Zusammenfassung
Business Process Compliance (BPC) bezeichnet die Einhaltung von Anforderungen (aus Gesetzen, Standards, internen Vorgaben usw.) bei der Definition und Ausführung von Geschäftsprozessen. Die Sicherstellung von BPC ist für Unternehmen häufig eine komplexe und kostenintensive Angelegenheit. Um eine Beeinträchtigung der Wettbewerbssituation durch BPC zu vermeiden, ist es erforderlich Compliance-Risiken unter Berücksichtigung der Effizienz quantitativ zu steuern. Die Ergebnisse des Beitrags verdeutlichen die Potentiale von BPC-Ansätzen zur konzeptionellen und technologischen Unterstützung des Managements von Compliance-Risiken im Rahmen der Risikoidentifikation, Risikovermeidung und Risikoüberwachung. Es zeigt sich, dass ein effizienzorientiertes Management von Compliance-Risiken eine Risikoquantifizierung erfordert, die BPC-Ansätze bis dato nicht leisten können. Weitere Ergebnisse zeigen, dass finanzwirtschaftliche Verfahren zur Risikoquantifizierung monetärer Compliance-Risiken geeignet sind und eine Effizienzmessung sowie teilweise -optimierung von BPC erlauben. Die Möglichkeiten und Grenzen der praktischen Anwendbarkeit dieser Verfahren für BPC werden diskutiert und abschließend empirisch verifiziert.
Abstract
Business Process Compliance (BPC) is defined as the adherence of requirements (such as laws, standards, internal guidelines etc.) in the conception and execution of business processes. Ensuring BPC can become a complex and cost-intensive issue for companies. In order to avoid the deterioration of the competitive position by BPC it is necessary to quantitatively control compliance risks taking into account efficiency. The results of this paper show that BPC supports the management of compliance risks within the scope of risk identification, risk aversion and risk monitoring. It becomes apparent that an efficiency-oriented management of compliance risks requires risk quantification, which BPC approaches cannot support to date. Moreover, the analysis shows that financial approaches are suitable for quantifying monetary compliance risks and enable efficiency measurement as well as partly efficiency optimization of BPC. The possibilities and limitations of the practical applicability of these approaches are discussed and empirically verified.
Literatur
Amodu T (2008) The determinants of compliance withlaws and regulations with special referenceto health and safety – a literature review. The London School of Economics and Political Science, Health and Safety Executive, Crown copyright, London
Awad A, Weske M (2009) Visualization of Compliance Violation in Business Process Models. Proc Bus Process Manag Work:182–193. doi:10.1007/978-3-642-12186-9_17
Bace J, Rozwell C, Feinmann J, Kirwin B (2006) Understanding the Costs of Compliance. Gartner Inc, Stanford
Bleiber R (2015) Compliance-Kosten. Erfolgreiche Governance-Systeme haben ihren Preis. Bilanz Buchaltung 61:12–15
Cantner U, Krüger J, Hanusch H (2007) Produktivitäts- und Effizienzanalyse – Der nichtparametrische Ansatz. Springer, Berlin, Heidelberg
Caralli RA, Allen JH, White DW (2011) The CERT resilience management model; A maturity model for managing operational resilience. Addison-Wesley, Upper Saddle River NJ
Cleff T (2008) Deskriptive Statistik und moderne Datenanalyse; Eine computergestützte Einführung mit Excel, SPSS und STATA. Gabler, Wiesbaden
Ebersoll M (2012) Die Messung von Compliancerisiken in Unternehmen. Der Andere Verl., Uelvesbüll.
Eckey H, Kosfeld R, Rengers M (2002) Multivariate Statistik; Grundlagen – Methoden – Beispiele. Gabler, Wiesbaden
Eisele B (2004) Value-at-Risk-basiertes Risikomanagement in Banken; Portefeuilleentscheidungen, Risikokapitalallokation und Risikolimitierung unter Berücksichtigung des Bankenaufsichtsrechts. Dt. Univ.-Verl., Wiesbaden
English S, Hammond S (2014) Cost of Compliance 2014
Färe R, Grosskopf S, Lovell CAK (1985) The measurement of efficiency of production. Springer Netherlands, Dordrecht
Fellmann M, Zasada A (2014) State-of-the-art of Business Process Compliance Approaches: a survey. 22th European Conference on Information Systems, S 1–17
Garneau V, Shahid A (2009) The Sarbanes-Oxley Act of 2002 (SOX); A redundant regulation for the banking industry. J Bank Regul 10:285–299. doi:10.1057/jbr.2009.8
Görtz B, Roßkopf M (2010) Kosten von Compliance-Management in Deutschland. Überlegungen zu Risiken, Nutzen und Bewertung. Zeitschrift Für Risk Fraud Compliance 4:150–154
Götze U, Northcott D, Schuster P (2015) Investment appraisal; Methods and models. Springer, Heidelberg
Grace MF, Klein RW (2009) The future of insurance regulation in the United States. Georgia State University, Washington, D.C.
