Das ist eine gute Entwicklung, die die Zunft der Compliance Officers etwas umstrukturieren wird – es trennt sich Spreu vom Weizen.
„Was Du nicht messen kannst, kannst Du nicht lenken“, sagte Peter Ferdinand Drucker. Drucker war ein Ökonom und genialer Management-Pionier aus Österreich, der in den 1930er Jahre aus den nahe liegenden Gründen in die USA auswanderte. Warum sollten die Gedanken eines originellen Wissenschaftlers, der als der Begründer des modernen Managements gilt, nicht auch uns in Compliance inspirieren? In Compliance-Bereich wird mancherorts immer noch mit einem diffusen Gefühl gearbeitet, dass man zwar auch nicht besser weiß, ob das, was man tut, das Richtige ist, aber man versucht es einfach mal – „besser, als gar nichts zu tun“. Wir beschäftigen uns dieses Mal mit der Erarbeitung von Compliance-spezifischen Leistungsindikatoren. Natürlich swind sie nicht das absolute Allheilmittel, aber sie können uns helfen, unsere Compliance-Arbeit zu professionalisieren. Bevor es aber beim Lesen zu Missverständnissen kommt, will ich an dieser Stelle klarstellen: Die spezielle Kennzahlen bzw. Compliance-KPI sollen natürlich nicht einen qualitativen Compliance-Bericht ersetzen. Sie sollen ihn ergänzen. Sie werden aber sehen, dass die Arbeit mit Compliance-Leistungsindikatoren in erster Linie in Ihrem Interesse ist.
Warum wir Compliance-KPI brauchen
Wir könnten uns auch auf den Standpunkt zurückziehen: In Compliance gäbe es zu vieles, was gar nicht messbar sei. Aber lassen Sie uns an die Realitäten der Wirtschaftswelt denken: Unternehmensintern wird nur in etwas Geld investiert, was Nutzen bringt und effizient und effektiv arbeitet. Das bedeutet, dass ein Compliance Officer schon alleine aus dem Selbsterhaltungstrieb den Nutzen und die Effektivität seines Bereiches belegen muss. „Die Compliance Officer tun sich schwer, ihre eigenen Erfolge nachzuweisen. Man kann immer nur sagen, man glaube, dass man eine gute Arbeit mache. Aber man kann es nicht wirklich mit Zahlen belegen. Es ist beispielsweise schwierig, zu sagen: Ich habe dem Unternehmen ein Risiko um X Prozent vermindert und so mehr Liquidität verschafft. Dann wäre das gleich etwas anderes, auch für die eigene Karriere. Aber wir stecken mit der Messbarkeit noch in den Kinderschuhen“, sagt Dr. Jörg Viebranz, Compliance Partner bei Idox Compliance. „Deswegen sollten die Compliance Officer selbst ein großes Interesse daran haben, in diese Richtung zu denken und sich nicht davor verstecken.“ Dieser Meinung sind nicht nur diejenigen, die selbst aus der Compliance-Branche kommen. Prof. Dr. Gunther Friedl, Dekan der TUM School of Management an der Technischen Universität München und Lehrstuhlinhaber für Controlling, sagt: „Meines Erachtens ist der Sonderstatus, in dem sich die Corporate Compliance selbst sieht, nicht gerechtfertigt. Compliance gehört zu einem Unternehmen genauso dazu, wie beispielsweise Marketing oder Kundenbetreuung. Und die Bedeutung ist sicher auch in der letzten Zeit größer geworden. Das führt aber dazu, dass sich so eine Funktion wie Compliance genauso den Fragen des Nutzens und der effizienten Verwendung der Ressourcen stellen lassen muss, wie alle anderen Funktionen.“
Nun, ob wir es wollen oder nicht, wir werden sehr bald gezwungen sein, solche speziellen Compliance-Key-Performance-Indicators zu entwickeln. In der ISO 19600 kann man unter Punkt 5.3.4 in aller Eindeutigkeit nachlesen: „The compliance function […] should be responsible for: g) establishing compliance performance indicators and monitoring and measuring compliance performance.“ Und weil das hier in einer ISO-Norm festgeschrieben ist, werden sich Compliance-KPI in naher Zukunft zum Standard entwickeln (müssen). Oder wie sonst soll Ihr CMS zum Beispiel nach der ISO-Norm 19600 geprüft und zertifiziert werden?
