Governance und Compliance in der Praxis

Mehr Evolution als Revolution
Bei der Digitalen Transformation des Textilunternehmens JAB Anstoetz spielt auch die Neuordnung der Grundsätze für die Unternehmensführung eine Rolle. An einer eigenen „Digitalen Governance“ arbeiten die Verantwortlichen allerdings nicht.
TEXT: Matthias Schmidt-Stein

Wer bei JAB Anstoetz eingestellt wird, muss eine Compliance-Vereinbarung unterzeichnen. Darin sind verschiedene Verhaltensregeln versammelt – nach innen gegenüber den Kollegen und nach außen gegenüber Kunden und Geschäftspartnern. Basis dieses Regelwerks ist ein Unternehmensleitbild, das es bereits seit vielen Jahren gibt – und das damit schon existierte, lange bevor irgendjemand an die Digitale Transformation dachte. Dieses Leitbild umfasst insgesamt neun Punkte: Augenmaß, Beweglichkeit, Ambition, Verlässlichkeit, Menschlichkeit, Offenheit, Neugier, Individualität und Erdung. „Gerade Letzteres ist uns als mittelständischem Unternehmen in der ostwestfälischen Regiopolregion sehr wichtig“, sagt Patrick Kosche, Chief Information Officer (CIO) und Manager Business- Transformation & Accounting bei JAB Anstoetz. So bekenne man sich zu seinen Wurzeln, auch wenn das Unternehmen mittlerweile in zahlreichen internationalen Märkten aktiv ist.

In Zeiten der Digitalisierung würden Themen wie Offenheit und Beweglichkeit („Agilität“) immer wichtiger. Schließlich änderten sich die Marktbedingungen auch für JAB laufend. Während sich zum Beispiel früher die Konsumenten ausschließlich im Fachhandel beraten ließen, findet heute die Kaufanbahnung oftmals online statt. Auf dieses geänderte – und sich weiter ändernde – Konsumentenverhalten muss das Unternehmen reagieren.

Gemeinsam mit dem CDO des Unternehmens, Sven-Hendrik Timmermann, entwickelt Kosche derzeit eine digitale Vision für JAB, in der auch Governance- und Compliance- Themen eine Rolle spielen. Von einer expliziten „digitalen Compliance“ oder einer „digitalen Governance“ möchten die beiden allerdings nicht sprechen. „Es geht eher um eine Weiterentwicklung bestehender Regelungen“, betont Kosche.

So spielte der angemessene Umgang mit Geschäftsrisiken aller Art auch bisher schon eine Rolle in der Unternehmenssteuerung bei JAB. Doch weil mit der Digitalisierung und den veränderten Marktbedingungen neue hinzugekommen sind – etwa durch potentiell disruptive Start-ups oder neue Technologien im Bereich E-Commerce –, betreibt die JAB-Gruppe heute ein „aktives Risikomanagement“, sagt Kosche. Das heißt: Risiken sollen frühzeitig erkannt werden und dann entweder „transferiert“ – also versichert – werden oder reduziert.

Cyberangriffe und Datenschutz

Ein Risiko, das immer virulenter wird, sind Cyberangriffe. Gegen die ist JAB – „typisch deutsch“, wie es CDO Sven-Hendrik Timmermann nennt – gut versichert. Eine Versicherung helfe aber nur bedingt weiter: Denn sie federe zwar die finanziellen Schäden ab, schütze aber nicht vor dem Angriff selbst und mildere auch nicht den mit einem Datenverlust einhergehenden Vertrauensverlust auf Seiten der Geschäftspartner und Kunden.

„Wir haben uns sehr genau überlegt, wie wir unsere Systeme gegen Hacker und andere Kriminelle besser schützen können.“

Sven-Hendrik Timmermann, CDO von JAB Anstoetz

„Deshalb haben wir uns sehr genau überlegt, wie wir unsere Systeme gegen Hacker und andere Kriminelle besser schützen können“, sagt der CDO. Die Aktualität und Relevanz des Themas hängen auch mit den zunehmend strengeren Datenschutzanforderungen zusammen – sie stellen aus Sicht von JAB eine der größten Herausforderungen und Veränderungen für die Governance und Compliance in einem Unternehmen dar.

„Wir verarbeiten heute deutlich mehr und deutlich komplexere Daten als früher“, erklärt Timmermann. Die Datenbanken, in denen zum Beispiel Telefonnummern, Adressen und frühere Bestellungen von Kunden und Geschäftspartnern abgespeichert sind, sind in den vergangenen Jahren auch bei JAB massiv angewachsen. Gleichzeitig sind die gesetzlichen Anforderungen an deren technischen Schutz strenger geworden.

Grundsätzlich ist die Gefahr, ins Visier von Cyberkriminellen zu geraten, nach Einschätzung Timmermanns in den vergangenen Jahren gestiegen. Von ganz gezielten Hightechattacken sieht er JAB Anstoetz zwar weniger bedroht. „Unternehmen aus dem Rüstungsbereich oder der Hochtechnologie sind für viele – auch staatliche – Hackergruppen deutlich interessanter als wir“, sagt er. Für JAB gehe die Gefahr eher von massenhaft angelegten Cyberangriffen aus, mit denen Systeme lahmgelegt und in großem Stil Daten abgesaugt werden – auch mit Hilfe von Algorithmen und Künstlicher Intelligenz. „Digitale Technologien werden leider nicht nur positiv genutzt, sondern immer wieder auch missbraucht ‘“, sagt Timmermann. Details, wie genau sich das Unternehmen gegen solche Angriffe schützt, verraten Timmermann und Kosche aus naheliegenden Gründen nicht.

