Benchmark in Corporate Compliance ist etwas, was es noch nicht gibt – zumindest nicht in Deutschland. Dafür gab es in der Vergangenheit schon immer die Hauptausrede: ein CMS ist zu individuell, die Programme kann man nicht vergleichen. So ganz stimmt das nicht. Teile davon kann man durchaus vergleichen. Wir machen jetzt den Anfang und beginnen mit dem Vergleich der Verhaltenskodizes (oder Code of Conducts, CoC). Wer macht was am besten? Da wir nicht die Verhaltenskodizes aller deutschen Unternehmen testen und vergleichen können, haben wir uns die von DAX30-Unternehmen angeschaut – schließlich haben diese rein hypothetisch am meisten Budget und andere Ressourcen, um hier Vorreiter zu sein. Und wir haben Noten vergeben und dadurch Rankings geschaffen.
Wie gehen wir vor?
Wie sind wir bei unserem Benchmark vorgegangen, welche Kriterien haben wir an die Code of Conducts angelegt? Wir haben ausschließlich Verhaltenskodizes angeschaut, die auf Deutsch waren. So konnten wir bei SAP ein CoC nur auf Englisch finden, das Unternehmen konnten wir beim Test nicht berücksichtigen, weil wir uns nicht die Beurteilung der Wirkung der Sprache auf Englisch anmaßen wollten.
Im Übrigen war das unser Ausgangspunkt: Viele Compliance Officer befassen sich ausgiebig mit der Verfassung ihres Verhaltenskodexes. Das ist nicht von ungefähr so, denn der CoC ist das Herzstück eines jeden Compliance-Management-Systems. Auf der anderen Seite dient es auch dem Compliance Officer selbst als eine Art Schutz, denn wenn etwas passiert, kann man jederzeit sagen: „Steht doch schon seit langem im Code of Conduct, dass das verboten ist. Und es steht auch drin, an wen man sich wenden kann, falls man unsicher ist.“ Ja, das stimmt, ABER: Die Kunst ist hier nicht, einfach eine „Compilation“ dessen, was in Gesetzen steht, juristisch einwandfrei zusammenzustellen. Die Kunst ist, ein Verhaltenskodex so zu schreiben, dass die Mitarbeiter ihn verstehen, annehmen und vertrauensvoll an die im CoC genannten Ansprechpartner sich zu wenden gewillt sind. Die Anwenderfreundlichkeit ist wichtig – nicht das juristische Können, die Sachverhalte zusammenzustellen. Und das fängt schon beim Vorwort an und endet ganz hinten im Verhaltenskodex, wo die Ansprechpartner und andere Informationen stehen.
Nun, wir haben nicht die juristische Seite der CoC getestet, denn das sind Grundlagen, die alle Compliance Officer selbstverständlich beherrschen sollten. Wir haben getestet und bewertet, wie es um die Kunst der Compliance Officer steht, ihre Sachverhalte auch bestmöglich zu kommunizieren. Und genau das war unser Hauptkriterium bei der Bewertung.
Das waren unsere Kriterien
Worauf haben wir im Einzelnen nun geschaut? Ein Verhaltenskodex muss ein überzeugendes Konzept sein. Man muss auf jeder Seite, beginnend mit dem Vorwort beziehungsweise der Einführung merken, dass das Unternehmen es ehrlich meint, sich mit dem Thema beschäftigt hat und für sich selbst einen individuellen Weg gewählt hat. Selbst wenn teilweise Dinge in den Code of Conduct aufgenommen werden, die nicht unbedingt dazu gehören, muss man in der Sprache, im Ton und im Geiste des Verhaltenskodex merken, dass es dennoch passt und gegen die individuelle Aufnahme von solchen Inhalten im Grunde nichts einzuwenden ist. Nur haben wir festgestellt, dass es oft eben nicht gepasst hat: Wenn ein Unternehmen einen Verhaltenskodex verfasst, der von seiner Sprache und von seinem Ton her eher an die Anweisungen im Strafvollzug erinnert und dann aber irgendwo ein Absatz darüber steht, dass der Respekt im Umgang mit einander ein ehernes Prinzip ist, dann passen hier Wort und Tat nicht zusammen. Dann gibt es Punktabzüge bei unserer Bewertung.
