Reading Sample
2.1 Das Konzept: der Anticube in Aktion
2.1.1 Einleitung in das Konzept
Es gibt drei Ebenen von Antikorruptionsmaßnahmen, die ein Unternehmen »etablieren kann«:
1. interne Prozesse,
2. externe Kommunikation,
3. kollektives Handeln.
»Etablieren kann« ist dabei eher eine diplomatische Floskel: Vielmehr handelt es sich um ein Muss, da erst alle drei Ebenen eine Antikorruptionsinitiative komplett machen, d.h., deren Erfolg und somit die getätigte Investition nachhaltig sichern.
Der Hauptfokus gilt in den meisten Unternehmen den internen Prozessen. Dieser Umstand ist auf die Tatsache zurückzuführen, dass eine Antikorruptionsinitiative auf dem Rückgrat von IKS und Risikomanagement aufgebaut wird.
1) Interne Prozesse sollen klar definierte Schritte zur Identifikation der Interessenkonflikte und Korruptionsrisiken beinhalten, präventive und aufdeckende Kontrollen etablieren, für die Umsetzung der Maßnahmen sowie die Vermittlung der Richtlinien sorgen.
Wichtige Voraussetzung für und ein unverzichtbarer Teil erfolgreicher interner Antikorruptionsprozesse ist die Förderung einer positiven Wahrnehmung der Risikomanagementfunktion und Ethik in der Unternehmenskultur. Vorbildfunktion der Führungsetagen sowie deren Unterstützung der GRC-Initiativen sind dabei essenziell. Doch ist eine Ergänzung der internen Prozesse durch die beiden weiteren Prozessebenen, wie bereits angesprochen, ebenfalls sehr wichtig.
2) Externe Kommunikation: Erfahrungsaustausch bzgl. Best Practice, Erfolgsgeschichten, Auftritte auf Konferenzen; Veröffentlichung von CSR(Corporate Social Responsibility)-Berichten; Vertragsgestaltung mit Geschäftspartnern, Lieferanten und Vertriebspartnern in Bezug auf deren Einverständnis mit Compliance-Richtlinien.
Außer Kommunikation gibt es weitergehende Formen der Kooperation eines Unternehmens mit der Außenwelt mit dem Ziel, Korruption gemeinsam anzugehen. Diese sind nicht nur in Hochrisikoregionen, sondern auch regionenunabhängig bei anfälligen Branchen und Transaktionen dringend anzuraten. Solche tiefergehenden Kooperationsformen richten sich vor allem gegen Bestechung als Korruptionsart und werden unter dem Begriff »Kollektives Handeln (Collective Action)« zusammengefasst (siehe auch Abschnitt 3.1.2).
3) Kollektives Handeln ist auf die Bildung von Allianzen ausgerichtet, die gemeinsam Korruption überwinden und schwarze Schafe isolieren möchten. Solche Allianzen beinhalten, über Unternehmen und deren jeweilige Supply Chain (Partner, Lieferanten, Kunden etc.) hinaus, die Gesellschaft sowie Regierungs- und Nichtregierungsorganisationen.
Diese drei wichtigen Ebenen der Korruptionsbekämpfung behalten wir für die spätere Beschreibung unseres Konzepts im Hinterkopf.
Welche Quellen liegen unserer Idee zugrunde und was ist deren Kern? Wie bereits erwähnt, gibt es zahlreiche von der Weltbank, UN, Transparency International etc. veröffentlichte Studien und Leitfäden, die Unternehmen helfen sollen, Korruption zu bekämpfen. Sie beziehen sich alle auf die in Abbildung 2.1 dargestellten vier internen Prozesse:
Abbildung 2.1: Prozessschritte im Antikorruptions-Rahmenwerk
Diese Studien und Leitfäden liefern sehr gute Anregungen und zuweilen sehr konkrete und greifbare Empfehlungen für die Praxis. Deren Bekanntheitsgrad unter den in Unternehmen für Risk- und Compliance-Themen verantwortlichen Personen ist allerdings relativ gering; Studien wie COSO und COBIT sowie einschlägige ISO-Normen beeinflussen maßgeblich die Risk- und Compliance-Managementprozesse. Der Kern unseres Vorhabens besteht also darin, Antikorruptionsstudien durch Verlinkung mit bekannten Konzepten zu popularisieren sowie deren praktische Umsetzung mittels softwaregestützten Prozessen zu befördern.
