Eines Tages, nachdem wir die Verhaltenskodizes und sämtliche Richtlinien geschrieben, die Schulungen auf alle Mitarbeiter „ausgerollt“ und sie dazu noch mit einer Kommunikationskampagne „überrollt“ hatten, passierte es: Irgendjemand hat mal wieder mit Schmiergeldern dem Geschäft nachgeholfen, Schmiergelder angenommen oder hat was auch immer getan, worüber Sie in jeder Anti-Korruptions-Schulung ausdrücklich sagten, dass man DAS NICHT TUN DARF! Was nun? Sich in demonstrativer Einsamkeit mit Pausenbrot im eigenen Büro einsperren und dann damit trösten, dass man gegen das Korrupte im Menschen sowieso nichts tun könne? Es ist eine beliebte Hypothese in der Compliance-Gemeinde, dass man diejenigen, die von Natur aus kriminell veranlagt sind, mit Compliance-Programmen sowieso nicht einfangen könne. Wer also seine kriminellen Neigungen ausleben möchte, würde es tun, egal was der Compliance Officer so von sich gibt. Stimmt das wirklich? Ein gewisses Restrisiko bleibt immer, aber: Überlegen wir mal selbstkritisch, ob wir wirklich genug in unseren Unternehmen tun, um Korruption zu verhindern? Wenn man die Korruptionsfälle analysieren würde, käme man bei den meisten Fällen zum Schluss, dass man einiges hätte tun können, um diese zu verhindern.
Eine gute Anti-Korruptions-Arbeit basiert auf einem fundierten psychologischen Wissen, auf einer richtigen Einstellung gegenüber der eigenen Rolle als Compliance Manager, auf einem gut durchdachten und strategischen Managementsystem und dem Beherrschen des Compliance-Handwerks. Genau darüber wollen wir in diesem Artikel sprechen.
Anti-Korruption ohne Psychologie funktioniert nicht
Wer sich des Themas Anti-Korruptions-Kampf im Unternehmen annimmt, muss etwas von der menschlichen Seele verstehen. Denn die Compliance Officer haben es bei der White Collar Crime mit Menschen zu tun, die eventuell etwas anders „ticken“ als sie selbst. Psychologie ist eben ein mächtiges Werkzeug, das man beherrschen muss, um wirksame Präventionsmaßnahmen zu organisieren. „Es ist sinnvoll, dass die Compliance Manager mehr über verschiedene Persönlichkeitsstile lernen. Dann wissen sie, wie man mit verschiedenen Persönlichkeiten umgehen und sprechen muss, um sie zu erreichen. Die Psychologie gibt dazu ein Handwerkszeug“, sagt Diplom-Psychologe Dr. Jens Hoffmann, Leiter des Instituts Psychologie & Bedrohungsmanagement sowie einer der Geschäftsführer des „Team Psychologie & Sicherheit“, eines Verbunds von Kriminal- und ehemaligen Polizeipsychologen, die Unternehmen und Behörden beraten. „Man muss sich Zeit nehmen, im Gespräch die Menschen und ihre Motive zu verstehen. Das erfordert auch eine gewisse innere Offenheit und Bereitschaft, sich auf die Person einzulassen und Anknüpfungspunkte zu finden. Also nach einer Motivation suchen, die den betreffenden Menschen überzeugen würde.“ Er rät aber, nicht immer mit Hypothesen zu arbeiten und die Menschen nicht zu schnell in bestimmte Schubladen einzuordnen. „Dann ist man immer bereit, sein Bild über einen Menschen anzupassen, wenn man neue Informationen über diesen bekommt. Eine wichtige Frage, die man sich immer stellen muss, ist: Was spricht gegen die Einschätzung von mir? Das ist anstrengend, weil wir als Menschen dazu neigen, nur das wahrzunehmen, was unsere Annahmen bestätigt.“ Dazu gibt es mittlerweile sogar gute Kurse, die von Kriminalpsychologen abgehalten werden. Oder man liest sich ein (im Anhang zu diesem Artikel sind Literaturempfehlungen aufgeführt).