Im Vorwort haben wir darauf geachtet, dass der Vorstand sich dahinter stellt und ein so persönliches Vorwort verfasst, dass man merkt, dass er sich mit dem Thema tatsächlich beschäftigt hat. Sie glauben, das geht nicht, weil die Vorwörter sowieso von den Compliance Officern oder der Kommunikationsabteilung geschrieben werden? Dann schauen Sie mal in die Vorwörter der Unternehmen, die mit einer 1 (sehr gut) getestet wurden. Sie werden staunen. Die Botschaft – ehrlich, gedanklich nachvollziehbar, individuell und sich selbst einbeziehend (gemeint ist, dass der Vorstand sich selbst dem CoC unterwirft) ist wichtig. Sagt der CEO klar, was für ihn dieser Verhaltenskodex, Compliance und Ethik bedeuten? Wie erklärt er seine Gedanken zum CoC? Am besten wäre natürlich, wenn der Chief Compliance Officer auch sein eigenes Vorwort schreiben würde und so seine persönliche Botschaft signalisiert. Aber das war nur bei einem Unternehmen der Fall – bei Adidas. Und Adidas hat den besten Verhaltenskodex von allen DAX30-Unternehmen. An diesem CoC können sich übrigens die anderen Unternehmen ein Beispiel nehmen. So macht man es richtig gut!
Gehen wir weiter: Der Hauptteil. Wichtig war hier, wie die Sachverhalte erklärt werden. Wie sind die Sprache und der Ton? Nicht einschüchternd oder verwirrend, aber dennoch in der angemessenen Tonlage? Werden Sachverhalte wirklich erklärt und mit Beispielen versehen? Wir haben auch auf die Gestaltung geschaut: Wie ist die grafische Aufmachung? Stammen die Bilder aus dem Unternehmen selbst? Oder hat man diese bei irgendwelchen Bildportalen gekauft? Sind die Kontaktdaten leicht zu finden (Hotline, Mailadresse und dergleichen)?
Und nun zum Inhalt: Wird erklärt, warum die Mitarbeiter den Verhaltenskodex kennen müssen? Wird auf eventuell auftretende Fragen der Mitarbeiter sinnvoll reagiert (sinnvolle FAQ und nicht irgendwelche unrealistische Frage-Anwort-Spiele)? Gibt es Hintergründe zum Verhaltenskodex? Damit gemeint ist, von wem kommt der CoC? Oder wer muss sich daran halten? Wie oft wird er aktualisiert? Sind die Verantwortlichkeiten klar geregelt? Wie werden die Konsequenzen bei Nichteinhaltung und die damit zusammenhängende Prozesse erklärt? Werden die wichtigsten Compliance-Themen angemessen angesprochen und erklärt? Werden ethische Aspekte einbezogen?
Worauf wir bei unserer Untersuchung besonders geachtet haben, ist, ob der Verhaltenskodex eher an eine Imagebroschüre erinnert. Und die „Image-Maker“ gab es in vielen CoC. Was meinen wir damit? Botschaften à la „Unsere Produkte sind so immens qualitativ hochwertig und wir sind so erfolgreich. Daher sollten wir darauf achten, dass unser ausgezeichnetes Image nicht zerstört wird.“ Das ist die falsche Art und Weise, gegenüber Mitarbeitern zu kommunizieren. Nur wenn die Mitarbeiter merken, dass der CoC-Inhalt aus der tiefsten Überzeugung kommt, dass es aus mehreren Gründen richtig ist, das Geschäft ethisch und ehrlich zu betreiben, machen sie mit. Deswegen überlegen Sie bitte vorher, für wen Sie Ihren Verhaltenskodex schreiben. Für Analysten oder Investoren? Das ist sicherlich ein Grund – aber überzeugen Sie sie woanders, nicht im CoC. Der Verhaltenskodex Ihres Unternehmens ist für die Mitarbeiter. Und wenn Sie diesen ehrlich gestalten, dann wird dieser auch die Analysten und die Investoren beeindrucken.
Und nun zum Informationsteil der Verhaltenskodizes: Hier haben wir darauf geschaut, dass Kontaktdaten vorhanden sind, dass Ansprechpartner angemessen eingeführt sind. Dass der Compliance-Bereich sich vorstellt – wenigstens irgendwo im Verhaltenskodex. Wenn schon nicht im Vorwort, dann wenigstens hinten im Informationsteil. Wird erklärt, was Compliance ist und wie das unternehmenseigene CMS aussieht? Die Gesamtbewertung haben wir dann in richtigen Schulnoten ausgedrückt.
Zum Schluss wollen wir eine kurze Zusammenfassung unserer zentralen Erkenntnisse aus dem Vergleich der Verhaltenskodizes der DAX30-Unternehmen präsentieren.
Nur vier Unternehmen wurden mit einer 1 (sehr gut) oder 1,25 (sehr gut) bewertet. Auf den ersten fünf Plätzen stehen Unternehmen, die eine Bewertung nicht schlechter als Note 3 (befriedigend) haben. Von den 27 Unternehmen (drei Unternehmen konnten wir im Test nicht berücksichtigen, siehe dazu Ranking-Tabelle) haben diese Note gerade einmal 10. Fast zwei Drittel der DAX30-Unternehmen haben einen Verhaltenskodex, der schlechter als 3 benotet wurde.
