Dieser Artikel wurde ursprünglich im Blog von SumTotal Systems veröffentlicht.
Compliance-Anforderungen einhalten oder nicht – das ist eine uralte Frage. Die Antwort darauf birgt jedoch für jedes Unternehmen eine Menge an Komplexität und Implikationen. Für viele Unternehmen, insbesondere in stark regulierten Branchen wie dem Finanz- und Gesundheitswesen, sind Maßnahmen zur Erfüllung gesetzlicher Verpflichtungen – oder zur Gewährleistung von Compliance – unerlässlich, um die Gesundheit, die Sicherheit und das Wohlergehen des Unternehmens und seiner Kunden zu schützen.
Mit zunehmendem Wachstum erstreckt sich die Komplexität der Compliance-Anforderungen im Unternehmen jedoch auch auf Themen wie Beschäftigte, Einstellungen, Entlassungen, Diskriminierung, Belästigung, Sicherheit, Löhne, Gehaltsabrechnung und Sozialleistungen. Und das sind nur einige Beispiele. Dementsprechend ist die Liste der Compliance-Verantwortlichkeiten lang, und die Compliance-Kosten sind oft hoch.
Wenn Sie in Ihrem Unternehmen für Compliance zuständig sind, kennen Sie die häufigsten Probleme bei der Umsetzung von Compliance-Protokollen in Ihrer Belegschaft. Leider passen Compliance-Schulungen und Mitarbeitende nicht immer gut zusammen. Um beim Engagement im gesamten Unternehmen möglichst erfolgreich zu sein, müssen Sie in der Regel eine Reihe von Schwierigkeiten überwinden. Dies sind die häufigsten Probleme:
- Oft sagen Mitarbeitende, dass sie sich trotz Compliance-Schulung nicht besser gerüstet fühlen.
- Die Mitarbeitenden sind der Meinung, dass die Compliance-Schulungen zu lange dauern. Es ist ein ständiger Balanceakt, die Zeit der Mitarbeitenden nicht zu stark zu beanspruchen.
- Mitarbeitende klicken sich einfach durch die vorgeschriebenen Compliance-Schulungen, ohne wirklich zuzuhören oder zu lesen. Die Schulung wird als „langweilig“ beschrieben, was das Engagement und den langfristigen Lerneffekt behindert.
Die Suche nach Lösungen für diese Probleme kann die Ressourcen eines Unternehmens stark beanspruchen. Zudem gefährden Mitarbeitende, die den vorgeschriebenen Compliance-Schulungen nicht genug Aufmerksamkeit schenken, das gesamte Unternehmen.
Doch die Schwierigkeiten im Zusammenhang mit Compliance sind noch weitreichender. Neben der Komplexität des Mitarbeiterengagements sind auch die mit diesen Aufgaben verbundenen Kosten zu berücksichtigen. Viele Führungskräfte rechnen die Kosten für mangelnde Compliance gegen die Ausgaben auf, die für die Modernisierung ihrer Technologie und Datenprozesse erforderlich sind. Dabei kann ein genauer Blick auf die Kosten für die Nichteinhaltung von Vorschriften wie GDPR, HIPAA, PCI-DSS und andere schnell die Augen öffnen.
Die Compliance-Kosten umfassen alles, was ein Unternehmen tun muss, um die relevanten Vorschriften einzuhalten. Unternehmen müssen über einen detaillierten Plan verfügen, der die Strategien und Verfahren zur angemessenen und fristgerechten Erfüllung der Compliance-Anforderungen umfasst. Ein System zur genauen Dokumentation dieser Verfahren ist ebenfalls erforderlich. Best Practices empfehlen die Implementierung von Software und Datenbanken, um alle Daten automatisch zu erfassen und zeitaufwendige Aufgaben wie Audit Performance Management und das Management von Compliance-Risiken zu unterstützen.