Wir haben die Psychologen danach befragt, was nun das Wesen des Wirtschaftskriminellen ausmacht. „Es wäre ein Fehler, wenn man das mit einer gewissen rationalen Logik betrachten würde. Wir sehen immer wieder Dynamiken, bei denen Persönlichkeitsaspekte eine Rolle spielen. Wenn jemand von seiner Persönlichkeit her das Gefühl hat, etwas Besonderes zu sein, narzisstisch ist, dann ist es sein persönliches Bedürfnis, im Mittelpunkt zu stehen. Und weil Narzissten sich oft als etwas Besonderes wahrnehmen, haben sie die Einstellung: Ich lasse fünfe gerade sein. Will heißen, sie denken, die Regeln gelten nicht für sie“, erklärt Dr. Hoffmann. „Es geht also oft gar nicht nur um die Bereicherungsabsicht, sondern darum, bestimmte Bedürfnisse zu erfüllen. Und das sind keine finanziellen, sondern psychologische Aspekte. Das sind oft Mitarbeiter, die sich gekränkt und nicht wahrgenommen fühlen oder ein bestimmtes Anspruchsdenken haben. Es gibt Persönlichkeiten, die dafür anfälliger sind.“ In diesem Zusammenhang ist es interessant, dass es tatsächlich erstaunlich gut funktionierende Integritätstests gibt. Ein Unternehmen muss solche Tests aber auch durchführen wollen. Daraus würden sich aber einige Fragestellungen ergeben: beispielsweise, was würde man mit einem Vertriebler machen, der im Integritätstest nicht gut abschneidet, der aber ein begabter Verkäufer ist und Umsätze wie kein anderer macht? Diesen aus dem Unternehmen zu werfen, wäre doch Selbstmord. Genau an diesem Punkt muss man sich besonders gut in Psychologie auskennen, um solchen Menschen einerseits eine Umgebung zu schaffen, in der sie keine kriminelle Tat begehen können, und sie andererseits auch gut genug zu verstehen, um sie motivieren zu können. Sonst verlassen sie ja von sich aus das Unternehmen. Das will auch keiner.
Natürlich wissen auch solche Menschen, dass sie etwas Kriminelles tun. Aber: „Die Täter, mit denen wir es hier zu tun haben, haben überhaupt kein schlechtes Gewissen. Sie nennt man Menschen mit einem ökonomischen Charakter, d.h., sie sind Kosten-Nutzen-orientiert. Wenn die Gefahren überwiegen, lassen sie in der Regel die Finger davon“, sagt Prof. Dr. Jens Weidner, der an der Hochschule für Angewandte Wissenschaften Hamburg Kriminologie lehrt. „Es gibt aber innerhalb der Gruppe der Menschen mit einem ökonomischen Charakter solche, bei denen die Psyche im Hinterkopf sich an die Neutralisierungstechniken erinnert und umschaltet. Damit vermeiden sie, dass wegen ihrer Straftaten Schuldgefühle in ihnen aufkommen.“ Wichtig in diesem Zusammenhang wäre also, diese Denkmuster, die Neutralisierungsstrategien, die das eigene Handeln rechtfertigen, zu kennen. Prof. Dr. Jens Weidner hat sie hier für uns zusammengestellt:
Wie erkennt man diese potentiell für Korruption anfälligen Mitarbeiter? „Das sind in der Regel nicht die Bosse. Die haben auch so genug Zugang zum Erfolg. Gefährlich sind die scheinbar besonders Harmlosen, die in der Hierarchiemitte angesiedelt sind, aber den Zugang zu allen Daten haben“, erklärt Prof. Dr. Weidner. „Die Täter erkennt man äußerlich nicht, da sie sich normal benehmen. Sie sind häufig um die 40, im mittleren Management, etabliert im Unternehmen, grundsolide und haben Familie.“
Aus dem, was wir aus psychologischer Sicht auf solche Menschen gelernt haben, müssen wir nun für uns Rückschlüsse ziehen, wie mit diesen Menschen umzugehen ist. Es ergeben sich also zwei Arten von potentiell für Kriminalität anfälligen Menschen: erstens Menschen mit einem ökonomischen Charakter, die aber nicht zu Tätern werden, wenn sie bei ihrer Kosten-Nutzen-Analyse feststellen, dass die Gefahr, erwischt zu werden, sehr hoch ist – sie lassen es dann. Und zweitens Menschen mit einem ökonomischen Charakter, die aber trotz der negativen Kosten-Nutzen-Analyse zu Tätern werden, weil sich bei ihnen Neutralisierungsstrategien im Kopf einschalten.
Bei solchen Mitarbeitern, die zur Gruppe 2 gehören, sind unsere psychologischen Einwirkungsmöglichkeiten gering. „Wenn das in der Persönlichkeit eines Täters tief verankert ist, dann ist es kaum möglich, diese mit Gesprächen oder anderer Kommunikation zu erreichen. Man sollte eine gewisse Demut davor haben, was man bei dem anderen ändern kann. Da bin ich etwas zurückhaltender, hier ist die Gefahr groß, dass man seine Fähigkeiten zur Einflussnahme überschätzt“, sagt Dr. Hoffmann. „Aber wenn man die Handlungen dieser Menschen verstehen und mit ihnen offen sprechen will, dann muss man gewisse Grundregeln beachten. Erstens muss man dem anderen im Gespräch das Gefühl geben, dass man ihn ernst nimmt und zuhört. Denn man muss die Leute erst einmal zum Sprechen bringen. Und zweitens muss man versuchen, herauszubekommen, warum die Person das gemacht hat. Um einschätzen zu können, ob die Person die Wahrheit sagt oder nicht, muss man im Vorfeld recherchieren. Davon wird dann die Bewertung der Motive abhängen.“ Wir sehen also, wir können für die Mitarbeiter, die zur Gruppe 2 gehören, zwar nichts als Compliance-Psychologen tun, aber wir werden später sehen, dass man an dieser Stelle einiges beim Managementsystem und mit dem Compliance-Handwerk erreichen kann.