Die Idee, Antikorruptionsthemen als wichtigen Teil der Compliance-Prozesse zu betrachten, ist insoweit nicht neu, weil
- zum einen ein Internes Kontrollsystem laut COSO u.a. einen klaren Antifraud-Fokus hat und
- zum anderen, weil sich das Multiple-Compliance-Rahmenwerk-Prinzip (d.h. die Möglichkeit, mehrere kundenindividuelle Compliance-Dimensionen abbilden zu können) in GRC-Anwendungen und -Prozessen inzwischen etabliert hat.
Um ein besseres Verständnis dafür zu bekommen, wie ein Unternehmen eigene Antikorruptionsziele softwaregestützt erreichen kann, möchte ich diesen speziellen Fokus maximal hervorheben. Dabei möchte ich aber zunächst mit dem softwareunabhängigen, also eher konzeptionellen Aufbau eines Antikorruptions-Rahmenwerks starten.
In Anlehnung an den bekannten COSO-Würfel soll das in Abbildung 2.2 dargestellte 3D-Schema eines Antikorruptions-Rahmenwerks (einfachheitshalber als Anticube bezeichnet) die vier oben bereits erwähnten Prozessgruppen ergänzen und deren wichtigste Eigenschaften zusammenfassen.
Abbildung 2.2: Der Anticube
Die drei Seiten des Anticubes fassen Folgendes zusammen: Auf der Oberseite sehen Sie die wichtigsten inhaltlichen Elemente (oder Content); sie sind stark im Internen Kontrollsystem verwurzelt. Aktivitätstypen (rechte Seite des Anticubes) sind neben den antikorruptionsspezifischen Eigenheiten an COSO-Komponenten orientiert und kennzeichnen Aktivitäten. Letztere werden in vier Prozessgruppen zusammengefasst.
Bevor wir auf die einzelnen Seiten des Anticubes ausführlicher eingehen, möchte ich Ihnen erklären, wie dieses bis jetzt noch recht abstrakte Gebilde zu einer GRC-Automatisierung verhelfen soll.
2.1.2 Wie bringt man den Anticube ins Rollen?
Was bedeutet es, eine Antikorruptionsinitiative im Unternehmen zu automatisieren, und wie lässt sich die Lücke zwischen Konzepten und deren effizienter und praxisnaher Umsetzung schließen? Kurz gesagt: Wie bringt man den Anticube ins Rollen? Und was möchte man dabei erreichen?
Um das Konzept möglichst simpel zu halten, möchte ich zu einer Abstraktion greifen, die nach Erfahrungen langjähriger Implementierungspraxis sehr gut dazu geeignet ist, einerseits den Kunden das Prinzip der Automatisierung der GRC-Abläufe zu erklären und andererseits entsprechende Implementierungsprojekte zu planen und zu realisieren. Der bewährte Ansatz beruht auf der Verbindung folgender Sichten:
- Inhaltliche oder Content-Sicht: Definition der Struktur und Inhalte eines GRC-Frameworks: Organisationshierarchie, Prozesse, Risikokategorien, Kontrollen, Risiken u. v. m. Es geht nicht nur darum, ein möglichst vollständiges und richtiges Abbild der Risiko- und Compliance-Landschaft zu schaffen; funktional wirkt der GRC-Content u.a. im Rollenkonzept und Reporting mit.
- Prozesssicht: Abläufe setzen sich aus manuellen und automatisierten Schritten zusammen, die durch Berechtigungsrollen, Workflows, Oberflächengestaltung ermöglicht werden.
