Compliance hat in der Vergangenheit oftmals versagt, der aktuelle „VW-Abgasskandal“ ist nur ein Beispiel. Es muss nicht alles neu erfunden werden, und nicht alles, was Unternehmen in der Vergangenheit im Bereich Compliance taten, ist schlecht. Aber es ist an der Zeit, Compliance neu zu denken. Worauf kommt es wirklich an im Compliance Management 2.0? Meine Antwort lautet, dass Ernsthaftigkeit und Glaubwürdigkeit gefördert werden müssen und gefördert werden können. Wie, das versuche ich im Rahmen von sechs Thesen zu skizzieren.
1. These: Compliance 1.0 hat nicht funktioniert und kann nicht funktionieren
Non-Compliance trotz Compliance – der Fall Enron (entdeckt 10/2001): Schon der Lehrbuch-Fall Nummer 1 zu einer schlechten Corporate Governance und Unternehmensmoral, Enron, ist nicht nur ein Beispiel für einen Bilanzfälschungsexzess, sondern auch dafür, dass gängige Compliance-Programme per se nicht in der Lage zu sein scheinen, Fehlverhalten in und von Unternehmen zu vermeiden: „Enron had an extensive and award-winning code of ethics and corporate governance structure. […] The problem was failure to follow these policies and to develop an ethical, law-compliance culture within the company.”
Non-Compliance trotz Compliance – der Fall Siemens (entdeckt 12/2006): Der Siemens-Korruptionsfall: Rund 1,3 Milliarden an ausgereichten Bestechungsgeldern, bis heute ein auf geschätzte 3 Milliarden eingetretener finanzieller Schaden für das Unternehmen aus Strafzahlungen und Bußgeldern sowie Honorare für Berater und Anwälte und weiteren Kosten für die interne Aufarbeitung. Dabei sind die Kosten für die sogenannte „Management Attention“, also die Kosten dafür, dass sich viele Führungskräfte und Mitarbeiter mit der Untersuchung, etwa im Rahmen von Befragungen, mit der Überarbeitung des Compliance-Systems (Compliance Remediation) und mit dessen Anwendung im Geschäftsalltag befassen müssen, nicht eingerechnet. „Als ich meine Arbeit bei Siemens aufnahm, habe ich zunächst einmal die bestehende Compliance-Struktur analysiert. Zwar gab es auf Konzernebene alle notwendigen Regeln, doch diese waren nicht ausreichend in die operativen Bereiche heruntergebrochen“, sagte Dr. Andreas Pohlmann Anfang des Jahres 2008 auf einer Konferenz – gut ein Jahr nach Entdeckung des bis dato größten (bekannt gewordenen) Korruptionsskandals in der Wirtschaftsgeschichte. „Die Ethikrichtlinien lagen in der Schublade, Compliance war ein Lippenbekenntnis.“
Non-Compliance trotz Compliance – der Fall Volkswagen (entdeckt 09/2015): Nachdem VW bereits im Jahre 2005 einen veritablen Korruptionsfall zu verzeichnen und in den Folgejahren zu verkraften hatte – seinerzeit ging es bekanntermaßen u. a. darum, dass Betriebsratsmitglieder illegale Zuwendungen erhalten haben, die auch Luxusreisen und Dienstleistungen von Prostituierten enthielten sowie um unrechtmäßige Bonuszahlungen an den Vorsitzenden des Betriebsrates, die seitens des Personalvorstands und Arbeitsdirektors genehmigt wurden –, soll es just zu dieser Zeit zu der folgenschweren Entscheidung in der Motorentwicklung am Standort der Konzernzentrale in Wolfsburg gekommen sein, die zehn Jahre später zum sogenannten „VW-Abgasskandal“ führte. Die im Anschluss an den Skandal im Jahre 2005 eingeführten Compliance-Strukturen und -Maßnahmen waren in der Folge offensichtlich nicht so beschaffen, dass sie zu einer Verhinderung der fortgesetzten Durchführung von Umweltstraftaten bzw. zu einer Aufdeckung dieses nun die Grundfesten des VW-Konzerns erschütternden Fehlverhaltens geführt hätten. Stattdessen wurde VW 2013 noch zu den besten Unternehmen gezählt, was die Vollständigkeit der Angaben ihrer Emissionen und ihre Klimaschutzbemühungen anging. Der Fall ist nicht annähernd aufgeklärt, auch nicht, worin das Versagen des CMS bzw. der Compliance-Organisation genau bestand. Dennoch spricht vieles dafür, dass auch hier ein Compliance-System vorhanden war, das nicht gegriffen hat. Hinweise auf Gesetzesverstöße gab es dem Vernehmen nach zu Hauf, aber sie kamen nicht auf den Tisch des Chief Compliance Officers bzw. des Vorstands. Oder doch?
