Umfrage zu Compliance in Unternehmen - Wien, Februar 2021 - Austrian Standards
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Umfrage zu
Compliance in Unternehmen
Wien, Februar 2021Inhalt
● Einleitung
● Eckdaten der Studie
● Ergebnisse
● Compliance-Management-System im eigenen Unternehmen
● Enterprise Risk Management System
● Organisation des Compliance-Managements
● Entwicklungen und geplante Maßnahmen
● Meldung von Compliance-Vorfällen
● Aufarbeitung von Compliance-Vorfällen
● Standards/Regelwerke und Zertifizierung
● Unterstützung durch IT-Systeme
● Auswirkungen der Corona-Krise
● Informationsquellen
● Statistische Fragen
1Eckdaten der Studie
● Erhebungsmethode:
Computer Assisted Web Interviews (CAWI)
● Zielgruppe:
Kontaktpersonen aus dem Newsletter-Versand durch LexisNexis
● Stichprobengröße:
n=172
● Erhebungszeitraum: 18. November – 22. Jänner 2021
● Interviewdauer: 10 Minuten
Vergleich mit früheren Studienergebnissen: aktuelle Studie
Die Ergebnisse der aktuellen Studie sind in orange dargestellt. frühere Studie
Für jene Fragen, die bereits in einer früheren Studie erhoben wurden,
sind die Ergebnisse aus der früheren Studie zusätzlich in grau dargestellt.
2Ergebnisse
Compliance Officer
Gibt es im Unternehmen die Rolle des Compliance Officers und wie ist diese im Unternehmen integriert?
Ja, das Unternehmen weist eine Compliance Organisation auf. Der
Compliance Officer interagiert mit sämtlichen Bereichen des Unternehmens
66,3
und verfügt über definierte Schnittstellen zu Compliance-relevanten
Prozessen (Einkauf, Vertrieb, HR, etc.)
Ja, es gibt im Unternehmen die Funktion eines Compliance Officers, dieser
15,1
agiert aber weitgehend isoliert
Nein, es gibt keine dezidierte Funktion eines Compliance Officers. 18,6
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=172
4Compliance-Management-System
Werden in Ihrer Organisation systematisch organisatorische Maßnahmen ergriffen, um Legal Compliance sicherzustellen,
also die Einhaltung von Gesetzen bzw. internen und externen Richtlinien (Compliance-Management-System, CMS)?
86,0
Ja
87,7
14,0
Nein
12,3
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=172
5Compliance-Management-System
Welche Compliance-Risiken werden durch das CMS aktiv gesteuert?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Anti-Korruption 87,8
Datenschutz 74,3
Betrugsvermeidung 70,9
Kartellrecht 60,1
Arbeitsrechts 32,4
Steuerrecht 23,6
Wirtschaftsspionage 19,6
Umweltschutz 17,6
Produkthaftung 10,1
keine Angabe / weiß nicht 2,0
Sonstiges 32,4
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=148
6Compliance-Management-System Welche Compliance-Risiken werden durch das CMS aktiv gesteuert? Sonstige: ● Anti Financial Crime ● Exportkontrolle Geldwäscheprävention ● Anti Geldwäsche und Vermeidung ● Geldwäsche ● Kapitalmarktrecht Terrorismusfinanzierung ● Geldwäsche, Terrorismusfinanzierung, ● Menschenrechte ● Anti-Geldwäsche / Spielsuchtprävention Finanzsanktionen, Interessenkonflikte, ● Mobbing, sexuelle Belästigung ● Arbeitssicherheit Beschwerden, Marktmissbrauch, ● Regulatorik ● Auflagenmanagement Internes Kontrollsystem etc ● Sanktionen / Exportkontrolle ● Aufsichtsrechtliche Normen (BWG, VAG); ● Geldwäsche, WAG 2008 ● Sanktionen/Exportkontrolle Gewerberecht, UWG, Maklergesetz, und ● Geldwäsche, Wertpapiercompliance, ● schnittstelle ext. Prüfungen alle im Zusammenhang damit CTF ● Vergaberecht verbundenen europarechtlichen ● Geldwäschepräventation, ● Vergaberecht, Lobbying, Normen, insbesondere delegierte Kapitalmarktcompliance, BWG Informationssicherheit Verordnungen ● Geldwäscheprävention ● Wertpapier-Compliance (WAG) und ● Bankenregulatorik (Aufsicht & ● Geldwäscheprävention, FATCA, GMSG, Prävention der Geldwäscherei und Geldwäsche) Wirtschaftssanktionen, Terrorismusfinanzierung (AML- ● Beschaffung, Vergaberecht ● Gleichbehandlung, Menschenrechte Compliance) ● Customs & Trade Compliance ● Insider Trading, Lieferanten Compliance ● Wertpapier-Compliance, ● Cutsoms & Trade, Conflicts of Interest, ● Interessenskonflikte Geldwäschebekämpfung Informationsschutz ● Kapitalmarkt ● Wirtschaftskriminalität im weiteren Sinn ● Einkauf, Beschaffung ● Kapitalmarkt Compliance ● Ethik ● Kapitalmarkt Compliance, Originalnennungen 7
Compliance-Management-System
Was war der Grund für die Einführung von Compliance-Maßnahmen/eines Compliance-Management-Systems (CMS) in
Ihrer Organisation?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
54,1
Anregung durch den Eigentümer / die Geschäftsführung /den Vorstand
46,8
17,6
Es gab einen Anlassfall.
