Compliance in Österreich: Aktuelle Studie offenbart Fortschritte und Defizite
02. Dezember 2013 / Erschienen in Compliance Praxis 4/2013, S. 4
Studiendesign
Die Befragung zur aktuellen PwC-Studie rund um Compliance-Management und IKS erfolgte im Zeitraum von August bis Oktober 2013. Dabei wurden 58 österreichische Top-Unternehmen, darunter zahlreiche börsenotierte Gesellschaften, um eine Selbsteinschätzung gebeten. Als Interviewpartner standen vor allem die erste Führungsebene sowie Compliance Officer und Leiter Rechnungswesen zur Verfügung.
Die mitwirkenden Unternehmen gliedern sich in zwei wesentliche Gruppen, in „Finanzdienstleister“ (Kreditinstitute, Versicherungen) sowie in „andere Branchen“ (Konsum- oder Industriegüter, Energie, Logistik etc; Details in Abbildung 1).
Im Zuge der Gespräche wurden folgende Aspekte abgefragt:
1. Reifegrad oder Entwicklungsfortschritt: Der Ist-Zustand des Compliance-Managements und internen Kontrollsystems in den Kategorien Organisationsstruktur, Mitarbeiter, Prozesse und Technologie sowie
2. Verbesserungspotenzial: Die Priorität für Verbesserung in der mittelfristigen Zukunft in den genannten vier Kategorien.
Wesentliches Ergebnis der Studie ist, dass die befragten österreichischen Unternehmen innerhalb einer öffentlichen Wertediskussion, die im Zuge von Skandalen und im Rahmen der Finanzkrise vor drei bis vier Jahren begonnen hat, einen wertvollen Beitrag leisten.
Unternehmen bleiben weiter auf Kurs
70 Prozent der befragten Unternehmen bekennen sich öffentlich zu Corporate Governance, und die Führungsebene vermittelt intern Wertgrundsätze rund um Governance, Risikomanagement und Compliance (GRC). Das wird bereits als wichtiger Bestandteil der modernen Unternehmensführung gesehen und auch in Form von Maßnahmen unterlegt. Zudem gibt es eine steigende Anzahl an Unternehmen, die die Grundsätze ihrer Unternehmensführung extern über Geschäftsberichte, Intranet oder Vorträge kommuniziert. Der Großteil der Befragten ist mit dem aktuell vorliegenden Entwicklungsstatus zufrieden.
Die Studie zeigt auf, dass viele Unternehmen einen mittleren oder hohen Reifegrad bei Berichterstattung und unabhängiger Überwachung haben. Diese Befragten sind meist durch ein hohes Risikobewusstsein gekennzeichnet. Dennoch sieht die Hälfte der Studienteilnehmer angesichts der weiter steigenden Anforderungen durch Markt und Stakeholder laufendes Optimierungspotenzial und Weiterentwicklungsbedarf in der Risikokultur.
Es hat sich gezeigt, dass zwei Drittel der Befragten keine unternehmensweit koordinierte Vorgehensweise für die Zusammenführung von Governance, Risikomanagement und Compliance-Aktivitäten haben. Das bedeutet, dass in vielen Organisationen eine zentrale Strategie für die unterschiedlichen GRC-Aktivitäten fehlt. Sehr gut funktionieren dagegen das zentrale Richtlinien-Management und die Reaktion auf Veränderungen sowie die darüber hinaus notwendige interne Kommunikation.
Ein interessantes Ergebnis lieferte die Frage nach dem Umfang und der Ausrichtung des internen Kontrollsystems in Unternehmen. Bereits mehr als 50 Prozent definieren neben den klassischen rechnungslegungsrelevanten Kontrollen auch Maßnahmen für die Steuerung operativer oder strategischer Risiken. Knapp die Hälfte führt dieses Kontrollsystem allerdings informell und verlässt sich bei der Frage nach der Wirksamkeit auf das Werkzeug der Selbstbeurteilung.
In diesem Zusammenhang stellt sich die Frage, ob hier Potenzial verloren geht, die Durchführung der Kontrollen effizienter zu gestalten. Eine verpasste Chance liegt möglicherweise auch darin, dass nicht unabhängig überprüft wird, ob Kontrollen im angemessenen Verhältnis zu Prozessrisiken implementiert sind. 54 Prozent der Befragten – darunter fast alle Unternehmen mit IKS-Selbstbeurteilung – haben keine optimale Anzahl an Schlüsselkontrollen.
