Vorhandene Lösungsansätze und ihre Umsetzung

Transkript

1 23 Vorhandene Lösungsansätze und ihre Umsetzung In diesem Abschnitt soll aufgezeigt werden, wie eine softwaregestützte Lösung für die Umsetzung der Compliance in dem Continental-Konzern aussehen kann. Bei diesem Lösungsansatz handelt es sich um eine fiktive Lösungsmöglichkeit, die nut teilweise durch veröffentlichten Informationen gestützt werden kann. Bevor jedoch der Lösungsansatz beschrieben werden kann, muss eine allgemeine Geschäftsstruktur und vorhandenen Geschäftsprozesse dargestellt werden. Auf der Abbildung 4 ist eine mögliche 117 Organisationsstruktur des Continental-Konzerns abgebildet. 118 Die Continental AG ist die Muttergesellschaft, der 6 Divisionen zugeordnet werden. Diese Divisionen (Sparten) werden weiter nach den Geschäftsbereichen unterteilt. Die Geschäftsbereiche sind selbst strategische Geschäftseinheiten, die in unterschiedlichen Ländern vertreten und in Segmente gegliedert sind. Zwischen den zwei mit einander verbundenen Organisationsstufen ist ein Verwaltungsbereich eingesiedelt, das für die Koordination und Steuerung der unteren Bereichsebenen zuständig ist. Dieser besteht aus den Bereichen: Rechnungswesen, Finanzierung, Controlling, IT- Abteilung, Personalabteilung, Risikomanagement und Compliance Management. Die Abteilungen in einem Verwaltungsbereich sind durch die Schnittstellen mit einander verbunden. Compliance Management hat die Überwachung der Befolgung der gesetzlichen und konzerninternen Vorgaben als Aufgabe. Die Controlling- und Finanzierungsabteilung sind für die Finanzierungsentscheidungen und Konzernsteuerung verantwortlich. Rechnungswesen beschäftigt sich mit den Buchführungsaufgaben und Risikomanagement ist für die konzernweite Risikokoordination und Risikosteuerung verantwortlich. Die IT-Abteilung soll die Funktionsfähigkeit der eingesetzten Softwareanwendungen überwachen Es ist ebenfalls möglich die Konzernstruktur erst nach den Ländern, dann nach Divisionen und letztlich nach Geschäftsbereiche aufzuteilen Auf der Abbildung ist die Konzernstruktur aus den Übersichtsgründen allgemein gehalten worden. Im Anhang befindet sich eine detaillierte Abbildung zur Konzernstruktur (bis Geschäftsbereiche, danach musste ihre Darstellung, aufgrund der unzureichender Informationen, hervorgerufen durch die Neustrukturierung des Konzerns, das im Dezember 2007 vorgenommen wurde, abgebrochen werden)

2 24 Vorstand Verwaltung Sparte A Sparte B Verwaltung SGE 1 SGE 2 Verwaltung Land A Land B Verwaltung SE 1 SE 2 Legende: SGE: Strategische Geschäftseinheit SE: Segment Abbildung 4: Allgemeine Darstellung der Organisationsstruktur des Continental-Konzerns Quelle: Eigene Darstellung in Anlehnung an o.v. (o.j.m) Geschäftsführer/Unternehmensleitung Compliance Management Verwaltung der IT Internes Kontrollsystem Risikomanagement Rechnungslegung Controlling Finanzierung Personalabteilung Marketing F&E Produktion Beschaffungsmanagement Materialwirtschaft Legende: Weisungsbefugnis Abhängigkeitsverhältnis Abbildung 5: Organisationsstruktur innerhalb eines Segments Quelle: Eigene Darstellung