In Anbetracht dieser Anforderungen empfinden Unternehmen die empfohlenen Lösungen häufig als lästig und als zusätzliche Belastung der oftmals bereits stark beanspruchten Ressourcen. Doch auch wenn die Compliance-Kosten hoch erscheinen mögen – eine Nichteinhaltung von Compliance-Anforderungen ist für Unternehmen oft erheblich kostspieliger.
Jüngste Untersuchungen zeigen, dass die durch mangelnde Compliance entstehenden Kosten höher denn je sind und die Compliance-Kosten bei weitem übersteigen. Die höchsten Kosten für Compliance fallen bei der Datensicherheit an – wobei die meisten Unternehmen nicht in Datensicherheit investieren, um die Geschäftssicherheit zu verbessern, sondern um Gesetze und Vorschriften einzuhalten.
In der Vergangenheit wurde die Compliance mit Gesetzen und Vorschriften zwar nachdrücklich empfohlen, aber eine Nichteinhaltung führte nicht in dem Maße zu hohen Geldstrafen, rechtlichen Konsequenzen oder zu Auswirkungen auf den Ruf des Unternehmens, wie dies heute der Fall ist.
Behördliche Bußgelder und Strafen für Compliance-Verstöße sind hoch.
Im Jahr 2018 wurden Unternehmen, die den Compliance-Anforderungen nicht gerecht wurden, mit Strafen in Höhe von 3,945 Mrd. USD belegt. Weitere 794 Mio. USD wurden in Urteilen im Zusammenhang mit Untersuchungen und Klagen der US-amerikanischen Börsenaufsichtsbehörde SEC verhängt. Darüber hinaus belegte die Genehmigungsbehörde FINRA Unternehmen mit Geldbußen in Höhe von 61 Mio. USD. Diese Zahlen sind zwar gewaltig, sie stellen jedoch nur einen Teil der möglichen Kosten für Unternehmen dar, die ohne robuste Compliance-Programme arbeiten.
Sie sind keinesfalls der Punkt, an dem die Kosten aufhören. Geschäftsunterbrechungen im Zusammenhang mit mangelnder Compliance – einschließlich Bußgelder, Produktivitätsverluste, Einnahmeeinbußen, verlorenes Kundenvertrauen und Betriebskosten für Abhilfemaßnahmen – haben Unternehmen in den letzten Jahren fast das Dreifache der Compliance-Kosten gekostet.
Anders ausgedrückt: Die durchschnittlichen Kosten für Compliance beliefen sich auf 5,47 Mrd. USD, während die durchschnittlichen Kosten für Nichterfüllung von Compliance-Anforderungen 14,82 Millionen Dollar betrugen. Die durchschnittlichen Kosten für mangelnde Compliance sind in den letzten zehn Jahren um mehr als 45 % gestiegen.
Wenn Unternehmen expandieren, wenden sie sich häufig an Drittanbieter, um Compliance zu gewährleisten und die mit mangelnder Compliance verbundenen potenziellen Kosten zu senken.
Geldbußen sind nur ein Aspekt der Kosten, die einem Unternehmen durch Nichterfüllung von Compliance-Anforderungen entstehen. Wenn Ihr Unternehmen zum Beispiel mehrere Verstöße begeht, kann die US-amerikanische Gesundheitsbehörde FDA je nach Schwere des Falls Rechtsmittel einlegen. Zu diesen Maßnahmen gehören:
- Versenden von Mahnungen, um Verstöße zu benennen und eine Antwort in Bezug auf Korrekturmaßnahmen einzufordern, die zur Behebung des Problems erforderlich sind
- Beschlagnahmen nicht konformer Produkte, um ihren weiteren Verkauf zu verhindern
- Beantragen von gerichtlichen Anordnungen, um Unternehmen daran zu hindern, Verstöße zu begehen oder zu verursachen
Unternehmen müssen auch die finanziellen Kosten berücksichtigen, die infolge der Markterosion, der Rufschädigung und des Verlusts von Kundenvertrauens entstehen. Hinzu kommen die Kosten für Gerichtsverfahren und Schadenersatz. Außerdem werden alle Bekanntmachungen über Verstöße auf der Website der FDA veröffentlicht.