Es muss aber nicht immer dieser etwas negativ formulierte Anreiz sein, die Leistungsindikatoren zu erarbeiten. Vereinfachende Messkonzepte und gut gemachte Graphiken, die erst den aktuellen Stand und den Trend veranschaulichen, haben einen entscheidenden Faktor: sie ordnen und schaffen Überblick. Und diese Ordnung und Überblick kann wiederum dazu führen, dass man auf einmal Entwicklungen und Veränderungen sieht, die man vorher nicht gesehen hat. Und vor allem, dass man Potenziale zur Verbesserung erkennt. Dem Denker Pythagoras (ca. 570-480 v. Chr.) zufolge bestimmen Zahlenverhältnisse die Ordnung aller Dinge und halten die Welt in Harmonie. Warum also nicht auch die Ordnung und Harmonie der Compliance-Welt?
Die Compliance-KPI würden also eine positive Wirkung nach außen und nach innen im folgenden Sinne haben: Durch spezielle Compliance-Leistungsindikatoren beweist man nach außen (gegenüber dem Vorstand, Aufsichtsrat etc.) erstens, dass die Maßnahmen des CMS einen konkreten Mehrwert bringen und zweitens, dass diese Maßnahmen wirken. Und eine positive Wirkung nach innen, also für den Compliance Officer bzw. für den Compliance-Bereich haben sie, weil sie Klarheit darüber verschaffen, ob wir unsere gesteckten Ziele erreicht haben, wo wir heute stehen und wo wir hinmüssen. Und wenn wir wenigstens uns selbst sagen können, wo es langgeht, hätten wir schon viel erreicht.
Womit fangen wir an?
Wir fangen mit einer elementaren Feststellung an: Wenn wir messen wollen, wie effektiv das CMS ist, müssen wir zuerst für uns selbst festlegen, wie soll ein effektives CMS aussehen. Nennen wir es der Einfachheit halber „Compliance-Erfolg“. In Anlehnung an die Grunddefinition aus der BWL „Unternehmenserfolg = Erreichung der Unternehmensziele“ paraphrasieren wir es in „Compliance-Erfolg = Erreichung der Compliance-Ziele“. Wann wird gemeinhin ein CMS als erfolgreich angesehen? Auch dieser Punkt gehört mittlerweile nicht mehr in Abteilung „Kaffeesatzleserei“. Dazu geben uns die Regelwerke, Normen oder selbstgegebene Verpflichtungen eine Auskunft. Das Institut der Wirtschaftsprüfer (IDW) formuliert in IDW PS 980: „Als integraler Bestandteil der Corporate Governance des Unternehmens ist das Compliance Management System (CMS) auf die Einhaltung von Regeln im Unternehmen ausgerichtet“. Wir notieren uns also, Compliance-Erfolg ist
- wenn sich die Mitarbeiter an die internen und externen Regeln halten.
Das ist aber recht minimalistisch formuliert. Die US-Amerikaner geben zur Definition des Begriffes Compliance-Erfolg mehr Auskunft. Da die meisten Unternehmen, die einen wie auch immer ausgestalteten Compliance-Bereich haben, global aktiv sind, kommen sie natürlich auch in die „Schusslinie“ der internationalen Regelwerke und Normen. Folglich auch in die Schusslinie des Foreign Corrupt Practices Act (FCPA). Das US-Department of Justice (DOJ) und die US Securities and Exchange Commission (SEC) haben in ihrer „A Resource Guide to the U.S. Foreign Corrupt Practices Act” folgende Definition von Compliance gegeben. „Within a business organization, compliance begins with the board of directors and senior executives setting the proper tone for the rest of the company. Managers and employees take their cues from these corporate leaders. Thus, DOJ and SEC consider the commitment of corporate leaders to a „culture of compliance” and look to see if this high-level commitment is also reinforced and implemented by middle managers and employees at all levels of a business.” Das ist doch eine Definition, die wir für unsere Zwecke schön nutzen können. Auch hier notieren wir uns, Compliance-Erfolg ist
- wenn die Unternehmensleitung und die leiten den Angestellten eindeutige Signale in Bezug auf Compliance im Sinne von Kommunikation und Verhalten senden.