36,4
12,8
Anregung durch den Aufsichtsrat
7,5
9,5
keine Angabe / weiß nicht
28,4
Sonstiges
27,7
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=148
8Compliance-Management-System Was war der Grund für die Einführung von Compliance-Maßnahmen/eines Compliance-Management-Systems (CMS) in Ihrer Organisation? Sonstige: ● Ankündigung einer Prüfung des CMS ● Grundlage für Zertzifizierung ● Unternehmen ist gewachsen durch Kontrollbehörde ● Interesse des nunmehrigen Compliance ● Verpflichtung ● Anregung durch externe Auditoren Officers aus Anlass der Einführung des ● Verpflichtung durch die Mitgliedschaft ● Anregung durch Rechtsabteilung QMS in einem Verband ● Aufsichtsrechtliches Erfordernis ● Konzern ● Vorschlag des heutigen Compliance ● börsennotiert NYSE ● Kunde Officers im Jahr 2010 ● Ein CMS ist state of the art für ● Kundenanforderung ● Zeitgeist international tätige Unternehmen. ● Kundenforderung bzw. Marktüblichkeit ● Einführung von QSU, Interesses des ● Nachhaltigkeitsratings; Anlassfälle bei (zukünftigen) Compliance Officers anderen Unternehmen ● Entscheidung vom obersten ● Normanforderungen (14001, 45001) Management ● Ohne CMS ist man nicht mehr ● gesetz zeitgemäß ● Gesetzesanforderung ● Organisationsverantwortung des ● Gesetzgeber Vorstands, rechtliche Anforderungen, ● gesetzliche Verpflichtung Best Practises ● Gesetzliche Vorgabe ● regulatorisch Notwendig (Bank) ● Gesetzliche Vorgaben ● Solvency II Richtlinie, umgesetzt durch ● Gesetzliche Vorschrift VAG ● Gesetzliches Erfordernis ● später durch eine gesetzliche Norm Originalnennungen 9
Konsequenzen bei aufgedeckten Compliance-Verstößen
Werden bei aufgedeckten Compliance-Verstößen von Mitarbeitern (z.B. Nichteinhaltung von Arbeitsanweisungen oder
Betrug), je nach Schwere der Verletzung, Konsequenzen (z.B. Verwarnung, Nachschulung, Entlassung) gezogen?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Ja, Verwarnung 93,9
Ja, Nachschulung 80,4
Ja, Entlassung 77,0
Ja, Anzeige bei der Polizei 57,4
keine Angabe / weiß nicht 2,7
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=148
10Enterprise Risk Management System
Verfügt Ihre Organisation über ein Enterprise Risk Management System (ERP)?
Ja 57,6
Nein 42,4
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=172
11Enterprise Risk Management System
Welche der folgenden Bereiche werden von dem ERP abgedeckt?
Die Frage wurde nur jenen Personen gestellt, deren Organisation über ein Enterprise Risk Management System (ERP) verfügt.
Finanzen 78,8
Geschäftsbetrieb 73,7
Strategie 51,5
Unternehmensführung 51,5
Externe 32,3
keine Angabe / weiß nicht 13,1
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=99
12Organisation des Compliance-Managements
Wie viele Personen beschäftigen sich in Ihrer Organisation mit Compliance-Management, also der Einhaltung von
Gesetzen und Richtlinien, sei es auch nur in Teilzeit?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
60,1
1-5 Personen
60,7
11,5
6-10 Personen
12,5
28,4
mehr als 10 Personen
26,8
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=148
13Organisation des Compliance-Managements
Wo ist die Compliance-Funktion organisatorisch angesiedelt?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Stabsstelle, die direkt an die Geschäftsführung / den Vorstand berichtet 73,0
65,6
wird neben anderen Agenden von einem Mitarbeiter in der Rechtsabteilung 26,4
wahrgenommen 19,6
auf Geschäftsführer-/Vorstandsebene 16,9
21,5
wird neben anderen Agenden von einem Mitarbeiter der internen Revision 7,4
wahrgenommen
wird neben anderen Agenden von einem Mitarbeiter einer anderen 7,4
Abteilung wahrgenommen 8,6
wird neben anderen Agenden von einem Mitarbeiter in der Finanzabteilung 4,7
wahrgenommen 3,7
wird neben anderen Agenden von einem Mitarbeiter in der 4,1
Personalabteilung wahrgenommen 4,3
wird neben anderen Agenden von einem Mitarbeiter in der IT-Abteilung 2,0
wahrgenommen 2,5
Die Compliance-Funktion ist an einen externen Dienstleister ausgelagert. 0,7
0,6
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=148
14Organisation des Compliance-Managements
Welches Budget steht der Compliance-Funktion Ihrer Einschätzung nach in etwa jährlich zur Verfügung, Personalkosten
nicht eingerechnet?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
23,0
unter 10.000 Euro
21,1
29,7
10.000 – 50.000 Euro
6,8
10,1
50.001 – 100.000 Euro
13
15,5
mehr als 100.000 Euro
21,6
keine Angabe / weiß nicht
59
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=148
15Organisation des Compliance-Managements
Welches Budget steht anderen Abteilungen außer der Compliance-Funktion für Compliance-Maßnahmen - z.B. dem
Ankauf von Softwareprogrammen - Ihrer Einschätzung nach in etwa jährlich zur Verfügung?
23,3
unter 10.000 Euro
12,7
20,3
10.000 – 50.000 Euro
5,7
4,7
50.001 – 100.000 Euro
12,7
12,8
mehr als 100.000 Euro
39,0
keine Angabe / weiß nicht
69
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=172
16Entwicklung der Ressourcen für das Compliance-Management
Wie wird sich der Ressourceneinsatz (Personal, Budget) Ihrer Organisation für das Compliance-Management in den
nächsten 2 Jahren Ihrer Einschätzung nach entwickeln?
