Der Begriff Compliance steht für die Übereinstimmung des wirtschaflichen Handelns mit sämtlichen für das jeweilige Unternehmen relevanten gesetzlichen Pflichten, Vorschriften bzw. Regeln sowie für die Einhaltung unternehmensinterner Richtlinien (vgl. Wecker, van Laak 2008, S. 30 f.).
Motivation und Zweck
Das Thema Compliance ist nicht neu: Bereits seit dem 12. Jahrhundert existiert in Europa das Leitbild des „ehrbaren Kaufmanns“. Ansprüche an eine ordentliche Buchführung werden bereits seit dem Mittelalter gestellt.
Welche Aspekte haben jedoch zu der gegenwärtigen Aktualität des Modebegriffs „Compliance“ in Wissenschaft und Praxis beigetragen?
Zu nennen sind hier zum einen die aktuellen Ereignisse wie undurchsichtige Finanzprodukte, Rekord-Firmenpleiten oder Bilanzfälschungen (z.B. Skandal um den US-Konzern Enron) aber auch die Dimensionen der dabei enstandenen Schäden sowie deren globalen Folgen (z.B. weltweite „Finanzkrise“) (Müller, Terzidis 2008; Müller 2007; Klotz, Dorn 2008, S. 5 f.; Bakman 2007).
Aus Sicht der Wirtschaftsinformatik stellt sich die wichtige Frage, wie zum einen eine höhere Transparenz bei IT-Systemen her- bzw. sichergestellt werden kann (IT-Compliance) und zum anderen, welchen Beitrag die IT selbst zur Sicherstellung von Compliance in Unternehmen liefern kann (IT-gestützte Compliance).
Compliance ist kein Selbstzweck, sondern hat auch einen wirtschaftlichen Nutzen für Unternehmen und deren Eigentümer. Zum einen lassen sich Risiken minimieren, zum anderen aber auch Effizienz- und Effektivitätssteigerungen durch Compliance Management erzielen. Die Nicht-Einhaltung regulatorischer Auflagen kann zudem vom Reputationsverlust des Unternehmens bis hin zu drastischen Strafen führen. Konsequenzen mangelhafter Compliance können bspw. sein: Freiheitsstrafen, Bußgelder, Geldstrafen für Management und Unternehmen, Schadensersatzfor¬derungen durch Kunden und Wettbewerber, Vertragsstrafen, Umsatzausfälle, Imageschäden durch negative Presseberichte, „Blacklisting“ sowie Werteverfall für die Shareholder oder eine Betriebsstillegung (vgl. Wecker, van Laak 2008).
Begriff
Eine allgemein anerkannte Definition des Begriffs „Compliance“ existiert nicht. Seit der Neufassung des Deutschen Corporate Governance Kodex (Bekanntmachung im elektronischen Bundesanzeiger erfolgte am 20. Juli 2007) steht jedoch eine spezielle Begriffserläuterung zur Verfügung:
„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“ (Ziffer 4.1.3 Deutscher Corporate Governance Kodex).
Diese Umschreibung des Begriffs richtet sich primär an börsennotierte Aktiengesellschaften (§ 161 AktG), lässt sich aber leicht in eine umfassendere Definition überführen: Compliance umfasst organisatorische und technische Maßnahmen in Unternehmen, welche zur Einhaltung regulatorischer Anforderungen, gesetzlicher Bestimmungen sowie der unternehmensinternen Richtlinien dienen und auf deren Einhaltung bei den beteiligten Akteuren hinwirken.
Compliance umschreibt somit die Übereinstimmung des wirtschaflichen Handelns mit den jeweils aktuellen Gesetzen, Normen und Richtlinien, d.h. den gesellschaftlich herrschenden – geschriebenen oder ungeschriebenen – regulatorischen Anforderungen. Beispiele für derartige regulatorische Anforderungen sind Basel II, Solvency II oder MaRisk (Mindestanforderungen an das Risikomanagement). Zu den gesetzlichen Vorgaben gehören bspw. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), der Sarbanes-Oxley Act (SOX), das Handelsgesetz (HGB), das Bundesdatenschutzgesetz (BDSG), das Signaturgesetz oder das Telekommunikationsgesetz (TKG) (vgl. Müller 2007; Klotz, Dorn 2008).