- wenn die Unternehmensleitung und die leiten den Angestellten so ihre Verpflichtung zur „Compliance-Kultur“ leben.
- wenn die Manager und Angestellten sich nach dem Verhalten der Unternehmensleitung ausrichten.
- wenn diese Compliance-Selbstverpflichtung im Unternehmen unter dem Mittel-Management und den Angestellten implementiert ist.
Ich finde diese Definition von DOJ und SEC sehr gut, weil sie eben unmissverständlich klarstellt, was die Voraussetzung für eine erfolgreiche Compliance-Arbeit ist: Wenn eine entsprechende Compliance-Kultur im Unternehmen herrscht. Die Unternehmenskultur, von der Compliance-Kultur nur ein Teil ist, ist also entscheidend – und das ist mittlerweile auch der aktuellste Stand der Erkenntnis in Deutschland. Schade nur, dass die deutschen Regelungen und sogar die Selbstverpflichtungen der deutschen Compliance-Verbände noch nicht in Wort und Schrift dieser Erkenntnis gefolgt sind. Stattdessen bewegen wir uns im Grunde von der oben zitierten IDW-PS-980-Definition nicht weiter. Alte Juristen-Schule eben.
Auch die Definition von Compliance der International Organization for Standardization in der ISO-Norm 19600 folgt mehr oder weniger der Definition von DOJ und SEC. Es heißt dort: „Compliance is made sustained by embedding it in the culture of an organization and in the behavior and attitude of people working for it.“ Was wir daraus für unsere Definition des Compliance-Erfolges noch mitnehmen wollen ist der Gedanke der
- Nachhaltigkeit.
Wir fassen zusammen: Bedeutend für den Compliance-Erfolg im Unternehmen ist die Unternehmenskultur und das Verhalten der Geschäftsführung und der leitenden Angestellten sowie die Darbietungsqualität des Compliance-Bereichs (Implementierung, Nachhaltigkeit). Wenn wir das Ganze nun in eine für uns sinnvolle Übersicht bringen, dann könnte diese wie in der Abbildung 1 dargestellt (siehe vorhergehende Seite) aussehen.
Das, was wir hier erarbeitet haben, sind Komponenten des Compliance-Erfolgs. Folglich: unsere Compliance-Ziele. Noch sind wir nicht bei den Kennzahlen. Bevor wir allerdings weitermachen, wollen wir uns die Frage stellen, wie viele KPI überhaupt sinnvoll sind. „Je umfassender der Blick auf die Qualität einer Organisation sein soll, desto mehr Kennzahlen braucht man“, sagt Prof. Dr. Gunther Friedl. „Dabei versucht man, verschiedene Aspekte abzubilden, sowohl Input bezogene Größen als auch Output bezogene Größen. Gleichzeitig muss man sich immer im Klaren sein, dass auch diejenigen, die sich die Kennzahlen dann anschauen sollen, auch eine begrenzte Kapazität haben. Bei der Balanced Score Card, dem Steuerungsinstrument, mit dem man im Unternehmen Kennzahlen-orientiert steuert, gilt der Grundsatz, dass sie nicht mehr als 20 Kennzahlen beinhalten sollte. Und dabei geht es um das gesamte Unternehmen. Denn ansonsten lässt die Fähigkeit zu steuern nach.“
Ein Imperativ der Betriebswirtschaftslehre lautet, dass KPIs erstens so genau wie möglich auf die Ziele und Anforderungen eines Bereiches ausgerichtet sein müssen; und zweitens zu den kritischen Erfolgsfaktoren dieses Bereiches passen müssen. Was „kritische Erfolgsfaktoren“ sind, haben wir uns oben aus den internationalen Regelwerken abgeleitet. Woran orientieren wir uns nun bei „so genau wie möglich“?
Es gibt unglaublich viele Methoden, wie man Ziele so formuliert, so dass man sie auch messen könnte. Eine der Methoden ist zum Beispiel SMART (schauen Sie sich bitte dazu die Abbildung 2 an, Seite links gegenüber). Sie gehört zu den klassischen Methoden der Zielformulierung.