Top2 Top2
Personal 5 33 60 20 38 34
Budget 3 34 53 7 3 37 38
0 10 20 30 40 50 60 70 80 90 100
Wird stark steigen Wird steigen Wird gleich bleiben Wird sinken Wird stark sinken
In %, Einfachantwort-Matrix n=172
17Gründe gegen systematisches Compliance-Management
Welcher der folgenden Aussagen stimmen Sie am ehesten zu?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation kein Compliance-Management-System vorhanden ist.
45,8
Die rechtlichen Risiken, denen meine Organisation ausgesetzt ist, sind so
gering, dass kein systematisches Compliance-Management notwendig ist.
26,1
29,2
Meine Organisation hat bisher aus Kostengründen noch keine Compliance-
Maßnahmen ergriffen.
34,8
Alle Mitarbeiter und Manager in meiner Organisation verhalten sich auch 12,5
ohne Anleitung oder Kontrolle immer rechts- und regelkonform.
34,8
12,5
Compliance ist eine Modeerscheinung, die viel Bürokratie erzeugt und
keinen messbaren Nutzen bringt.
4,3
0 10 20 30 40 50 60
In %, Einfachantworten, n=24
18Geplante Maßnahmen
Wie wahrscheinlich ist es, dass Ihre Organisation in den nächsten 2 Jahren Maßnahmen im Bereich Compliance-
Management ergreifen wird?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation kein Compliance-Management-System vorhanden ist.
25,0
Sehr wahrscheinlich
18,2
37,5
Wahrscheinlich
31,8
25,0
Eher nicht wahrscheinlich
22,7
12,5
Nicht wahrscheinlich
13,6
weiß nicht
13,6
0 5 10 15 20 25 30 35 40 45 50
In %, Einfachantworten, n=24
19Meldung von Compliance-Vorfällen
Gibt es in Ihrem Unternehmen ein Verfahren zur Meldung von Compliance-Vorfällen?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Ja 90,5
Nein 9,5
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=148
20Kanäle zur Meldung von Compliance-Vorfällen
Welche Kanäle werden in Ihrem Unternehmen zur Meldung von Compliance-Vorfällen genutzt?
Die Frage wurde nur jenen Personen gestellt, in deren Unternehmen ein Verfahren zur Meldung von Compliance-Vorfällen existiert.
persönlich an eine dafür vorgesehene interne Stelle wie den Compliance
72,4
Officer, den Unternehmensjuristen oder eine andere Vertrauensperson
über ein eigens eingerichtetes elektronisches Hinweisgebersystem, das den
61,2
anonymen Austausch von Informationen mit den Empfängern erlaubt
über ein E-Mail-Postfach/das Intranet an eine Vertrauensperson innerhalb
51,5
des Unternehmens
über eine vertrauliche Telefonnummer oder (E-Mail-) Postfach an eine
20,1
externe Vertrauensperson (Ombudsmann, Rechtsanwalt etc.)
über einen Brief-Box an eine Vertrauensperson innerhalb des
16,4
Unternehmens
nichts davon / andere Kanäle 1,5
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=134
21Zukünftige Meldung von Compliance-Vorfällen
Wie wahrscheinlich ist es, dass Ihre Organisation im nächsten Jahr ein Verfahren für das vertrauliche Melden von
Compliance-Vorfällen einrichten wird?
Die Frage wurde nur jenen Personen gestellt, in deren Unternehmen kein Verfahren zur Meldung von Compliance-Vorfällen existiert.
35,7
Ist bereits in Planung/in Umsetzung
28,6
Sehr wahrscheinlich
3,4
14,3
Wahrscheinlich
20,7
14,3
Eher nicht wahrscheinlich
17,2
7,1
Nicht wahrscheinlich
31
weiß nicht
27,6
0 5 10 15 20 25 30 35 40 45 50
In %, Einfachantworten, n=14
22Herausforderungen bei der Einrichtung eines Hinweisgebersystems
Was sind, Ihrer Meinung nach, die größten Herausforderungen bei der Einrichtung eines Hinweisgebersystems?
Unternehmenskultur 70,9
Akzeptanz bei den Mitarbeitern 65,1
Umsetzen und Monitoren der internen Prozesse (Einhaltung der Fristen,
32,0
Nachverfolgbarkeit etc.)
Kosten 22,1
Technische Voraussetzungen 18,0
Keine Angabe / weiß nicht 4,7
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=172
23Aufarbeitung eines Compliance-Vorfalls
Ist es in Ihrer Organisation in den letzten 2 Jahren zu einer internen Untersuchung – also der Aufarbeitung eines
Compliance-Vorfalls – gekommen?
57,6
ja
37,3
32,6
nein
46,4
9,9
keine Angabe / weiß nicht
16,3
0 10 20 30 40 50 60 70
In %, Einfachantworten, n=172
24Auslöser für die interne Untersuchung
Was war der Auslöser für die interne Untersuchung?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation es in den letzten 2 Jahren zu einer internen Untersuchung kam.
Interner (anonymer) Hinweis/Tipp 62,6
Ergebnisse interner Revisionsberichte 16,2
Andere Auslöser:
• Anlassfall nach internem Audit durch
Ermittlungen/Anzeigen von (Strafverfolgungs)
4,0 Compliance Stelle
Behörden • eigene Wahrnehmung
• externer Hinweisgeber
• hoher Schadensfall
• interne Kontrollen
Medienberichterstattung 1,0 • Interne Tips, Ergebnis von
Revisionsberichtem Ermittlungen von
Behörden;
• mehrere der oben genannten und
keine Angabe / weiß nicht 3,0 zusätzliche Auslöser
• mehrere: Interner Hinweis, Medien,
Ermittlungen, Eigenwahrnehmung bei
Kontrollen
• Urgenz eines Kunden
Andere Auslöser 13,1
• Zufall
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=99
25Externe Unterstützung
Haben Sie zur Durchführung der internen Untersuchung externe Unterstützung hinzugezogen?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation es in den letzten 2 Jahren zu einer internen Untersuchung kam.