3 25 Auf der Abbildung 5 ist eine Organisationsstruktur eines Segmentes dargestellt. 119 Der Geschäftsführer ist der Leitung der strategischen Geschäftseinheit unterstellt. Es spielt insbesondere dann eine große Rolle, wenn die Verfolgung eines Unternehmensziels nicht zur der Erreichung der strategischen Konzernziele beiträgt oder diese behindert. Die Verwaltungseinheit, die als Schnittstelle zwischen den Konzernebenen fungiert, hat die Aufgabe, im Rahmen der internen Kontrollen, diese konkurrierende Beziehung aufzudecken und entsprechende Maßnahmen einzuleiten. Dem Geschäftsführer sind zahlreiche Bereiche zugeordnet, die in einer engen Beziehung zu einander stehen. Eine unabhängige IT-Abteilung existiert in dieser Organisationsstruktur nicht. Die softwarebasierten Komponenten sind in den jeweiligen Unternehmensbereichen eingesiedelt. Für ihre einwandfreie Funktionsfähigkeit ist ein, die diesem Bereich, tätiges Team verantwortlich. Eine zentrale IT-Verwaltung ist für den reibungslosen Lauf der IT zuständig. Sie pflegt die Datenbankbestände und ist für eine ausgewogene Kommunikationsverbindung zwischen den unterschiedlichen oder gleichen Unternehmensebenen, durch die Bereitstellung der notwendigen Schnittstellen, verantwortlich. Zwischen der Geschäftsführerebene und der Unternehmensbereichsebene werden ein Risikomanagement, ein internes Kontrollsystem und ein Compliance Management postiert. Was aus der anschaulichen Darstellung der Organisationsstruktur nicht ersichtlich ist, ist die Verbindung des Compliance Managements mit den übergeordneten Ebenen des Konzerns. Diese lässt sich wie folgt erklären. Wie im Abschnitt 5.1. beschrieben wurde, unterliegt der Continental- Konzern vielen gesetzlichen Anforderungen. Compliance Management auf der obersten Stufe (zwischen dem Konzernvorstand und den Divisionen) hat diese zusammenzuführen, auf die Vereinbarkeit mit den internen Richtlinien zu prüfen und auf die Konzernstrategie abzustimmen. Die so entwickelten Vorgaben werden auf die vorhandenen Konzerndivisionen weitergeleitet. Auf den nachfolgenden Ebenen werden diese Vorgaben immer weiter verfeinert und auf die jeweilige Konzernebene zugeschnitten. Schließlich wird auf der untersten Segmentebene die Compliance-Strategie angepasst. Ab diesem Zeitpunkt ist das Compliance Management in einem bestimmten Segment, z.b. der Chassis & Safety 120 Division gefordert. 121 Mit dieser Vorgehensweise kann sichergestellt werden, dass die Compliance auf allen Geschäftsebenen erfühlt wird und an der Konzernstrategie ausgerichtet ist Es wird unterstellt, dass jeder dieser Segmente die gleiche Organisationsstruktur besitzen. Dies entspricht zwar nicht vollständig der Realität, sollte aber ihre Darstellung erheblich vereinfachen Diese und 2 weitere Divisionen waren bis Dezember dieses Jahres einer Division Automotive Systems zugeordnet. Im Folge einer Akquisition mit Siemens VDO Automotiv AG im Dezember 2007 wurde Automotive Systems auf 3 Divisionen aufgespaltet Innerhalb dieser Division erfolgt eine willkürliche Auswahl des Segmentes das betrachtet werden soll, da laut der anfangs getroffenen Annahme alle Segmente eine identische Organisationsstruktur aufweisen