Trotz erhöhtem Risiko durch Datendiebstahl und der anhaltenden Tendenz, Geschäftsprozesse zu digitalisieren, schlägt sich dies noch nicht bei allen Befragten in den Struktur- und Technologiemaßnahmen nieder. Die Unternehmen haben oft kein unternehmensweites Vorgehen für die Erhebung von Automatisierungspotenzialen und sehen dringenden Handlungsbedarf bei der Automatisierung von aufwendigen, manuellen Kontrollen. Zudem haben mehr als 70 Prozent der Unternehmen kein schriftliches Dateneigner-Konzept erstellt. Hier wird der größte Nachholbedarf in der Technologiekategorie identifiziert.
Zwei polarisierende Themen …
Beurteilung des Wertbeitrags: Im Zusammenhang mit der „Messung des Wertbeitrags von Compliance-Aktivitäten“ hat sich in vielen Interviews eine spannende Diskussion entwickelt. Die Mehrheit der Befragten hält die Beurteilung von Compliance-Aktivitäten durch Messgrößen und Indikatoren nicht für sinnvoll und hinterfragt den Wertbeitrag bewusst nicht formell. In den meisten Unternehmen werden bereits ergriffene Compliance-Maßnahmen nicht in Frage gestellt, sondern stellen eine Notwendigkeit dar, die jedenfalls zu erfüllen ist.
Sanktionen: 63 Prozent der Studienteilnehmer geben an, Sanktionen unstrukturiert vorzunehmen oder diese im Anlassfall zu bestimmen. Die meisten Unternehmen mit einem mittleren Reifegrad sehen auch keinen Verbesserungsbedarf in diesem Bereich, da sie die Festlegung von Sanktionen in dezentraler Verantwortung belassen wollen. Jene Ansprechpartner, die ein mittleres oder hohes Optimierungspotenzial angeben, sehen das Risiko, dass ähnliche Sachverhalte durch unterschiedliche Vorgesetzte anders geahndet werden. Viele Organisationen sind der Meinung, dass eine einheitliche Vorgehensweise bei der Sanktionierung nur durch ein zentrales Gremium sichergestellt werden kann. Je zentralisierter ein Unternehmen aufgestellt ist, desto eher gibt es ein formalisiertes System, in dem Sanktionen klar geregelt und kommuniziert sind.
Wesentliche Abweichungen zwischen Finanzdienstleistern und anderen Branchen
Das IKS von Versicherungen und Banken („FS“ – Financial Services) ist aufgrund einer Vielzahl von Vorgaben in den letzten Jahren weiter entwickelt als in vielen Unternehmen außerhalb des Finanzsektors. Die Mehrheit der Banken war aber bei personellen und technischen Ressourcen für IKS-Verantwortliche von Anfang an sehr sparsam. Daher konzentrierten sie sich bisher überwiegend auf die Einhaltung von Vorschriften.
Die Studie ergab, dass die Finanzdienstleister im Vergleich zu anderen Branchen einen viel höheren Verbesserungsbedarf bei der Prüfung der Wirksamkeit ihrer Kontrollaktivitäten sehen. 62 Prozent der befragten Banken und Versicherungen sehen einen mittleren oder hohen Handlungsbedarf in diesem Zusammenhang. Es zeigt sich, dass die Potenziale eines wirksamen IKS zur Effizienzsteigerung (zB durch die Reduktion von redundanten Kontrollen) vielfach noch nicht genutzt werden (Abbildung 2).
Weitere, wesentliche Unterschiede zwischen dem Finanzdienstleistersektor und anderen Branchen ergeben sich vor allem aufgrund von rechtlichen Anforderungen bei folgenden Themen:
Risikomanagementfunktion: alle befragten Finanzdienstleister haben einen Risikomanager, 32 Prozent der Unternehmen aus anderen Branchen haben keine formelle Risikomanagementfunktion.
Code of Conduct: alle befragten Finanzdienstleister haben einen schriftlichen Code of Conduct, 16 Prozent der Unternehmen aus anderen Branchen haben keinen Verhaltenskodex.
Zusammenfassung
In Summe kann festgehalten werden, dass die Unternehmen im Bereich „Organisationsstruktur“ und „Mitarbeiter“ auf Kurs sind und aktiv Weiterentwicklung vorantreiben. In den Kategorien „Prozesse“ und „Technologie“ sehen die Unternehmen insgesamt stärkeren Verbesserungsbedarf und wollen ihre Leitlinien für regelkonformes Verhalten besser in ihre operativen Kontrolltätigkeiten integrieren.
Autoren
Dr. Barbara Redlein
Dr. Barbara Redlein, prüft und berät seit über zehn Jahren nationale und internationale Konzerne in den Themen Internes Kontrollsystem, Rechnungslegungssysteme (v.a. SAP) und Compliance. Schwerpunk...