München, 13. August 2013 – Wie leistungsfähig ist modernes Compliance Management in der Praxis? Dieser Frage ist NTT DATA im Rahmen einer Studie „Compliance Management auf dem Prüfstand - Pflichtübung oder Instrument zur Unternehmenssteuerung?“ nachgegangen. Befragt wurden vor allem Compliance Officer und Compliance Beauftragte sowie Führungskräfte aus den Bereichen Compliance und Interne Revision von 31 namhaften Unternehmen aus Deutschland und Österreich.
- Klassische Zielevorstellungen: Im Mittelpunkt des Compliance Managements steht bei den meisten Unternehmen (84 Prozent) vor allem das Verhindern von Compliance Verstößen und die Absicherung der Geschäftstätigkeit. Bei den Compliance Zielen dominieren die klassischen Themen wie Verhinderung von Korruption und der Schutz personenbezogener Daten. Spezifischere Themen wie Rollen- und Berechtigungsmanagement oder Lizenzmanagement spielen eine eher untergeordnete Rolle. Obwohl verstärkt darüber diskutiert wird, berücksichtigt die Mehrheit der Unternehmen keine Compliance Elemente in den Anreizsystemen. Relevante Regeln und Gesetze einzuhalten, wird als Selbstverständlichkeit angesehen, die durch Anreizsysteme keinen besonderen Status erhalten soll.
- Struktureller Rahmen unzureichend: Zur systematischen Steuerung der Compliance Thematik, ist ein struktureller Rahmen erforderlich. 23 Prozent der Unternehmen verfügen jedoch über keine formelle Compliance Organisation. Darüber hinaus bedarf eine wirksame Umsetzung des Compliance Managements auch des regelmäßigen Austauschs mit anderen verwandten Funktionsbereichen. Eine Zusammenarbeit mit dem Risikomanagement und dem Internen Kontrollsystem findet sich allerdings nur in einem Viertel der Unternehmen. Dadurch werden Risiken nicht ganzheitlich betrachtet und Effizienzpotentiale bleiben ungenutzt.
- Zu viel Handarbeit: Der Großteil der Unternehmen (84 Prozent) bietet den Mitarbeitern systematische Möglichkeiten zur Meldung von Compliance Verstößen. Für die Weiterverfolgung der eingegangenen Hinweise gibt es aber nur eine geringe Regelungsdichte. Weiterhin finden sich nur in knapp der Hälfte (52 Prozent) der Unternehmen systematische Regelungen für die Aufdeckung, Aufklärung und Sanktionierung von Compliance Verstößen. Das Compliance Management ist in der Unternehmenspraxis durch einen hohen manuellen Aufwand gekennzeichnet. Zwei Drittel der Unternehmen nutzen zwar in diesem Bereich IT-Lösungen, diese werden in der Regel aber nur partiell für einzelne Aufgabengebiete und nicht ganzheitlich zur Steuerung des Compliance Managements eingesetzt.
- Auf einem Auge blind: Viele Unternehmen kommen der Pflicht zur Überprüfung der Wirksamkeit nur unzureichend nach, da 46 Prozent der Unternehmen die Wirksamkeit nur teilweise oder gar nicht überprüft. Daher erfolgen auch die Anpassungen des Compliance Managements vor allem anlassbezogen und nicht systematisch. Obwohl in nahezu allen Unternehmen eine zumindest jährliche Compliance Berichterstattung existiert, ist der Aufsichtsrat nur bei einem Drittel auch Empfänger eines Compliance Berichts. Eine solche nicht angemessene Berichterstattung entzieht dem Aufsichtsrat die Grundlage für die Wahrnehmung seiner Überwachungspflichten.
Die Mehrheit der Unternehmen ist zufrieden mit ihrem Compliance Management. Dabei wirkt sich die Zufriedenheit auch positiv auf die Einschätzung des Kosten-Nutzen-Verhältnisses aus. Diese überwiegend gute Einschätzung darf aber nicht darüber hinweg täuschen, dass Handlungsbedarf besteht. Das Compliance Management ist derzeit noch weit davon entfernt, ein integraler Bestandteil der Unternehmenssteuerung zu sein. Es bleibt demnach spannend, mit welchen Maßnahmen diesen Herausforderungen begegnet und wie die Weiterentwicklung des Compliance Managements gestaltet wird.