ja 44,4
nein 54,5
keine Angabe / weiß nicht 1,0
0 10 20 30 40 50 60 70
In %, Einfachantworten, n=99
26Standards/Regelwerke
Welche der nachfolgenden Standards/Regelwerke sind Ihnen grundsätzlich ein Begriff?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
75,7
ISO 19600
82,6
68,2
ISO 37001
52,2
45,9
IDW PS 980
41,3
41,2
ONR 192050
39,9
23,0
Business Principles for Countering Bribery Andere:
• FCPA
11,5 • FCPA, UK Bribery Act
keine davon
• Global Compact
• iso 27001
• ISO 37301
6,1 • Rundschreiben der FMA
andere
8,7 • UK Bribery Act
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=148
27Compliance-Management-System (CMS)
Ist das Compliance-Management-System (CMS) an einem internationalen Standard ausgerichtet?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist UND die Standards bekannt sind.
ja, ISO 19600 33,6
ja, ISO 37001 9,2
ja, IDW PS 980 7,6
Ja, Sonstiges:
ja, Business Principles for Countering Bribery 3,8
• DOJ Guidance
• FCPA
• ISO 14001, EMAS, ISO 45001, ISO
9001, ONR 49001
nein 38,9
• ISO 19600 und ISO 37001
• ISO 37001 & 19600
• ONR 192050
• orientiert sich an den dzt. Standards,
ja, Sonstiges 6,9 jedoch keine Zertifizierung
• Spezifische Standards für Banken
0 5 10 15 20 25 30 35 40 45 50
In %, Einfachantworten, n=131
28Zertifizierung des Compliance-Management-Systems
Wie wahrscheinlich ist es, dass Ihre Organisation innerhalb der nächsten 2 Jahre eine externe Prüfung/Zertifizierung des
Compliance-Management-Systems vornimmt?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
18,2
Sehr wahrscheinlich
2,7
14,2
Wahrscheinlich
14,9
25,0
Eher nicht wahrscheinlich
29,7
30,4
Nicht wahrscheinlich
41,9
12,2
keine Angabe / weiß nicht
10,8
0 5 10 15 20 25 30 35 40 45 50
In %, Einfachantworten, n=148
29Gründe gegen Zertifizierung
Warum haben Sie sich gegen eine Zertifizierung entschieden?
Die Frage wurde nur jenen Personen gestellt, deren Organisation innerhalb der nächsten 2 Jahre keine Zertifizierung des Compliance-Management-Systems vornimmt
Nicht relevant für uns 50,0
Aufgrund der Kosten 19,5
Sonstiges:
• ...in 2019 externes Audit
Unser CMS ist noch nicht reif dafür 18,3 • Größe des Unternehmens und Tochter
in einem Konzern
• Interner Aufwand und Kosten
• Kosten/Nutzen; sowie aufgrund der
hohen Prüf/Auditdichte, die im
Unternehmen schon besteht
• unklarer Nutzen
Sonstige Gründe 12,2 • Wir sind zertifiziert, wiederholen das
aber nur etwa alle 4 bis 5 Jahre
• wurde bereits geprüft; Alle 5 Jahre
0 10 20 30 40 50 60 70
In %, Einfachantworten, n=82
30Unterstützung durch IT-Systeme
Bitte bewerten Sie, wie sinnvoll aus Ihrer Sicht die Unterstützung durch IT-Systeme bei den folgenden Compliance-
Themen ist/werden kann.
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Top2 Top2
Compliance-Schulungen (E-Learning) 65 28 5 2 93 90
Geschäftspartnerüberprüfungen 55 38 5 2 93 83
Dokument en- und Vertragsmanagement 48 44 7 1 92 98
Whistleblowing 59 32 7 3 91 80
Einhaltung von Sanktionen und Embargos 53 34 10 2 87 73
Big-Data-Analysen, interne Untersuchungen 40 41 18 2 81 84
Rechtsmanagement/Rechtsregister 30 47 20 3 77 79
Computerunterstützte Verfahren („Intelligente" Datenräume, Content
26 50 21 3 76 81
Analytics) bei internen Untersuchungen und/oder bei freiwilligen …
Integriertes Compliance-Management-System, All-In-One-Lösung 25 44 27 4 69 68
0 10 20 30 40 50 60 70 80 90 100
sehr sinnvoll sinnvoll weniger sinnvoll nicht sinnvoll
In %, Einfachantwort-Matrix n=148
31Stellenwert der IT für die Umsetzung von Compliance-Maßnahmen
Welchen Stellenwert hat die IT für die Umsetzung von Compliance-Maßnahmen in ihrem Unternehmen?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
hoher Stellenwert 23,0
2 33,1
3 29,7
4 10,8
niedriger Stellenwert 3,4
0 5 10 15 20 25 30 35 40 45 50
In %, Semantischer Differential, n=148
32Umgesetzte IT-Projekte (1/2) Welche Compliance-relevanten IT-Projekt haben sie seit 2018 in Ihrem Unternehmen umgesetzt? ● Agency Datenbank ● Data Protection ● Einführung Hinweisgebersystem ● Anti Online Fraud Awarness Kampagne ● Datenbank von Verträgen mit Dritten ● einführung whistleblowing system ● Archivierung E-Mails verlängert ● Datenschutz ● Einführung Whistleblowingsystem ● Artificial Intelligence für Transaktionsmonitoring ● Datenschutz Audits ● Elearning 3x ● automatisiertes Kundenscreenung ● Datenschutz Datenbank ● eLearning Compliance ● automatisiertes Transaktionsscreening ● Datenschutzdatenbank ● eLearnings ● Berichtsmakro ● Datenschutzrechtliches