Compliance
27.10.2008, 10:49 Uhr
Wie man sich gegen schwere Zeiten wappnet
Die aktuelle Finanzkrise setzt neue Massstäbe. Aller Voraussicht nach müssen Unternehmen mit weiteren Regulierungen und Vorschriften rechnen. Wie geht man mit der lästigen, aber notwendigen Pflicht Compliance kompetent um?
Aus Juristensicht ist Compliance die Summe aller organisatorischen Massnahmen, die rechtskonformes Verhalten sicherstellen. Dies gilt sowohl für Handlungen des Unternehmens als auch für die Handlungen jedes einzelnen Mitarbeiters. Adäquate Richtlinien sollen dabei Gesetzesverstösse verhindern. Webster Dictionary beschreibt Compliance als «the action or fact of complying with a wish or command». Es geht also um die Einhaltung sowohl von rechtlichen Vorgaben wie den Verordnungen der EBK (Eidgenössische Bankenkommission), Basel II oder SOX (Sarbanes-Oxley Act), als auch von konzerninternen Weisungen und Anordnungen.
Finanzkrise trotz Compliance
Wie lässt sich die aktuelle Finanzkrise erklären, wenn sich die Finanzinstitute doch gesetzeskonform (compliant) verhalten haben? Was hat hier so kläglich versagt? Eine einfache Antwort darauf gibt es nicht, denn Unternehmensleiter, Manager, Sicherheitsbeauftragte, Revisoren, Juristen und IT-Experten haben ihre eigenen Vorstellungen davon, wie Compliance umzusetzen ist.
Fest steht nur eines: Jeder tut sich mit dem Thema Compliance schwer, geht es doch um konkrete Handlungen, die sich aus abstrakten Gesetzen, Vorschriften, Ge- und Verboten ableiten. Dabei entwickelt sich oft eine hohe, jedoch wenig koordinierte und synchronisierte Regulierungsdichte, die zudem stetig wächst. Eine zweckmässige, einheitliche und firmenübergreifende Umsetzung wird so zur Glückssache.
Eines der grössten Probleme bleibt dabei der enge Spielraum der Compliance-Auflagen. Allzu oft entstehen neue Regeln «post festum», werden also erst im Nachhinein festgelegt, wenn das Kind bereits in den Brunnen gefallen ist.
Fest steht nur eines: Jeder tut sich mit dem Thema Compliance schwer, geht es doch um konkrete Handlungen, die sich aus abstrakten Gesetzen, Vorschriften, Ge- und Verboten ableiten. Dabei entwickelt sich oft eine hohe, jedoch wenig koordinierte und synchronisierte Regulierungsdichte, die zudem stetig wächst. Eine zweckmässige, einheitliche und firmenübergreifende Umsetzung wird so zur Glückssache.
Eines der grössten Probleme bleibt dabei der enge Spielraum der Compliance-Auflagen. Allzu oft entstehen neue Regeln «post festum», werden also erst im Nachhinein festgelegt, wenn das Kind bereits in den Brunnen gefallen ist.
Deregulierung versus Regulierung
Ein Blick in die Vergangenheit zeigt, wie man zwar vieles richtig macht, aber am Ende trotzdem alles den Bach runtergeht. In den frühen siebziger Jahren begann die eigentliche Ära der Deregulierung. Eine stagnierende Wirtschaft musste von starren Regeln erlöst werden. Unter den Regierungen der damaligen Präsidenten Carter und Reagan begann in den USA eine Deregulierungswelle, die erst durch die Skandale um Enron, Tyco International, Adelphia oder Peregrine Systems WorldCom abebbte - die Trendwende war eingeläutet.
Die durch den Sarbanes-Oxley Act geschaffene zusätzliche Transparenz und Kontrolle, ergänzt durch die Basel-II-Auflagen für die Risikoüberwachung bei Banken, konnte die aktuelle Finanzkrise jedoch nicht verhindern. Trotz teurer Überwachungssysteme mussten Banken in den letzten Monaten Milliardenbeträge abschreiben. Es stellt sich die Frage, ob dieser grosse operative Aufwand vor dem Hintergrund der bisherigen und heutigen Regulierungswellen wirklich gerechtfertigt ist.
