Datenschutz und IT-Sicherheit zählen aus Sicht der größten deutschen Unternehmen zu den drei wichtigsten Compliance-Risiken überhaupt. Das geht aus einer Studie der Wirtschaftsprüfer und Berater von KPMG hervor, für die DAX30-Unternehmen und einige weitere große Firmen befragt wurden.
„Vor dem Hintergrund jüngster Datenschutzskandale und informationstechnologischer Entwicklungen wie Cloud Computing erlangt der Schutz sensibler Daten bei den Unternehmen wachsende Bedeutung“, heißt es in der Erhebung unter 36 Unternehmen, von denen 24 antworteten.
17 der befragten Firmen gaben an, dass in ihrem Hause Datenschutz und IT-Sicherheit ein Compliance-Risiko darstellt. Das ist der zweithöchste Wert hinter Korruption und Bestechung durch eigene Mitarbeiter. Auf einer Relevanzskala zwischen 1 und 5 bewerteten die Unternehmen die IT-basierten Risiken im Mittel mit 3,3. Somit sind diese das drittwichtigste Problem nach Kartellrechtsverstößen mit 4,2 und Korruption mit 4,1.
Compliance ist inzwischen Chefsache geworden
In deutschen Großunternehmen ist die Einhaltung von Gesetzen und internen Richtlinien inzwischen Chefsache: Fast die Hälfte (45 Prozent) hat ein eigenes Vorstandsressort ,Compliance' eingerichtet oder die Zuständigkeit direkt dem Vorstandschef zugeordnet. 46 Prozent haben einen Chief Compliance Officer (CCO); bei Firmen mit mehr als 100.000 Mitarbeitern ist das sogar bei zwei Dritteln der Fall. Ebenfalls 46 Prozent haben bereits eine konzernweite Compliance-Abteilung mit mehr als 20 Vollzeitstellen.
Für alle Unternehmen heißt Compliance die Erfüllung gesetzlicher Vorgaben. Und für eine große Mehrheit (83 Prozent) gehört auch die Befolgung interner Richtlinien dazu. Aber nur für 17 Prozent der Befragten beinhaltet der Compliance-Begriff auch Ethik, Moral oder nachhaltiges Wirtschaften.
Compliance Management-Systeme werden zu wenig geprüft
Zwar sind 83 Prozent davon überzeugt, dass ein funktionierendes Compliance-Management Schadensfälle vermeiden und Haftungsrisiken verringern kann. „Aber nur die Hälfte überprüft regelmäßig, ob ihr Compliance Management-System auch tatsächlich effektiv ist. Das reicht nicht“, warnt KPMG-Partner Oliver Engels.
Trotz der immer größeren Bedeutung des Compliance-Managements herrscht in der IT-Unterstützung dieser Anstrengung selbst in den Großunternehmen noch jede Menge Nachholbedarf. Die Hälfte der Befragten nutzt neben gängigen Office-Anwendungen wie Excel oder Word kein spezifisches IT-Tool für diesen Bereich.
Kaum Compliance-Tools im Einsatz
Lediglich 17 Prozent verfügen über ein integratives IT-Tool, das weitere Corporate Governance-Elemente wie zum Beispiel Risikomanagement umfasst. Nur ein Drittel greift auf ein spezifisches Compliance-Tool zurück.
„Obwohl die Dokumentation von Compliance Maßnahmen ein entscheidendes Element eines Compliance Management-Systems darstellt und bei der Beweisführung vor Gericht erheblichen Einfluss haben kann, spielt der Einsatz von IT-Tools nach wie vor nur eine untergeordnete Rolle“, kommentiert KPMG.
„Grund dafür ist oftmals die mangelnde Kenntnis über die Möglichkeiten, die eine entsprechende Software bieten kann“, so die Berater weiter. „Aber auch die Angst vor hohen IT-Kosten und erheblichem Zeitaufwand für die Befüllung und Pflege eines solchen Tool spielen eine entscheidende Rolle.“
Telefon und E-Mail-Box für anonyme Hinweise
Zur Aufdeckung von Verstößen führen oft anonyme Hinweise aus dem Unternehmen oder von Geschäftspartnern. Inzwischen haben laut KPMG-Studie 71 Prozent der Unternehmen eine Telefonhotline und 58 Prozent ein E-Mail-Postfach zur Sammlung dieser Hinweise eingerichtet. 88 Prozent finden diese Instrumente hilfreich oder sogar sehr hilfreich.
„Wenn durch solche Hinweisgebersysteme auch nur ein einziger Regelverstoß aufgedeckt oder gar verhindert werden kann, hat sich das Ganze schon gelohnt“, so KPMG-Partner Engels. „Einen hundertprozentigen Schutz kann und wird es allerdings nicht geben.“
Mitarbeiter, die gegen gesetzliche oder unternehmensinterne Regeln verstoßen, müssen mit harten Sanktionen rechnen. 92 Prozent der Unternehmen ziehen in solchen Fällen arbeitsrechtliche Konsequenzen, jeweils 79 Prozent stellen Strafanzeige oder erheben Schadenersatzansprüche.
Die „Compliance Benchmark Studie 2011“ ist bei KPMG erhältlich.