Im Jahre 2014 führte der Berufsverband der Compliance Manager (BCM) die Studie „Wie sehen Führungskräfte in Deutschland den Compliance Manager? Eine Fremdbildstudie über den Beruf des Compliance Managers 2014“ durch. Auch wenn die Ergebnisse dieser Studie damals nicht durchweg positiv ausgefallen waren – man merkt es der Berufsgruppe der Compliance Officer insgesamt an, wie dankbar sie Feedback annehmen. Man muss sich dieses nur zu holen wissen.
Feedback von einer ganz anderen Qualität bekommt man, wenn man eine andere compliance-sachverständige Berufskaste fragt – die Wirtschaftsprüfer (WP), die die Compliance Management Systeme (CMS) der Unternehmen nach dem IDW PS 980 prüfen. Konkret hat die Verfasserin dieser Zeilen die Wirtschaftsprüfer zu mehreren Bereichen befragt: Wie gestaltet sich die Zusammenarbeit mit den Unternehmen bei der Prüfung nach IDW PS 980? Brauchen sie wirklich mehrere Jahre für eine Wirksamkeitsprüfung? Wie beurteilen sie die CMS deutscher Unternehmen? Wie beurteilen sie die persönliche Leistung der Compliance Manager? Was machen sie ihrer Ansicht nach falsch? Was haben die WPs selbst in den fünf Jahren gelernt und welche Weiterentwicklungen gibt es bei ihnen?
Neue Compliance-Zeitrechnung
Wir werden chronologisch beginnen: Die Wirtschaftsprüfer sehen es als ihren Verdienst an, dass mit IDW PS 980 dem Thema Corporate Compliance in Deutschland überhaupt erst eine feste Ordnung gegeben wurde. Davor herrschten also Chaos und Zwietracht, es wurde nun sozusagen eine neue Compliance-Zeitrechnung geschaffen: Vor und nach der Erschaffung des IDW PS 980. „Die Wirtschaftsprüfer haben für ihre Prüfungen dem Thema eine Struktur gegeben. Die Grundelemente, die wir in IDW PS 980 definiert haben, haben sich dabei über die eigentliche Prüfung hinaus als Standard durchgesetzt“, sagt Andreas Wermelt, Partner und Leiter des Bereichs Internal Controls Assurance von Deloitte. „Das ganze Thema wird mittlerweile in den Unternehmen fokussierter angegangen. Der Standard hilft dabei durch die dort postulierten Grundprinzipien. Diese sind zusammengefasst, erstens Risiken identifizieren, zweitens Maßnahmen etablieren und drittens ihre Durchsetzung überwachen.“ Auch Kathrin Kersten, Partnerin im Bereich der Internen Revision von PwC unterstreicht die Leistung des IDW PS 980, erwähnt gleichzeitig aber, dass auch die WPs selbst einiges seitdem gelernt haben: „Der IDW PS 980 ist kein typischer Standard, der zum Beispiel auf bereits vorhandene gesetzliche Anforderungen aufgesetzt hätte. Als er entstand, wusste niemand, was eigentlich die Anforderungen an ein CMS sein sollten. Mit dem Standard ist dann eine Pyramide mit sieben Elementen entstanden, die genau das definiert, was von einem angemessenen CMS erwartet wird. In der Anfangsphase hatten auch wir Wirtschaftsprüfer eine nur theoretische Vorstellung davon, wie die Prüfungen aussehen sollten. Heute sieht es natürlich anders aus, weil wir schon einiges gesehen haben und Vergleiche ziehen können, was gut funktioniert und was nicht.“
Veränderungen gibt es auch im Hinblick darauf, welche Compliance-Themen geprüft werden. „In der Anfangsphase haben wir vermehrt die Schwerpunkte Antikorruption und Kartellrecht geprüft. Aktuell kommen immer mehr solche Compliance-Bereiche wie Exportkontrolle und Sanktionen, Datenschutz, Datensicherheit und Cyber-Security – aber auch Ethik und Integrität“, sagt Andreas Pyrcek, Partner im Bereich Fraud Investigation & Dispute Services, Business Integrity & Corporate Compliance von EY (Ernst & Young). Wenn man sich das im Vergleich über fünf Jahre anschaut, dann beobachtet man noch etwas: „Der Verantwortungsbereich der Compliance Officer ist in den letzten fünf Jahren immer größer geworden, indem immer weitere Themen dazukamen. Heute haben wir die Herausforderung, dass der Compliance-Bereich häufig sehr breit aufgestellt ist“, meint Kathrin Kersten.
