Hört man sich in der Compliance-Gemeinde um, ob sie denn der Meinung ist, dass sie ihr eigenes Geschäft versteht, dann bekommt man in den meisten Fällen die Antwort: Ja. Dieselbe bejahende Antwort bekommt man auch auf die Frage, ob sie meinen, die richtigen Schulungsinhalte in Sachen Korruption, Betrug & Co in ihrem Programm zu führen und auch ihre Schulungen üppig mit Praxisbeispielen zu gestalten. Also, alles super und wir können genauso weiter machen? Nun, bis zu einem gewissen Grad kann man diese grundlos positive Sicht der Dinge verstehen.
Von ihrem Standpunkt aus gesehen verstehen die Compliance-Leute das Geschäft, und sie meinen auch zu wissen, welche Inhalte sie schulen sollen. Außerdem spielt einem hier die menschliche Natur ein wenig „übel“ mit: Aus psychologischen Untersuchungen ist schon seit langem bekannt, dass der Mensch sich viel schönredet und sein Handeln als richtig ansieht, und wenn doch was schiefläuft, dann ist man auch problemlos in der Lage, sein Tun und Lassen vor sich selbst und gegenüber den anderen zu rechtfertigen. Doch wenn die Compliance Officer alles richtig machen, woher kommen dann bloß immer wieder diese Renegaten und Ketzer, die unsere schöne saubere Compliance-Welt schlecht reden? Die kommen aus der realen Welt des operativen Geschäfts und aus den Unternehmensbereichen, die sich um die internen Ermittlungen kümmern.
Schonungsloses Feedback
Unter den Compliance Managern ist es beliebt, davon zu erzählen, wie Mitarbeiter nach einer Compliance-Schulung, zum Beispiel zum Thema Geschenke, Einladungen und Amtsträger, zu ihnen kommen und Fragen stellen im Sinne von „Da gibt es doch jetzt diese interne Regelung. Wenn jetzt mein Geschäftspartner kommt, wie muss ich mich denn richtig verhalten?“ und ähnliches. Das wird dann als eindeutiger Beleg dafür angesehen, dass die Compliance-Schulung ins Schwarze getroffen hat. Aber vielleicht könnte man das auch in diesem Licht betrachten: Die Mitarbeiter stellen Fragen, weil sie sehen, dass Compliance ihren Geschäftsalltag durch einen Regelkatalog verreguliert. Sie sind dann verunsichert, verlieren den Überblick und haben Angst um ihren Arbeitsplatz, falls sie doch nicht alle Regeln einhalten. Aber heißt es, dass die Inhalte der Schulung die Geschäftsrealität widergespiegelt haben? Wohl kaum.
Da Compliance Officer nicht im luftleeren Raum agieren, werden sie von anderen beobachtet. „Wenn wir in die Unternehmen gehen, dann spüren wir, ob Compliance ein Unternehmen durchdrungen hat. Und aus meiner Sicht ist es tatsächlich so, dass Compliance Officer häufig Quereinsteiger aus anderen Unternehmen oder Branchen sind und deswegen nicht immer zu 100 Prozent das Geschäft und die Risiken verstehen“, sagt Tobias Schumacher, Partner im Bereich Fraud Investigation & Dispute Services bei Ernst & Young. „Wenn man die Compliance-Organisationen in den deutschen Unternehmen anschaut, dann stellt man fest, wie stark sie von Juristen geprägt werden. Es gibt ganz selten Mitarbeiter, die aus den operativen Einheiten kommen. Und das ist der Grund für die nicht immer bestehende Deckungsgleichheit zwischen den Themen, die von Compliance Managern adressiert werden, und den tatsächlichen Compliance-Risiken.“
nd was können die Juristen gut? Beispielsweise können sie gut mit Geboten und Verboten umgehen, also Regeln aufstellen. Folgerichtig tun sie das, wovon sie etwas verstehen. Also wird erst einmal Code of Conduct aufgestellt und wer dem nicht folgt, ist selbst schuld? „Die Geschäftswelt ist nicht so sauber, transparent und reguliert, wie die Compliance Officer sie manchmal darstellen wollen, nachdem sie ihre Richtlinien aufgestellt haben. Es gibt immer Unterwasserströmungen und Interessen. Das verhält sich ähnlich wie mit der Deklaration von Rechten und Freiheiten und der realen Welt“, sagt ein interner Ermittler, der sich unter der Zusage der Wahrung seiner Anonymität bereit erklärt hat, deutliche Worte zu sprechen, wie er die Arbeit der Compliance-Organisation einschätzt. „Wenn ich mich mit den Compliance Managern unterhalte, dann hinterlässt es bei mir nicht den Eindruck, dass sie sich in Business auskennen. Dies wird für mich besonders dort sehr deutlich, wenn ich sehe, wie sie in den Compliance-Schulungen mit den internen Fällen umgehen, die ich gut kenne. Sie treffen so nicht den Kern des Problems und damit auch nicht die Wirklichkeit des Geschäfts. Das ist für mich verständlich, denn Menschen neigen dazu, über die Inhalte zu diskutieren, von denen sie meinen etwas zu verstehen und die sie gewöhnt sind. Deswegen neigen die Compliance Officer eher dazu, darauf zu achten, dass zum Beispiel niemand eine verdächtige Einladung an den Geschäftspartner ausspricht. Aber eine undurchsichtige, ineffektive Investition von Geldern wird weniger kritisch angesehen.