4 26 Aufgrund eines hohen Stellenwertes in der Unternehmung, werden das IKS und das Risikomanagementsystem oberhalb aller weiteren Unternehmensbereiche, außer Compliance Management, eingeordnet. Diese greifen unternehmensweit und arbeiten eng mit den Abteilungsleitern zusammen. Die Compliance-Anforderungen ergeben sich aus ihren Verbindungen zu den weiteren Segmentbereichen. Das Risikomanagementsystem muss in der Lage sein alle für das Unternehmen relevanten Risiken und Chancen identifizieren, bewerten und analysieren zu können. Für die kontinuierliche Überwachung der Risikoentwicklung muss im Unternehmen eine IT-Komponente vorhanden sein, die alle Veränderungen, die in den Geschäftsbereichen stattfinden, in der Echtzeit dem Risikomanagementsystem zur Verfügung gestellt werden. Betrachtet man die Geschäftsprozesse, die zwischen den Bereichen durchlaufen, dann wird deutlich, dass die Informationsschnittstellen in dem ganzen Unternehmen vorhanden sein müssen. Diese Feststellung führt zu den weiteren Anforderungen an das IT-System. Dieses soll im Unternehmen zwischen den unterschiedlichen Bereichen eine sichere Datenübertragung gewährleisten und dafür sorgen, dass die Informationen nur an die Stellen weitergeleitet werden, die diese auch tatsächlich benötigen. Nicht jede Information, die in den Bereichen ankommt, muss langfristig gespeichert werden. Wie jedes andere Produkt besitzt die Information einen Lebenszyklus. Um die großen Datenfriedhöfe in dem Unternehmen zu vermeiden wird ein Information Lifecycle Managementsystem empfohlen. Mit einer großen Datenmenge haben die Bereiche Rechnungswesen und Controlling zu tun. Das Rechnungswesen kümmert sich um die Daten, die rechnungslegungs- und steuerpflichtige Relevanz besitzen und ist für eine ordnungsmäßige und fristgerechte Archivierung zuständig. Controlling benötigt dagegen Informationen, die nur eine Bedeutung für die unternehmensinterne Entscheidungen haben. Aus den Betriebsgrenzen hinausgehende Kommunikation ist in der Personal- und Marketingabteilung sowie in dem Beschaffungsbereich gegeben. Die verstärkte Verbreitung der Möglichkeit einer Online-Bewerbung hat zu den zusätzlichen Anforderungen an die IT im Personalbereich beigetragen. So muss eine sichere Kommunikation zwischen den Bewerbern und Unternehmen sichergestellt und die dem Unternehmen so zur Verfügung stehende personenbezogene Daten vor dem Missbrauch und einer unbefugten Verwendung geschützt werden. Für die sichere Kommunikation über unsichere Kanäle sowie für eine ordnungsmäßige Archivierung der s kann ein -Compliance- Managementsystem eingeführt werden. Der Beschaffungsbereich sieht sich mit den anderen Risiken konfrontiert. Hier ist insbesondere die Abhängigkeit des Unternehmens von dessen Lieferanten zu nennen. Um dieses Beschaffungsrisiko zu mindern, sollten die Lieferanten und deren Beziehung zum Unternehmen sowie der Grad der Abhängigkeit mit Hilfe einer eingesetzten Software in Echtzeit abgebildet

5 27 und überwacht werden. In dem Unternehmen sollte außer den genannten Anforderungen e- benfalls ein Softwareprogramm vorhanden sein, das die Berechtigungen und Verantwortlichkeiten der Personen überwacht und kontrolliert. Dieser Funktion wird eine hohe Bedeutung zugemessen. Durch diese IT-Komponente können, bei der Gefährdung der Compliance im Unternehmen, schneller die Ursachen und Gefahrenquellen identifiziert und beseitigt werden. Die Personen, die im Unternehmen einen hohen Verantwortungsgrad besitzen, können dazu neigen ihre Machtposition zu missbrauchen. Eine große Rolle in diesem Zusammenhang spielt die Funktionstrennung, die Verantwortlichkeiten der Personen prüft und ihre ungleichmäßige Verteilung verhindert. 