Die Ziele müssen demnach schriftlich in einem Plan niedergeschrieben werden und der Fortschritt muss regelmäßig überprüft werden. Dieses „Management by Objectives“ wurde übrigens ebenfalls maßgeblich von Peter F. Drucker ab den 1960er entwickelt. Wenn Sie aber mit einer anderen Methode besser arbeiten können, dann spricht nichts dagegen, diese zu nehmen.
Messbar, nicht messbar
Was machen wir nun, wenn wir scheinbar nicht messbare Dinge vor uns haben? Prof. Dr. Christoph Lechner, Lehrstuhlinhaber für Strategic Management und Direktor des Instituts of Management an der Universität St. Gallen, gibt hier eine Orientierung am Beispiel des nicht wirklich messbaren Begriffes Liebe: „Als erstes formuliert man sein Konstrukt, also den Begriff, den man untersuchen möchte. Wenn wir den Begriff Liebe nehmen, dann überlegen wir uns im zweiten Schritt, durch welche Faktoren dieser Begriff rationalisierbar wäre. Da Liebe schwer messbar ist, muss man Faktoren nehmen, die damit assoziiert werden. Dazu gehört zum Beispiel Verlässlichkeit, für einander da sein, Nähe und so weiter. Diese Formulierung der assoziativen Faktoren macht so lange, bis man an einen Punkt kommt, den man messen kann. Ob man dann damit Liebe erfasst hat, weiß man immer noch nicht. Aber das ist zumindest eine Ableitung. So validiert man Konstrukte. Und wenn man eine große Datenbasis hat, kann man Regressionen machen und sich zum Beispiel fragen, ob Mitarbeiterzufriedenheit mit Compliance-Tätigkeit regressiert.“
An dieser Stelle muss man anmerken, dass viele Unternehmen bereits eine große Datenbasis im Bereich Compliance haben. „Nachdem wir seit vielen Jahren Compliance machen, liegt jetzt eine Datenmenge vor, mit der wir – in aller Vorsicht – spezielle Compliance-KPI aufbauen können“, sagt Dr. Klaus Moosmayer, Chief Compliance Officer bei Siemens AG. Als Beispiel nennt er die Geschäftspartner-Compliance. „Mit Third Party Compliance arbeiten wir seit acht Jahren und können mittlerweile Aussagen treffen über die Datenqualität und wir können Vergleiche ziehen. Alles, was Transaktions-bezogen ist kann man sehr gut messen. Nur bei Aussagen über Fälle müsste man vorsichtig sein. So kann es zum Beispiel viele Gründe geben, warum eine Untersuchung länger dauert, als geplant. Solche speziellen KPI sollte daher nur jemand machen, der ein gutes Verständnis für Compliance-Inhalte hat und diese auch kommunizieren kann.“
Wenn wir nun unsere obige Tabelle zu Compliance-Zielen anschauen, dann wird klar, dass wir bei unseren Compliance-KPI nicht an etwas vorbeikommen: Wir werden solche Compliance-Leistungsindikatoren nur dann machen können, wenn wir unter anderem auch eine Mitarbeiterbefragung durchführen, die vernünftig aufgebaut ist und regelmäßig durchgeführt wird. Denn spannend sind die KPI ja erst im Vergleich von Jahr zu Jahr. Unter Mitarbeiterbefragungen sind nicht unbedingt Wissensabfragen zu verstehen. Wenn Sie diese mit Ihrem Betriebsrat dennoch machen dürfen, dann ist es schön. „Unter Angebot der vollständigen Anonymität könnte man in den Mitarbeiterumfragen versuchen, die subjektive Wahrnehmung abzufragen. Auf einem ähnlichen Verfahren basiert auch der Corruption Perceptions Index von Transparency International“, sagt Dr. Viebranz. „Wichtig wäre dabei, dass man solche Umfragen mit einem systematischen Fragebogen durchführt. Dieser sollte nicht aus zu vielen Fragen bestehen, weil sonst die Bereitschaft, an solchen Umfragen teilzunehmen, sinken würde. Wir haben gute Erfahrungen mit jeweils weniger als 25 Fragen gemacht. Mit den Fragen könnte man die Bereiche abdecken, wo es um Kenntnis und Akzeptanz von Regelungen oder das Funktionieren des CMS geht.“