Hackl P (2008) Einführung in die Ökonometrie. Pearson Studium, München
Hammer M, Champy J (2003) Reengineering the corporation; A manifesto for business revolution. HarperBusiness, Essentials, New York
Hammond S, Walshe J (2013) Cost of Compliance Survey 2013
Harrington HJ (1991) Business process improvement; The breakthrough strategy for total quality, productivity, and competitiveness. McGraw-Hill, New York
Herzog H (2010) Compliance – Kostenfaktor und Nutzenbringer. Zeitschrift Für Risk Fraud Compliance 4:145
Huber L (1996) Validierung computergesteuerter Analysensysteme. Springer, Berlin, Heidelberg
Hughes S (1998) Regulatory budgeting. Policy Sci 31:247–278. doi:10.1023/A:1004499514780
International Organisation for Standardization (2015) ISO 9000:2015(en): Quality management systems – Fundamentals and vocabulary. http://www.iso.org/obp/ui/#iso:std:iso:9000:ed-4:v1:en:term:3.7.10. Zugegriffen: 31.12.2016
Johnstone R, Sarre R (2004) Regulation; Enforcement and compliance. Australian Institute of Criminology, Canberra A.C.T.
Junginger M (2005) Wertorientierte Steuerung von Risiken im Informationsmanagement. Dt. Univ.-Verl., Wiesbaden
Kajüter P (2012) Risikomanagement im Konzern; Eine empirische Analyse börsennotierter Aktienkonzerne. Vahlen, München
Keeler AG (1995) Regulatory objectives and enforcement behavior. Environ Resource Econ 6:73–85. doi:10.1007/BF00691412
Kharbili ME, Stein S, Markovic I, Pulvermüller E (2008) Towards a framework for semantic business process compliance management. Proceedings of the workshop on governance, risk and compliance for information systems
Kittel K (2013) Agilität von Geschäftsprozessen trotz Compliance. 11th International Conference on Wirtschaftsinformatik, S 967–981
Kock NF (2005) Business process improvement through e‑collaboration; Knowledge sharing through the use of virtual groups. Idea Group, Pub, Hershey PA
Krcmar H (2015) Informationsmanagement. Springer, Berlin, Heidelberg
Kühnel S (2015a) IT-Compliance. Wisu – Das Wirtschaftsstudium 44:768–769
Kühnel S (2015b) Nachhaltigkeitsaspekte von Compliance-Anforderungen; Die Verordnung über die Überlassung, Rücknahme und umweltverträgliche Entsorgung von Altfahrzeugen. GRIN Verlag, München
Kühnel S, Sackmann S (2014) Effizienz Compliance-konformer Kontrollprozesse in internen Kontrollsystemen (IKS). HMD Praxis der Wirtschaftsinformatik 51:252–266. doi:10.1365/s40702-014-0046-8
Kühnel S, Seyffarth T (2015) IT-Risikomanagement. WISU 44:1090–1093
Lahti C, Peterson R (2007) Sarbanes-Oxley IT compliance using open source tools. Syngress, Burlington, Mass.
Lange H, Schiemann G, Gernhuber J (2003) Schadensersatz. Mohr Siebeck, Tübingen
Lewellen JW, Lewellen K (2010) Investment and Cashflow. Ssrn J. doi:10.2139/ssrn.1570640
Li H, Pincus M, Rego SO (2008) Market reaction to events surrounding the Sarbanes-Oxley act of 2002 and earnings management. J Law Econ 51:111–134. doi:10.1086/588597
Mossanen K, Amberg M (2008) IT-Outsourcing & Compliance. HMD Praxis der Wirtschaftsinformatik 45(5):58–68
Namiri K, Stojanovic N (2007) Pattern-Based Design and Validation of Business Process Compliance. In: Meersman R, Tari Z (Hrsg) On the move to meaningful Internet systems 2007: CoopIS, DOA, ODBASE, GADA, and IS. OTM Confederated International Conferences, CoopIS, DOA, ODBASE, GADA, and IS 2007, Vilamoura, Portugal, November 25–30, 2007, Bd. 1. Springer, Berlin, S 59–76
Nowey T (2011) Konzeption eines Systems zur überbetrieblichen Sammlung und Nutzung von quantitativen Daten über Informationssicherheitsvorfälle. Vieweg & Teubner, Wiesbaden
Ponemon Institute (2011) The True Cost of Compliance – a Benchmark Study of MultinationalOrganisations. http://www.tripwire.com/tripwire/assets/File/ponemon/True_Cost_of_Compliance_Report.pdf. Zugegriffen: 06. Mai 2016
Pretschner A, Hilty M, Basin D (2006) Distributed Usage Contol. Communications of the ACM. Priv Secur Highly Dyn Syst 49:39–44
Prokein O (2008) IT-Risikomanagement; Identifikation, Quantifizierung und wirtschaftliche Steuerung. Gabler, Wiesbaden
Pupke D (2008) Compliance and corporate performance; The impact of compliance coordination on corporate performance. Books on Demand, Norderstedt
Rack M (2014) Compliance: Kosten, Aufwand, Messbarkeit und Effizienz. Compliance-Berater 2:1–7
Rath M, Sponholz R (2009) IT-Compliance; Erfolgreiches Management regulatorischer Anforderungen. Erich Schmidt, Berlin
Richter M (1978) Die Veranlassung von Prüfungen als Entscheidungsproblem. Schmalenbachs Zeitschrift Für Betriebswirtschaftliche Forsch (zfbf) 73:716–733
Rikhardsson P, Best P, Green P, Roseman M (2006) Business process risk management and internal control: A proposed research agenda in the context of compliance and ERP systems. Second Asia/Pacific Research Symposium on Accounting Information Systems.
