Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Veranstaltungen

Rückblick: Compliance und Risk - 6. Deggendorfer Forum zur digitalen Datenanalyse 2020

Herausforderungen für Unternehmen und deren Berater

Von Gerhard Schmidt

09.12.2010

Gerhard Schmidt

Gerhard Schmidt 
Chefredakteur des "Forum Elektronische Steuerprüfung".

Ein auf den ersten Blick erstaunliches und mutiges Tagungskonzept. Ein Veranstalter, der sich der digitalen Datenanalyse verschrieben hat, hatte für seine inzwischen sechste Jahresveranstaltung am 3. und 4. Dezember 2010 ein Programm zusammengestellt, in dem die digitale Datenanalyse eigentlich nur am Rande vorkam. Während der Vorträge wurde dann immer klarer, worum es dem "Deggendorfer Forum zur digitalen Datenanalyse" ging: zu verorten, wo im Kontext von Compliance und Risk die digitale Datenanalyse ihre Stärken am besten entfalten kann.

 

"Herausforderungen für Unternehmen und deren Berater", so der Untertitel der Tagung, zu der Vereinsvorstand Prof. Dr. Georg Herde die rund 60 Teilnehmer am Georg-Simon-Ohm Management Institut in Nürnberg begrüßte. Um Großkonzerne sollte es vor allem gehen und wie diese die Herausforderungen anpacken können. Mit renommierten Referenten, die alle Problemdimensionen und Abgründe, die sich für die Verantwortlichen im Unternehmen auftun können, kennen, aus juristischer Perspektive als Staatanwalt oder Richter, als erfolgreiche Manager von Compliance-Projekten oder als Compliance-und-Risikomanagement-Berater.

DFDDA 2010

Von rechts: Christian Martini, Frank Romeike, Wolfgang Schaupensteiner, Prof. Dr. Georg Herde

Grundzüge innerbetrieblicher und konzertierter Compliance-Management-Systeme

Die "Grundzüge innerbetrieblicher und konzertierter Compliance-Management-Systeme" zeichnete Key-Note-Speaker Wolfgang Schaupensteiner, bekannt durch die Aufdeckung der sog. Frankfurter Korruptionsaffäre und als  mehrjähriger Leiter der Schwerpunktstaatsanwaltschaft zur Bekämpfung von Korruption und Submissionsabsprachen in Frankfurt. 3,5 Milliarden Euro Schaden entstehen in der deutschen Wirtschaft jährlich durch Korruption, bei einer geschätzten Dunkelziffer von 90%. Diesem zu begegnen bedarf es in den Unternehmen eines dreistufigen Vorgehens: Prävention, Aufklärung und Reaktion. Korrektes Verhalten sichert die Legalität. Dazu müssen Schwachstellen frühzeitig erkannt und Regelverletzungen durch Handlungsanweisungen und Schulungen verhindert werden (Prävention). Wichtiger Baustein für die Prävention ist das Aufdecken von Fehlverhalten. Dazu gehören insbesondere Hinweisgebersysteme wie ein externer Vertrauensanwalt oder ein anonymer Email-Briefkasten über den in beide Richtungen kommuniziert werden kann. Ernst genommen wird Compliance-Management im Unternehmen nur, wenn auf Regelverletzungen auch konsequent reagiert wird (arbeitsrechtliche Sanktionen, Schadenersatz, Aussperrung, Strafanzeige). Doch was nützt eine einzelbetriebliche Lösung, wenn der Wettbewerb durch  Korruption geprägt ist? Dann bedarf es unternehmensübergreifender Compliance-Lösungen. Das kann ein projektbezogener Integritätspakt sein, in dem sich Auftraggeber und Bieterfirmen zu Transparenz und Einhaltung der Gesetze bei der Ausschreibung von Großprojekten verpflichten. Oder die Wettbewerber einer Branche vereinbaren, sich weltweit oder innerhalb einer Region an die Gesetze zu halten. Für am wirkungsvollsten hält Schaupensteiner jedoch eine Verbandslösung, bei der ein Branchenverband ein Standard-Compliance-Programm entwickelt und seine Mitgliedsunternehmen bei dessen Implementierung unterstützt. Dies ist, insbesondere für den Mittelstand, eine kostengünstige Lösung, da sich die Kosten auf viele Unternehmen verteilen.