Verarbeitungsverzeichnis ● Embargo-DB ● Betriebsgeheimnis ● Datenverarbeitungsregister ● Embargo/Sanktionslisten Screening ● bis dato keines... ● Digitaler Zugang zu internen Regeln ● Emittenten Compliance Tool ● Business Partner Due Diligence ● div. Intranetapplikationen ● Exportkontroll System ● Business-Partner-Prüfung ● Dokumenten Workflow ● Exportkontrolle ● Case Mgt ● Dokumentenmanagement ● Finanztransaktionssystem ● CMS ● Dokumentensammlung ● Geldwäschetool ● COI-Reporting ● DSGVO ● Geschäftfpartnerüberprüfung 3x ● Collaborationsplattform ● DSGVO Konformität ● Geschäftspartner-Screening ● Compliance Check through D&B Database ● DSGVO Löschkonzept Umsetzung ● Geschäftspartnerprüfung ● Compliance Check through SAP Database ● DSGVO Maßnahmen ● Geschäftspartnerüberprüfung ● Compliance Datenbank ● E Learning ● Geschenke- & Einladungstool ● Compliance E-Learing ● E-Learning 9x ● Gifts Register ● Compliance Online Schulungen ● E-learning Plattformen ● Hinweisgeberplattform ● Compliance-Datenbank ● E-Learning Tool eingeführt ● Hinweisgebersystem 9 ● Compliance-Tracker für die Dokumentation des ● E-Learnings ● Hinweisgebersystem Inbetriebnahme Compliance-Programms und die ● Effectiveness Testing nach IDW PS 980 ● Hinweisgebersystem weltweit ausgeweitet Maßnahmenumsetzung ● Einführung des Hinweisgeberportals ● Implementierung eines Governance, Risk and ● Controlling ● Einführung des Hinweisgebertools, samt Compliance” (GRC) screening tool ● Crisam für Datenschutz und Informationssicherheit Fallmanagement in diesem Tool ● Implementierung eines Tools zum Monitoring von ● Cyber-Security Schulung ● Einführung diverser Reporting Tools Regulatorik Compliance Originalnennungen 33
Umgesetzte IT-Projekte (2/2)
Welche Compliance-relevanten IT-Projekt haben sie seit 2018 in Ihrem Unternehmen umgesetzt?
● Implementierung eines Tools zum Monitoring von ● Prozessüberarbeitung ● Verarbeitungsverzeichnis
Regulatorik Compliance ● Rechtregister aufbauen und Einhaltung bewerten ● Verbesserung der Compliance-Prozesse im IT
● Implemetierung von Schulungssoftware ● Rechtsregister Bereich
● Insiderlisten ● Register Tool für Geschenke und Einladungen ● Verbesserung des AML Systems
● IT-System für Transparenz-Berichte ● Relaunch der Legal Compliance Datenbank ● Vertragsarchiv konzernweit
● keine ● Richtlinienmanagement 2x ● Vertragsdatenbank 2x
● KI-System zur Auswertung von Reisekosten und ● Roboted Process Automatisation Customs Bot ● Vertragsmanagementsystem
anderen Auslagenerstattungen ● Sanktionstool ● Vertreter Datenbank
● Know your Customer ● SAP Sanktionslistenprüfung ● Verwaltung von Compliance-Risiken
● Kundenstammdatenbank ● Schulung ● WBH
● KYC ● Schulungsplattform für interne online ● Whistleblower Hotline
● KYC Prüfung ● Schulungsprogramme ● Whistleblower Tool
● Legal Reporting über Sharepoint ● Screening von Geschäftspartnern ● Whistleblowing 6x
● Lieferanten Compliance management ● Security ● whistleblowing Hotline
● LMS für E-Trainings ● Spezielle Software für Compliance relevante Themen ● Whistleblowing portal
● Maßnahmen ● Steuer ● Whistleblowing System 2x
● MDM ● technische Umsetzung von Datenschutzmaßnahmen ● Whistleblowing-System 2x
● Moitoring System ● Third Party Due Diligence ● Wirtschaftssanktionen
● Monitoring rechtlicher Vorgaben ● Third Party Due Diligence Tool ● Workflow Conflict of Interest
● neuer Compliance Risk Assessment Prozess ● Tool zur Steuerung von Fortbildungen im HR ● Workflow Gifts & Invitations 2x
● Neues Anti-Fraud Management System ● Trade Compliance Update ● zahlreiche Tolls, die effiziente Kontrolle von
● Neues Betrugserkennungssystem ● Überprüfung von Sanktionsliste Prozessen ermöglichen
● neues Compliance e-Learning ● Umsetzung FM-GwG Vorgaben bei Kunden ● Zusammenschluss Compliance mit
● Neues ERP System Onboarding Risikomanagement
● Neues Whistelblowing System ● Umsetzung Löschkonzept
● Prozessanalyse ● Umstellung des E-learning Systems
● Unterstützung der Finanzabteilung
Originalnennungen
34KI-Anwendungen
Werden für das Compliance-Management in Ihrem Unternehmen KI-Anwendungen eingesetzt?
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
ja 8,8
nein 68,9
keine Angabe / weiß nicht 22,3
0 10 20 30 40 50 60 70 80 90 100
In %, Einfachantworten, n=148
35KI-Anwendungen
Wie sehr stimmen Sie den folgenden Aussagen zu KI-Anwendungen zu? KI-Anwendungen…
Die Frage wurde nur jenen Personen gestellt, in deren Organisation ein Compliance-Management-System vorhanden ist.