Rinderle-Ma S, Ly LT, Dadam P (2008) Aktuelles Schlagwort: Business Process Compliance. https://www.uni-ulm.de/fileadmin/website_uni_ulm/iui.emisa/Downloads/EMISA_aktschlagwort_compliance.pdf
Rosenkranz F, Mißler-Behr M (2005) Unternehmensrisiken erkennen und managen; Einführung in die quantitative Planung. Springer, Berlin
Sackmann S (2008) Automatisierung von Compliance. HMD Prax Wirtschaftsinform 45(5):39–46
Sackmann S, Hofmann M, Kühnel S (2013) Return on Controls Invest. HMD 50:31–40. doi:10.1007/BF03340774
Sadiq S, Governatori G (2015) Managing Regulatory Compliance in Business Processes. In: Brocke J, Rosemann M (Hrsg) Handbook on Business Process Management 2. Strategic Alignment, Governance, People and Culture. Springer, Berlin, Heidelberg, S 159–175
Sadiq S, Governatori G, Namiri K (2007) odeling Control Objectives for Business Process Compliance. 5th International Conference on Business Process Management, S 149–164 doi:10.1007/978-3-540-75183-0_12
Schmitz T, Wehrheim M (2006) Risikomanagement; Grundlagen, Theorie, Praxis. Kohlhammer, Stuttgart
Schulte G (2007) Investition; Investitionscontrolling und Investitionsrechnung. De Gruyter, München
Schumm D, Turetken O, Kokash N, Elgammal A, Leymann F, van den Heuvel W (2010) Business Process Compliance through Reusable Units of Compliant Processes. 10th International Conference on Web Engineering, S 325–337 doi:10.1007/978-3-642-16985-4_29
Shapiro SS, Wilk MB (1965) An Analysis of Variance Test for Normality (Complete Samples). Biometrika 52:591–611. doi:10.2307/2333709
Shears P (2010) Food fraud – a current issue but an old problem. Br Food J 112:198–213
Silakov AV, Silakova VV (2014) Evaluating the Effectiveness of a Technological Compliance-Management System for the Production of Chemical Fibers. Fibre Chem 46:266–272. doi:10.1007/s10692-014-9603-8
Soo Hoo KJ (2000) How much is enough? A risk management approach to computer security. Working Paper, Stanford University
Sowa A (2008) IT-Sicherheit durch Zugriffs- und Zugangskontrollen. HMD 45(5):78–88
Spellmann F (2002) Gesamtrisiko-Messung von Banken und Unternehmen. Deutscher Universitätsverlag, Wiesbaden
Staats S (2009) Metriken zur Messung von Effizienz und Effektivität von Konfigurationsmanagement- und Qualitätsmanagementverfahren. Europ. Hochsch.-Verl., Bremen.
Teubner A, Feller T (2008) Informationstechnologie, Governance und Compliance. Wirtsch Inform 50:400–407. doi:10.1007/s11576-008-0081-6
Unerman J, O’Dwyer B (2004) Enron, WorldCom, Andersen et al; A challenge to modernity. Crit Perspect Account 15:971–993. doi:10.1016/j.cpa.2003.04.002
Weske M (2012) Business process management; Concepts, languages, architectures. Springer, Berlin
Wolke T (2008) Risikomanagement. Oldenbourg, München
Zasada A, Fellmann M (2015) A Pattern-based Approach to Transform Natural Text from Laws into Compliance Controls in the Food Industry. 17th Conference on Learning, Knowledge & Adaptation, S 230–238
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Kühnel, S., Sackmann, S. & Seyffarth, T. Effizienzorientiertes Risikomanagement für Business Process Compliance. HMD 54, 124–145 (2017). https://doi.org/10.1365/s40702-016-0284-z
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-016-0284-z