Viel wichtiger, als Wissensabfragen, wäre es eine Art Compliance-Qualitätssicherung zu machen. Wenn man dabei frühzeitig und geschickt mit dem Betriebsrat alles bespricht, wird er auch nicht im Weg stehen (und wenn in Ihrem Unternehmen gerade sowieso eine schwierige Situation vorherrscht und der Betriebsrat aus diesen Gründen grundsätzlich gegen alles ist, dann braucht da sowieso niemand an die Implementierung einer vernünftigen Compliance denken. Das funktioniert in solchen Situationen nicht). „Wenn man sich die Bereiche anschaut, dann könnte man solche Qualitätssicherungs-Umfragen im Bereich des Trainings auf jeden Fall durchführen. Wir besprechen das auch mit dem Betriebsrat, welche Fragen wir zu diesem Zweck einbauen könnten. Dann ergeben sich solche Fragen, wie „War unsere Schulung an Ihrem beruflichen Alltag orientiert?“, „Wo sehen Sie Schwachstellen und was können wir tun?“ und ähnliches. In unserer Engagementumfrage, die unser HR alle zwei Jahre durchführt, können wir darüber hinaus herausbekommen, wie das Gesamtthema bei den Mitarbeitern ankommt“, so Dr. Moosmayer. „Ein guter CEO will in der Tat neben dem Compliance-Bericht auch Daten zur Qualität der Compliance kennen. Zum Beispiel wäre es super, wenn man angeben könnte, wie das Thema Compliance auf Kundenseite aufgenommen wird. Wir haben Kunden aus China und Saudi-Arabien, die bewusst sagen, sie wollen sich über unser Compliance-System informieren. Und manchmal ergeben sich daraus auch Geschäftschancen.“ Grundsätzlich wäre es daher bei der Bildung der Compliance-KPI gut, wenn man damit auch den Nutzen der Compliance für das Unternehmen nachweisen könnte. „Üblicherweise schaut man sich vor allem die Input-Indikatoren an, also die Qualität der Compliance Organisation mit Menschen, Prozessen und Ressourcen. Denn der Output ist natürlich etwas schwieriger zu messen. Im Idealfall haben Sie keine Compliance-Verstöße. Das kann aber sowohl an einer guten als auch an einer schlechten Compliance-Organisation liegen, die Verstöße gar nicht erst entdeckt“, so Prof. Dr. Friedl. „Und wenn wir Input-bezogen messen, dann schauen wir uns an, wie tief durchdrungen und wie hoch ist die Bereitschaft einer Organisation, sich überhaupt mit dem Thema Compliance auseinanderzusetzen. Diese Bereitschaft kann man zum Beispiel an der Höhe der Ressourcen, die für Compliance bereitgestellt werden, messen. Natürlich ist noch nichts darüber gesagt, wie gut diese Ressourcen eingesetzt wurden. Aber es ist zumindest ein Indikator.“ Man kann es darüber hinaus auch daran erkennen, wenn man sich die Hierarchieebene von Compliance anschaut – also, wo ist die Compliance-Funktion angehängt (siehe dazu der Artikel „Lasst mich durch, ich bin Compliance Officer!“, in Compliance Manager, Ausgabe 4, ab Seite 54).
Wie man den Compliance-Nutzen auch auf Umwegen nach weisen könnte, dazu hat Dr. Viebranz eine Idee: „Man könnte dazu die Umfragen der Wirtschaftsprüfer nehmen, in denen sie Unternehmen aus verschiedenen Branchen befragen, ob sie in den letzten zwei bis drei Jahren Vorfälle hatten und um welche Art des Schadens bzw. welche Schadenshöhe es sich gehandelt hat. Meist wird auch noch zwischen Unternehmensbereichen oder auch Branchen differenziert. Das könnte man zum Beispiel als eine Annäherung benutzen, indem man berechnet, was ein durchschnittliches Unternehmen einer bestimmten Größe, in einer bestimmten Branche jährlich als Schaden erwarten kann. Dann könnte man dieser Zahl die Compliance-Schäden und -Investitionen des eigenen Unternehmens gegenüberstellen oder auch verschiedene Wahrscheinlichkeiten berechnen.“ Eine ähnliche Übung könnte man aber auch für den Bereich Kartelle machen, denn das Bundeskartellamt veröffentlicht ja auch Meldungen und Statistiken. Kurzum: Es gibt mittlerweile nicht nur im eigenen Unternehmen eine genügend große Datenbank, auf die man sich stützen könnte, sondern auch genügend externe Quellen.