Top2
…können menschliche Compliance-Beauftragte nie völlig ersetzen 74 21 23 95
…bedürfen der strengen Kontrolle durch Compliance 41 39 16 3 80
…erleichtern Kontrollen 18 62 14 7 80
…stellen ethische Maßstäbe vor neue Herausforderungen 36 40 19 5 76
…erleichtern gezieltes Risk Assessment 12 61 22 4 73
…sind jetzt schon ein nützliches Hilfsmittel bei Compliance-Aufgaben 10 34 42 14 44
…werden mittelfristig viele Compliance-Aufgaben ganz übernehmen 7 23 52 18 30
0 10 20 30 40 50 60 70 80 90 100
Stimme sehr zu Stimme zu Stimme weniger zu Stimme gar nicht zu
In %, Einfachantwort-Matrix n=148
36Auswirkungen der Corona-Krise
Wie sehr stimmen Sie den folgenden Aussagen zu den Auswirkungen der Corona-Krise zu? Die Corona-Krise…
Top2
…bewies die guten Krisenbewältigungsfähigkeiten meiner Organisation 40 51 8 1 91
…zeigte, dass sich ein Großteil meiner Aufgaben digital via E-Mail und
Konferenztools erledigen lassen
33 47 20 1 80
…führte zu Veränderungen in der Organisation 15 47 24 15 62
…führte zu deutlich erhöhtem Arbeitsaufwand für mich persönlich 14 35 41 10 49
...führte zu einer Optimierung von grundlegenden Prozessen 7 38 47 8 45
…hatte keine Auswirkungen auf meinen Arbeitsalltag und das Compliance-
Management
9 35 34 22 44
…führte zu Lücken bei Compliance-Schulungen und -Kontrollen 11 25 38 26 36
…deckte Mängel in den IT-Strukturen meiner Organisation auf 9 26 41 24 35
…verhinderte, dass ich meine Aufgaben wie gewohnt abarbeiten konnte 8 26 39 27 34
…hat meine Compliance-Agenden vorübergehend geschwächt 4 27 40 29 31
…hat mein Unternehmen für Compliance sensibiliert 2 20 52 25 22
…führte zum Verlust meines Arbeitsplatzes 2 4 94 2
0 10 20 30 40 50 60 70 80 90 100
Stimme sehr zu Stimme zu Stimme weniger zu Stimme gar nicht zu
In %, Einfachantwort-Matrix n=172
37Informationsquellen
Wo informieren Sie sich bevorzugt über das Thema Compliance? Bitte bewerten Sie die folgenden Informationsquellen
nach Ihrer Wichtigkeit:
Top2 Top2
Austausch mit Kolleginnen/Kollegen 51 40 8 2 91 94
Kostenlose Informationsveranstaltungen 35 50 12 3 85 78
Konferenzen und Tagungen 38 44 15 3 82 81
Fachzeitschriften 30 51 15 5 81 84
Online-Quellen wie Fachportale, Blogs, Websites von Beratern etc. 30 47 20 3 77 88
Informationen von Aufsichtsbehörden (z.B. Handbücher,
30 47 21 2 77 84
Stellungnahmen)
Kostenpflichtige Seminare 24 48 24 5 72 68
Fachbücher 20 49 26 5 69 74
Compliance-Lehrgänge 30 38 27 6 68 63
0 10 20 30 40 50 60 70 80 90 100
Stimme sehr zu Stimme zu Stimme weniger zu Stimme gar nicht zu
In %, Einfachantwort-Matrix n=172
38Fachzeitschriften zum Thema Compliance
Welche Fachzeitschriften zum Thema Compliance lesen Sie zumindest gelegentlich?
75,0
Compliance Praxis (A) – http://compliance-praxis.at
94,3
Compliance Manager (D) – https://www.compliance- 29,7
manager.net/magazin 26,8
GRC aktuell (A) https://www.lindeverlag.at/zeitschrift/grc- 21,5
aktuell-19 18,5
Andere:
13,4 • business circle
Compliance (D) – http://compliance-plattform.de/
14 • Cmpliance Magazin, Comply, CCZ
Corporate Compliance Zeitshrift,
7,6 Datenschutz konkret
Compliance Berater (D) – http://compliance.ruw.de/
7,6 • Comply 3x
• Datenschutz und Datensicherheit
5,8 (DuD)
ZRFC (D) – https://www.zrfcdigital.de/ • FCH Blog
8,9
• keine Angabe
• Lexis 360 2x
8,7
Andere • Newsletter und Publikationen von
6,4
KPMG, PwC, etc.
• www.compliancemagazin.de, GAN
14,0 Integrity, FCPA Blog
Ich lese keine Fachzeitschriften zum Thema Compliance.
• ZFR
0 10 20 30 40 50 60 70 80 90 100
In %, Mehrfachantworten, n=172
39Statistische Fragen
Branche
In welcher Branche ist Ihre Organisation hauptsächlich tätig?
Industrie, produzierendes Gewerbe 25,6
12,4
Banken/Finanzen/Versicherungen 18,0
20,2
Öffentlicher Sektor / Öffentlicher Dienst / Interessenvertretung 11,6
15,3
Energie/Umwelt 11,6
3,7
IT/Telekommunikation 7,6
10,3
Dienstleistungen (Logistik, Tourismus, Marketing, Medien etc.) 7,6
9,1
Handel 7,0
4,1
Pharma- & Gesundheitswesen 6,4
4,1
Unternehmensberatung 5,2
7,9
NGO/NPO/soziale Einrichtungen 2,3
2,1
andere Branche 10,5
10,7
0 5 10 15 20 25 30 35 40 45 50
In %, Mehrfachantworten, n=172
41Hauptsitz / Stammsitz / die Zentrale der Organisation
Wo befindet sich der Hauptsitz / Stammsitz / die Zentrale Ihrer Organisation / Ihres Unternehmens?
