Nicht mehr (IT-)Compliance als notwendig einsetzen

Kontrolle hemmt das Geschäft

Unternehmen optimieren kontinuierlich ihre Geschäftsprozesse. Um sicherzustellen, dass sowohl regulatorische als auch eigene Anforderungen und Vorgaben eingehalten werden, ist es nötig, entsprechende Vorgaben und Überwachungsfunktionen zu etablieren: Compliance. Gesetzliche Vorgaben müssen die Unternehmen umsetzen und einhalten. Bei freiwilligen, internen Vorgaben, wie auch gegenüber Geschäftspartnern, ist das anders. Hier sollte genau geprüft werden.

Für Anbieter von IT-Produkten und Dienstleistungen steht außer Frage: Compliance zahlt sich für ihre Unternehmenskunden generell aus. Die Organisationsstrukturen und Prozesse müssen so beschaffen sein, dass die Unternehmensführung das Potenzial der IT für das Geschäft und seine strategische Ausrichtung voll ausschöpfen kann. Um dies zu erreichen, werden sehr viele Produkte mit dem Slogan »Dann sind Sie compliant« beworben. Doch die Verkaufsstrategien der IT-Anbieter passen selten. Denn sie ziehen Compliance, statt von oben nach unten, von unten über ihre Technologien auf. Das läuft dem eigentlichen Ansatz zuwider.

Projektierung

Doch wie bestimmt man das richtige Maß an freiwilliger Compliance für interne Prozesse wie für Geschäftsprozesse mit Externen? – Das beginnt damit, den Stellenwert der einzelnen Prozesse für das Geschäft und die strategische Ausrichtung des Unternehmens zu hinterfragen. Nur wenn ein Geschäftsprozess von hoher Bedeutung ist, lohnt es sich, sich über Definition und Einführung freiwilliger Verhaltensregeln und Mechanismen Gedanken zu machen. Die mit den Vorgaben befassten Personen müssen also raus aus dem Elfenbeinturm und das operative Geschäft verstehen. Nur dann werden sie die Anforderungen sinnvoll spezifizieren können.

Führt etwa ein internationales Produktionsunternehmen verbindliche Verhaltensregeln ein, die auf eine nachvollziehbare Abwicklung von Akquise-, Vertriebs- und Verkaufsprozessen abzielen, so unterstützt dies, Risiken zu minimieren und verbundene Teilprozesse soweit wie möglich zu straffen und zu beschleunigen. Auch die Transparenz des kompletten Ablaufs, im Hinblick auf gezielte Informationen ohne lange Recherchen, wird dadurch erhöht. In Unternehmen mit einer schwächeren Ausrichtung auf den Vertrieb müssen diese Verhaltensregeln und daraus resultierende Mechanismen anders formuliert werden.

Vorgaben umsetzen

In welchem Umfang selbst auferlegte Verhaltensregeln für Compliance und das übergeordnete Modell »IT-Governance« sinnvoll sind, muss aus kaufmännischer Sicht selbst eruiert werden. Compliance heißt nicht nur, Verhaltensregeln und Mechanismen zu entwerfen, festzulegen und durchzusetzen. Einmal etabliert, müssen die Konventionen auf ihre Einhaltung hin permanent überwacht werden. Das gilt sowohl für die Vorgaben in internen Abteilungen als auch für die Vorgaben an die Geschäftspartner. Dieser administrative Teil von Compliance, der von den IT-Anbietern gern heruntergespielt wird, macht mit Abstand den Löwenanteil der Kosten aus und sollte deshalb bei der Kalkulation keinesfalls fehlen.

Nicht vergessen werden sollten der Aufwand, die Kosten und potenzielle Reibungsverluste, die mit der Verankerung von Verhaltensregeln und Mechanismen innerhalb der Organisation verbunden sind. Für eine Compliance mit Augenmaß ist zudem eine Risikobetrachtung entlang der in Frage kommenden Geschäftsprozesse wichtig. So sollte der Einsatz von Verhaltensregeln und Mechanismen die Prozessabläufe nur im absolut notwendigen Maße hemmen und zu möglichst geringen Produktivitätseinbußen führen.