122 Der Continental-Konzern bezieht die meisten IT-Komponente zur Unterstützung der Umsetzung von Compliance-Anforderungen von drei Anbietern: PS Soft, PGP und SAP. Die PGP Softwarekomponente sind für den Schutz der vertraulichen und internen Informationen innerhalb der IT-Infrastruktur verantwortlich. Die PGP Encryption Platform stellt eine gemeinsame Infrastruktur für alle PGP-Anwendungen bereit. 123 Somit können mehrere Verschlüsselungsanwendungen von einer Managementkonsole aus installiert und verwaltet werden. 124 Um die Datensicherheit auf mobilen Geräten zu gewährleisten, wurden alle Laptops der Mitarbeiter mit dem PGP Whole Disk Encryption verschlüsselt. 125 Diese Anwendung bietet eine umfassende, durchgängige Verschlüsselung des gesamten Datenbestandes eines Laptops, Desktops und Wechseldatenträgern. 126 Für das zentrale Management der Verschlüsselungsanwendungen wurde die Komponente PGP Universal Server eingeführt. Es handelt sich um eine Basiseinheit der PGP Encryption Platform, die eine einheitliche und webbasierte Verwaltung aller Verschlüsselungsanwendungen erlaubt. Mit diesem Tool können ebenfalls Benutzer, Log-Prozesse und Reports zentral über einen Arbeitsplatz verwaltet werden. 127 Für die Verschlüsselung weiterer Komponente im Continental-Konzern wie z.b. der s oder der personenbezogenen Daten, könnten ebenfalls Komponente der PGP-Software eingesetzt werden. 128 Die Herstellung der -Compliance kann durch PGP Universal Gateway - Tool erreicht werden. Mit dieser Softwarekomponente werden s zentral verschlüsselt Eine ordnungsmäßige Trennung der Zuständigkeiten wird z.b. in SOX gesetzlich vorgeschrieben [Vgl. Schaffry, A. (2007)] Vgl. o.v. (2007c) Vgl. o.v. (o.j.a) Vgl. o.v. (2007c) Vgl. o.v. (o.j.b) Vgl. o.v. (2007c) Die sich auf diese Aussage beziehende Ausführungen können jedoch nicht mit den vorhandenen Informationen gestützt werden

6 28 und so standarisiert, dass sie eine sichere Kommunikation mit den Kunden und Partnern ermöglichen. Vorteilhaft ist, dass für die Verschlüsselung kein Eingriff des Anwenders bedarf, weil diese automatisch durchgeführt wird. Einen weiteren Vorteil bietet eine einfache und flexible Anpassung der Anwendung an die veränderten Compliance-Vorschriften. 129 Für den Schutz der personenbezogenen Daten, bietet sich der Einsatz von PGP Command Line-Tools an. Diese Komponente basiert auf der Kernkryptographie und ist für die Verschlüsselung der großen 130, personenbezogenen Datenmengen geeignet. PGP Command Line unterstützt die Additional Dycryption Key-Funktion, die gewährleistet, dass ein Unternehmen im Rahmen der Unternehmensrichtlinien auf die so verschlüsselten Informationen zugreifen kann, auch wenn der Mitarbeiterschlüssel verloren oder nicht mehr verfügbar ist. 131 Die softwarebasierten Lösungen von PS Soft wurden, im Rahmen eines Distributed Environment -Projekts von Continental AG, zur sicheren Verwaltung der Informationen und Softwareanwendungen eingesetzt. Zum einen wurde ein Asset Management-Tool erworben. 132 Bei dem Asset Management handelt es sich um eine Softwarekomponente, die eine Verwaltung aller technischen Einrichtungen ermöglicht. 133 Als Ergänzung zu dem Asset Management Tool wurde Software License Compliance, das aus mehreren Modulen besteht, umgesetzt. Dieses funktioniert in einer Verbindung mit Microsoft System Management Server und allen anderen gängigen Inventarsoftwareprogrammen. 