Vor allem die Vorbereitung für das strategische Management verlangt Einsatz: Dazu gehören die Analyse und Definition von Risiken, die an verschiedenen Stellen von Geschäftsprozessen vorkommen können – zum Beispiel bei Finanzflüssen in Verkauf und Einkauf, aber beispielsweise auch hinsichtlich interner und gesetzlicher Vorgaben in Entwicklung und Produktion. Angemessene Kontrollen, Workflows bei Regelverstößen und die Risikobewertung sind weitere Schritte auf dem Weg. Zu den klassischen IT-Werkzeugen für die Risikokontrolle zählen Identity- und Access-Management-Lösungen, mit denen sich Rollen und Zugriffsberechtigungen steuern lassen – analog zu Zutrittskontrollsystemen in der physischen Welt. Im Fall von Verstößen werden die Verantwortlichen zum Beispiel per Smartphone umgehend informiert. Immer wichtiger werden Technologien wie Business Intelligence und Data Mining, mit denen sich Muster in Zahlungsströmen analysieren lassen, die aber beispielsweise auch Marktrisiken frühzeitig erkennbar werden lassen. So ließe sich etwa einfach feststellen, wenn größere Beträge in kleineren Teilbeträgen ein- oder abgehen, um Genehmigungsstufen zu umgehen.
jedes Unternehmen ernsthaft die Frage stellen, ob Bordmittel wie Excel und Access ausreichen, die nicht revisionssicher sind – oder ob es sein Risikomanagement durch professionelle IT-Lösungen unterstützt“, vermutet Erben. „Der Markt für Risk- und Compliance-Management-Software ist fragmentiert, die Thematik noch relativ neu, aber es sind durchaus ausgefeilte Lösungen verfügbar. Es gibt viele Systeme kleinerer Anbieter, die mit umfangreichen Schnittstellen für eine gute Vernetzung mit ERP- und anderen operativen Systemen sorgen. Auch die ERP-Anbieter haben teilweise Lösungen im Programm“, so der Risk-Management-Experte. Gerade auch im IT-Risk-Management geht es ums „Wachsein“. Der verlorene USB-Stick, das auf dem Zettel notierte Passwort, ein gestohlenes Smartphone, bewusst oder unbewusst weitergegebene Informationen: „Das Thema Awareness wird in vielen Unternehmen nur unzureichend umgesetzt, meist sind sich nicht alle Mitarbeiter über mögliche Gefahren bewusst“, meint der IT-Security-Berater Tobias Schrödel, dessen Buch „Hacking für Manager“ kürzlich in der zweiten Auflage erschien. Anders als im technischen Bereich, der relativ strukturiert und damit vergleichsweise gut zu schützen sei, stelle der Mensch als „Risikofaktor“ die Verantwortlichen vor andere Herausforderungen. Entscheidend sei dabei, alle Mitarbeiter über Sicherheitsgefahren und Regeln aufzuklären, damit sie mit wachen Augen durch die Welt gehen und ihrem Bauchgefühl vertrauen, wenn etwas ungewohnt oder merkwürdig erscheint.
Doch für diese Akzeptanz muss auch einiges getan werden. „Wenn interne IT-Mitarbeiter Awareness-Kampagnen flächendeckend umzusetzen versuchen, bringen die Fachabteilungen der Thematik nicht immer Verständnis entgegen, denn oft werden nur dröge die Vorgaben vorgelesen“, meint Schrödel, der für eine lebensnahe Vermittlung anhand von Alltagsbeispielen plädiert. „In vielen Unternehmen ist für den Mitarbeiter nicht klar, ob er sich noch im grünen Bereich oder schon in der Grauzone befindet. Hier kommt es auf die Risikokultur an: Es geht darum, über hartcodierte Mechanismen hinaus Sensibilität bei den Mitarbeitern zu schaffen, das hat auch mit Moral zu tun“, meint Erben. Selbst wenn etwas nach den Buchstaben des Gesetzes vielleicht noch korrekt sein mag, könne es in der Außenwahrnehmung schon als fragwürdig erscheinen. „Wenn ein Mitarbeiter auf eine Regelungslücke trifft, sollte er sie eben nicht zum eigenen Vorteil ausnutzen, sondern eine Klärung anstoßen“, so Erben. „Code of Conduct“ heißt das zum Beispiel bei VW.
Über den Erfolg von Risk- und Compliance-Management entscheidet, wie das Thema im Unternehmen aufgehängt ist – und hier gibt es eine Vielzahl unterschiedlicher Herangehensweisen. So setzt Daimler seit kurzem auf ein eigenes Vorstandsressort Integrität und Recht, das im vergangenen Jahr von der ehemaligen Verfassungsrichterin Christine Hohmann-Dennhardt übernommen wurde. Die bisher einzige Frau im Vorstand soll für die Einhaltung interner Regeln und damit auch den Imageschutz sorgen. Volkswagen gründete 2010 den neuen Geschäftsbereich Governance, Risk und Compliance, dessen Leiter als Group Chief Compliance Officer des gesamten Volkswagen-Konzerns direkt an den Vorstandsvorsitzenden berichtet; BMW hat ein Compliance-Komitee, das an den Vorstand berichtet. Teilweise sei die Thematik im Finance-Bereich aufgehängt, weil dort viele Gefahrenquellen und Richtlinien zusammenlaufen, berichtet Anton Weig. Wie wichtig das Thema genommen wird, hängt natürlich auch von den möglichen Schäden ab. Während ein OEM mit massivem Imageverlust rechnen muss, kann ein Zulieferer unter Umständen noch direkt mit seinen Auftraggebern kommunizieren und so gegensteuern. „Im Bereich der Tier-1- und Tier-2-Unternehmen spielt das Thema Risk-Management vielfach eine untergeordnete Rolle. Zum Teil sind nur Einzelpersonen damit befasst, meist geht die Thematik von der IT-Abteilung aus“, meint Weig.
„Der Trend wird zu übergeordneten Risikomanagementsystemen mit einem einzigen zentralen Regelwerk gehen, um eine kontinuierliche Kontrolle zu erreichen“, ist sich der Berater sicher. Solche integrierten IT-Systeme, in denen Risiken und Kontrollen definiert sind, greifen auf die operativen Systeme in Finance, Logis-tik und individuelle Anwendungen in unterschiedlichen Werken und Ländern zu. Kommt es zum Regelverstoß, werden automatisch die hinterlegten Workflows gestartet. Aktuell ist dieses Ausmaß von IT-Unterstützung jedoch selbst bei engagierten Unternehmen noch Zukunftsmusik. Unternehmen müssen den Weg hin zu einem zentralen Repository einschlagen, in dem die Vielzahl der Regeln hinterlegt wird. Insbesondere die internen Verhaltensrichtlinien sind in vielen Unternehmen noch nicht gebündelt verfügbar. Das ist aber ganz klar die Voraussetzung für ein zentrales System. Neue Studien könnten im Februar weiter Aufschluss geben. Die Uni Würzburg arbeitet derzeit an der Auswertung eines umfassenden Vergleichs von Risikomanagementsoftware, der Funktionalität, abbildbare Workflows, Stärken und Schwächen untersucht. Auch BearingPoint führt aktuell gemeinsam mit der Technischen Universität München zwei Studien zum Thema durch, es geht um unterschiedliche Reifegrade von Compliance-Organisationen in der Industrie und um die Effizienz und Leistungsfähigkeit von Compliance- und Risk-Management anhand von KPIs.
Autorin: Daniela Hoffmann