Wenn wir uns nochmals unsere aufgestellte Tabelle „Compliance-Erfolg“ anschauen, dann haben wir dort in der ersten Spalte „Compliance-Kultur“. Die Annahme, über die Unternehmenskultur können keine verlässlichen Aussagen getroffen werden, mit denen man arbeiten könnte, ist falsch. Schauen wir uns dazu zum Beispiel einen M&A-Prozess an, durch den so gut wie jedes größere Unternehmen schon mehrfach gegangen ist. Zu Beginn macht die M&A-Truppe einen Due Diligence-Prozess über das Kaufobjekt. Bei vielen Unternehmen hat sich als ein Teil dieser M&A-Due Diligence auch die Cultural Due Diligence etabliert, um die Frage zu klären „Passt das Unternehmen auch kulturell zu uns?“. Es gibt in diesem Prozess der Cultural Due Diligence schon etablierte Methoden, die wir im Compliance für unsere Zwecke nutzen können. Auf den Theorien von Hofstede und Trompenaars sowie den Ergebnissen von GLOBE Studie (siehe dazu Übersicht im Compliance Manager, Heft 2, ab S. 28) aufbauend wurden hier schon einige Konzepte erarbeitet, wie man eine Unternehmenskultur abbilden könnte. Wer dazu einen Grundsatztext lesen möchte, dem sei der folgende Artikel empfohlen: „Measuring Organizational Cultures: A Qualitative and Quantitative Study Across Twenty Cases“, von Geert Hofstede, Bram Neuijen, Denise Daval Ohayv and Geert Sanders, erschienen in Administrative Science Quarterly, Vol. 35, No. 2 (Jun., 1990), S. 286-316. Ein Workingpaper „Kulturunterschiede bei Mergers & Acquisitions: Entwicklung eines Konzeptes zur Durchführung einer Cultural Due Diligence“ von Wollersheim und Prof. Barthel von der Frankfurt School of Finance kann einen ersten Überblick geben über die aus den Arbeiten von Hofsteede und Trompenaars abgeleitete Messkonzepte der Unternehmenskultur (Frankfurt School – Working Papers Series, No. 94).
Natürlich könnte es sein, dass Sie bei Ihrer Analyse der Kommunikation und dem Verhalten der Unternehmensleitung und der Führungskräfte herausbekommen, dass diese alles andere als förderlich für Compliance ist – dann ist das auch ein Ergebnis, bei dem man den Mut haben muss, dies der besagten Unternehmensleitung zu präsentieren. Das ist nicht angenehm. Aber haben Sie hier eine andere Wahl? Denn es ist ein Teufelskreislauf: Compliance-ungünstige Unternehmenskultur verhindert ein effektives Compliance. Das heißt, Sie müssen die Unternehmensleitung darauf konstruktiv hinzuweisen, denn für schlechte Ergebnisse bzw. wirkungsloses CMS werden am Ende Sie zur Verantwortung gezogen.
Wenn wir uns in unserer „Compliance-Erfolgs“-Tabelle auf die linke Spalte begeben und uns bei den Compliance-Methoden die „CMS: Implementierung“ anschauen, dann ist es relativ einfach, hier passende und gut messbare KPI zu finden – dabei würde es sich um Leistungsindikatoren handeln, die sowieso bereits in jedem Compliance-Bericht vorkommen. Zum Beispiel: wie viele Schulungen wurden in welchen Themenbereichen durchgeführt, wer wurde geschult, welche Quote aller Mitarbeiter stellt es dar, welche Kommunikationsmaßnahmen wurden ergriffen, über welche Kanäle und so weiter. Ein Punkt ist in diesem Zusammenhang wichtig: In den „Guidelines“ zum FCPA heißt es dazu, „A good compliance program should constantly evolve.“ Hier sollte man geeignete Indikatoren finden, um die Wandlungsfähigkeit des CMS nachzuweisen, dass also das CMS ständig darauf überprüft wird, dass es mit dem Entwicklungstempo des Unternehmens Schritt hält und auch sozusagen „State of the Art“ ist (DOJ and SEC evaluate whether companies regularly review and improve their compliance programs and not allow them to become stale.).