Wie dem auch sei, alle drei Fälle zeigen mehr als deutlich, dass Unternehmen in schwierige Situationen geraten können, wenn veraltete Compliance 1.0-Systeme betrieben werden. Enron hatte einen Verhaltenskodex und Compliance-Strukturen geschaffen, die sogar preisgekrönt waren, Siemens hatte ebenfalls „alle notwendigen Compliance-Regeln“ (keine Selbstverständlichkeit um die Jahrtausendwende) und wahrscheinlich sogar eines der besten CMS der Großindustrie in Deutschland. Und der Volkswagen-Konzern brachte es sogar fertig, just in einer Phase des Aufbaus eines Compliance-Systems nach einer veritablen Compliance-Krise (im Jahre 2005) für die Voraussetzungen zu sorgen, die ein Jahrzehnt später den VW-Abgasskandal auslösten, den man wohl ohne Übertreibung als „Compliance-Super-GAU“ bezeichnen kann.
Man hätte auch ThyssenKrupp (Korruptions- und Absprachenskandale), die Deutsche Bank (Geldwäsche, Libor-/Euribor-Absprache, Betrug beim Geschäft mit Hypothekenkrediten, Sanktionsverstöße etc.) oder die HSBC (Geldwäsche, Beihilfe zur Steuerhinterziehung etc.) und viele weitere Unternehmen als Beispiele wählen können. Gemeinsam ist diesen mit den gewählten Beispielen, dass es sich in der Regel um „systematisches Fehlverhalten“ handelte. Aber genau dieses sollten Compliance-Systeme eigentlich unmöglich machen. Damit ist auch gesagt, dass Compliance-Systeme nie so gestaltet sein werden, dass sie jeden Einzelfall verhindern oder aufdecken können. In diesem Sinne sind meine Ausführungen zu „Compliance 2.0“ auch nicht als Anleitung für das perfekte CMS zu verstehen, sondern als Anregungen für einen kontinuierlichen Verbesserungsprozess. Dieser zielt darauf ab, ernsthafte und glaubwürdige Compliance-Anstrengungen in Unternehmen zu etablieren, die besser geeignet sind, systematisches Fehlverhalten zu verhindern als die alten Compliance 1.0-Systeme.
2. These: Ernsthaftigkeit und Glaubwürdigkeit sind die Eckpfeiler für eine nachhaltig wirksame Compliance
Die Compliance 1.0-Systeme funktionierten in der Vergangenheit in vielen Fällen nicht, d. h. systematisches Fehlverhalten konnte nicht verhindert bzw. nicht aufgedeckt werden. So weit, so schlecht. Aber warum funktionierten bzw. funktionieren diese Compliance-Systeme in der Praxis oftmals nicht? Die Gründe sind im Einzelnen natürlich von Fall zu Fall verschieden. Dennoch legen die negativen empirischen Befunde einen Mangel an Ernsthaftigkeit und Glaubwürdigkeit als Ursache für das Versagen des Compliance Managements nahe. Beide Faktoren, Ernsthaftigkeit und Glaubwürdigkeit, hängen wie sich zeigt zusammen und bedingen sich gegenseitig.