Region austauschen, um über aktuelle Gefahren und deren Abwehr auf dem Laufenden zu bleiben. Auch ein gemeinsames Cyberabwehrzentrum ist geplant. „Das ist allerdings bislang erst ein Gedankengebäude“, sagt Kosche. Wie genau die Zusammenarbeit dort aussehen könnte, sei noch unklar.

Pro und Contra von Kooperationen

Mit anderen Kooperationen ist JAB schon weiter. So arbeite man immer öfter mit anderen Firmen zusammen, derzeit zum Beispiel mit IBM und mehreren Unternehmen aus der Region Ostwestfalen-Lippe. „Wir sind beim Thema Kooperationen relativ umtriebig“, sagt Timmermann, „weil wir wissen, dass wir nicht alles selbst entwickeln können.“ Allerdings bringen Kooperationen aus seiner Sicht für Themen aus dem Compliance- und Governance-Umfeld besondere Probleme und Gefahren mit sich.

So können sich zum Beispiel die Unternehmensziele der Kooperationspartner als miteinander nicht kompatibel erweisen. Auch die Frage, wie streng oder wie transparent mit Geschäftsgeheimnissen umgegangen werden soll und darf, ist in verschiedenen Unternehmen oft unterschiedlich streng geregelt. Und nicht zuletzt besteht die Gefahr, dass bei Kooperationen unklar ist, wer das letzte Wort und damit die finale Entscheidungskompetenz hat. Das JAB-Management versucht, diesen Fallstricken durch solide Vertragswerke und gut dokumentierte Vereinbarungen zu begegnen. „Alle Treffen mit unseren Kooperationspartnern werden ausführlich dokumentiert“, berichtet Timmermann. Schließlich müssten alle Beteiligten die getroffenen Vereinbarungen auf dieselbe Art und Weise verstehen, unterschiedliche Deutungsweisen von Vertrags- oder Gesprächsinhalten sollten – so weit wie möglich – ausgeschlossen werden. Es müsse klar geregelt sein, welche Rechten und Pflichten die Vertragspartner im Einzelnen haben. 

Patrick Kosche

Chief Information Officer

PATRICK KOSCHE, Chief Information Officer und Manager Business Transformation & Accounting bei der JAB Anstoetz Group. Gemeinsam mit SVEN-HENDRIK TIMMERMANN, Chief Digital Officer, ist Kosche bei der Unternehmensgruppe für die Digitale Transformation verantwortlich. Am 23. Oktober wird Kosche beim „CEDO-Summit“ in Stuttgart zu Gast sein.

Zudem sei es unerlässlich, ergänzt CIO Patrick Kosche, gute juristische Begleiter zu haben – und aus Fehlern zu lernen. Die Vorsorge trägt Früchte: „Insgesamt haben wir bislang kaum schlechte Erfahrungen mit Kooperationen gemacht“, resümiert Kosche.

Auf dem Weg zu mehr Transparenz

Weniger zufrieden sind Kosche und Timmermann beim Thema innerbetriebliche Transparenz. „Da sind wir noch nicht so weit, wie wir gern wären“, sagt Kosche. Derzeit erarbeiten die beiden unter anderem unternehmensinterne Regelungen, wie Prozesse und Entscheidungen für alle Beteiligten, aber auch für außenstehende Dritte, transparenter und nachvollziehbarer gemacht werden können. Schließlich werde dies von Mitarbeitern und Bewerbern heute mehr erwartet als früher.

Die neuen Regelungen zur Steigerung der Transparenz werden dann auch in die „digitale Vision“ des Unternehmens einfließen, an deren Konzeption Kosche und Timmermann derzeit gemeinsam arbeiten. Insgesamt soll das neue Unternehmensleitbild für die Digitale Transformation drei Bereiche abdecken: Menschen – also Mitarbeiter, Kollegen und Geschäftspartner –, Prozesse und Strukturen sowie Systeme. Derzeit stehen die beiden noch relativ am Anfang und analysieren den Status quo sowie die sich abzeichnenden und die nötigen Veränderungen.

„Es gibt niemanden, den die Veränderungen durch die Digitalisierung nicht betreffen.“

Patrick Kosche, Chief Information Officer und Manager Business Transformation & Accounting

An der endgültigen Vision soll später abteilungsübergreifend gearbeitet werden. „Es gibt niemanden, den die Veränderungen durch die Digitalisierung nicht betreffen“, erklärt Kosche. Im Grunde genommen gehe es darum, „Menschen und Technologien im Rahmen der Digitalen Transformation zusammen weiterzuentwickeln“ und das Ganze durch nachvollziehbare, intelligente und rechtlich einwandfreie Regeln zu stützen.

Die „digitale Vision“ solle die Basis für ein unternehmensweites, gemeinsames Verständnis von den Chancen der Digitalen Transformation darstellen, sagt der JAB-CIO. Dabei scheint eines klar: Ein echtes Ende wird dieser Prozess nie finden. „Regeln und Leitlinien müssen sich der digitalen Entwicklung immer wieder anpassen“, fügt Timmermann an. „Aber das war bei der Entwicklung von Unternehmen schon immer so.“