Beschäftigen wir uns nun mit der Gruppe 1 der Mitarbeiter, die nach ihrer Kosten-Nutzen-Analyse feststellen, dass die Gefahren überwiegen, und daher kriminelle Handlungen unterlassen. Was sollten wir hier aus psychologischer Sicht tun? Prof. Dr. Weidner rät dazu, bei sich selbst anzufangen und über die eigene Rolle als Compliance Officer zu reflektieren: „Anti-Korruptions-Arbeit verlangt immer eine pessimistische Anthropologie. Compliance Officer müssen ein pessimistisches Menschenbild haben und sich dann vom Gegenteil überzeugen lassen. Man misstraut zunächst also grundsätzlich jedem, dann sortiert man aus bzw. lässt sich gerne vom Gegenteil überzeugen. Jeder, der mit diesem pessimistischen Menschenbild ein Problem hat, sollte nicht als Compliance Officer arbeiten.“ Prof. Dr. Weidner weiß, wovon er spricht – er behandelte jahrelang jugendliche Gewalttäter in Gefängnissen. Menschen, die wir in die Gruppe 1 einsortieren, brauchen eine klare und konsequente Strategie: „Ein gutes Betriebsklima ist wichtig und natürlich muss man die Mitarbeiter motivieren, loben und unterstützen. Aber gleichzeitig muss man eine Kriminalitätsfurcht im Unternehmen verbreiten. Also sagen, dass man natürlich überzeugt sei, im Unternehmen mache niemand etwas Kriminelles, aber wenn jemand auf den Gedanken kommt, dann muss man die harten Konsequenzen deutlich zeigen“, rät Prof. Dr. Weidner. „Spätestens dann würde jemand, der unentschlossen war, das sein lassen.“ Wir erinnern uns: Wenn in der Kosten-Nutzen-Analyse die Gefahr überwiegt, erwischt zu werden, verzichten die Menschen, die zur Gruppe 1 gehören, auf kriminelle Handlungen.
Die Compliance Officer sind natürlich auf die anderen Mitarbeiter im Unternehmen angewiesen, damit die Fangquote der kriminellen Mitarbeiter höher wird. Dazu rät Dr. Hoffmann: „In die Anti-Korruptions-Schulungen sollte man auch psychologische Inhalte aufnehmen. Zum Beispiel den Mitarbeitern klarmachen, dass es bei der Korruption oft eine Vermischung von Motiven geben kann. Dass es zum Beispiel Mitarbeiter gibt, die glauben, etwas Gutes zu tun oder auf etwas einen Anspruch zu haben. Darüber hinaus sollte man sie bitten, auf auffälliges Verhalten in ihrer Umgebung am Arbeitsplatz zu achten, und ihnen die Furcht nehmen, ihre Bedenken über Hinweisgeberkanäle mitzuteilen. Denn viele Mitarbeiter geben nichts weiter, weil sie Angst vor negativen Konsequenzen haben. Oder sie haben Sorge, dass sie sich vielleicht in ihrer Wahrnehmung täuschen. Das heißt, man muss ihnen sagen, dass in jedem Fall nachgeschaut wird, dass es aber keine Überreaktion geben wird.“
Die Rolle des Compliance Managers
Über das Wesen der Kriminalität im Unternehmen ist ein Gespräch mit den unternehmensinternen Ermittlern oft sehr aufschlussreich. Was denken also sie, warum es im Unternehmen zu den Vorfällen kommt? „Ich zähle zu den Hauptgründen, warum es im Unternehmen zu Korruptionsfällen kommt, drei Dinge: falsche Unternehmenskultur, dann KPIs, die Korruption provozieren können und unzureichenden Kontrollmechanismen, u.a. von Seiten der Compliance Organisation“, sagt Nikolaj Laschko, Head of Investigations von Metro Group. Hinsichtlich der Unternehmenskultur können einige Dinge falschlaufen angefangen bei den Umsatzvorgaben bis zu harten Kontrollen und ungerecht empfundenen Hierarchie-Ebenen. „Die Kultur im Unternehme ist gleichzeitig die Ursache, das Produkt und das Ergebnis in einem. Ich bin aber sicher, dass Compliance in ihrem Sinne gute Unternehmenskultur mitgestalten kann und muss. Beispielsweise könnte man bei der Kommunikation der echten Werte ansetzen. Denn was das Geschäft am meisten kaputt macht, ist die Diskrepanz zwischen den deklarierten Werten und der Realität“, sagt Dr. Laschko. „Auch müssten sie richtige Leitfiguren suchen. Ich finde es wichtig, dass im Unternehmen klar kommuniziert wird, warum eine Top-Kraft das Unternehmen verlässt, vorausgesetzt es gab ein nachgewiesenes Fehlverhalten.