Ein missverstandener Standard
Gleichzeitig ist der IDW PS 980 ein missverstandener Standard. Missverstanden wird er auf Seiten der Unternehmen aus unterschiedlichen Gründen. Auf Platz eins der beliebtesten Begründungen, warum „wir“ als Unternehmen eine Prüfung nach IDW PS 980 brauchen, steht doch tatsächlich das mögliche Enthaftungsargument. Ebenfalls oben ist die vermeintliche Vermutung, der Prüfer würde durch seine Prüfung mögliche Missstände, wie zum Beispiel Betrug und Korruption, aufzeigen. „Die Enthaftungsanfragen für die Geschäftsführung oder den Aufsichtsrat kommen am häufigsten. Das kann so eine Prüfung bisher nachweislich nicht leisten“, erklärt Andreas Pyrcek. „Auch ist es falsch, von uns zu erwarten, dass wir jegliches Fehlverhalten aufdecken. Das ist auch nicht der Sinn und Zweck einer Prüfung nach IDW PS 980, sondern dann eher eine forensische Prüfung. PS 980 Prüfungen sind Systemprüfungen hinsichtlich abgegrenzten Risiken und Gesellschaften. Was wir beurteilen, ist, ob das System von der Ausgestaltung her ausreichend ist und zum insbesondere zum Unternehmen passt, sind die Unternehmensprozesse so implementiert und funktionieren in der Weise, wie man sie sich im Zentralbereich Compliance bzw. in der Zentrale konzipiert hat.“
Was auch sehr oft missverstanden wird, ist der Begriff „Wirksamkeitsprüfung“ beim IDW PS 980-Standard. Zugegeben, dieser Begriff ist tatsächlich etwas irreführend. „Ist mein CMS wirksam“ ist eine Frage, die sich jeder Compliance Verantwortliche stellt. Wie man diese Wirksamkeit misst, ist eine derzeit heiß diskutierte Frage. Leider müssen wir diese schöne Vorstellung, dass die Wirtschaftsprüfer die Wirksamkeit im von den Compliance Verantwortlichen verstandenen Sinne prüfen, nun zerstören: gerade das prüfen sie nicht. „Der Begriff ‚Wirksamkeitsprüfung‘ des Standards ist hier tatsächlich irreführend“, sagt Andreas Pyrcek. „Was die Wirtschaftsprüfer bei dieser dritten Stufe der Prüfung schwerpunktmäßig prüfen, ist insbesondere, ob Prozesse und Kontrollen in einem Unternehmen so funktionieren, wie sie konzipiert worden sind. Und das machen wir üblicherweise durch Stichproben.“ Das bestätigt auch Kathrin Kersten: „Bei der Wirksamkeitsprüfung prüfen wir, ob die Umsetzung dauerhaft so erfolgt, wie sie vorgesehen wurde. Diese Prüfung beinhalten auch eine Konzeptions- und Angemessenheitsprüfung.“ Es liegt also eindeutig auf der Hand, dass hier wohl das Verständnis darüber, was wirksam ist, etwas auseinanderläuft.