Die durch den Sarbanes-Oxley Act geschaffene zusätzliche Transparenz und Kontrolle, ergänzt durch die Basel-II-Auflagen für die Risikoüberwachung bei Banken, konnte die aktuelle Finanzkrise jedoch nicht verhindern. Trotz teurer Überwachungssysteme mussten Banken in den letzten Monaten Milliardenbeträge abschreiben. Es stellt sich die Frage, ob dieser grosse operative Aufwand vor dem Hintergrund der bisherigen und heutigen Regulierungswellen wirklich gerechtfertigt ist.
Trend: Zunehmend wolkig
Aller Voraussicht nach werden die jüngsten Vorfälle zu weiteren gesetzlichen und behördlichen Auflagen führen. Spass macht das keinem. Branchenvertreter werden einen schweren Stand gegenüber der Regierung haben und sich weitere Regulierungsmassnahmen gefallen lassen müssen. Der Trend in Richtung Gesetzes- und Verbotsvielfalt, die selbst eingefleischten Juristen zuweilen einen Schauer über den Rücken jagt, wird anhalten.
Auch firmenintern besteht die Gefahr, aus Furcht vor negativen Folgen allzu detaillierte Einzelregelungen zu treffen. Leider vergisst man dabei leicht, dass sich Vertrauen nicht «herbeiregulieren» lässt. Unternehmen müssen sich zwar der Herausforderung Compliance stellen, vor lauter Bäumen im Compliance-Wald sollte der Weg zum Geschäftserfolg aber noch erkennbar sein.
«Compliant» zu sein gilt als entscheidender Qualitätsfaktor eines Unternehmens. Entsprechend gross ist das Angebot auf Anbieterseite: Eine Google-Schlagwortsuche zum Thema Compliance liefert über 100 Millionen Treffer; einen grossen Anteil daran haben Werbelinks, die auf Compliance-Dienstleister verweisen. Es gibt Unternehmen, die ihren Kunden zertifizierte Verfahren, Software oder Schnittstellen unter dem Deckmantel «Compliance» verkaufen. Diese Tendenz ist unter anderem im Umfeld der unternehmensweiten Archivierung geschäftsrelevanter Dokumente zu beobachten.
Auch firmenintern besteht die Gefahr, aus Furcht vor negativen Folgen allzu detaillierte Einzelregelungen zu treffen. Leider vergisst man dabei leicht, dass sich Vertrauen nicht «herbeiregulieren» lässt. Unternehmen müssen sich zwar der Herausforderung Compliance stellen, vor lauter Bäumen im Compliance-Wald sollte der Weg zum Geschäftserfolg aber noch erkennbar sein.
«Compliant» zu sein gilt als entscheidender Qualitätsfaktor eines Unternehmens. Entsprechend gross ist das Angebot auf Anbieterseite: Eine Google-Schlagwortsuche zum Thema Compliance liefert über 100 Millionen Treffer; einen grossen Anteil daran haben Werbelinks, die auf Compliance-Dienstleister verweisen. Es gibt Unternehmen, die ihren Kunden zertifizierte Verfahren, Software oder Schnittstellen unter dem Deckmantel «Compliance» verkaufen. Diese Tendenz ist unter anderem im Umfeld der unternehmensweiten Archivierung geschäftsrelevanter Dokumente zu beobachten.
Spreu vom Weizen trennen
Dabei gilt: Nicht das Produkt an sich, sondern erst dessen Einbindung in die Unternehmensabläufe und seine korrekte Nutzung entscheiden darüber, ob sich ein Unternehmen gesetzeskonform verhält. Auch Zertifikate oder die interne Revision sind ein Schritt in die richtige Richtung. Ob dann aber beispielsweise tatsächlich die Auflagen der Gebüv (Geschäftsbücherverordnung) erfüllt sind, darüber werden externe Revisoren zu entscheiden haben.