“ Es ist noch nicht untersucht worden, wie weit ein Compliance Manager die Kultur im Unternehmen verändern kann. Es ist stark zu vermuten, dass die Kultur im Unternehmen in erster Linie die Geschäftsführung prägt. Dennoch: „Ein Compliance Officer kann sehr wohl Einfluss auf die Unternehmenskultur nehmen. Das ist sehr wichtig für eine erfolgreiche Anti-Korruptionsarbeit“, sagt Alexander Ghazvinian, Chief Compliance Officer von APM Terminals. „Bei den KPIs im Unternehmen, die gerade für die erfolgreiche Compliance-Arbeit entscheidend sind, würde ich mir wünschen, dass die Compliance Organisation sich dabei aktiv erkundigt und beteiligt“, sagt Dr. Laschko. „Und zum dritten Aspekt, die mangelhaften Kontrollen der Prozesse, die von Compliance aufgesetzt wurden. Es wichtig, dass die Compliance Officer sich nicht nur auf die Deklaration ihrer Inhalte beschränken. Eine lebendige Verbindung zwischen Compliance und dem operativen Geschäft ist sehr wichtig. Denn wenn man sagt, man sollte sich an bestimmte Regeln halten, dann braucht man in jedem Fall jemanden, der dieses Einhalten überprüft. Ansonsten wären alle Compliance-Bemühungen unwirksam.“ Die fehlenden Compliance-Kontrollen werden übrigens immer wieder angemahnt. „Vielleicht liegt es an der juristischen Ausbildung. Denn die Juristen haben oft das Gefühl, dass ihre Aufgabe darin besteht, formale Regeln zu entwerfen. Aber sie sehen es nicht als ihre Aufgabe an, zu kontrollieren, ob die auch eingehalten werden. Doch genau das, was wirklich im Unternehmen passiert, ist spannend und nicht irgendwelche formalen Dinge“, sagt Prof. Dr. Carsten Stark, Professor für Personalmanagement und Organisation an der Hochschule Hof und Leiter des Institutes für Korruptionsprävention IfKp.
Interessant an dieser Stelle ist es, sich das Verhältnis zwischen Compliance und Revision anzuschauen. Denn Compliance Officer verlassen sich darauf, dass die Revision die entsprechenden Kontrollen übernimmt. An dieser Schnittstelle kommt es zu Missverständnissen. „Es ist schon möglich, dass einige Kontrollen durch die Revision übernommen werden, aber dann muss Compliance ganz klar kommunizieren, worauf konkret geschaut werden sollte“, sagt Dr. Laschko. „Unternehmensinterne Konkurrenz ist an der Stelle sehr destruktiv. Saubere Kompetenztrennung und klare Berichterstattung trägt zur harmonischen und produktiven Zusammenarbeit bei.“
Wir sehen also, wie entscheidend für den Compliance-Erfolg es ist, dass man sich im Vorfeld überlegt, welche Rolle als Compliance Officer man ausfüllen will. Das beeinflusst dann auch das Design des CMS und die gesamte Ausrichtung des Compliance-Programms. Und die Rolle, die einem Compliance Manager zusteht, hat sehr viele Aspekte und impliziert auch ständige Selbstreflexion. So ist zum Beispiel eine juristische Ausbildung für einen Compliance Officer hilfreich. Aber man sollte auch nicht die Augen davor verschließen, dass genau diese juristische Vorbildung die Compliance Officer schnell blind gegenüber zwischenmenschlichen und operativen Nuancen macht. „Häufig scheint auf den ersten Blick formal alles klar und geordnet, aber nicht mit Leben gefüllt. Die Juristen sind von ihrer Persönlichkeit her strukturiert, gründlich und achten sehr auf Details. Das braucht man auch bei der Bearbeitung juristischer Fragestellungen. Aber das reale Leben ist häufig nicht strukturiert und geordnet, sondern voller Ambivalenzen“, sagt Dr. Hoffmann. „Als Compliance Officer wäre es daher sehr sinnvoll, auch über Persönlichkeitsaspekte zu reflektieren. Menschen, die sehr strukturliebend sind, fällt es manchmal nicht leicht, sich in die Persönlichkeitsaspekte anderer hinein zu fühlen. Da kann es hilfreich sein, die psychologische Struktur dahinter zu erläutern. Es könnte von Vorteil sein, wenn Compliance Officer näher an die Lebenspraxis rücken und weniger am Formellen festhalten. Das könnte beispielsweise in Fortbildungen von Compliance Officern berücksichtigt werden.“ Dieser Meinung sind nicht nur die Psychologen, sondern auch die Mitarbeiter in den Unternehmen und einige andere Berufsgruppen, die sich mit Compliance beschäftigen, zum Beispiel Professoren für Betriebswirtschaft. „Der größte Fehler ist, wenn man das, was man formal geregelt hat, verwechselt mit dem, was wirklich passiert. Das nennt man den Unterschied zwischen Talk und Action. Ich finde, hier hat man den größten Nachholbedarf bei Compliance. Denn häufig wird geschaut, wie man sich formal aufstellen kann. Daher sind unsere Erfahrungen, wenn wir die Unternehmen anschauen, dass es häufig sehr genau ausgearbeitete Regelwerke gibt, die aber nichts mit dem zu tun haben, was wirklich in den Unternehmen passiert“, sagt Prof. Dr. Stark. „Wenn man Regeln und Formalien festlegt, heißt das noch lange nicht, dass sich nun alle daran halten.