Dabei kann es sich zum Beispiel um versteckte Bestechung handeln. Wird es öffentlich, kann es genauso dem Unternehmen schaden. Hier liegt das Problem. Was im Geschäft passiert, ist oft komplexer als es sich die Compliance Officer vorstellen wollen. Und vieles im Geschäft passiert unterhalb der Radare der Compliance, weil sie sich nicht tief genug mit der Thematik beschäftigt. Compliance reagiert nur, und mein Eindruck ist auch, dass Compliance Manager sich oft eher mit ‚Kosmetik‘ beschäftigen. Vielleicht ist es die logische Folge von der unternehmensinternen Einordnung und der Herkunft der Compliance Officer. Denn Compliance sitzt unter dem juristischen Dach, muss aber mit realen Prozessen in Berührung kommen und damit umgehen können. Und in der Regel endet Compliance dort, wo man entweder Verantwortung oder Macht übernehmen muss. Was ich aber bisher von Compliance mitbekommen habe, sind Dinge, die auf einem sehr hohen Abstraktionsniveau sind.
Meistens sind es globale Themen wie Geschenke und Einladungen, Spenden, Zusammenarbeit mit Beratern und dergleichen. Compliance Officer spielen die Rolle der etwas entrückten Berater, die das Gehalt vom Unternehmen bekommen, über dieses aber gleichzeitig Aufsicht führen müssen. An dieser Stelle sehe ich ebenfalls einen gewissen Interessenkonflikt.“ Das unterscheidet sich doch ganz deutlich davon, wie die Compliance Officer sich selbst sehen. Tut weh, zu hören, wie man in den Unternehmen ankommt? Sehen wir es mal so: Man kann dankbar sein, dass man überhaupt die ungeschminkte Wahrheit hören darf. Denn leider herrscht in vielen Unternehmen die Kultur vor, dass man solche Dinge nicht so offen anspricht.
Dass Compliance in so manchem Unternehmen ausschließlich auf wenige juristischen Themen beschränkt ist, ist ebenfalls kein Geheimnis. Es gibt aber viele unternehmens- und branchenspezifische Bereiche, wo ebenfalls Schaden für das Unternehmen entstehen kann. Diese Bereiche sollten eigentlich genauso von Compliance abgedeckt werden – aber davon müssen Compliance Manager auch erst einmal etwas verstehen. „Noch immer wird Compliance hauptsächlich mit Korruption und Kartellrecht in Verbindung gebracht. Das liegt daran, dass in der Vergangenheit dort die höchsten Risiken bestanden bzw. die höchsten Strafen verhängt wurden. Dabei sind andere Bereiche genauso wichtig, die von Compliance aber nicht abgedeckt werden. Die Unternehmen müssen ihre Hausaufgaben machen und ihre Compliance-Risiken kennen“, so Schumacher. Welche Folgen es für ein Unternehmen haben kann, wenn man beispielsweise einen für die Automobilbranche so wichtigen Bereich wie Technik aus Compliance-Sicht nicht im Griff hat, wird uns gerade in der vollen epischen Breite in der Presse präsentiert.
Es gibt noch weitere Möglichkeiten, wie man die Realität des eigenen Unternehmen richtig schön verfehlen kann: Wenn man die Richtlinien eines fremden Unternehmens für sein Unternehmen übernimmt, im Klartext abschreibt, ohne zu hinterfragen, ob es für das eigene Unternehmen passt. „Wer an der Realität vorbeireguliert, insbesondere ohne vorangehende Risikoanalyse, darf sich nicht über den Vorwurf wundern, Compliance sitze im Elfenbeinturm“, sagt Dr. Wolfgang Strunk, Corporate Compliance Officer der GEA Group AG und Leiter der Fachgruppe Antikorruption des BCM.