Der Begriff der Ernsthaftigkeit verweist auf eine Haltung, eine Gesinnung, mit der man etwas tut. Die Ernsthaftigkeit ist bedroht von Leichtfertigkeit, Oberflächlichkeit und mitunter auch von Dilettantismus. Wenn man es „ernst meint“, dann bedeutet das für den Bereich des Compliance Managements natürlich, dass Maßnahmen nur in einer solchen Art und Weise gewählt werden, damit das anvisierte Ziel – die Verhinderung systematischen Fehlverhaltens (plus die Aufdeckung und das Abstellen von Einzelverstößen) – potentiell auch erreicht werden kann. Technisch gesprochen geht es hier um die Angemessenheit und Funktionsfähigkeit von Compliance-Systemen. Ob die Compliance-Maßnahmen „akzeptiert“, „angewendet“ bzw. „eingehalten“ werden, ob man diesen „vertraut“ oder nicht, hängt davon ab, ob diese als „glaubwürdig“ eingestuft werden. Dabei kann das Spektrum der diese Glaubwürdigkeit bescheinigenden oder eben zurückweisenden Stakeholder von den eigenen Mitarbeitern (Einhaltung einer Richtlinie oder eines Geschäftsprozesses), über die das CMS prüfenden Wirtschaftsprüfer sowie Kunden und Geschäftspartner bis hin zu Behörden (etwa Staatsanwaltschaften) gehen. Wenn die Glaubwürdigkeit nicht gelingt, macht sich bei den Stakeholdern nicht selten der Eindruck breit, die Compliance-Regeln und -Maßnahmen seien „scheinheilig“, das Unternehmen würde mithin die Ernsthaftigkeit der Compliance-Bemühungen nur vortäuschen.
Die bewusst ineffektive Gestaltung des CMS durch das Management ist dabei nur eine Möglichkeit, die ihrerseits ein fundiertes Wissen auf Seiten der Entscheider (Vorstand, Geschäftsführung) um die „Kriterien der Ernsthaftigkeit“ voraussetzt. Es ist schließlich auch möglich, dass dieses Wissen nicht oder lediglich lückenhaft vorhanden ist – die falschen Entscheidungen bezogen auf die Ausgestaltung des CMS also in gutem Glauben an ihre effektive Umsetzung getroffen werden. Wenn man den „Möglichkeitsraum des Scheiterns“ in diesem nach wie vor jungen Managementthema absteckt, dann ist es an dem einen Ende also denkbar, dass ein Vorstand im bestmöglichen Wissen der Compliance-Risiken und den diese am effektivsten mitigierenden Maßnahmen Entscheidungen zum CMS trifft, die dessen Scheitern sicherstellen oder aber – das wäre das andere Ende dieses Möglichkeitsraums – ein ethisch motivierter, aber schlecht informierter Vorstand ähnlich ungeeignete Entscheidungen trifft, die im Ergebnis ebenfalls auf ein Scheitern des CMS hinauslaufen. Motive und Kompetenzen, das Wollen und das Können also, spielen hier die entscheidenden Rollen und sind in jedem Mischungsverhältnis nicht nur denkbar, sondern wohl auch empirisch anzutreffen.
Ein gut gemachtes, also ernsthaft betriebenes und damit glaubwürdiges CMS setzt in einer Art „Selbsterzwingungsmechanismus“ auf die Förderung der Motivation zu ethischem bzw. rechtskonformem Verhalten bei gleichzeitiger Ausbildung der Kompetenzen der Organisation und seiner Mitglieder. Ein Beispiel sind Workshops mit Führungskräften zum Thema „Compliance & Integrity“, in die ethische bzw. Compliance-bezogene Konfliktfälle oder Dilemmata integriert werden, die als Fallstudien bearbeitet und mögliche Lösungsstrategien von den Teilnehmern gefunden und präsentiert werden müssen. Bei der Bearbeitung sollten weniger konkrete Lösungen im Mittelpunkt stehen, sondern vielmehr die Aufmerksamkeit für moralische Themen geschärft und der Weg der Entscheidungsfindung trainiert werden. Diese Methode des Compliance-Trainings fördert einerseits die Kompetenz zur ethisch-normativen Reflexion und fundierten Entscheidungsfindung in konfliktreichen Situationen und „erzwingt“ andererseits die Stellungnahme der Vorgesetzten (im besten Fall bis einschließlich des Vorstands und Aufsichtsrats). Die Chefs müssen „Farbe bekennen“ und legen damit automatisch ihre Motivation offen; „schummeln“ sie dabei, verstellen sich also und täuschen Integrität in der Trainingssituation lediglich vor, werden sie in absehbarer Zeit als „unglaubwürdig“ entlarvt und verlieren ihre Autorität als Führungskräfte.