“ Es gibt einige Stimmen, die sagen, dass Compliance Officer nicht in die Rechtsabteilung gehören. So betont Prof. Dr. Stark: „Compliance Officer gehören in die Organisation, nicht in die Rechtsabteilung. Ihre Handlungsmöglichkeiten sind ansonsten sehr begrenzt. Denn immer, wenn wir ein Unternehmen untersuchen, stellen wir Folgendes fest: Die Regeln sind irgendwann alle geschrieben und die Compliance Officer werden als Störfaktor erlebt. Die Compliance Officer ihrerseits verstricken sich irgendwann in der alltäglichen Genehmigungs-oder-Nicht-Genehmigungs-Praxis.“
Natürlich kann man dem oben Gesagten ablehnend gegenüberstehen und sagen: „Ihr habt alle keine Ahnung, weil ihr weder Juristen noch Compliance Officer seid.“ Nein, das sind sie nicht, aber es sind alles Experten auf ihrem Gebiet und sie haben ihre durchaus profunden Erfahrungen mit Compliance und daher ihren besonderen Blick darauf.
Echtes Managementsystem
Es ist eine Frage, die viele Compliance Officer umtreibt: Warum funktionieren manche Compliance-Programme nicht? Um darauf eine Antwort geben zu können, muss man einen guten Überblick über die Compliance-Programm-Landschaft haben und nicht nur über sein eigenes CMS.
Prof. Dr. Stark etwa hat einen solchen Überblick, weil er in vielen Unternehmen Geschäftsprozessanalysen durchgeführt hat. Er hat drei Gründe für das Versagen von Compliance-Programmen festgestellt: „Es gibt Programme, die funktionieren nicht, weil sie den Beschäftigten gar nicht bekannt sind. Dann gibt es Versuche, Regelungsstandards an die Beschäftigten weiterzugeben. Aber das hat eine nur geringe Wirkung, denn es bleibt dann häufig irgendwo hängen. Und das ist der zweite Grund, wenn es keinen ‚Fit’ gibt zwischen den Regeln und ihrer Umsetzbarkeit in der Organisation. Zum Beispiel ist ein Abteilungsleiter der Meinung, dass bestimmte Compliance-Vorgaben gar nicht umsetzbar sind, weil er die Leute nicht abziehen kann oder weil die nötige Zeit fehlt. Es kann an ganz praktischen, organisatorischen Fragen hängen bleiben und gar nicht an der mangelnden Motivation der Leitung eines Unternehmens oder der Vorgesetzten liegen. Wir nennen das organizational integrity, wenn die Organisationsstrukturen nicht so sind, dass man die Compliance-Vorgaben umsetzen kann. Und der dritte Grund ist, wenn die Organisationsstrukturen zwar so sind, dass man die Compliance-Vorgaben umsetzen könnte, aber die Mitarbeiter setzen sie nicht um, weil sie kein Interesse daran haben und nichts passiert, wenn sie es nicht tun.“
Die meisten Compliance Officer würden jetzt zu ihrer Verteidigung einwerfen, dass sie geschätzte 70 bis 80 Prozent ihrer Arbeitszeit mit Schulungen verbringen. Aber: Können Sie sich an Ihre Studienzeit erinnern? Wie viel von dem, was Sie in der Vorlesung gehört haben, haben Sie verinnerlicht und angewandt? Die Wirkung der Schulungen sollten wir nicht überschätzen. „Die Compliance-Schulungen ändern ja nur in eine Richtung etwas – an dem Wissen der Menschen. Das würde unterstellen: Wenn die Leute das wissen, dann würden sie sich entsprechend verhalten. Es geht eben nicht (nur) um Wissen, sondern (auch) um Können und Wollen“, sagt Prof. Dr. Stark. „So geht es zum Beispiel um die Frage, ob es ein Motiv gibt, sich nicht daran zu halten? Das Wollen ist nicht automatisch da.“ Prof. Dr. Stark schlägt eine wirksame, wenn auch etwas mehr Zeit erfordernde Methode vor: Die Compliance Officer sollten sich die Geschäftsprozesse genau anschauen und zusammen mit den Mitarbeitern nach Lösungen suchen, wie sie ihre Aufgaben effizient und effektiv erledigen können, ohne gegen geltende Regeln zu verstoßen. Worum es geht, ist, die Mitarbeiter dazu zu bringen, die Compliance-Vorgaben umzusetzen. Und hierzu sind Schulungen, WBT oder Dokumente im Intranet leider unzureichend. „Hier muss man einen ganzheitlichen Ansatz anwenden. Wir können nicht nur am Bewusstsein der Menschen arbeiten und auch nicht nur an den Regeln selber, sondern wir müssen auch genau die Organisationsstrukturen und die Prozessabläufe in den Organisation anschauen, wenn wir das wirklich ernst meinen mit einer organisationalen Integrität“, sagt Prof. Dr. Stark.