Überhaupt die Sache mit den Richtlinien und Regeln, die irgendwo aufgeschrieben sind – sind sie wirklich so sinnvoll? Die Compliance Officer ziehen sich darauf zurück, dass die Mitarbeiter einen Rahmen brauchen und sich jederzeit selbst informieren können. „Die Compliance Manager haben Regelwerke geschaffen, gesagt was sie wollen und was sie nicht wollen. Und dann denken sie, das wird schon funktionieren. Aber nach einiger Zeit stellen sie fest, dass es nicht funktioniert. Man muss sich bewusst sein, dass man sehr viele Mitarbeiter im Haus hat, das bedeutet aber, dass man eben von allem was dabei hat. Es gibt die guten Mitarbeiter, die sich an alle Regeln halten. Solchen brauchen Sie auch kein Regelwerk zu geben. Wir haben die Mitarbeiter, für die so ein Regelwerk vielleicht sinnvoll ist. Und wir haben solche Mitarbeiter, die sich nicht daran halten und denen braucht man auch nicht mit Regeln zu kommen. Denn sie wissen, was falsch ist und nutzen es für sich aus“, so Birgit Galley, Direktorin der School of Governance, Risk & Compliance und School of Criminal Investigation & Forensic Science. „Es reicht eben nicht, nur Richtlinien aufzuschreiben, genauso wenig wie das Verhalten nach Checkliste ebenfalls nicht ausreicht. Es liegt doch nicht an der 35-Euro-Weinflasche. Es ist doch eher ein Swimmingpool im Vorgarten. Einerseits haben die Mitarbeiter Tausende von Euro zu verhandeln, andererseits müssen sie jede 30 Euro melden. Das empfinden sie als Gängelung.“
Und wie Regeln auf Mitarbeiter wirken, darüber handelte schon ein Artikel zu Compliance-Schulungen in diesem Heft (siehe Heft 2/2015, „Ratgeber Compliance-Pädagogik für Profis“, ab S. 16). „Wenn wir die inneren Leitplanken zu eng setzen, dann passiert genau das, dass die Mitarbeiter sagen: ‚Das gilt für die anderen‘. Dieser Verlust von Identifikation mit dem Unternehmen ist sehr gefährlich. Mitarbeiter, die sich mit dem Unternehmen identifizieren, betrügen das Unternehmen nicht. Sie machen zwar auch Fehler, aber sie betrügen nicht. Man verliert aber erwachsene Menschen, wenn man ihnen ständig sagt, das sind die Grenzen, hier sind unsere Regeln, Schulungen und dergleichen. Und diese Identifikation kriegen Sie nicht mehr wieder zurück“, sagt Galley. „Die Compliance-Kommunikation läuft oft nur in eine Richtung, nach dem Moto ‚Wir sagen Euch, was wir wollen. Aber wir nehmen nicht auf, was Ihr davon haltet‘.“ Genau das passiert leider viel zu oft in den Unternehmen.
Die inhaltliche Gestaltung der Compliance-Schulungen ist zentral für den Erfolg. Doch wie bereits zuvor an einigen Stellen angesprochen, auch hier gibt es noch viel Raum für Verbesserungen. Daher sollte man sich selbst fragen, ob man mit seinen Compliance-Schulungen die Wirklichkeit der operativen Einheiten trifft. „Wir sehen, dass in Unternehmen häufig zu abstrakt und zu wenig praxisnah geschult wird. Wie verhalte ich mich zum Beispiel, wenn ich in einem Risikoland am Zoll stehe und der Beamte mich mehr oder weniger deutlich zu einer Gefälligkeit auffordert? Oder wie soll ein Mitarbeiter mit der Dilemmasituation umgehen, wenn zu ihm gesagt wird, er solle für Umsatz sorgen, und zwar ‚egal wie, aber legal‘. An dieser Stelle lassen Unternehmen ihre Mitarbeiter häufig im Unklaren. Ich denke daher, dass in Schulungen oft nicht alles Wesentliche gelehrt wird“, sagt Alexander Geschonneck, Partner Forensic und Leiter des Bereiches Forensic Deutschland von KPMG. „Oder nehmen wir den Fall Bestechung im geschäftlichen Verkehr.