Verständnisunterschiede gibt es sogar bei grundsätzlicheren Dingen. Zum Beispiel ist der Unternehmensseite nicht ganz nachvollziehbar, warum Konzeptionsprüfung und die Prüfung der Angemessenheit eines CMS in zwei verschiedenen Stufen abläuft. Kann man ein Urteil über ein CMS-Konzept fällen, wenn man nicht gleichzeitig auch schaut, ob es zu einem konkreten Unternehmen passt?
Dazu „unterminieren“ die Unternehmen auch noch die Bemühung der WPs, ordentlich von der ersten bis zur dritten Stufe ein CMS durchzuprüfen. Wenn die Unternehmen sich für eine Prüfung nach IDW PS 980 entscheiden, dann ziehen sie am häufigsten die Stufen 1 und 3, also die Konzeptions- und Wirksamkeitsprüfung zusammen. Ist auch vernünftig so, wozu zu viel Geld ausgeben?
Dauer der Prüfung
Darüber, wie lange eigentlich die Wirtschaftsprüfer so in einem Unternehmen bleiben, gibt es unterschiedliche Erfahrungswerte. Wer will schon auf mehrere Jahre in Alarmzustand leben, weil die Wirtschaftsprüfer durchs Unternehmen tigern und endlos prüfen? Mathias Wendt, ehemals Senior Manager Audit Governance & Assurance Services der KPMG, hilft uns mit Richtwerten: „Eine Konzeptionsprüfung, die eher auf die innere Konsistenz eines CMS-Konzepts schaut, kann innerhalb von zwei Wochen durchgeführt werden. Wenn man diese Konzeptionsprüfung als einen Dialog mit dem Prüfer versteht oder sogar eine Art Coaching-Hilfe von ihm erwartet, dann nimmt sie entsprechend mehr Zeit in Anspruch. Die zweite Stufe, die Angemessenheits- und Implementierungsprüfung, die zu einem bestimmten Stichtag durchgeführt wird, dauert ungefähr zwei Monate. Die Wirksamkeitsprüfung als dritte Stufe ist noch anspruchsvoller und zeitaufwändiger. Im Rahmen einer solchen Prüfung wird die Wirksamkeit eines CMS über einen vom Auftraggeber vorzugebenden Zeitraum vom WP beurteilt. In der Praxis wird als Wirksamkeitszeitraum zumeist ein halbes Jahr oder ein Jahr zugrunde gelegt. Die Prüfungsaktivitäten des WP erstrecken sich sodann über den entsprechenden Zeitraum.“ Wenn es sich also bei Ihnen um ein Mittelstandsunternehmen mit einer Tochter handelt und Sie seit drei Jahren nach IDW-PS 980 geprüft werden, dann müssen Sie das hinterfragen.
Sinn und Unsinn
Wenn man sich bei der Auswahl seiner Geschäftspartner daran orientiert, ob diese so eine Prüfung nach einer oder mehreren Stufen des IDW PS 980 durchlaufen haben, dann muss man sich über Folgendes im Klaren sein: Was von CMS geprüft wird, zu welchem Stichtag und über welchen Zeitraum – das entscheidet ein Unternehmen selbst. Das bedeutet: hängt sich ein Unternehmen stolz die Prüfungsergebnisse auf die Brust (oder auf die Homepage), dann ist das noch lange keine Aussage über den aktuellen Zustand seines CMS und schon gar nicht über die Zukunft desselbigen. Auch ist das keine Qualitätsaussage über das Gesamt-CMS, denn auch darüber, welche Themen durchgeprüft werden, entscheidet ebenfalls ein Unternehmen. Es kann also schon passieren, dass ein Unternehmen sich lediglich im Bereich Anti-Korruption prüfen lässt – dann wissen wir immer noch nicht, wie gut das Unternehmen mit seinen Anti-Kartellmaßnahmen aufgestellt ist.