Wien 51,7
52,9
Oberösterreich 9,3
5,2
Steiermark 7,0
5,7
Niederösterreich 6,4
8
Tirol 4,1
3,4
Salzburg 2,9
4
Kärnten 2,3
1,1
Vorarlberg 1,2
2,3
Burgenland
1,7
nicht in Österreich 15,1
15,5
0 10 20 30 40 50 60 70
In %, Einfachantworten, n=172
42Art des Unternehmens
In welcher Art von Unternehmen / Organisation sind Sie tätig?
44,2
Sonstige Kapital- oder Personengesellschaft
35,1
25,0
Börsennotierte Kapitalgesellschaft
22,4
16,9
Eigentümergeführtes Unternehmen
20,7
Öffentlicher Sektor / Öffentlicher Dienst / 8,7
Interessensvertretung 13,2
1,7
Verein, Verband, NGO
5,7 Nichts davon, sondern:
• Fonds (nach Wiener Landes-
3,5
Nichts davon Stiftungs- und Fondsgesetz)
2,9 • Genossenschaft
0 10 20 30 40 50 60
In %, Einfachantworten, n=172
43Eigentümerstruktur
Wie ist die Eigentümerstruktur?
Meine Organisation ist Teil einer internationalen 41,3
Konzerngruppe 38,2
18,6
Meine Organisation ist ein Familienunternehmen
16,8
Anderes, und zwar:
Meine Organisation ist eine öffentliche bzw. staatliche 12,2
• Aktiengesellschaft
Institution 17,9 • die Mitglieder
(Versicherungsnehmer) 2x
• Eigentümer sind Land und
Mehrheitseigentümer ist eine Körperschaft öffentlichen 11,0 Gemeinde
Rechts 6,9 • Genossenschaft
• GFs = Eigentümer
• internationaler Konzern im
4,7 Familienbesitz
Eigentümer ist eine Privatstiftung
5,2 • Private Equity
• Sektorale Einrichtung
• Streubesitz
12,2 • Verein 2x
Anderes • Versicherungsverein auf
15
Gegenseitigkeit
0 10 20 30 40 50 60
In %, Einfachantworten, n=172
44Anzahl der Mitarbeiter
Wie viele Mitarbeiter hat Ihr Unternehmen / Ihre Organisation in Österreich?
11,0
1-20
17,8
3,5
21-50
6,9
8,7
51-100
6,9
10,5
101-250
9,2
11,6
251-500
7,5
54,7
mehr als 500
51,7
0 10 20 30 40 50 60 70
In %, Einfachantworten, n=172
45Eigene Funktion
Welche Funktion haben Sie in Ihrem Unternehmen / in Ihrer Organisation?
57,6
Compliance-Manager / Officer Andere Funktion, und zwar:
44,7 • Assistenz des Vorstandes
• Business Consultant
• Datenschutzbeauftragter
27,9 • Datenschutzverantwortlicher
Abteilungsleitung • Geldwäschebeauftragter
27,1 • Head of Legal & Compliance
• Innenrevisor
• Interne Revision 3x
• IR
12,8 • Jurist 2x
Geschäftsleitung / Vorstand / Aufsichtsrat
• Legal Abteilung
20
• Legal Affairs
• Legal Counsel
• Leiter IMS
12,2 • Leiter Recht 2x
Compliance Mitarbeiter • Leiter Recht, Compliance und
15,9 Versicherungen
• Leitung Revision
• Marketing
• Rechnungswesen
18,0
Andere Funktion • Rechtsabteilung
13,5 • Sicherheitsbeauftragter
• Stabstellenleitung Compliance
0 10 20 30 40 50 60 70
In %, Mehrfachantworten, n=172
46Feedback Zum Abschluss der Befragung haben Sie nun die Möglichkeit uns mitzuteilen, was Sie schon immer zum Thema Compliance sagen wollten, bzw. was Sie ganz allgemein betrachtet mit dem Thema „Compliance" verbinden. Wir freuen uns auch über alle Ihre Anregungen, Wünsche, Kritik und Erfahrungsberichte. ● Als gemeinnützige GMBH des Bundes stehen treten, um die Vorgänge zu verstehen bzw. ● "Es ist herausfordernd und oft wir zwischen allen Systemen. Kein "richtiges" potentielle Risiken zu erkennen und zu spannungsgeladen. Wenn man die Compliance Unternehmen, keine "richtige" öffentliche minimieren. Agenden mit Hirn und Herz macht, kann man Institution. Dies macht die Funktion des CO ● Compliance ist in erster Linie eine Haltung, wie auch wirklich etwas bewirken. Visionen und teilweise doppelt schwierig und man findet man sich verhält. Das Einhalten von Regeln und Prinzipien sind dabei sehr wichtig. wenig Literatur, Unterstützung oder ähnliches Vorgaben. Beruflich, aber auch privat. Im Kern ● "Feedback zur Umfragen: darüber. geht es um Vertrauen, sich im Rahmen der ● es sollte bei qualitativen Fragen auch immer die ● Compliance bedeutet Integrität, Fairness, Möglichkeiten zu bewegen. Und dort, wo es Möglichkeit geben ""nicht zutreffend"" Transparenz. keine Regeln gibt, nach ethischen Grundsätzen anzukreuzen." ● "Compliance ist ein Passion für mich und ein zu agieren. ● Für mich persönlich ist compliance sehr wichtig sehr spannendes Feld, das sich kontinuierlich ● Compliance muss zum Mindset in denn diese schützt vor straf- und zivilrechtichen weiterentwickelt. Da ich global diese Aufgabe Unternehmen werden, denn nur durch Ansprüchen. leite, wirken hier auch noch unterschiedliche laufende Bewusstseinsschaffung wird es ● Generell sollte mehr Augenmerk auf Umgang Gesetzgebungen und Kulturen ein, was auch gelingen die Thematik zu verstetigen. Zusätzlich mit Compliance Risiko als pragmatische eine gewisse Herausforderung mit sich bringt. ist der Stellenwert des Compliance Officer im Kennzahl im Unternehmen gelegt werden. Hier ● Für ein effektives Compliance Management