134 License Compliance als Softwareanwendung enthält einen Reporting-Tool über den, durch die standarisierten Abfragemasken, sich mögliche Konformitätsprobleme feststellen lassen. License Compliance ist in der Lage die Inventardateien mit den jeweiligen Software-Lizenzen zusammenzuführen und diese in einem erstellten Referenzsystem zu verwalten. Auch ein optimiertes Änderungsmanagement ist vorhanden. Mit dieser Software können unbefugte oder unrelevante Softwareanwendungen erfasst und eine Über- oder Unterlizenzierung aufgedeckt werden. Insgesamt handelt es sich bei der eingesetzten Lösung um ein Paket, das eine unternehmensweite Softwareverwaltungsund Lizenzpolitik für Continental-Konzern unterstützt Vgl. o.v. (o.j.c) Zwar sind die Datenmengen eines Continental-Konzerns nicht so groß, wie die einer Bank, doch wenn man sich vorstellt dass die Anwerbung der Mitarbeiter, Praktikanten oder neuer Partner und Geschäftskunden zur Zeit überwiegend online statt findet, scheint dieser Lösungsansatz für den Autor angemessen zu sein Vgl. o.v. (o.j.d) Vgl. o.v. (2007b) Vgl. o.v. (o.j.e) Vgl. o.v. (o.j.f) Vgl. ebenda

7 29 Continental-Konzern benötigt eine ganzheitliche softwarebasierte Lösung, die die Befolgung der Compliance- und Governance-Anforderungen unterstützt. Hier würde sich eine GRC- Lösung von SAP anbieten. 136 Bei der GRC-Lösung von SAP handelt es sich um ein Portfolio von Anwendungen, das seit Mai 2006 auf dem Markt ist. 137 Die Integrations- und Applikationsplattform SAP NetWeaver 138 bildet eine technische Grundlage für die Implementierung dieses Lösungseinsatzes. 139 GRC-Lösung besteht aus 6 Softwarekomponenten, die auf einem zentralen Repository aufbauen und zusammen eine ganzheitliche Lösung in den Bereichen Governance, Risk und Compliance darstellen. Die Anwendungen erweitern vorhandene Compliance-Lösungen von SAP und anderen Anbietern, und unterstützen neben den einschlägigen deutschen gesetzlichen Vorgaben auch die börsenrechtlichen Auflagen, wie SOX, und internationale Rechnungslegungsstandards, wie IFRS. 140 Abbildung 6 gibt ein Überblick über die Anwendungen der GRC-Lösung Bei der folgenden Ausführung handelt es sich um eine Art Empfehlung, die nicht den tatsächlichen Gegebenheiten entsprechen muss. Aus der Informationsquelle [Wolff, T.] konnte lediglich herausgezogen werden, dass im Continental AG etwa 80 SAP-Systeme in den verschiedenen Bereichen eingesetzt werden. Aus diesem Grund könnte man davon ausgehen, auch nicht zuletzt wegen der Kompatibilität mit den anderen Komponenten, dass die Realisierung der Compliance mittels SAP GRC eine Lösungsalternative darstellen könnte Vgl. Schaffry, A. (2007) SAP NetWeaver ist eine Integrations- und Anwendungsplattform, die aus der technischen Sicht auf mysap beruht. Für weiteren Informationen sieh o.v. (o.j.h). Aus der Informationsquelle o.v. (2002) ist bekannt, dass Continental AG mysap eingeführt hat. Dies kann zu der Annahme führen, dass der vorgeschlagene Lösungseinsatz wenigstens zum Teil berechtigt zu sein. Vgl. o.v. (o.j.g) S. 3 Vgl. Schaffry, A. (2007)