Die Verhaltenskodizes scheinen ein Sammelbecken für alle möglichen Themen zu sein: Von der Qualität der Arbeit über Sicherheitsstandards, gesellschaftliches und soziales Engagement bis hin zu Umweltthemen. Die Grenzen sind fließend und für die Mitarbeiter nicht mehr nachvollziehbar, dass es eigentlich von Compliance-Bereich kommt und es um Compliance und in diesem Sinne ethische Themen geht. Fokussierter wäre besser. Wir hören oft die Klagen der Compliance Officer, dass ihnen Themen angehängt werden, für die sie eigentlich nicht zuständig sind. Nun: Wenn Compliance-Bereich kein Sammelbecken für alle mögliche Themen, die anderswo in Unternehmen nicht untergekommen sind, werden will, dann muss er selbst an der Fokussierung arbeiten – und dabei beim Verhaltenskodex beginnen.
Viele Verhaltenskodizes weisen vermeintliche Hilfestellungen auf, indem sie zur Prüfung des korrekten Verhaltens Fragen auflisten, die die Mitarbeiter sich selbst immer stellen sollen. Je nachdem, wie man diese Fragen formuliert, könnten sie durchaus mehr verwirren und überfordern. Und um ehrlich zu sein, teilweise gibt es Fragestellungen, bei denen man ein juristisches Gutachten erstellen können muss.
Bei allen getesteten CoC wird zugesichert, dass die Meldung eines Fehlverhaltens vertraulich behandelt wird. Aber was bringt es, wenn der Rest des Verhaltenskodex in einer unmöglichen Sprache und einem Strafvollzugston geschrieben ist? Wer wird da wohl eine Meldung machen wollen?
Wir haben festgestellt, dass es nicht darauf ankommt, wie viele Seiten ein Verhaltenskodex hat – so hat die Deutsche Börse gerade mal einen einseitigen Verhaltenskodex und wurde trotzdem mit einer 6 (nicht ausreichend) bewertet, oder der CoC von Linde hat 44 Seiten und eine 4 (nicht ausreichend). Zu unserer Überraschung mussten wir auch feststellen, dass es nicht immer darauf ankommt, wie grafisch gekonnt ein Verhaltenskodex gestaltet ist. Worauf kommt es am Ende dann an? Es kommt nicht wirklich auf die schönen Bilder an, sondern auf ein schlüssiges, ehrliches und aus psychologischer Sicht durchdachtes Gesamtkonzept. Auf eine gute sprachliche Aufbereitung und einen angemessenen Ton. Genau das erfüllen die meisten der getesteten Verhaltenskodizes nicht. Und wenigstens an einer Stelle des CoC muss etwas Persönliches sein: Sei es, vom CEO oder vom Chief Compliance Officer.
Wenn man als Grund für Kodex die Reputation angibt, dann ist es natürlich sachlich richtig, aber zu kurz gedacht. Die Reputation ist nur einer der Gründe. Die Unternehmen, die in diesem Test mit ihren CoC sehr gut abgeschnitten hatten, zeigen deutlich auf, dass es ihnen um mehr geht und dass die Reputation nur ein „begleitendes Produkt“ mit einem positiven Effekt ist. Das sind meistens Unternehmen, die sich wirklich mit der Sache auseinandergesetzt hatten.Ja, wir sind uns bewusst, dass wir als „Prüfer“ Ihrer Verhaltenskodizes auch nur Menschen sind und von unserer subjektiven Meinung uns nicht ganz befreien können. Aber letztendlich wollen Sie ja wissen, wie Ihr Code of Conduct wirkt. Und genau das können wir Ihnen zeigen.
Wenn Sie sich aber selbst davon überzeugen wollen, ob wir objektiv genug bewertet hatten, oder Sie gehören zu einem der getesteten DAX30-Unternehmen und sind von Ihrer Note geschockt und fühlen sich ungerecht behandelt – dann empfehlen wir Ihnen folgendes Vorgehen: Nehmen Sie sich bitte den Verhaltenskodex von Adidas (Note 1) oder gerne auch von Daimler (Note 1) und Bayer (Note 1,25) und nehmen Sie sich bitte dazu noch zum Vergleich den Code of Conduct von E.ON (Note 4,75), der Deutschen Bank (Note 5,5) oder der Deutschen Börse (Note 6). Lesen Sie sich bitte diese durch. Und, fühlen Sie den Unterschied?
Folgende DAX30-Unternehmen wurden nicht getestet: Lufthansa, SAP, Vonovia.
Die detailierten Testergebnisse sind im Compliance Manager Ausgabe 04/2016 nachzulesen.