Viele Compliance Officer legen den Schwerpunkt ihrer Schulungen häufig allein auf die Bestechung von Amtsträgern, während eine Bestechung von Nicht-Amtsträgern nicht so stark thematisiert wird. Dabei kann die genauso gefährlich werden. Diese Compliance Officer halten sich dann zu eng an die Einhaltung gesetzlichen Vorgaben, während sie die ethisch-moralische Grundeinstellung und unternehmenskulturellen Aspekte, dann oft vernachlässigen.“ Genau diese Ausrichtung der Schulungen allein an dem, was durch Gesetze verboten ist, kann gefährlich sein. „Die Compliance-Schulungen konzentrieren sich häufig zu sehr allein auf die Einhaltung von Gesetzen. Es werden zu wenig andere Risiken berücksichtigt, die aber genauso wichtig sind. Damit meine ich zum Beispiel den Schutz von Know-how oder das Thema Spionagegefahren. Es ist auch wichtig, die Mitarbeiter für die ‚Angriffe‘ durch Social Engineering auf ihr Know-how und ihre IT zu sensibilisieren“, sagt Dr. Berthold Stoppelkamp, Leiter des Hauptstadtbüros des Bundesverbands der Sicherheitswirtschaft (BDSW).
Der Stand der Dinge
Wir haben also festgestellt, Compliance muss mit ihren Themen näher ans Geschäft. Dazu muss man sich zum einen, in die Abgründe des eigenen Unternehmens vertiefen. Zum anderen aber sich generell über den aktuellen Stand in Sachen Korruption und sonstigen Verfehlungen informieren. Also, Betrug, Veruntreuung von Vermögenswerten, Unterschlagung, Korruption, Bestechung und ähnliches traditionelles Repertoire gab es in der Geschäftswelt schon immer und wird es leider auch weiter geben – daran werden die Compliance Officer nichts ändern. „Welche Studie der letzten Jahre zum Thema White Collar Crime man sich aber auch anschaut, es wird immer betont, dass die Ursachen für wirtschaftskriminelle Handlungen primär im menschlichen Verhalten zu suchen sind, als in den mangelhaften Kontrollen“, stellt Dr. Stoppelkamp fest. Was sich ändert, das sind die Methoden, mit denen Taten begangen werden, und in manchen Fällen auch die hierarchische Einordnung der Personen, von denen die Taten ausgehen.
Was ist also der aktuelle Stand der Dinge? „Wir merken, dass immer mehr Täter im Bereich des mittleren Managements zu finden sind, also Abteilungsleiter, Direktoren, zweite und dritte Führungsebene. Wir sehen zwar immer noch, dass Geschäftsführer und Vorstände im Fokus der Korruption stehen – das sind zunehmend aber Altlasten oder Organisations- bzw. Kontrollschwächen“, so Geschonneck. „In der Vergangenheit haben wir immer Tone from the Top gepredigt. Heute ist aber auch Tone from the Middle genauso wichtig, wenn nicht sogar wichtiger, weil diese Personen direkten Zugriff auf die Mitarbeiter und auf die operativen Themen haben, sowie die konkreten Zielvorgaben verantworten.“
Durch Compliance-Schulungen haben mittlerweile alle verstanden, Bargeld geben ist irgendwie gefährlich. Also muss hier eine andere Lösung her. „In Deutschland haben auch Sachzuwendungen zugenommen“, stellt Geschonneck fest. Die Liste der kreativen Möglichkeiten, den Geschäftspartner geneigt zu machen, ist hier sehr lang und abwechslungsreich: der Einbau einer Klimaanlage im Eigenheim, der Bau eines Schwimmbads im Garten, oder der Bau einer Garage, die Überlassung von Dienstwagen als Dauerleihgabe, die Bezahlung von Haushaltshilfen, gefälschte Arbeitsverträge, die Begleichung der Rechnung für Privatschulen und Universitäten der Nachkommen von Geschäftspartnern, Reisen, teure Einladungen zur Sportevents oder die Übernahme von teuren Arztbehandlungen und dergleichen mehr. „Was wir auch immer noch häufig sehen, sind Betrugs- und Untreuetatbestände. Dass also Mitarbeiter und leitende Angestellte sowie häufig auch Geschäftsführer von Auslandstochtergesellschaften in die eigene Tasche wirtschaften, indem sie zum Beispiel Unternehmen Aufträge erteilen, die ihnen auf irgendeine Art nahe stehen, wenn nicht sogar sie selbst oder nahe Verwandte daran beteiligt sind“, sagt Schumacher.