8 30 Abbildung 6: SAP-Lösungen für Governance, Risk und Compliance Quelle: o.v. (o.j.g), S. 6 SAP GRC-Repository ist ein zentrales System, dass alle relevanten Daten und Dokumente aus den Bereichen Governance, Risiko- und Compliance-Management speichert und verwaltet. Zu den relevanten Daten gehören Regelwerke, Richtlinien, Prozesse, Risiken, Kontrollen, Testpläne, Anwendungen, Systeme, Problemlösungsfälle, Nachweise usw. 141 Somit gibt dieses Tool ein umfassendes Überblick über sämtliche GRC-Aktivitäten und kann mit den unterschiedlichen Sicherheits- und Kontrollkonzepten bzw. Referenzmodellen verknüpft werden. 142 SAP GRC Risk Management ist eine Anwendung, die unternehmensübergreifende Prozesse abbildet und so eine Überprüfung auf allen Unternehmensebenen, hinsichtlich finanzieller, operativer und rechtlicher Risiken, ermöglicht. Eine Erleichterung stellen die vordefinierten Maßnahmen dar, die eine zeitnahe Reaktion und fortlaufende Dokumentation sowie Überwachung der Risiken in Echtzeit unterstützen. Um eine effiziente Überwachung des gesamten Risikoportfolios zu erreichen, werden wesentliche Kennzahlen von der Anwendung geliefert. Alle Aktivitäten, die in einem Zusammenhang mit dem Risikomanagement stehen, können mit Hilfe von Dashboards und Reports verfolgt werden. Durch die rollenbasierte Dashboards ist eine höhere Transparenz erreichbar, weil diese die Informationen bereitstellen, die an die Bedürfnisse der Führungskräfte auf allen Unternehmensebenen zugeschnitten 141 Vgl. o.v. (o.j.g), S Vgl. ebenda, S. 7

9 31 sind. 143 Für Continental-Konzern mit vielen Untergliederungsebenen und einem unterschiedlichem Informationsbedarf der Führungskräfte, würde dieses Tool eine höhere Transparenz sowie einen geringeren Aufwand zur Informationssortierung und somit auch ein Kostenersparnis bedeuten. Die Einrichtung einer effektiven Kontrollumgebung und Identifizierung der effizienten Kontrollen zur Einhaltung der Richtlinien und Anforderungen kann mit der Anwendung SAP GRC Process Control realisiert werden. Es handelt sich bei dieser Anwendung um einen risikobasierten Ansatz, das sich direkt in die Kontrolldokumentation im SAP GRC Repository integrieren lässt. Mit dieser Verbindung kann ein zentrales Kontrollmanagement errichtet werden. 144 SAP GRC Process Control kann für die Überwachung der kritischen Abläufe und Transaktionen im Beschaffungs-, Auftragsabwicklungs- und Finanzbereich sowie für die Überwachung des IT-Bereichs eingesetzt werden. 145 Werden die Kontrollvorschriften nicht angehalten, dann werden diese über eine globale Heatmap angezeigt. Daraus kann ein Handlungsbedarf leicht und zeitnah erkannt und die notwendigen Korrekturmaßnahmen eingeleitet werden. Für jeden Ausnahmenfall werden von der Software automatischen Korrekturhilfen erzeugt, die helfen sollen, eine schnelle und gezielte Lösung für das Problembereich zu finden. Eine wichtige Voraussetzung für eine effiziente Unternehmenskontrolle stellt die Zugriffs- und Berechtigungskontrolle dar, weil die Funktionstrennung und Zugriffskontrollen zur einen wirksamen Schutzmaßnahme gegen den Betrug gehören. Ihre Implementierung ist aufgrund einer Vielzahl von Benutzern, Rollen und Prozessen eine große Herausforderung für ein Unternehmen. 146 SAP GRC Access Control bietet eine umfassende Palette von Funktionalitäten für die Zugriffssteuerung, mit denen alle Compliance-Verantwortlichen gemeinsam die Funktionstrennung realisieren können. 