Wenn man die komplexen Sachverhalte auf diese Weise herunterbricht, ergibt sich daraus die in Abbildung 2.3 gezeigte vereinfachte Darstellung:
Abbildung 2.3: Abstraktion einer GRC-Automatisierung
Die softwaregestützte GRC-Automatisierung kann man sich im Allgemeinen als
- Dokumentation der GRC-Inhalte vorstellen,
- deren Elemente in diverse Aktivitäten (meist über Workflows) einbezogen werden, mit dem Ziel, über den Stand der Dinge in GRC jederzeit mittels Reporting gut informiert zu sein.
Bei Aktivitäten muss die »Wer macht was«-Frage beantwortet werden. Dazu ist es in IT-Applikationen üblich, zwischen Rollen und Aktionen zu unterscheiden: Rollen erlauben einem Benutzer, bestimmte Aktionen durchzuführen. Somit kommen bei der GRC-Automatisierung drei wichtige Dimensionen zum Tragen: Objekte, Rollen und Aktionen.
Mithilfe dieser Abstraktion (O/R/A) können GRC-Prozesse modelliert werden, auf Grundlage derer sich später die technische Umsetzung der Vorhaben (Oberflächengestaltung, Rollendesign, Workflow-Konfiguration etc.) vollzieht.
Prozessschrittdesign
1. Risikomanager versendet Umfragen zu den größeren Projekten (Projekte –> Risikomanager –> Einplanung).
2. Projektleiter erhält die Umfragen und füllt sie aus (Projekte –> Prozessverantwortlicher –> Umfrage via Workflow). Dabei können zusätzlich zur Umfrage optional neue Risiken oder Vorfälle gemeldet werden (Risiko –> Prozessverantwortlicher –> Ad-hoc-Risikovorschlag oder Incident).
3. Risikomanager wird automatisch über Rückläufe benachrichtigt, begutachtet diese und aktualisiert Risikoprofile (Risiken –> Risikomanager –> Risikobewertung). Maßnahmenpläne können zusätzlich aktualisiert oder neu angelegt werden (Risk Response –> Risikomanager –> Einplanung).
Warum betrügen Menschen? In den 50er-Jahren des vergangenen Jahrhunderts hat der amerikanische Kriminologe Dr. Donald R. Cressey das sogenannte Betrugs-Dreieck [14] entwickelt. Anhand seines Modells konnte er zeigen, dass bei der Entstehung von Korruptionsdelikten üblicherweise drei Faktoren zusammentreffen.
Die drei Elemente des Betrugs-Dreiecks
- Motivation: Es geht meist um den finanziellen Bedarf des Täters – objektiv begründet oder subjektiv empfunden.
- Rechtfertigung: Die Täter sehen sich in der Regel nicht als Kriminelle und legen sich Rechtfertigungen zurecht, um sich vor einem schlechten Gewissen zu schützen.
- Gelegenheit: Der Zugriff auf Vermögenswerte oder Entscheidungsbefugnisse ist objektiv erforderlich, um von den sich bietenden Vorteilen Gebrauch zu machen.
Das Ziel einer unternehmensweiten Antikorruptionsinitiative besteht also darin,
- die Motivation zum und Rechtfertigung von Betrug durch geeignete Prävention und Aufdeckung zu reduzieren sowie
- Gelegenheiten für Mitarbeiter und Geschäftspartner möglichst präventiv zu eliminieren.
Nachdem Sie, liebe Leser, eine grobe Idee davon erhalten haben, wie man den Anticube ins Rollen bringt, werde ich für Sie die einzelnen Seiten des Anticubes im Detail erläutern. Die Inhalte stehen bei GRC immer im Vordergrund; deswegen beginnen wir bei der inhaltlichen Struktur eines Antikorruptions-Rahmenwerks.
All contents. Learn more. Discover now.
et.training - Your learning platform for SAP software
- Access to all learning content1
- Regular new releases
- Intelligent search algorithm
- Innovative reading experience
- Customized learning paths
- Certificates & QA tests2
1 You get access to all learning content. Online trainings, certificates are NOT part of the flat rate.
2 More information on request.