So manchem Compliance Officer mögen sich nun häretische Fragen nach dem Sinn und Unsinn einer IDW PS 980-Prüfung aufdrängen. „Eine externe Prüfung des CMS gibt einem Unternehmen eine gute Orientierung, wo es mit der Umsetzung seines CMS konkret steht“, sagt Mathias Wendt. „Gerade durch die im Rahmen von Wirksamkeitsprüfungen erforderlichen Prüfungshandlungen in den für ein Unternehmen besonders wichtigen Standorten, Ländern und Regionen können vielfältige Informationen zum Stand der Umsetzung des CMS sowie zu den für die Unternehmenspraxis relevanten Verbesserungsansätzen generiert werden.“ Vorausgesetzt natürlich, man will es so haben. Dazu muss ein Unternehmen es mit seinem Prüfungswunsch ehrlich meinen und der Compliance Officer muss reflexionsbereit sein. Wenn also ein Unternehmen aus einem der vielen Gründe, warum man IDW PS 980 missverstehen könnte, so eine Prüfung im Auftrag gibt – zum Beispiel aus Gründen der Enthaftung – und die WPs kommen mit ihrem Bericht, der an der einen oder anderen Stelle Schwächen des CMS aufzeigt, dann kann so ein ehrlich meinender Wirtschaftsprüfer sein blaues Wunder erleben: es soll offensichtlich Fällen gegeben haben, wo ein Bericht mit Verbesserungsvorschlägen auf Seiten des Unternehmens für eine schlechten Stimmung gesorgt hat, das Verhältnis zum Prüfer war dann nachhaltig gestört… „Es gibt auch Unternehmen, die bestimmte Elemente eines Rahmenwerks oder Standard bei ihrem CMS nicht berücksichtigt haben. An dieser Stelle muss man sich natürlich auch bewusst werden, dass ein Prüfer bei seiner Prüfung nicht nur die positiven Seiten des Compliance-Programms hervorheben kann, sondern auch Feststellungen und Empfehlungen hat. An dieser Stelle muss ein Unternehmen die unangenehmen Tatsachen, die bei einer Prüfung herauskommen, auch aushalten können“, sagt Andreas Pyrcek. Die Prüfer erleben hier eine ganze Palette an Reaktionsmustern: „Wie reagiert wird, kommt oft auf den Compliance Verantwortlichen und der Intention der Prüfung an“, erzählt Andreas Pyrcek. „Einige Unternehmen wollen gerade, dass man ihnen konkrete Kritikpunkte und Empfehlungen an die Hand gibt. Ich habe gerade vor kurzem bei so einer Prüfung einen Compliance Officer erlebt, dem eine ehrliche Sicht auf sein CMS wichtig war und so nachhaltig sein System verbessern konnte.“
Das müssen wir besser machen
Weil eben die WPs durch ihre Prüfungen bei verschiedenen Unternehmen einen guten Überblick haben, wäre es doch interessant, zu erfahren, was ihre Gedanken dazu sind. Der Meinung, dass alles klasse und in Butter ist, können höchstens nur ganz hartgesottene Compliance Officer mit Hang zum gewissen juristischen Formalismus sein. Ein CMS wird nie perfekt sein – weil wir den Unsicherheitsfaktor Mensch haben. Das ist leider die undankbare Seite des Compliance-Jobs.
Also, was ist der Blick der Wirtschaftsprüfer auf die Corporate Compliance Deutschlands? „Wenn wir ein CMS in großen Konzernen prüfen, dann sehen wir oft, dass das CMS-Design in der Regel schon sehr gut durchgedacht ist. Aber interessant wird es immer, wenn wir dann in Landesgesellschaften reisen und die tatsächliche Umsetzung im Detail prüfen“, erzählt Andreas Pyrcek. Das ist ein Zustand, der durchaus vielen Compliance Managern bewusst ist. Die Frage ist, wie bekommt man die Tochtergesellschaften in den Griff?