„Bei Bestechungszahlungen wird heute eine andere Strategie verfolgt. Früher hat man häufig über dritte Unternehmen Zahlungen geleistet, die bei Entscheidungsträgern der Kunden gelandet sind. Heute haben sich die Szenarien geändert, weil die Personen, die eine Korruptionszahlung leisten, auf einem ganz anderen Wissensstand sind und wissen, wohin bei Untersuchungen geschaut wird. Heute wird beispielsweise mit Rabatten gearbeitet, indem ein Distributor einen überhöhten Rabatt bekommt und die Marge sich dadurch erhöht. Das schafft dann einen Puffer, um Zahlungen an Entscheidungsträger beim Endkunden leisten zu können. In den Unternehmen wird heute viel mehr verschleiert und deswegen ist es so wichtig, dass Compliance Manager das zugrunde liegende Geschäft verstehen.“
Doch woran erkennt man überhaupt, dass das, was vor eigenen Augen stattfindet, eigentlich Korruption ist? Der anonyme Internal Investigator zeigt anhand von Beispielen, woran man das merken kann: „Die zusätzlichen Kosten, die mit Korruptions- oder Betrugstaten in Verbindung stehen, spiegeln sich unter Umständen im Warenpreis am Regal oder in den Service-Ausgaben wider. Wenn man diese Zahlungen als übliche Wirtschaftsausgaben, wie zum Beispiel ‚Anschaffungskosten‘, betrachtet, dann wird es in manchen Fällen ziemlich offensichtlich, dass die überteuerten Preise nur davon stammen können. Erfahrungsgemäß bekommt man keine sachliche Erklärung auf die Frage, wie sich der Preis einiger Artikel zusammensetzt, wenn die Beschaffung nicht transparent ist.
Ein weiterer Indikator kann beispielswese sein, dass es bei Waren Überbestände gibt, die Kundenbeschwerden im Hinblick auf die Warenqualität zunehmen und die Ware schwer verkäuflich wird. Oder man stößt auf die ‚bevorzugten‘ Geschäftspartner, deren Umsätze aber trotzdem ständig steigen. Das sind Anzeichen, wo man genau hinschauen muss. Man muss also immer auf eine Abweichung von normalen, logischen und transparenten Businessprozess achten. Und wenn die Compliance Officer verstehen, wie das in ihrer Branche funktioniert, dann können sie in ihren Schulungen die Mitarbeiter sensibilisieren und auf Augenhöhe ansprechen. Es hört sich selbstverständlich an, ist aber nicht immer der Fall.“
Der Weg zur Erleuchtung
Es mag sein, dass die oben aufgezählten Kritikpunkte nicht auf jeden Compliance Officer zutreffen. Es gibt genug Compliance-Leute, die durchaus das Geschäft verstehen. Auch kann es sein, dass man sich über den einen oder anderen Vorwurf in Richtung Compliance wundert – dann ist es aber ein sicheres Zeichen dafür, dass man über das, was Compliance leistet und was sie nicht leisten kann, die eigenen Mitarbeiter besser aufklären sollte. Denn Compliance ist keine Mülltonne, man kann nicht alles reinwerfen. Man sollte aber die Kritik dennoch ernst nehmen und in der einsamen Abgeschiedenheit sein Tun und Lassen reflektieren. Wenn man dann immer noch zum Ergebnis kommt, es ist alles in Butter, dann sollte man trotzdem im Wissen, dass ein Mensch fehlbar ist, Kollegen aus dem operativen Bereich und den internen Ermittlungen um Feedback bitten.
Damit man als Compliance Officer sehr gut über das, was im Unternehmen passiert, informiert ist, muss man sich also Hilfe im eigenen Unternehmen holen. Man muss also die richtigen Fragen stellen – das ist übrigens eine Kunst, die offensichtlich auch nicht von jedem Compliance Officer auf die richtige Art und Weise ausgeübt wird. „Was ganz oft im Unternehmen missverstanden wird, ist, dass verwechselt wird zwischen dem Recht zu fragen mit der Macht zu fragen. Wenn man damit falsch umgeht und das als Macht versteht, dann hat man kaum eine Chance, richtige Antworten zu kriegen. Das erfordert einen respektvollen Umgang miteinander“, sagt Birgit Galley.