147 Mit dieser Anwendung können alle relevanten Bestimmungen in Echtzeit kontrolliert werden. Dies ermöglicht eine lückenlose Überwachung und eine unmittelbare Erkennung der entstandenen Konflikte. In einer Datenbank sind Regeln für die Funktionstrennung in den Anwendungsumgebungen von SAP, Oracle und PeopleSoft abgelegt. Dies ermöglicht eine schnelle und einfache Auswahl passender Regeln für die, in den Geschäftsprozessen, vorhandenen Anforderungen. SAP GRC Access Control zentralisiert und standarisiert die Verwaltung und die Anlage von Rollen im Unternehmen. Eine Zusatzfunktion, die diese Softwarekomponente anbietet, ist Definition der Super-User, die in den Ausnahmenfällen die Notfallmaßnahmen außerhalb ihrer normalen Rolle in einer kontrollier- 143 Vgl. ebenda, S Vgl. ebenda, S Vgl. ebenda, S Vgl. o.v. (o.j.g), S Vgl. ebenda, S. 15

10 32 ten und transparenten Umgebung durchführen können. Diese Anwender bekommen ein temporäres Benutzerprofil. So können alle Aktivitäten, die mit dieser ID ausführt werden, überwacht, kontrolliert und protokolliert werden. 148 Außerdem automatisieren dynamische Workflow-Funktionen die Zugriffsvergabe und unterstützen die Ermittlung von Konflikten in der Funktionstrennung. 149 Continental-Konzern ist ein weltweit agierendes Unternehmen. Aus diesem Grund benötigt es eine Softwarelösung, die komplexe Import- und Exportprozesse automatisiert, die Einhaltung von Handelsbestimmungen, z.b. NAFTA 150, gewährleistet sowie zur Beschleunigung der Zollabfertigungen beträgt. SAP GRC Global Trade Services stellt zur diesem Zweck eine geeignete Softwareanwendung dar. 151 Eine weitere Anwendung, die zur der GRC-Lösung von SAP gehört, ist eintool zur Überwachung der Prozesse und Vorschriften in den Bereichen Umwelt-, Arbeits- und Gesundheitsschutz. Damit können alle relevanten Richtlinien, wie RoHS 152, WEEE 153, Health and Safety at Work Act sowie Bestimmungen zum Emissionshandel. 154 Insgesamt handelt es sich bei der ganzheitlichen Lösung, für Einhaltung relevanter Vorgaben, um einen Ansatz, das dem Continental-Konzern nicht nur eine lückenlose Überwachung, Transparenz und Flexibilität bietet, sondern auch dem Vorstand wichtige Informationen bereitstellt, die für die Koordination und Steuerung des Unternehmens notwendig sind. Die vorgestellten Lösungseinsätze und Instrumente, die Continental AG bei der Einhaltung der Compliance-Anforderungen unterstützen sollen, könnten bei ihrer Umsetzung zu einem Kompatibilitätsproblem führen. Um trotz unterschiedlicher Anbieter eine einwandfreie Umsetzung der Softwareanwendungen garantieren zu können, muss eine Schnittstelle geschaffen werden, die in der Lage wäre dieses Problem zulösen. Eine weitere Herausforderung ergibt sich aus der Größe und dem internationalen Agieren des Unternehmens. Wenn man bedenkt, dass die softwarebasierte Lösungen, um eine tatsächliche Compliance-Überwachung zu gewährleisten, in allen Segmenten, Ländern, Geschäftsbereichen sowie Divisionen und der Muttergesellschaft umgesetzt werden müssen, dann wird deutlich, dass eine zeitgleiche Einführung unmöglich ist. Aus diesem Grund müssen die ausgewählten Systemkomponenten und Anwendungen möglichst über eine kurze Zeitspanne (1-2 Jahren) nach und nach umgesetzt werden. 148 Vgl. ebenda, S Vgl. ebenda, S NAFTA: North American Free Trade Agreement (Handelsabkommen) [o.v. (o.j.g), S. 11] 151 Vgl. o.v. (o.j.g), S RoHS: Restriction of Hazardous Substances [o.v. (o.j.g), S. 12] 153 WEEE: Waste from Electronics and Electronic Equipment [o.v. (o.j.g), S. 12] 154 Vgl. o.v. (o.j.g), S. 12; zur Vertiefung diesen Schutzbereichs sieh o.v. (o.j.g), S