Aber auch im HQ selbst gibt es viel zu tun – vor allem an gewissen Schnittstellen. „Wir sehen es recht oft bei unseren Prüfungen, dass überall dort, wo man an den Schnittstellen integrieren muss, die Sache anfängt zu poltern. Der Klassiker ist hier zum Beispiel die Lieferanten-Compliance. Im Unternehmen gibt es genug Informationssammlungen und Datenbanken zu den Lieferanten. Aber wer führt sie zusammen und wertet sie aus? Letztendlich fühlt sich dazu keiner verantwortlich“, sagt Kathrin Kersten. „Es ist im Grunde kein spezielles Compliance-Thema, sondern ein grundsätzliches unternehmensorganisatorisches Thema. Es ist überall dort ein Problem, wo es überschneidende Verantwortlichkeiten gibt, aber keine klare Regelung darüber, wer für was zuständig ist.“
Die wenigsten Compliance Verantwortlichen wird es überraschen, dass von den WPs unzureichende Integritätskultur in den Unternehmen moniert wird. „Im Bereich Integritätsmanagement ist sicherlich noch viel Luft nach oben. Darunter werden meistens Einzelinitiativen verstanden, die aber nicht nachhaltig durchdacht sind“, sagt Andreas Pyrcek. Das ist eine sehr berechtigte Kritik. Denn machen wir uns nichts vor: Richtlinien zu erlassen, Schulungen abzuhalten und ab und an irgendeine tolle Kommunikationskampagne durchzuführen, reicht nicht aus, damit im Unternehmen eine nachhaltige Kultur der Integrität und ethischen Handelns entsteht. „Es gibt sicherlich Compliance Verantwortliche, die das gut machen. Aber andere sehen in der Integrität die Summe der Kommunikation und Trainings und denken, wenn dies durchlaufen ist, dann ist ihre Pflicht getan. Doch das ist kein Integritätsmanagement“, so Andreas Pyrcek. Das gehört zum Job der Compliance Verantwortlichen, die Mitarbeiter zu überzeugen, das Richtige zu tun. „Man braucht viel mehr psychologischen Sachverstand und Wissen, wie Menschen über bestimmte Sachen denken und bestimmte Art von Kommunikation aufnehmen. Die Compliance Verantwortlichen müssen also verstehen, wie sie ihre Mitarbeiter durch betriebswirtschaftliche und psychologische Methoden an so ein Thema heranführen. Es reicht nicht aus, nur juristischen Sachverstand anzulegen. Viel wichtiger ist es, die Menschen zu verstehen“, sagt Andreas Pyrcek.
Genau an diesem Punkt, der Schaffung einer entsprechenden Unternehmenskultur mit dem entsprechenden Rollenverständnis der Compliance Officer setzt auch Mathias Wendt seine Kritik an: „Es ist relativ einfach, eine Regelung umzusetzen oder eine Schulung zu machen. Damit wird den Mitarbeitern eine unverzichtbare Grundlage und Orientierung für ihr Verhalten gegeben. Dieses kann jedoch nur der erste Schritt sein. Ziel muss es vielmehr sein, eine starke Compliance-Kultur, d.h. eine Unternehmenskultur, die auf die Einhaltung von Compliance-Vorgaben hinwirkt, zu schaffen. Aber wie kann eine solche Compliance-Kultur entwickelt werden? Hierfür gibt es keine Empfehlungen von der Stange. Es ist vielmehr erforderlich, dass jedes Unternehmen diesbezüglich seinen eigenen, ganz spezifischen Weg findet.