Umdenkprozesse
Natürlich entwickelt sich auch die Compliance-Zunft weiter. Es gibt derzeit Umdenkungsprozesse im Bereich Anti-Korruption, die in die richtige Richtung der Ganzheitlichkeit gehen. „Mich beschäftigt die Frage, wie kann ein Compliance-Programm sich zu einem Management-System entwickeln? Compliance 2.0 ist dabei keine weitere Richtlinie, sondern vielmehr die Frage, wie ich Compliance Themen in die bestehenden Managementprozesse integrieren und insbesondere standardisieren kann. Ein Compliance-Managementsystem ist für mich etwas, was beschrieben, nachvollziehbar, systematisch, integriert und messbar ist – ohne zu einem Check-the-Box-System zu mutieren“, sagt Chief Compliance Officer von ATM, Alexander Ghazvinian. „Das Unternehmen muss – unabhängig von Personen – auch in fünf Jahren in der Lage sein, nachzuvollziehen, warum man die Einheit X als „high risk“ eingestuft hat, was die Kriterien und Einflussgrößen waren.“ In Compliance läuft es meistens so, dass man ein Compliance-Training entwirft und dann damit auf die Mitarbeiter losgeht. „Anstatt möglichst viele Mitarbeiter zu trainieren, komme ich zwischenzeitlich von einer anderen Seite: Ich habe eine Trainings-Strategie die in einem Trainings-Management-System abgebildet ist. Das ist ein strukturierter Prozess, der definiert, was für Trainings wir haben und wer die jeweilige Zielgruppen sind. Unsere Trainings bauen aufeinander auf und ich kann deren Effektivität messen. Jedes Training, welches wir ausrollen, hat eine definierte Zielgruppe, definierte Lernziele und wird jährlich aktualisiert. Das In-Person-Training kann nur von ausgewählten Personen gegeben werden, ansonsten zählt es nicht als Training. Wenn ein Mitarbeiter dieses Training absolviert hat, dann muss er in zwei oder drei Jahren in ein nächstes Training, das dann vertiefend ist und viel mehr in Dilemma-Cases geht. Ich schule nicht nach dem Prinzip „Wer-gerade-da-ist“, sondern die jeweilige Geschäftseinheit muss im Vorfeld die Positionen definieren, die zur definierten Zielgruppe gehören. Deren Stelleninhaber werden dann zum Training eingeladen“, erklärt Alexander Ghazvinian. Da ist also ein System dahinter. Und das Wichtigste ist, dass es Konsequenzen gibt, wenn jemand sich den Trainings entzieht. „Wir prüfen über die Coverage-Rate, wer von der Zielgruppe anwesend war. Die Coverage-Rate ist als KPI definiert und wir dentsprechend auch an den Vorstand gemeldet.“
Das Neue an dieser Herangehensweise ist neben der Systematik und der strategischen Ausrichtung auch die andere Sicht auf die eigene Rolle als Compliance Officer. Was will man erreichen? „Der Compliance Officer ist für mich zu 50 Prozent Change Manager. Es geht letzlich nicht um die beste Legal Opinion oder die ausformulierteste Compliance-Richtlinie. Die Frage muss sein: „Was will ich langfristig erreichen?“ Die Mitarbeiter müssen, wenn sie draußen im Markt sind, die kritische Situationen identifizieren, aber nicht perse die Lösung kennen.