Einordnung: Governance, Risk und Compliance Management
Häufig wird von der Trias „Governance – Risk – Compliance“ (GRC) gesprochen, welche die inhaltlichen Zusammenhänge zwischen den Konzepten Governance, Risk und Compliance Management verdeutlichen soll (Klotz, Dorn 2008, S. 6 ff.).
Im Bereich des GRC Managements erfordern die 3 Bereiche Governance, Risk und Compliance eine integrierte Strategie. Prozesse, Verantwortlichkeiten, verwendete Instrumente, Standards und Rahmenwerke der IT-Compliance sollen hierbei in die generellen Compliance-Aktivitäten eines Unternehmens und diese sich wiederum in die GRC-Trias eingliedern (vgl. Abb. 1).
Das Compliance Management als Teilbereich des GRC Managements dient der Risikovorbeugung und Schadensabwehr (Haftungsvermeidung) des Unternehmens (vgl. Wecker, van Laak 2008, S. 31 ff.).
Der in Abb. 2 dargestellte Compliance-Zyklus beschreibt das Compliance Management als kontinuierlichen Verbesserungsprozess (Tschandl, Posch 2003, S. 5; Teuteberg, Freundlieb 2009, S. 554 f.).
Die Unternehmensführung (Führungskräfte, Controller) legt idealtypischerweise im ersten Schritt unter Berücksichtigung der unternehmensinternen und -externen Stakeholder die Strategie und das Unternehmensleitbild zum Compliance Management fest. Hierbei wird bspw. bestimmt, ob “nur” die Einhaltung der gesetzlichen Anforderungen angestrebt werden soll oder darüber hinaus auch zusätzliche freiwillige Zertifizierungen erlangt werden sollen. Als Ergebnis liegt idealtypischerweise im zweiten Schritt ein Plan vor, der die für das Unternehmen als relevant angesehene regulatorische sowie freiwillige Anforderungen enthält. Aus diesem Anforderungskatalog werden nun konkrete Maßnahmen zur Zielerreichung abgeleitet (Schritt 3).
Im vierten Schritt wird eine Abweichungsanalyse durchgeführt, in der ein Vergleich des IST- und SOLL-Zustands stattfindet sowie der Grad der Zielerreichung ermittelt wird. Im Idealfall erfolgt die Abweichungsanalyse nicht ex post, sondern laufend in Form eines Compliance-Monitorings.
Auf Grundlage der Abweichungsanalyse werden im fünften Schritt Steuerungsmaßnahmen ermittelt, mit denen ein höherer Zielerreichungsgrad erzielt werden soll. Zum einen kann aber auch eine Anpassung der Zielsetzung erfolgen.
Aufgrund der sich häufig ändernden Rechtslage, aber auch wegen eventueller Änderungen in den Zielsetzungen, sollte der Compliance-Zyklus als kontinuierlicher Verbesserungsprozess im Unternehmen etabliert werden, regelmäßig durchlaufen und kritisch überprüft werden (Teuteberg, Freundlieb 2009, S. 554 f.).
IT-Compliance vs. IT-gestützte Compliance
Die IT in einem Unternehmen kann sowohl Träger von Compliance-Anforderungen als auch ein Mittel zur Erfüllung von Compliance-Anforderungen sein. Getzliche Auflagen können nicht oder nur mangehaft erfüllt sein, wenn die IT bspw. in einem Unternehmen nicht wie erforderlich betrieben und genutzt wird, nur ungenügend gesichert wird oder leicht manipuliert werden kann. Die IT ist somit ein zentraler Bestandteil der Compliance in Unternehmen. (vgl. Mossanen, Amberg 2008, S. 58 f.; Klotz, Dorn 2008, S. 9).
Für die prinzipielle Umsetzung einer IT-gestützten Compliance in Unternehmen sind verschiedene Referenzmodelle und Rahmenwerke verfügbar. Zu nennen sind hier z.B. ITIL (IT Infrastructure Library) oder das IT-Governance-Framework COBIT (Control Objectives for Information and Related Technology). In diesem Rahmenwerk ist die Einhaltung von IT-Compliance bspw. mit dem Prozess ME3 (Ensure Regulatory Compliance) verankert.