„Wenn Compliance Officer fachlich in die Tiefe gehen und mehr anhand von spezifischen Beispielen lehren würden, welche Indikatoren auf Korruption hinweisen könnten, das wäre eine große Hilfe. Dann würde es den Mitarbeitern leichter fallen, Korruption überhaupt zu erkennen“, meint der Internal Investigator. „Es sollte keine Hürde sein, zu den Compliance-Schulungen Experten einzuladen, wenn sie es selbst nicht können und das hierfür notwendige Fachwissen nicht haben. Compliance braucht mehr Geschäfts- und Fachwissen. Und damit man das erreicht, gibt es zwei Wege. Entweder, Compliance Officer spezialisieren sich viel stärker auf ihre Branche. Das würde gehen, wenn Compliance-Mitarbeiter sich aus den operativen Einheiten des Unternehmens rekrutieren würden.
Oder man bildet im Unternehmen Netzwerke und greift das Wissen so ab“, schlägt der Internal Investigator vor. Es gibt auch weitere Stimmen, die finden, dass es den Compliance-Organisationen gut täte, wenn darin mehr Leute aus den operativen Bereichen vorzufinden wären. „Die Unternehmen sollten sich selbst zur Auflage machen, dass die Compliance Officer neben der juristischen Prägung auch die geschäftliche mitbringen“, meint Schumacher. „Denn Compliance muss ja präventiv wirken. Und dazu sind die Prozesse und Abläufe im Unternehmen viel wichtiger, als der Stellenwert, der ihnen derzeit in den Compliance-Programmen beigemessen wird. Wir müssen davon wegkommen, das Ganze nur juristisch zu betrachten.“ Dazu findet Schumacher auch, dass die Compliance-Schulungen sich viel stärker an Geschäftsbedürfnissen orientieren sollten: „Wenn ich mir die Programme der Compliance-Schulungen anschaue, dann steht meistens erst am Schluss einer Tagesveranstaltung ‚Praxisbeispiele‘.
Und dann kommt meistens so ein typisches Fallbeispiel wie: ‚Vertriebsmitarbeiter ruft in der Compliance-Abteilung an und fragt, ob er nun nicht mehr eine Flasche Wein zu Weihnachten verschenken darf.‘ Das geht doch völlig am Schulungskonzept vorbei“, meint Schumacher. „Dabei muss man doch viel stärker in die Themen reingehen und Szenarien durchspielen, wie zum Beispiel zu bestimmten Geschäftsvorfällen im Vertrieb und in der Buchhaltung, Zahlungsfreigaben im Treasury, Situationen bei der Gestaltung von Verträgen mit Beratungsunternehmen und dergleichen. Und man muss mehr erklären, zum Beispiel einem Vertriebsmitarbeiter, dass ein erhöhter Rabatt an einen Distributor durchaus kritisch sein kann.“
Der kriminelle Bodensatz
Wir haben also verstanden, Compliance Officer sollten viel mehr ihr Geschäft kennenlernen und weniger das „Juraprogramm“ abspulen. Wir haben aber auch gelernt, dass die Regeln, die Compliance aufstellt, für einen bestimmten Prozentsatz der Belegschaft keinen Sinn machen, weil sie sich sowieso an nichts halten. Was sollen die Compliance Officer also mit dem kriminellen Bodensatz tun? Mit einem Seufzer zugeben, dass man machtlos ist? „In diesen Fällen brauchen die Unternehmen andere Werkzeuge. Denn die Dinge passieren ja nicht zufällig. Sie passieren dort, wo Entscheidungen an einzelnen Personen hängen, die Macht über viel unkontrolliertes Geld haben. Dazu muss man sozusagen einen Werkzeugkoffer bereithalten, denn Standardprogramme kann man in solchen Fällen nicht mehr fahren“, sagt Birgit Galley. „Compliance ist eine Haltung. Daher muss es im Unternehmen eine Kultur geben, dass die Mitarbeiter über gewisse Dinge, die im Unternehmen vorkommen, sprechen dürfen, ohne dass ihnen etwas passiert.“
Und das kann Compliance alleine nicht leisten. Aber Compliance Manager können darauf aus zwei Richtungen hinwirken: Zum einen durch ihre Arbeit den Kollegen im Unternehmen vermitteln, dass sie Dinge, die ihnen seltsam vorkommen, anonym melden. Ihnen muss aber zuvor gründlich vermittelt werden, wie die Fälle aussehen, die bei Compliance gemeldet werden sollen. Und zum anderen die Geschäftsleitung davon überzeugen, dass die Schaffung einer bestimmten Unternehmenskultur, in der auch unangenehme Dinge angesprochen werden dürfen und überhaupt über Fehler gesprochen werden darf, notwendig ist. Hört sich leicht an, ist aber eine Menge Arbeit.