Wenn sich der Mitarbeiter dann an das Compliance-Team wendet, um eine Lösung zu finden, habe ich schon viel erreicht. Bei der Lösungsfindung geht es dann darum, dass ich als Compliance Officer manchmal gar keine Entscheidung treffen muss, sondern das Business selbst zu dieser kommt“, so Alexander Ghazvinian. „Ich werde zum Moderator. Dies erreiche ich dann am besten, wenn ich mit einem Manager gemeinsam über die kritische Situation diskutiere. Ich will, dass er selbst zur Entscheidung kommt, dass er etwas nicht oder anders macht. Und nicht ich ihm sage, er soll es nicht machen. Denn mein Ziel ist es, dass er sich als Manager selbst vor seine Mannschaft stellt und sagt, dass es seine Entscheidung war.“
Auch hinsichtlich der Schulungsinhalte gibt es endlich ein Umdenken. „Ich will die Mitarbeiter in den Schulungen nicht zu Juristen ausbilden. Sie sollen zur Stärkung der First-Line-of-Defense, also der Implementierung präventiver Prozesse in den operativen Abläufen Handwerkszeug erhalten. Dabei ist mir die Definition und die Schulung der Schnittstellen zur Compliance Organisation wichtig. Beherrschen und nutzen die Mitarbeiter diese Prozesse, bekommen wir sie aus dem Feuer“, erklärt Dr. Wolfgang Strunk, Corporate Compliance Officer der GEA Group sowie Leiter der Fachgruppe Anti-Korruption des Berufsverbandes der Compliance Manager (BCM). „Damit erhalten die operativen Bereiche den Raum, den das Unternehmen benötigt. Wir erhalten nur die Themen, die juristisch bearbeitet werden müssen. Beides erhöht die für Compliance entscheidende Akzeptanz.“
Wir haben oben schon beim Thema Psychologie davon gesprochen, dass es diese Gruppe 2 von Menschen gibt, die trotz Gefahren kriminelle Taten begehen. Diese Menschen kann man mit Worten nicht überzeugen. Aber man kann Prozesse einrichten, die es ihnen unmöglich machen, diese Taten zu begehen. „Wenn beispielsweise einzelne Mitarbeiter frei über Konten verfügen können, erhalten sie ein Instrument zur Unternehmensschädigung. Ist ein solches Risiko identifiziert und eine Idee für einen präventiven Prozess gebildet, schauen wir uns bestehende Systeme der Ablauforganisation an. Wir überlegen, ob wir dort die Prozesse zur Prävention von wirtschaftskriminellem Handeln ansiedeln können. Denn soweit das möglich ist, bietet das Andocken an die vorhandenen Systeme erhebliche Effizienz- und Akzeptanzvorteile“, so Dr. Strunk.
Die Sache mit den Kontrollen ist übrigens auch sehr sensibel. „Es ist schon wichtig, dass man es im Unternehmen mit den Regeln, Prozessen und Kontrollen nicht übertreibt und damit vermeidet, dass die Mitarbeiter keine Luft mehr zum Atmen, also keinen Entscheidungsspielraum mehr haben. Menschen werden glücklich, wenn sie Freiheitsgrade haben. Je enger Compliance-Vorgaben und das Kontrollnetz werden, umso mehr verlieren wir Vertrauen“, sagt Birgit Galley, Direktorin der School of Governance, Risk & Compliance sowie Direktorin vom Institut für Kriminalistik. „Es ist wichtig, dass das Ganze eine Wertigkeit bekommt und nicht nur ein Kontrollunternehmen wird. Denn Mitarbeiter, die sich mit ihrem Unternehmen identifizieren, betrügen es nicht.“ Das, worüber Birgit Galley hier spricht, nennt man Kontrolloptimum. Die Frage ist, wann erreicht man dieses? „Sie zahlen für Kontrolle auch einen Preis – Sie verbrauchen Vertrauen. Wenn ich jemanden laufen lasse im Vertrauen, er macht es schon, dann ist es ein 100-Prozent-Vertrauen. Wenn man sich alles zur Prüfung vorlegen lässt, ist es eine absolute Kontrolle. Der Weg liegt irgendwo dazwischen. Wenn ich durch noch mehr Kontrollen weniger finde, aber mehr Vertrauen verbrauche oder kaputt mache, dann habe ich das Kontrolloptimum verlassen. Wenn es aber akzeptierte Kontrollen sind, weil sie auch helfen, aber das Vertrauen nicht zerstören, dann ist es ein Kontrolloptimum“, erläutert Birgit Galley.
Was steht hinter dem Prozess?