Es bleibt uns noch, über die sinnvolle Compliance-KPI bei „CMS: Nachhaltigkeit“ nachzudenken. Hier gibt uns wiederum die oben zitierte FCPA-Guidance eine gewisse Orientierung vor. Dort wird beim Aufgabenspektrum auf eine effektive Kommunikation einen großen Wert gelegt. Dazu heißt es unter anderem, „Regardless of how a company chooses to conduct its training, however, the information should be presented in a manner appropriate for the targeted audience…”. Da wären wir bei der Mitarbeiterbefragung zur Qualitätssicherung. Eine interessante Fragestellung wäre beispielsweise „Sind die Compliance-Trainings verständlich und nützlich für ihren beruflichen Alltag?“. Man könnte das auch im Wege einer Kurzumfrage im Anschluss an eine konkrete Schulung durchführen. Wenn wir weiter in der FCPA-Guidance lesen, kommen wir auch zur Forderung „to provide guidance and advice on complying…“. In der Qualitätssicherungsumfrage wären daher solche Fragestellungen interessant, wie zum Beispiel „Sind Sie mit der Qualität der Betreuung durch den Compliance-Bereich zufrieden?“ und „Soweit Sie den Compliance-Bereich um einen Ratschlag in einer bestimmten Situation gefragt haben, fühlten Sie sich gut beraten?“, „Konnten Sie den Ratschlag gut umsetzen?“. Der Nachhaltigkeitsgedanke ist in Compliance wichtig. Das bringt uns dazu, nicht „irgendwie“ Trainings abzuhalten oder „irgendwelche“ Kommunikationsmaßnahmen ins Unternehmen zu schicken. Sondern, es zwingt uns dazu, viel stärker im Vorfeld zu überlegen, welche Wirkung wir damit erreichen wollen.
Erste Ansätze
Die hier skizzierten Ideen sind lediglich Vorschläge, die dazu anregen sollen, sich ernsthaft mit dem Thema zu beschäftigen. Natürlich sind die Methoden vergleichsweise einfach, aber das wird sich ändern. „Auch im Marketing hat man sich noch vor ein paar Jahren lediglich auf Umfragen verlassen. Das ist der Status, in dem sich aktuell Compliance befindet. Aber es wird über kurz oder lang auch in Compliance ausgefeilte Methoden geben, die Güte von Compliance-Maßnahmen zu messen. Das wird sich mit der zunehmenden Professionalisierung und dem zunehmenden Druck, standardisierte Qualitätssysteme und Kennzahlen aufzubauen, ändern“, ist sich Prof. Dr. Friedl sicher. Wer sich übrigens darüber informieren möchte, welche KPI zum Beispiel für den Bereich Marketing entwickelt wurden, kann das in einem Artikel von Prof. Dr. Friedl nachlesen (Gunther Friedl, „Aufgaben und Instrumente des Marketing-Controlling“, ab S. 585. In: Küpper, Friedl, Hofmann, Hofmann, Pedell, Controlling: Konzeption, Aufgaben, Instrumente, 2013).
Man muss sich nur umschauen. Es gibt mittlerweile erste interessante Ansätze in Compliance, bei denen sich Compliance Officer Gedanken machen, wie man mit Leistungsindikatoren arbeiten könnte. Dazu sei zum Beispiel der Artikel von Mirko Haase „Return On Compliance. Angemessenheit von Compliance aus betriebswirtschaftlicher Sicht“ empfohlen, in dem aufgezeigt wird, dass sich die Frage nach der angemessenen Höhe von Investition in Compliance auch betriebswirtschaftlich beantworten lässt und umgekehrt auch zeigt, ab welcher Marke noch mehr Compliance Investitionen sinnlos wären oder gegebenenfalls sogar negative Effekte hervorrufen würden (ZRFC 3/12, ab S. 123). Mirko Haase, der Regional Compliance Officer von General Motors ist, hat darüber hinaus bereits in der Compliance-Gemeinde seinen Vorschlag unterbreitet, wie die Unternehmen zu ihren speziellen Compliance-KPI finden könnten. Der Ausgangspunkt seiner Idee ist, solche Leistungsindikatoren aus der Risikoanalyse abzuleiten. In der Abbildung 3 sehen Sie ein Schemengerüst seines Vorschlages. Die Abbildung 4 veranschaulicht dann das Ganze an einem Beispel Kartellrecht.
