Rund 140 Millionen Einträge in Google sowie eine große
Anzahl an Presseartikeln und Whitepapers zeigen deutlich:
Das Thema "Compliance" ist in und hat die übrigen "Hot
Topics" der IT wie SOA (30 Millionen Einträge) oder
Governance (50 Millionen Einträge) und Risk Management (70
Millionen Einträge) auf die hinteren Ränge verwiesen. Wobei
die letzteren beiden in letzter Zeit häufig mit Compliance
zusammen erwähnt werden.
Doch was bedeutet Compliance eigentlich genau?
Eine Definition ist schnell gefunden, so dachte ich anfangs.
Eine erste Suche im Internet ergab 28 Definitionen auf
Englisch, auf Deutsch immerhin noch elf - allerdings kaum
mit Übereinstimmungen. Doch wofür gibt es Wikipedia? Dort
wurde ich schließlich fündig: "Compliance bezeichnet die
Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien
bei Unternehmen", so kann man dort lesen, wenn man die
Spezialdefinitionen mal beiseite lässt. Dies gelte auch für
IT-Compliance, wobei hier der Fokus jedoch stärker auf den
Aspekten Datensicherheit, Verfügbarkeit und Datenschutz
liege.
Der historische Rückblick zeigt: "Compliance" ist nicht neu.
Die Ursprünge liegen Mitte der siebziger Jahre des vorigen
Jahrhunderts, als die "United States Securities and Exchange
Commission (SEC)" feststellte, dass ein bedeutender Anteil
der amerikanischen Unternehmen in Bestechungsskandale in
Übersee verwickelt war. Gemäß einer Aussage des "United
States Department of Justice" im Jahr 2006 leisteten zu der
Zeit mehr als 400 Unternehmen nach eigenen Angaben
fragwürdige oder illegale Zahlungen an ausländische
Regierungsmitglieder, Politiker und Parteien. In einem der
infamsten Fälle gab ein Verantwortlicher von Lockheed Martin
zu, 22 Millionen US-Dollar für Bestechungen an japanische
Regierungsoffizielle zum Kauf von ihren Flugzeugen
aufgewandt zu haben. Um das Vertrauen in die amerikanische
Wirtschaft wiederherzustellen, wurde im Dezember 1977 der
"Foreign Corrupt Practices Act" als Gesetz verabschiedet;
eine der ersten Compliance-Richtlinien, der noch zahlreiche
folgen sollten.
In den darauffolgenden Jahren häuften sich sowohl in den
Vereinigten Staaten als auch in Europa die
Unternehmensskandale. Bis heute wurden Milliarden an
Firmenwerten vernichtet, wurden Anleger und Mitarbeiter um
ihre Ersparnisse und Pensionsrückstellungen gebracht. So zum
Beispiel bei dem Zusammenbruch der Barings Bank durch
riskante und unerlaubte Zins- und Währungsspekulationen
(1995), bei der Insolvenz von Enron nach der Aufdeckung von
Bilanzfälschungen (2001), bei dem von Worldcom eingeleiteten
Börsenskandal (2002), Tyco (2004) oder zuletzt durch die
Milliardenverluste der Société Générale (2008).
Auch die IT-Branche blieb von derartigen Skandalen nicht
verschont, ausgelöst beispielsweise durch mangelnde Sorgfalt
beim Umgang mit Kundendaten. So mussten etliche Unternehmen
in Großbritannien und den USA in den vergangenen Jahren
eingestehen, Daten von etlichen Millionen Kunden aus den
Augen verloren zu haben; zuletzt im Juni 2008, als die Bank
of New York Mellon den Verlust eines Magnetbandes mit Daten
von rund 4,5 Millionen Kunden bestätigen musste.
Die Gesetzgebung reagierte darauf mit neuen Gesetzen, die
Überwachungsorgane mit zusätzlichen Richtlinien. Allein in
den USA wurden in den letzten drei Jahren 14.000 neue
Vorschriften erlassen, die die gesamte Bandbreite an
unternehmerischen Aktivitäten abdecken: von Steuerzahlungen
und Finanzberichterstattung bis zur Überprüfung der
Fertigungsqualität und Überwachung der Materialnutzung. Der
Sarbanes-Oxley Act (SOX), Basel II, die EU-
Datenschutzrichtlinien oder Markets in Financial Instruments
Directive (MiFID) sind nur einige der bedeutendsten
Vorschriften. Auf IT-Seite werden sie vom
Telekommunikationsgesetz, dem Bundesdatenschutzgesetz (BDSG)
und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit
digitaler Unterlagen (GDPdU) begleitet.
Die Erfüllung dieser Vorschriften, und nichts anderes
bedeutet Compliance, ist so für viele Unternehmen, vor allem
für die international tätigen, zu einer millionenschweren
Herausforderung geworden. Die Marktforscher von AMR Research
schätzen, dass die Kosten für Compliance-bezogene Maßnahmen
in den kommenden fünf Jahren die 80-Milliarden-Dollar-Grenze
erreichen werden. Forrester spricht von 115 Millionen Euro,
die von europäischen Großbanken allein zur Einhaltung der
Basel-II-Richtlinie aufgewandt werden müssen. Und Gartner
schätzte bereits 2006 die jährlichen Ausgaben der
amerikanischen Unternehmen auf 7.000 Dollar pro Jahr und
Mitarbeiter.