“ Diesen Weg zu finden, mit Energie zu versorgen und im Lichte neuer Erkenntnisse zu adjustieren ist eine Daueraufgabe für jeden Compliance Officer. „In der Praxis beginnt sich die Einsicht durchzusetzen, dass für diesen Zweck bestimmte dialogische Arbeitsformate besonders wirkungsvoll sind. Dialogprozesse sind vom Compliance Officer weltweit zu initiieren und in Gang zu halten. Hierzu ist ein besonders Verständnis für den Ablauf von Veränderungsprozessen erforderlich“, sagt Mathias Wendt. Nach seiner Einschätzung wird in der Praxis die Bedeutung von dialogischen Arbeitsformaten im Zusammenhang mit dem Compliance Management gegenwärtig oft noch nicht hinreichend verstanden: „Dialog heißt nicht, wir sitzen zusammen und quatschen mal. Der Einsatz von dialogischen Arbeitsformaten sollte vielmehr sorgsam konzipiert und umgesetzt werden. Im Kern geht es darum, Räume für den strukturierten Austausch von im Unternehmen bei relevanten Stakeholdern bestehenden unterschiedlichen Wahrnehmungen von Aspekten der Unternehmens- bzw. Compliance-Kultur zu organisieren, um auf diese Weise Veränderungen der Sichtweisen anzustoßen. Eine Veränderung des Blickes der relevanten Stakeholder auf das Thema Compliance führt perspektivisch zu einer veränderten Compliance-Kommunikation und ist damit ein wesentlicher Faktor bei der Entwicklung einer stärkeren Compliance-Kultur. Mathias Wendt ist überzeugt, dass sich insbesondere der Prozess der regelmäßigen Durchführung bzw. Aktualisierung einer Compliance-Risikoanalyse für den „Einbau“ von geeigneten dialogischen Arbeitsformaten eignet.
Im Elfenbeinturm
Von den WPs wird ebenfalls gerechtfertigt kritisiert, dass zentrale Compliance-Abteilungen mit einem zu starken Blick aus dem Head-Quarter heraus versuchen, Compliance-Maßnahemen in den dezentralen Einheiten um- und durchzusetzen. „Ich sehe das hin und wieder vor allem bei größeren Unternehmen, dass zentrale Stabs-Abteilungen Compliance-Maßnahmen entwickeln, die nicht immer in der operativen Praxis ankommen, insbesondere dort, wo die tatsächlichen Compliance-Risiken sitzen“, so Andreas Wermelt. „Wichtig ist ein gutes Verständnis der operativen Abläufe und Compliance-Risiken, damit das juristisch Gebotene mit dem betriebswirtschaftlich Sinnvollen verbunden wird. Die Sichten sind deckungsgleich, man muss nur juristische und betriebswirtschaftliche Kompetenz verbinden.“
Was wir daraus schließen, ist, dass eine Compliance-Organisation heute anders denken und handeln muss. An dieser Stelle könnte es sein, dass man an seine Kapazitätsgrenzen stößt. Leider gibt es auch hier nur die eine Wahrheit: Es ist der Job eines Compliance Officers dafür zu sorgen, dass die Compliance-Organisation vernünftig ausgestattet ist. „Ich glaube schon, dass Compliance Officer, die erfolgreich sind, sehr klar und deutlich, aber auch sehr kritisch an den Vorstand kommunizieren. Sie sagen unmissverständlich, wie viel Geld in die Hand genommen werden muss“, sagt Kathrin Kersten.
Auch WPs lernen dazu
Fairerweise muss erwähnt werden, dass natürlich auch die Wirtschaftsprüfer in diesen fünf Jahren einiges dazu gelernt haben und entwickeln sich stetig weiter. Zum Beispiel behelfen sie sich mittlerweile mit standardisierten Katalogen und verbessern ihre Prüfungsmethoden. „Die Wirtschaftsprüfer haben sich in der Anfangsphase bei ihrer Prüfung viel zu sehr auf die Konzernmutter konzentriert und eher darauf geschaut, was das zentrale CMS macht. Heute gehen die Prüfungen viel weiter, man startet zwar zentral, geht aber schneller zur Prüfung der Töchter über“, sagt Kathrin Kersten.