Audit- und Revisionsunternehmen sehen im Umfeld komplexerer Compliance einer rosigen Zukunft entgegen. Produkt- und Software-Dienstleistungsanbieter werden jedoch ihren Mehrwert unter Beweis stellen müssen. Ein Anbieter, der reine Compliance verkaufen will, hat einen schweren Stand, wenn er keinen zusätzlichen Mehrwert für seine Unternehmenskunden generiert. Dazu zählt etwa eine nachhaltige Kostenersparnis.
Audit- und Revisionsunternehmen sehen im Umfeld komplexerer Compliance einer rosigen Zukunft entgegen. Produkt- und Software-Dienstleistungsanbieter werden jedoch ihren Mehrwert unter Beweis stellen müssen. Ein Anbieter, der reine Compliance verkaufen will, hat einen schweren Stand, wenn er keinen zusätzlichen Mehrwert für seine Unternehmenskunden generiert. Dazu zählt etwa eine nachhaltige Kostenersparnis.
Goldene Mitte finden
Compliance wird Unternehmen noch lange beschäftigen. Mit der Schaffung einer internen Revisionsstelle oder der Beförderung des Hausjuristen zum Chief Compliance Officer ist es dabei aber nicht getan. Eine gemeinsame Sprache und ein gemeinsames Verständnis zu finden, stellt eine der grössten Herausforderungen für die Verantwortlichen der Firmen-Compliance und die Fachabteilungen dar.
Das Beispiel E-Mail-Archivierung zeigt dies deutlich: Während die Verantwortlichen für Compliance möglichst alles (inklusive Spammails) im Archiv speichern wollen, plädieren Fachabteilungen gerne dafür, sich auf das Nötigste zu beschränken und beispielsweise auf keinen Fall Privatmails abzulegen. Die IT-Verantwortlichen als dritte Partei fürchten die hohen Kosten, die durch die Speicherung der Datenflut entstehen.
Doch gerade hier verbirgt sich langfristig ein enormes Sparpotenzial. Denn unabhängig davon, welchen Weg ein Unternehmen wählt, muss es im Falle eines Rechtsstreits die Geschäftskorrespondenz offenlegen können. Durch eine revisionssichere E-Mail-Archivierung werden Unternehmen den Compliance-Anforderungen gerecht. Zusätzlich bieten gute Lösungen ein sogenanntes Single-Instancing-Verfahren an. Dabei werden identische und speicherfressende E-Mail-Anhänge genau einmal revisionstauglich abgelegt, was den Speicherplatzbedarf um mehr als die Hälfte reduziert. Damit schlägt eine intelligente E-Mail-Archivierungslösung zwei Fliegen mit einer Klappe: die Compliance wird verbessert und die Speicherkosten sinken.
Das Beispiel E-Mail-Archivierung zeigt dies deutlich: Während die Verantwortlichen für Compliance möglichst alles (inklusive Spammails) im Archiv speichern wollen, plädieren Fachabteilungen gerne dafür, sich auf das Nötigste zu beschränken und beispielsweise auf keinen Fall Privatmails abzulegen. Die IT-Verantwortlichen als dritte Partei fürchten die hohen Kosten, die durch die Speicherung der Datenflut entstehen.
Doch gerade hier verbirgt sich langfristig ein enormes Sparpotenzial. Denn unabhängig davon, welchen Weg ein Unternehmen wählt, muss es im Falle eines Rechtsstreits die Geschäftskorrespondenz offenlegen können. Durch eine revisionssichere E-Mail-Archivierung werden Unternehmen den Compliance-Anforderungen gerecht. Zusätzlich bieten gute Lösungen ein sogenanntes Single-Instancing-Verfahren an. Dabei werden identische und speicherfressende E-Mail-Anhänge genau einmal revisionstauglich abgelegt, was den Speicherplatzbedarf um mehr als die Hälfte reduziert. Damit schlägt eine intelligente E-Mail-Archivierungslösung zwei Fliegen mit einer Klappe: die Compliance wird verbessert und die Speicherkosten sinken.
Zum Autor: Dr. Oliver H. Münster ist Director Production and Technology und Mitglied der Geschäftsleitung GFT Technologies (Schweiz) AG