Die Finanzierung dieser Ausgaben ist nicht das einzige
Problem. In einem regelrechten Compliance-Dschungel fällt es
mittlerweile schwer, den Überblick zu behalten. Oft hat ein
Unternehmen in verschiedenen Ländern mit entsprechend
unterschiedlichen Bestimmungen zu kämpfen. Teilweise sind
die Bestimmungen einiger Länder sogar widersprüchlich mit
denen anderer Regionen und bringen so die Unternehmen in
eine unangenehme Zwangslage.
Die Frage ist also: Wo endet der Nutzen von Compliance? Wann
wird Compliance so kompliziert, dass der ursprüngliche Sinn
verloren geht, nämlich das verantwortungsvolle Handeln von
Unternehmen zu sichern?
Auf der einen Seite müssen Richtlinien und Vorschriften den
Unternehmen wettbewerbskonformes Handeln ermöglichen. In der
Realität ist jedoch das Gegenteil der Fall: Unternehmen in
stark regulierten und kontrollierten Märkten sind am
internationalen Markt benachteiligt.
Auf der anderen Seite streben die Gesetzgeber auch ein
benchmarkführendes Handeln an, um die führenden Unternehmen
anzuspornen und die nachfolgenden auf ein höheres Niveau zu
zwingen. Um dieses Ziel zu erreichen, ist die frühzeitige
Mitarbeit und Diskussion mit den betroffenen Unternehmen
erforderlich.
Meiner Meinung nach gehört die Einhaltung der Richtlinien
zum verantwortungsvollen Umgang mit Unternehmenskapital und
sollte dem den Führungskräften entgegengebrachte Vertrauen
entsprechen. Richtlinien und Vorschriften sind immer dann
gut, wenn sie den Schutz der Anleger, Mitarbeiter und Kunden
als primäres Ziel haben. Sollten die Führungskräfte dieses
Vertrauen missbrauchen, so müssen sie sich dieser
Verantwortung auch im rechtlichen Sinne stellen.
Hans StemperPrincipal ConsultantGFT GroupParc d'Activitats Econòmiques Can Sant JoanAv. de la Generalitat, s/n08174 Sant Cugat del Vallès (Barcelona), Spanienhans.stemper@gft.comwww.gft.com
Einwurf
von Hans Stemper
Kompliziert compliant?
Rund 140 Millionen Einträge in Google sowie eine große Anzahl an Presseartikeln und Whitepapers zeigen deutlich: Das Thema "Compliance" ist in und hat die übrigen "Hot Topics" der IT wie SOA (30 Millionen Einträge) oder Governance (50 Millionen Einträge) und Risk Management (70 Millionen Einträge) auf die hinteren Ränge verwiesen. Wobei die letzteren beiden in letzter Zeit häufig mit Compliance zusammen erwähnt werden.
Doch was bedeutet Compliance eigentlich genau?
Eine Definition ist schnell gefunden, so dachte ich anfangs. Eine erste Suche im Internet ergab 28 Definitionen auf Englisch, auf Deutsch immerhin noch elf - allerdings kaum mit Übereinstimmungen. Doch wofür gibt es Wikipedia? Dort wurde ich schließlich fündig: "Compliance bezeichnet die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien bei Unternehmen", so kann man dort lesen, wenn man die Spezialdefinitionen mal beiseite lässt. Dies gelte auch für IT-Compliance, wobei hier der Fokus jedoch stärker auf den Aspekten Datensicherheit, Verfügbarkeit und Datenschutz liege.
Der historische Rückblick zeigt: "Compliance" ist nicht neu. Die Ursprünge liegen Mitte der siebziger Jahre des vorigen Jahrhunderts, als die "United States Securities and Exchange Commission (SEC)" feststellte, dass ein bedeutender Anteil der amerikanischen Unternehmen in Bestechungsskandale in Übersee verwickelt war. Gemäß einer Aussage des "United States Department of Justice" im Jahr 2006 leisteten zu der Zeit mehr als 400 Unternehmen nach eigenen Angaben fragwürdige oder illegale Zahlungen an ausländische Regierungsmitglieder, Politiker und Parteien. In einem der infamsten Fälle gab ein Verantwortlicher von Lockheed Martin zu, 22 Millionen US-Dollar für Bestechungen an japanische Regierungsoffizielle zum Kauf von ihren Flugzeugen aufgewandt zu haben. Um das Vertrauen in die amerikanische Wirtschaft wiederherzustellen, wurde im Dezember 1977 der "Foreign Corrupt Practices Act" als Gesetz verabschiedet; eine der ersten Compliance-Richtlinien, der noch zahlreiche folgen sollten.