Dennoch ist es nach wie vor eine schwierige Frage, wie man bei der Prüfung des CMS im Konzern mit den Tochterunternehmen umgeht, denn es handelt sich ja immer um Stichproben. Das bedeutet, dass man die Auswahl der Stichproben schon sehr gut überlegen muss. „Wenn wir das CMS eines Unternehmens prüfen, das Tochtergesellschaften hat, dann prüfen wir nicht alle Töchter, sondern nur die für das jeweils betrachtete Compliance-Risiko bedeutendsten. Die Auswahlkriterien müssen dabei zum Compliance-Risiko passen, mit der Höhe des Umsatzes oder des Ergebnisbeitrags kommt man da oft nicht weiter. Hier stellt sich uns die Aufgabe, die Auswahlkriterien zu bestimmen und die Stichproben richtig zusammenzustellen, so dass am Ende eine repräsentative Aussage steht, dass das System in Ordnung ist. Und da sind wir laufend dabei, unsere Vorgehensweisen zu kalibrieren. Das ist eine hochgradig komplizierte Sache, denn man muss identifizieren, wo genau die Risiken für einen Compliance-Verstoß sind und wie viele dieser Gesellschaften muss man sich dann eigentlich anschauen, um ein repräsentatives Ergebnis zu erhalten“, so Andreas Wermelt.
Wo wir hin müssen
Was hat sich also gezeigt? Der Standard IDW PS 980 ist nicht perfekt. Blinder Glaube daran, habe ich einen Prüfungsbericht in der Tasche, dann ist mein CMS super und damit bekomme ich auch noch eine Enthaftung oben drauf, ist also nicht angebracht. Auch die Compliance–Management-Systeme selbst sind nicht perfekt. Alles bekannte Weißheiten: der Mensch ist fehlbar.
Aber eine interessante Beobachtung gibt es ja trotzdem: Seit Jahren wird darüber diskutiert, wie ein vernünftiges CMS ausgestaltet sein soll. Das Justizministerium und das Wirtschaftsministerium überlegen, ob und wie man hier gesetzliche Vorgaben macht und werden dabei von einer Fülle von Vorschlägen von verschiedenen Compliance-Verbänden und -Zusammenschlüssen bombardiert. Man zögert, hier irgendetwas Konkretes an die Öffentlichkeit zu geben, das sich im Nachhinein als ein Fehlschuss erweisen könnte. Denn man könne ja nicht einen Standard definieren – so wird argumentiert –, der für alle gelte und dann erwarten, dass ihm sowohl die großen als auch die kleinen Unternehmen entsprechen. Und siehe da, eigentlich „beweist“ der IDW PS 980, dass man es durchaus kann. Denn die WPs prüfen danach sowohl die Großen als auch die Kleinen. Also es geht.
Was man in diesem Kleinkrieg aus den Augen verliert, ist doch, wo wollen wir mit Corporate Compliance hin? Und erreichen wir unser Ziel wirklich mit den Methoden, wie wir sie bisher angewandt haben? „Ich glaube, wir sind heute mit Compliance nicht da, wo wir sein sollten“, sagt Kathrin Kersten. „Man sollte über diesen Schritt „ich mache mir Gedanken, was ist Compliance für mich“ hinausgehen. Denn häufig macht man erst ein CMS-Konzept, wenn ein Unternehmen sich auf eine IDW-PS-980-Prüfung vorbereitet. Diesen Reifungsprozess sollte man schon eher vollziehen. Genauso sollte man sich bemühen, viel eher eine Struktur hereinzubringen und sich mit den Bereichen, die sich im Unternehmen mit den Risiken beschäftigen, viel stärker verzahnen.“ Man sollte also die Ego-Zentriertheit des CMS und vielleicht auch so mancher Compliance Officer als ein natürlicher Reifungsprozess viel schneller überwinden, um dorthin zu gelangen, wo man wirklich hin muss: Zu einem im Unternehmen integrierten und verzahnten Compliance Management System, das dem realen Geschäftsalltag entspricht. Dann werden auch plötzlich Kapazitäten frei, sich den tatsächlich entscheidenden Dingen zu widmen – dem ewigen Prozess der Erschaffung und Aufrechterhaltung der Compliance-Kultur.