IT Technologie zur Unterstützung weltweiter Compliance - ein Erfahrungsbericht

Was ist der Schlüsselfaktor bei der Nutzung der IT zur Unterstützung weltweiter Compliance? "Sie müssen die Menschen mitnehmen!" so die Erkenntnis von Christian Martini. Er verantwortet das Risiko-/Chancenmanagement zu allen unternehmenskritischen IT-Anwendungen und -Projekten bei der Siemens AG und ihrer verbundenen Unternehmen. Durch die Korruptionsaffäre an den Rand der Existenz getrieben, war bei Siemens der Druck besonders groß, eine effektive Compliance-Organisation aufzubauen. Wie dabei vorgegangen wurde, zeigte Martini am Einkaufsprozess (Purchase-to-Pay). Da Compliance-Überprüfungen nur mit IT möglich sind, müssen dazu integere und sichere Daten verfügbar sein (Data Assurance). Diese werden bei Siemens tagtäglich aus weltweit rund 800 Konzern-Gesellschaften zusammengetragen. Das sind nicht wenige Daten. Bei den Transaktionsdaten sind dies Lieferanten-Stammdaten, Bestellungen, Warenbewegungen, Rechnungsbuchungen, Zahllauf-Informationen, Haupt- und Nebenbücher. Bei den Stammdaten zählen dazu die Daten von Millionen von Geschäftspartnern und ihre Zuordnung zu Geschäftseinheiten sowie die Daten, die bei Dun & Bradstreet, dem weltweit größten Dienstleister für Business-to-Business-Wirtschaftsinformationen registriert sind. Bis die Data Assurance im Tagesbetrieb reibungslos funktionierte, galt es neben der Konzeption und dem Design komplexer Strukturen und Systeme die Lösung in der gesamten Organisation einzuführen und dabei immer die Menschen mitzunehmen. Die Daten stehen bereit und können nun digital analysiert werden.

Wie man Biotop/Typologie- bezogene Warnhinweise für Compliance Risiken mit digitaler Datenanalyse verbinden und dadurch zu brauchbaren Ergebnissen gelangen kann

"Was fängt man damit an, wenn man weiß, dass das Korruptionsrisiko in einem Land höher ist als in einem anderen? Was wenn man weiß, dass komplexe Derivate ein höheres Misselling Risiko haben als deutsche Standardaktien?" fragte Dr. Reinhard Preusche in seinem Vortrag "Wie man biotop-/typologiebezogene Warnhinweise für Compliance Risiken mit Datenanalyse verbinden und dadurch zu brauchbaren Ergebnissen gelangen kann". Als Leiter Compliance bei der Dresdner Bank und der Allianz Group und aktuell als Compliance-Berater hat er einschlägige Erfahrungen gesammelt. Die üblichen Complinace-Risikokartographierungen dienten dem Bedürfnis von Geschäftsleitung und Compliance-Officern, etwas vorzeigbar Systematisches aufweisen zu können. Dieses verbindet sich mit dem Bedürfnissen der Beratungs- und Prüfungsindustrie an standardisiert reproduzierbaren und prüfungsfähigen Leistungen. Ihr praktischer Nutzwert ist dementsprechende anerkanntermaßen gering. Sie könnten sogar schädlich sein, weil sie und die darauf aufbauenden formalen Compliance-Systeme unnötig Ressourcen binden und das Gefühl der Scheinsicherheit geben können. Nur 16 - 17% beträgt der Aufklärungsgrad von Kontrollsystemen. Denn, wer groß täuschen will, darf sich keine Schlampereien erlauben. In Preusches Lösungsansatz haben quantitative Impact-Analysen nur dann Sinn, wenn unredliche und regelwidrige Verhaltensweisen in einem Unternehmen so häufig vorkommen, dass quantitative Auwertungen, Korrelationen und Häufigkeitsverteilungen mit professionellem Anstand vorgenommen werden kann. Er sucht nach den konkreten Spuren unredlichen Handelns in Einzelfällen. In der Verdichtung solcher Einzelfälle versucht er dann Biotope (Umfeldbedingungen) zu identifizieren, die erfahrungsgemäß ein erhöhtes Risiko für unredliches Verhalten unter Managementmitwirkung mit sich bringen können. Dabei können Analysen mit Hilfe mathematischer Methoden hilfreich sein. Keine dieser Spuren oder Biotopdefinitionen begründet allerdings einen Verdachtsfall. Der Sinn solcher Analysen liegt allein darin, Ansatzpunkte für Compliance-Präventionsmaßnahmen zu liefern. Sie dürfen daher keinesfalls in die allgemeinen Compliance-Berichterstattungsroutinen eingehen. Als Beispiele nannte Preusche häufigen Sekretärinnenwechsel in Verbindung mit hohen Reisekosten und Repräsentationsaufwand, stets detailgenaue Planerfüllung oder häufige Abweichungen, hohe Personlafluktuation bei 29.35-Jährigen sowie eine unmittelbare Arbeitsumgebung aus einer Hochschule, Beratungsfirma oder regionaler Herkunft.