Trotz der Herausforderungen in Bezug auf Compliance und der damit verbundenen steigenden Kosten ist klar, dass Compliance-Verstöße weitaus teurer und riskanter für den Ruf, die Stakeholder und den Gewinn eines Unternehmens sind. Die Nichtbeachtung von Compliance-Anforderungen kann sich über den Gewinn hinaus folgendermaßen auf Ihr Unternehmen auswirken:
- Unterbrechung des Geschäftsbetriebs: Wenn mangelnde Compliance festgestellt wird, sind Unternehmen oft gezwungen, Änderungen zu implementieren, bevor sie ihren Betrieb wieder aufnehmen können. Und wenn neue Verfahren eingeführt werden müssen, um Compliance zu gewährleisten, kann es im Zuge der Umsetzung dieser Verfahren zu weiteren Unterbrechungen kommen.
- Mögliche Datenschutzverletzungen: Die Datenschutzbestimmungen werden aufgrund des Werts und der Sensibilität von personenbezogenen und geschützten Daten immer komplexer. Mangelnde Compliance kann die Gefahr von Datenschutzverletzungen, Datenverlusten, Cyberangriffen oder Insider-Bedrohungen erhöhen.
- Rufschädigung: Dies ist eine der am häufigsten übersehenen Kosten von mangelnder Compliance. Es ist schwierig und langwierig, einen beschädigten Ruf wiederherzustellen.
- Internationale Aktivitäten: Die Compliance von globalen Lohn- und Gehaltsabrechnung ist eine komplexe Aufgabe. Studien haben gezeigt, dass die Einhaltung der Vorschriften im eigenen Land wesentlich billiger ist. Deshalb ist es sinnvoll, Compliance sicherzustellen, bevor Sie expandieren und Nicht-Compliance Ihre Fähigkeit, im Ausland Geschäftsaktivitäten aufzunehmen, gefährden könnte.
- Einnahmenverluste: Verstöße gegen Rechtsvorschriften wirken sich erheblich auf die Einkünfte eines Unternehmens aus.
Wenn Unternehmen Gründe benennen, warum sie kein robustes Compliance-Programm implementieren, sind sie häufig davon überzeugt, dass sie das Compliance-Risiko effektiv managen, nur weil sie bisher keine Verstöße gegen Vorschriften zu verzeichnen haben. Das ist jedoch ein schwerer Fehler. Keine Verstöße bedeutet nicht, dass es keine Probleme gibt – in Wirklichkeit können erhebliche Probleme bestehen, die nur noch nicht entdeckt wurden.
Wenn diese Probleme nicht angegangen werden, könnten sie das Unternehmen mehr kosten, als es für Lösungen zur Vermeidung dieser Probleme ausgegeben hätte. Die meisten Unternehmen brauchen Hilfe, um es sich leisten zu können, hinsichtlich ihrer Bemühungen um die Compliance selbstzufrieden zu sein. Es mag zwar verlockend sein, so weiterzumachen wie bisher, aber dies kann erhebliche finanzielle und rufschädigende Folgen nach sich ziehen.
Die mit mangelnder Compliance verbundenen Risiken entwickeln sich ständig weiter. Daher ist es keine wirksame Strategie, sich weiterhin auf alte Compliance-Programme zu verlassen. Stattdessen benötigen Teams eine effiziente Methode zur Überwachung und Verwaltung bestehender Compliance-Programme, die dem Compliance-Risiko und der Ineffizienz Tür und Tor öffnen – zum Beispiel durch die manuelle Bearbeitung von Überprüfungs- oder Zertifizierungsaufgaben und die Suche nach gespeicherten Informationen in Dateien oder E-Mails.
Angesichts der Tatsache, dass die Kosten für mangelnde Compliance fast dreimal so hoch sind wie die durchschnittlichen Kosten für die Einhaltung von Branchenvorschriften, sollte es keine Zweifel geben, wie wichtig ein solides internes Compliance-Programm und die richtigen Lösungen sind, um Effektivität zu gewährleisten.