Wir haben jetzt viel über die Prozesse im Unternehmen gehört. Aber nicht, was bei ihrer Einrichtung zu beachten ist. Es kann da auch einiges schieflaufen. Nehmen wir als Beispiel die Hinweisgebersysteme. Macht man es falsch, kann es vieles kaputt machen. „Die Hinweisgebersysteme sind eine gute Sache. Aber wenn sie nicht richtig aufgesetzt sind, werden sie zu einem ganz großen Problem. Denn über diesen Kanal kann man sogar eine ganze Abteilung lahmlegen. Wenn man zum Beispiel aus Zeitmangel eine Meldung gar nicht würdigen kann und keine Möglichkeit hat, das zu prüfen, dann schlummern da kleine Bomben, die keine Beachtung finden. Problematisch ist auch, wenn die Ressourcen zwar da sind, aber die Leute sind nicht richtig ausgebildet und stürmen dann auf die Verdächtigen los. Sie richten dann großen Schaden an“, warnt Birgit Galley.
Wir haben gesehen, dass es Bemühungen in die richtige Richtung gibt, Compliance-Management-Systeme systematischer, strategischer und geschäftsnäher auszurichten. Das erfordert eine ständige Selbstreflexion. „Ich lerne ständig dazu, was die Arbeit im Unternehmen betrifft. Mich beschäftigen Fragen wie: Wie erreiche ich meine Mitarbeiter? Verstehe ich als Compliance Officer wirklich, wie unser Unternehmen funktioniert? Weiß ich gerade, mit welchen Themen ich mich als Compliance Officer einbringen muss? Das ist für mich eine größere Herausforderung als das Juristische oder das Prozessseitige. Die ständige Herausforderung von einem Compliance-Bereich ist, sich sicher zu sein, dass man das Unternehmen auch wirklich versteht. Dazu muss man sich ständig hinterfragen. Und da darf man sich nicht auf die implementierten Instrumentarien und Prozesse verlassen“, sagt Dr. Philip Matthey, Chief Compliance Officer der Volkswagen Truck & Bus Gruppe und der MAN SE. Dazu gehört eben auch eine gewisse Demut.
Literaturempfehlungen
Buchempfehlungen von Dr. Jens Hoffmann, Leiter des Instituts Psychologie & Bedrohungsmanagement sowie Geschäftsführer des Verbunds „Team Psychologie & Sicherheit“:
Jens Hoffmann (2005), Menschen entschlüsseln: Ein Kriminalpsychologe erklärt, wie man spezielle Analyse- und Profilingtechniken im Alltag nutzt. mvg Verlag.
Lelord, F. & André, C. (2009). Der ganz normale Wahnsinn. Vom Umgang mit schwierigen Persönlichkeiten. Aufbau Verlag.
Buchempfehlungen von Prof. Dr. Jens Weidner, Professor für Kriminologie an der Hochschule für Angewandte Wissenschaften Hamburg:
Gary S. Becker (1993), Der ökonomische Ansatz zur Erklärung menschlichen Verhaltens. Mohr Siebeck Verlag.
Leo Martin (2012), Ich durchschaue Dich! Ariston Verlag
Bärbel Bongartz (2016), Strukturelle Bedingungen wirtschaftskrimineller Handlungen: Eine empirische Studie zum abweichenden Verhalten der Mittelschicht. Forum Vlg Godesberg.
Buchempfehlungen von Prof. Dr. Carsten Stark, Professor für Personalmanagement und Organisation an der Hochschule Hof und Leiter des Institutes für Korruptionsprävention IfKp:
Antonia Steßl (2012), Effektives Compliance Management in Unternehmen. Springer Verlag.
Zimmerli, Walther Ch. / Richter, Klaus / Holzinger, Markus (Ed.) (2007), Corporate Ethics and Corporate Governance. Springer Verlag.
Stark, Carsten (Hrsg.) (2017), Korruptionsprävention. Klassische und ganzheitliche Ansätze. Gabler Verlag.
Buchempfehlungen von Dr. Wolfgang Strunk, Legal Counsel und Corporate Compliance Officer von GEA Group:
Hauschka / Moosmayer / Lösler (2016), Compliance für die Praxis: Corporate Compliance. Handbuch der Haftungsvermeidung im Unternehmen, C. H. Beck Verlag.
Buchempfehlungen von Birgit Galley, Direktorin der School of Governance, Risk & Compliance sowie Direktorin vom Institut für Kriminalistik:
Birgit Galley, Ingo Minoggio und Marko Schuba (2017), Unternehmenseigene Ermittlungen. Recht – Kriminalistik – IT. Erich Schmidt Verlag.
Hans J. Marschdorf (2016), Früherkennung unlauterer Geschäftspraktiken. Leitfaden für Aufsichtsgremien. Erich Schmidt Verlag.
Für Einsteiger: Prof. Dr. Stefan Behringer (Hrsg.) (2013), Compliance kompakt. Best Practice im Compliance-Management. Erich Schmidt Verlag.