Simulation contra Rückspiegel

Bessere Entscheidungen zu treffen, statt im Blindflug auf die (nächsten) Krise zuzusteuern war das Anliegen von Frank Romeike. "Simulation contra Rückspiegel", damit setzte er sich auseinander. Und kam zu vier Erkenntnissen: 1. Weg mit der vergangenheitsorientierten Riskobuchhaltung. Die Zukunft gehört szenariobasierten, zukunftsorientierten Methoden. 2. Weg mit den Silos. Die Zukunft gehört integrierten strategischen Risikomanagement-Ansätzen. Risikomanagement soll dabei unterstützen - basierend auf höherer Transparenz - bessere Entscheidungen zu treffen. 3. "Dreckige weiße Schwäne" ruinieren Unternehmen. Er geht darum, potenzielle Extremergebnisse ex ante zu kennen - etwa mit Hilfe von Frühwarnsystemen oder Szenarioanalysen, um anschließend Maßnahmen zu initiieren. 4. Intelligentes Risikomangement kombiniert "gesunden Menschenverstand" (Expertenwissen) mit modernen, quantitativen (stochastischen) Methoden und der Finanzwelt eines Unternehmens.

Compliance mit Internationalen Prüfungsstandards

Schließlich trat mit Prof. Dr. Rudolf Steckel doch noch ein Referent aus dem Bereich ans Rednerpult, in dem die digitale Datenanalyse ihren Ursprung hat, der Wirtschaftsprüfung. Sein Thema: "Compliance mit internationalen Prüfungsstandards (ISAs)". ISAs sind vom International Auditing and Assurance Standards Board der International Federation of Accountants herausgegebene Prüfungsstandards, die sich auf Fragen des gesamten Prüfungsprozesses beziehen. Verpflichtend ist die Anwendung von ISAs aufgrund von Gesetzen, von vertraglichen Vereinbarungen oder dadurch, dass sich der Prüfungsansatz einer Wirtschaftsprüfungsgesellschaft daran anlehnt. Faktisch ist Compliance mit den ISAs bereits erforderlich, resümierte Steckel. Compliance mit ISAs erfordert unter anderem umfangreiche Datenanalysen als analytische Prüfungshandlungen in der Planung und Durchführung. Dokumentationsverpflichtungen und die externe Qualitätskontrolle werden die Compliance mit den ISAs forcieren. Mit diesem Vortrag rückte die Veranstaltung etwas an das Tätigkeitsgebiet der DATEV, dem nicht nur ideellen Sponsor der Veranstaltung.

Nachhaltig Mehrwert schaffen mit Risiko-, Chancen- und Compliancemanagement

Im letzten Vortrag ging es Prof. Dr. Josef Scherer darum "Nachhaltig Mehrwert schaffen mit Risiko-, Chancen- und Compliancemanagement". Auf zwei Thesen steuerte er zu: 1. Risiko-, Chancen- und Compliancemanagement (mit Business Continuity und Krisenmanagement) stckt nicht nur Ziele und eruiert Schwachstellen oder Chancen, sondern hilft, diese zu bewerten und behandeln sowie Planabeichungen besser zu prognostizieren. 2. Sofern die "weichen" Rating-Kennzahlen und ein externes Risiko-, Chancen- und Compliancemenagement-Audit zufriedenstellend ausfällt, sind die klassischen Unternehmensbewertungsmethoden unter Einbeziehung dieser Ergebnisse als Zu- und Abschläge weiter verwendbar. Fehlen entsprechende Informationen oder fallen sie negativ aus, sind die klassischen Bewertungsmethoden nicht zielführend und können ursächlich für missglückte Transaktionen und Regressansprüche sein.

Scherer schloss: "Risikomanagement, das Anti-Aging-Wonder - die Braut ist nachhaltig und zeitlos schön!"

Newsletter
 hier abonnieren