Unternehmen zu stärken. wäre es hilfreich, wenn es mehr Beiträge und System ist die Compliance Kultur ein ● Compliance wird vermeintlich immer mehr zur Input dazu gibt. wesentlicher Faktor, an der wir kontinuierlich - "Eierlegenden Wollmilchsau", ist mehr und mehr ● Too much Interna insbesondere an ""tone from the top"" und "für alles" zuständig. Sinnvoll?? ""sound of compliance"" - arbeiten. Getreu nach ● Die ethische Komponente von Compliance ist dem Motto: ""Culture eats systems for wichtig, wird aber manchmal unterschätzt. breakfast""" ● Empfinde das Jobprofil und die tägliche Arbeit ● Compliance ist eine Querschnittsmterie - es ist als sehr erfüllend, vorallem auch die Verbindung wichtig, hier in einen Dialog mit Business zu zu Marketing und Kommunikation. Originalnennungen 47
Summary (1/2) Compliance-Management-System im eigenen Unternehmen In 86% der befragten Unternehmen werden systematisch organisatorische Maßnahmen ergriffen, um Legal Compliance sicherzustellen. Vor allem Anti-Korruption, Datenschutz und Betrugsvermeidung werden durch das Compliance-Management- System (CMS) aktiv gesteuert. Die Einführung des CMS wurde bei mehr als der Hälfte der Fälle von der Geschäftsführung angeregt. In jenen Unternehmen mit CMS werden bei Verstößen Konsequenzen gezogen, vor allem in Form von Verwarnungen, Nachschulungen oder Entlassungen. Enterprise Risk Management System 58% der Befragten arbeiten in Organisationen mit einem Enterprise Risk Management System. Das ERP deckt überwiegend die Finanzen, den Geschäftsbetrieb und die Strategie ab. Organisation des Compliance-Managements Meist sind es 1-5 Personen, die sich in der Organisation mit Compliance-Management beschäftigen (60%). Angesiedelt ist die Funktion bei knapp drei Viertel der Unternehmen als Stabstellt, die direkt an die Geschäftsführung berichtet. Gut die Hälfte der Befragten in Unternehmen mit Compliance-Funktion gibt an, dass dieser bis zu 50.000 Euro pro Jahr zur Verfügung steht. Entwicklungen und geplante Maßnahmen Mehr als die Hälfte der Befragten geht davon aus, dass der Ressourceneinsatz (Personal, Budget) für das Compliance-Management in den nächsten 2 Jahren gleichbleibt. Knapp zwei Fünftel schätzt aber, dass dieser steigen wird. Auch gehen 63% davon aus, dass deren Organisation in den nächsten 2 Jahren (sehr) wahrscheinlich Maßnahmen im Bereich Compliance-Management ergreift. Meldung von Compliance-Vorfällen In 91% der Unternehmen gibt es ein Verfahren zur Meldung von Compliance-Vorfällen. Vorfälle werden dabei meist persönlich gemeldet (72%), über ein elektronisches Hinweisgebersystem (61%) oder per Mail (52%). Bei jenen Unternehmen, in welchen solch ein Verfahren noch nicht existiert, ist es in Planung (36%) oder wird wahrscheinlich im nächsten Jahr eingesetzt (43%). Herausforderungen bei der Einrichtung eines Hinweisgebersystems sind vor allem die Unternehmenskultur und die Akzeptanz bei den Mitarbeitern. 48
Summary (2/2) Aufarbeitung von Compliance-Vorfällen 58% der Befragten geben an, dass es in den letzten 2 Jahren zu einer Aufarbeitung eines Compliance-Vorfalls kam. Interne Hinweise waren dafür meist der Auslöser. 44% der Unternehmen, in denen es zu einem Vorfall kam, haben dafür externe Unterstützung hinzugezogen. Standards/Regelwerke und Zertifizierung Den meisten Befragten ist zumindest ein Standard/Regelwerk ein Begriff, vor allem wird dabei ISO 19600 angegeben, an welches das CMS auch in einem Drittel der Fälle ausgerichtet ist. 32% der Unternehmen mit CMS werden (sehr) wahrscheinlich innerhalb der nächsten 2 Jahre eine externe Prüfung/Zertifizierung vornehmen. Für viele Organisationen ist die Zertifizierung aber nicht relevant. Unterstützung durch IT-Systeme IT-Systeme werden in vielen Berichten als sinnvoll erachtet, besonders bei Compliance-Schulungen (93%), Geschäftspartnerüberprüfungen (93%) sowie Dokumentenmanagement (92%). Für 56% der Befragten hat die IT für die Umsetzung von Compliance-Maßnahmen einen hohen Stellenwert im Unternehmen. KI Anwendungen werden noch vergleichsweise selten eingesetzt, fast alle Befragten sind zudem der Meinung, dass KI-Anwendungen Menschen nie völlig ersetzen können. Auswirkungen der Corona-Krise Für die meisten Befragten hat die Corona-Krise die guten Krisenbewältigungsfähigkeiten der eigenen Organisation gezeigt sowie die Erkenntnis gefördert, dass ein Großteil der Aufgaben digital erledigt werden kann. Arbeitsplätze wurden kaum verloren. 49
Kontakt MindTake Research GmbH Karlsgasse 7/5 1040 Wien FBNr.: 257512w UID: ATU61393566 DVRNr.: DVR3000686 Tel.: +43 228 88 10 Fax: +43 228 98 01 Mail: office@mindtake.com Web: www.mindtake.com
Sie können auch lesen
