Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Stärken Sie Integrität und Compliance und reagieren Sie schnell auf Verstöße. Erfahren Sie, wie EY Forensics Sie schützt.
Mehr erfahren
Diese Perspektive ist entscheidend, weil Compliance nicht nur aus Prozessabwicklung besteht. Compliance umfasst auch Bewertung, Priorisierung, Eskalation und kulturelle Verankerung.
Welche Compliance-Aufgaben sollten intern bleiben?
Nicht jede Compliance-Aktivität eignet sich für ein Managed-Services-Modell. Themen mit hoher Ermessensintensität, Eskalationssensibilität oder kultureller Relevanz sollten in der Regel intern verankert bleiben. Dazu gehören vor allem:
- Bewertung von Integritätskonflikten
- Positionierung kritischer Sachverhalte gegenüber dem Vorstand
- Entscheidungen in Grenzfällen
- normative und kulturelle Einbettung von Compliance im Unternehmen
Gerade hier scheitern viele Modelle in der Praxis: nicht an der Idee des Outsourcings, sondern an einer unsauberen Abgrenzung zwischen Ausführung und Verantwortung.
Was ist das größte Risiko bei Compliance Managed Services?
Ein zentrales Risiko ist, dass Managed Services mit bloßer Entlastung verwechselt werden. Entlastung ist nur die halbe Wahrheit. Die andere Hälfte ist Machtverschiebung.
Wer Prozesse betreibt, Daten strukturiert, Routinen definiert und Dashboards befüllt, prägt auch die Wahrnehmung von Risiken. Deshalb reicht es nicht, vertraglich festzuhalten, dass die Steuerung intern bleibt. Eine interne Steuerung muss organisatorisch, fachlich und personell tatsächlich noch möglich sein.
Hinzu kommt ein zweites Risiko: Wissensverlust. Wenn eine interne Compliance-Funktion über Jahre vor allem externe Provider steuert, statt selbst inhaltlich tief zu arbeiten, kann fachliche Substanz verloren gehen. Das ist kein Randproblem, sondern ein Governance-Risiko. Wer operative Zusammenhänge nicht mehr aus eigener Erfahrung versteht, kann Qualität, Schwachstellen und Eskalationsbedarfe auch schlechter beurteilen.
Was zeichnet ein gutes Compliance Operating Model aus?
Ein gutes Compliance-Betriebsmodell trennt nicht einfach zwischen intern und extern. Es beinhaltet vier entscheidende Elemente:
- Verantwortung
- Ausführung
- Kontrolle
- Wissen