Zur Umsetzung einer IT-gestützten Compliance kann auf eine Vielzahl an Softwarewerkzeugen zurückgegriffen werden. Anbieter mit umfangreichen Lösungen sind z.B. Approva, Axentis, Certus, IBM, Open Pages, Oracle, Qumas und die SAP AG mit ihrer GRC-Software. Des Weiteren existieren Softwareprodukte, welche sich auf bestimmte Teilbereiche von GRC spezialisiert haben, wie z.B. Tools für das Richtlinien-Management von Polivec, Symantec oder Zequel oder zur Unterstützung des Risikomanagements von Citicus, RiskWatch oder SecurInfo.
Ausblick: Automatisierung von Compliance-Aktivitäten
Trotz der Möglichkeiten die die IT zur Unterstützung der Compliance bietet, werden Prüfungen der Einhaltung von regulatorischen Vorgaben und Gesetzen in den Unternehmen überwiegend manuell – mit oder ohne Abstützung auf Referenzmodelle bzw. Rahmenwerke wie ITIL oder COBIT – durchgeführt. Manuelle Prüfungen (Audits und Revisionen) sind jedoch zeitaufwendig und entsprechend mit hohen Kosten verbunden.
Aktuelle IT-Systeme zur Unterstützung des Governance, Risk und Compliance Managements konzentrieren sich überwiegend nur auf die die Dokumentation von Geschäftsvorfällen (Prüfung nach Eintritt von Compliance-Verletzungen). Zukünftige IT-Systeme zur Unterstützung des Governance, Risk und Compliance Managements werden auch eine ablaufbezogene Prüfung von Geschäftsprozessen zum „Zeitpunkt des Geschehens“ ermöglichen. Dies macht es erforderlich die gegenwärtig eingesetzten Geschäftsprozesssysteme insbesondere noch um Kontrollziele sowie Risikoeinschätzungen (Wahrscheinlichkeiten, Schadensausmaße) zu erweitern sowie bereits bei der Geschäftsprozessmodellierung die IT-Compliance im Entwurf miteinzubeziehen (vgl. Sackmann 2008; Sackmann, Kähmer 2008; Ross 2007; Accorsi, Sato 2008; Kolter 2022).
Literatur
Bay, K.-C.; Hastenrath, K. (Hrsg.): Compliance-Management-Systeme: Praxiserprobte Elemente, Prozesse und Tools; C. H. Beck Verlag, 3., neu bearbeitete Auflage, München, 2021.
Rath, M.; Sponholz, R.: IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen, ESV; 3., neu bearbeitete Auflage, Berlin, 2021.
Klotz, M.; Dorn, D-W.: IT-Compliance – Begriff, Umfang und relevante Regelwerke. in: HMD Praxis der Wirtschaftsinformatik, 45 (2008) 263, S.5-14.
Kolter, S.: Compliance Risk Management –Ein risikobasierter Ansatz für den Aufbau und die Zertifizierung von Compliance Management Systemen, Verlag Dr. Kovač, Schriftenreihe Compliance, Band 24, Hamburg, 2022.
Mossanen, K.; Amberg, M.: IT-Outsourcing & Compliance; in: HMD Praxis der Wirtschaftsinformatik, 45 (2008) 263, S. 58-68.
Müller, G.: Wirtschaftsinformatik, 49 (2007) Sonderheft, S. 107–109.
Müller, G.; Terzidis, O.: IT-Compliance und IT-Governance; in: Wirtschaftsinformatik, 50 (2008) 5, S. 341-342.
Ross, S. J.: Automating Compliance; in: Information Systems Control Journal, 5 (2007), S. 9-10.
Sackmann, S.: Automatisierung von Compliance; in: HMD – Praxis der Wirtschaftsinformatik, 45 (2008) 263, S. 39-46.
Sackmann, S.; Kähmer, M.: ExPDT: Ein Policy-basierter Ansatz zur Automatisierung von Compliance; in: Wirtschaftsinformatik, 50 (2008) 5, S. 366-374.
Teuteberg, F.; Freundlieb, M.: Compliance Management mit betrieblichen Umweltinformationssystemen; in: wisu – das wirtschafststudium, 4/2009, S. 550-557.
Tschandl, M.; Posch, A.: Integriertes Umweltcontrolling – Von der Stoffstromanalyse zum integrierten Bewertungs- und Informationssystem. Wiesbaden 2003.
Wecker, G.; van Laak, H. (Hrsg.): Compliance in der Unternehmenspraxis: Grundlagen, Organisation und Umsetzung. Wiesbaden 2008.
