebel 4: Einkäufer und Bedarfsträger hinsichtlich Compliance-Anforderungen, den entsprechenden Risiken sowie den vorgesehenen Massnahmen schulen. -Eine unregulierte Beschaffung am Einkauf vorbei verhindern bzw. verringern folgende Massnahmen: Hebel 5: Da es sich in einem solchen Fall oft um ein Prozessproblem handelt, kann über eine Prozessanalyse und -optimierung entgegengewirkt werden. Hebel 6: In Ergänzung zum Hebel 5 können über Automatisierungen zusätzliche Optimierungspotenziale realisiert werden, beispielsweise mit systemgestützten Freigabe-Workflows auf Basis eines Berechtigungskonzepts. Hebel 7: Implementierung von IT-gestützten Benachrichtigungen im Fall von aussergewöhnlichen Vorkommnissen wie einem Rechnungseingang ohne vorherige Bestellung.
Fazit: ein mehrschichtiger Prozess
Die Sicherstellung der Compliance ist also ein mehrschichtiger Prozess: Erstens muss das Unternehmen über eine gesamtunternehmerische Compliance-Strategie verfügen. Zweitens müssen sowohl die strategischen als auch die operativen Beschaffungsprozesse definiert, harmonisiert, eingeführt, systemtechnisch unterstützt und vom Unternehmen gelebt werden. Drittens müssen die Mitarbeiter konsequent für den Umgang mit Compliance-Themen sensibilisiert und entsprechend geschult werden, um ein fundiertes Compliance-Verständnis zu erhalten.