17
4.2017
Beispiel ihre Compliance-Management-
Systeme (CMS) regelmäßiger als andere
Unternehmen und tendieren dazu, ihre
CMS nicht nur von der internen Revisi-
on, sondern auch extern überprüfen zu
lassen. Eine externe Revision bietet die
Vorteile von Benchmark-Vergleichen,
einer unabhängigen Überprüfung der
eigenen Einschätzung und einer besseren
Kommunikation – sowohl nach innen als
auch nach außen. Und der Nutzen in einer
ICG-Zertifizierung liegt unter anderem in
der Enthaftung und Haftungsvermeidung
für Unternehmensorgane, der Umsetzung
nationaler und internationaler Standards,
in Vorteilen auf dem Kapitalmarkt und
imWettbewerb, in gutem Ruf und öffent-
lichem Ansehen und nicht zuletzt in der
Gewinnung neuer und der Motivation
vorhandener Mitarbeiter.
Teil noch fehlen. So zum Beispiel, wenn
es darum geht, Compliance-Risiken zu
erheben oder Compliance-Verdachtsfälle
zu verfolgen. Nur 40 Prozent der befragten
Unternehmen führen eine konsequente
initiale Risikoanalyse durch. Rund 60 Pro-
zent erheben und bewerten demnach das
Compliance-Risiko nicht systematisch,
zehn Prozent sogar überhaupt nicht. Auch
beim Aufnahme- und Bewertungsturnus
der Risiken gibt es Verbesserungspotenzi-
al. Nur zwei Drittel der Teilnehmer verfü-
gen überhaupt über adäquate Verfahren.
Die Studie zeigt, dass es in der Bran-
che üblich ist, Compliance-Verdachtsfälle
zu untersuchen, Compliance-Verstöße zu
sanktionieren und Verbesserungsmaß-
nahmen umzusetzen. Aber bei rund 30
Prozent der Unternehmen gibt es auch
hierfür keine definierten und dokumen-
tierten Strukturen. Lücken gibt es vor
allem bei Unternehmen mit weniger Mit-
arbeitern. Bei denMethodenzur Erhebung
von Compliance-Risiken zeichnet sich
eine Tendenz zu Top-down-Verfahren ab,
die primär die klassischen Compliance-
Risiken auf Gesamtunternehmensebene
fokussieren (Fraud, Interessenskonflikte,
Datenschutz, Korruption).
COMPLIANCE-FÄLLE ZU WENIG AUFGEKLÄRT
Dadurch werden wesentliche Risikoarten
in neueren Compliance-Bereichen wie
IT-Sicherheit oder Geldwäsche, die stär-
ker einzelne Fachbereiche betreffen, nicht
ausreichend einbezogen. Damit stellen
die Unternehmen bisher noch keine en-
gen Verbindungen zwischen Themen wie
Datenschutz und IT-Sicherheit her. Die
unvollständigen oder fehlenden Prozesse
bergen das Risiko, dass Compliance-Fälle
nicht lückenlos aufgeklärt und in ihrer
vollen Dimension begriffen werden. Zu-
dem ist nicht gewährleistet, dass im An-
schluss effektive Kontrollen und Präven-
tionsmaßnahmen implementiert werden.
Als wichtigste Maßnahmen werden
verpflichtende Compliance-Schulungen
für Führungskräfte und Mitarbeiter ge-
nannt. Compliance imZielvereinbarungs-
und Bewertungsprozess zu verankern, ist
für Unternehmen bisher weniger bedeu-
tend. Am relevantesten sind somit Maß-
nahmen, die ein Bewusstsein für Compli-
ance schaffen. Maßnahmen, die das The-
ma in den Kontext mit der Leistung von
Mitarbeitern und Führungskräften setzen,
werden geringer bewertet und tauchen
unter den am häufigsten genannten Maß-
nahmen gar nicht auf. In allen Fällen bleibt
die Umsetzung der Maßnahmen hinter
der beigemessenen Bedeutung zurück.
Unternehmen, die der ICGangehören,
undUnternehmenmit einer höherenMit-
arbeiteranzahl sind im Bereich Compli-
ance in der Regel besser aufgestellt. ICG-
Unternehmen zeichnen sich aus durch
einen differenzierten Umgang mit dem
Thema Compliance. Sie kommunizieren
die Compliance-Thematik gezielt, unter
anderem in Form von Newslettern. Au-
ßerdem überprüfen ICG-Mitglieder zum
SUMMARY
»
Mehr als 80 Prozent der befragten Unternehmen halten
Compliance für wichtig oder sehr wichtig
.
»
Nur 40 Prozent führen jedoch
eine
konsequente initiale Risikoanalyse
durch.
»
Rund 60 Prozent erheben und bewerten das Compliance-Risiko nicht systematisch, zehn Prozent
sogar überhaupt nicht.
»
Nur zwei Drittel der Teilnehmer verfügen über Verfahren, um Compliance-Risiken regelmäßig aufzunehmen und zu bewerten.
»
Als
wichtigste Maßnahmen zur Verbesserung der Situation
werden verpflichtende Compliance-Schulungen für Führungskräfte und Mitarbeiter
genannt. Compliance im Zielvereinbarungs- und Bewertungsprozess zu verankern, ist für Unternehmen bisher weniger bedeutend.
«
Jürgen Paskert, Katja Dobberow, Karin Barthelmes-Wehr
Jürgen Paskert
und
Katja Dobberow,
KPMG AG Wirt-
schaftsprüfungsgesellschaft
Karin Barthelmes-Wehr,
Initiative
Corporate Governance der deutschen
Immobilienwirtschaft e.V.
AUTOREN
Benchmarking: Wenn Sie wissen möchten,
wo Sie im Marktvergleich zu den Studien-
teilnehmern stehen, wenden Sie sich bitte
per E-Mail an:
Sie erhalten dann den Fragebogen per
E-Mail als PDF-Dokument oder als Online-
Link zugesandt.
E-MAIL
MEHR INFOS
1
2
3
4
5
6
Ja
Eher Ja
Teils/teils
Eher Nein
Nein
N/A
40%
18%
25%
4%
6%
6%
GRAFIK 2:
RISIKOERFASSUNG
Die systematische
Erhebung von
Compliance-Risiken
erfolgt ...
2
1
3
4
5
6