Es gibt also genug Hilfsmittel, die uns Orientierung bei der Konzeption von Leistungsindikatoren in Compliance geben können. Neben der FCPA-Guidance und der ISO 19600 ist noch die Lektüre von GRI-Leitlinien zur Nachhaltigkeitsberichterstattung Teil I und Teil II empfehlenswert. Darin spielt Compliance ebenfalls eine wichtige Rolle. Dazu habe ich Ihnen im Anhang an diese Titelgeschichte alle wesentlichen Punkte, die in diesen GRI-Leitlinien zum Thema Complianvce vorkommen, in einer Übersichtstabelle zusammengestellt. Vielleicht könnten diese Anregungen geben.
Man muss sich nur deutlich machen, dass die Dinge sich weiterentwickeln und der aktuelle Status Quo nicht auf Ewigkeiten so bleiben wird. „Jeder Manager in der Funktion braucht gewisse Kennzahlen. Corporate Compliance hat sich in den letzten Jahren so schnell entwickelt. Moderne Compliance hat mittlerweile Daten, denn wir arbeiten viel mehr mit Prozessen und Methoden. Das ermöglicht uns, Kennzahlen zu erheben, die wir in einer ausgewogenen und cleveren Art nutzen können. Aber diese Entwicklung zu ignorieren, wird nicht gehen. Es gibt keine Ausreden mehr, dass man auf der grünen Wiese anfängt und es gäbe keine Vergleichsmaßstäbe. Und die Compliance-Berichte und Reports, die wir seit zehn oder fünfzehn Jahren machen – das wird nicht das sein, was wir in der Zukunft machen werden. Es ist ganz klar, dass sich das ändern muss“, sagt Dr. Moosmayer.
Was ich Ihnen hier als Gedanken mitgeben wollte ist, dass sich die Compliance Officer auf einen baldigen Umbruch vorbereiten sollten. Bisher ging die Geschichte so: Man hat immer argumentiert, Compliance sei eine vergleichsweise neue Erscheinung in der Unternehmenswelt. Keine Benchmarks, keine Best Practices, keine wissenschaftlich belegte Methoden darüber, was funktioniert. Man selbst hat sich gerne mit der Revision, der Rechtsabteilung oder dem Controlling verglichen – und da sei es ja angeblich so, dass sie ihren Nutzen auch nicht nachweisen müssen. Aber das sind falsche Vergleichsobjekte. Wie wäre es denn, sich mit dem Marketing oder der Unternehmenskommunikation zu vergleichen? Das wäre die richtige Richtung, denn diese Bereiche müssen auch mit ihrer Arbeit eine bestimmte Wirkung erzielen. Auch sie zielen mit ihren Methoden auf die Wahrnehmungsprozesse, wo die Wirkung ebenfalls schwer messbar ist. Natürlich sind das Bereiche, die es schon länger in der Unternehmenswelt gibt. Dennoch: Wenn die Unternehmenskommunikation nur mit Kommunikationspannen glänzen kann und das Marketing zu nichts taugt, dann wird nach einem anderen Kommunikationschef oder dem besseren Marketing-Experten gesucht, um diese reißt man sich ja mittlerweile. Der Beste ist dann, der seine Erfolge nachweisen kann – sowohl finanziell als auch in der Wirkung, und diese Erfolge auch geschickt kommunizieren kann.
Eines steht aber heute schon fest: Für Compliance wird bald der wollige „Welpenschutz“ vorbei sein. Noch ist es so, wenn der Compliance Officer es nicht bringt, darf er trotzdem weiter existieren. Es passiert also nichts. Manchmal wird sein Bereich degradiert, indem es zum Beispiel anderen Bereichen subordiniert wird. Man begründet diese Maßnahme dann natürlich indirekt, man müsse das Unternehmen „umstrukturieren“ oder man müsse sparen und ähnliche Argumente. Die Entwicklung geht aber in die Richtung, dass zukünftig gute Compliance Officer genauso wie Marketing-Gurus gehandelt werden. Wie wollen Sie dann nachweisen, dass Sie zu den Besten gehören?