In den darauffolgenden Jahren häuften sich sowohl in den Vereinigten Staaten als auch in Europa die Unternehmensskandale. Bis heute wurden Milliarden an Firmenwerten vernichtet, wurden Anleger und Mitarbeiter um ihre Ersparnisse und Pensionsrückstellungen gebracht. So zum Beispiel bei dem Zusammenbruch der Barings Bank durch riskante und unerlaubte Zins- und Währungsspekulationen (1995), bei der Insolvenz von Enron nach der Aufdeckung von Bilanzfälschungen (2001), bei dem von Worldcom eingeleiteten Börsenskandal (2002), Tyco (2004) oder zuletzt durch die Milliardenverluste der Société Générale (2008).
Auch die IT-Branche blieb von derartigen Skandalen nicht verschont, ausgelöst beispielsweise durch mangelnde Sorgfalt beim Umgang mit Kundendaten. So mussten etliche Unternehmen in Großbritannien und den USA in den vergangenen Jahren eingestehen, Daten von etlichen Millionen Kunden aus den Augen verloren zu haben; zuletzt im Juni 2008, als die Bank of New York Mellon den Verlust eines Magnetbandes mit Daten von rund 4,5 Millionen Kunden bestätigen musste.
Die Gesetzgebung reagierte darauf mit neuen Gesetzen, die Überwachungsorgane mit zusätzlichen Richtlinien. Allein in den USA wurden in den letzten drei Jahren 14.000 neue Vorschriften erlassen, die die gesamte Bandbreite an unternehmerischen Aktivitäten abdecken: von Steuerzahlungen und Finanzberichterstattung bis zur Überprüfung der Fertigungsqualität und Überwachung der Materialnutzung. Der Sarbanes-Oxley Act (SOX), Basel II, die EU- Datenschutzrichtlinien oder Markets in Financial Instruments Directive (MiFID) sind nur einige der bedeutendsten Vorschriften. Auf IT-Seite werden sie vom Telekommunikationsgesetz, dem Bundesdatenschutzgesetz (BDSG) und den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) begleitet.
Die Erfüllung dieser Vorschriften, und nichts anderes bedeutet Compliance, ist so für viele Unternehmen, vor allem für die international tätigen, zu einer millionenschweren Herausforderung geworden. Die Marktforscher von AMR Research schätzen, dass die Kosten für Compliance-bezogene Maßnahmen in den kommenden fünf Jahren die 80-Milliarden-Dollar-Grenze erreichen werden. Forrester spricht von 115 Millionen Euro, die von europäischen Großbanken allein zur Einhaltung der Basel-II-Richtlinie aufgewandt werden müssen. Und Gartner schätzte bereits 2006 die jährlichen Ausgaben der amerikanischen Unternehmen auf 7.000 Dollar pro Jahr und Mitarbeiter.
Die Finanzierung dieser Ausgaben ist nicht das einzige Problem. In einem regelrechten Compliance-Dschungel fällt es mittlerweile schwer, den Überblick zu behalten. Oft hat ein Unternehmen in verschiedenen Ländern mit entsprechend unterschiedlichen Bestimmungen zu kämpfen. Teilweise sind die Bestimmungen einiger Länder sogar widersprüchlich mit denen anderer Regionen und bringen so die Unternehmen in eine unangenehme Zwangslage.
Die Frage ist also: Wo endet der Nutzen von Compliance? Wann wird Compliance so kompliziert, dass der ursprüngliche Sinn verloren geht, nämlich das verantwortungsvolle Handeln von Unternehmen zu sichern?
Auf der einen Seite müssen Richtlinien und Vorschriften den Unternehmen wettbewerbskonformes Handeln ermöglichen. In der Realität ist jedoch das Gegenteil der Fall: Unternehmen in stark regulierten und kontrollierten Märkten sind am internationalen Markt benachteiligt.
Auf der anderen Seite streben die Gesetzgeber auch ein benchmarkführendes Handeln an, um die führenden Unternehmen anzuspornen und die nachfolgenden auf ein höheres Niveau zu zwingen. Um dieses Ziel zu erreichen, ist die frühzeitige Mitarbeit und Diskussion mit den betroffenen Unternehmen erforderlich.
Meiner Meinung nach gehört die Einhaltung der Richtlinien zum verantwortungsvollen Umgang mit Unternehmenskapital und sollte dem den Führungskräften entgegengebrachte Vertrauen entsprechen. Richtlinien und Vorschriften sind immer dann gut, wenn sie den Schutz der Anleger, Mitarbeiter und Kunden als primäres Ziel haben. Sollten die Führungskräfte dieses Vertrauen missbrauchen, so müssen sie sich dieser Verantwortung auch im rechtlichen Sinne stellen.
Hans Stemper Principal Consultant GFT Group Parc d'Activitats Econòmiques Can Sant Joan Av. de la Generalitat, s/n 08174 Sant Cugat del Vallès (Barcelona), Spanien hans.stemper@gft.com www.gft.com