Ein weiteres Beispiel ist die Anwendung eines „Integrity Barometer“ zur Messung der Umsetzungsgüte des CMS und zum ethischen Klima. Darin sollen Fragen enthalten sein, die sich auf die Umsetzungsqualität des CMS beziehen, aber auch auf das Vorbildverhalten von Führungskräften, die Glaubwürdigkeit des Vorstands im Hinblick auf die Compliance-Aktivitäten etc. Ein solches Messinstrument darf dabei nicht missverstanden werden als exaktes Verfahren zur objektiven Feststellung des Zustandes eines Unternehmens hinsichtlich Compliance zu einem bestimmten Zeitpunkt, sondern als dynamisches Verfahren, dass Trends und Entwicklungen aufzeigt sowie Hinweise für besondere Probleme und Lösungsansätze bieten soll. Die Fragen im Rahmen eines Integrity Barometers können sich aus den Themenkomplexen „Compliance Management“ und „Verhalten“ zusammensetzen (vgl. Abb. 1: „Integrity Barometer“).
Alleine der Mut der Unternehmensleitung, Führungskräfte und Mitarbeiter anonym zu befragen, zeugt – ein Mindestmaß an Aufklärung auf Seiten der Entscheider und Relevanz der gestellten Fragen sei unterstellt – von Ernsthaftigkeit. Schließlich ist damit zu rechnen, dass das Feedback auch kritische Punkte im Unternehmens- und Mitarbeiterverhalten zu Tage fördert und man daraus auch Konsequenzen ziehen muss. Das Unternehmen bzw. der Vorstand kommuniziert durch die professionelle Anwendung des Compliance-Instruments „Integrity Barometer“, dass man sich ernsthaft um ein gelingendes Compliance Management bemüht. Diese signalisierte Ernsthaftigkeit erzeugt Glaubwürdigkeit bei den Stakeholdern. Eine solche rekursive Beziehung zwischen Ernsthaftigkeit und Glaubwürdigkeit lässt sich auch für ein weiteres wichtiges Compliance-Instrument, das Hinweisgeber-System, leicht zeigen. Unternehmen, die es wagen, solche Systeme einzurichten, diese richtig zu kommunizieren und zu überwachen, gehen eine Selbstbindung ein – sie signalisieren und realisieren Ernsthaftigkeit und ernten Glaubwürdigkeit –, und zwar weil und insofern sie eingehenden Hinweisen nachgehen und etwaiges Fehlverhalten aufklären und abstellen müssen. Ein nach den Regeln der Kunst definiertes und implementiertes Hinweisgeber-System nimmt dem Vorstand die Möglichkeit oder erschwert die Option zumindest beträchtlich, die Kenntnisnahme von Verhaltensweisen zu verweigern, die dem Unternehmen illegale Vorteile einbringen können. So etwa Aufträge (z. B. Bestechung von Endkunden durch Vertriebsintermediäre) oder höhere Gewinnmargen (z. B. illegale Preisbindungen von Händlern). Die Unternehmensleitung erfährt eher von solchem, dem Unternehmen potentiell illegale Vorteile verschaffendem Fehlverhalten, und muss sich darum dazu verhalten.
Als letztes Beispiel sei die Besetzung der Position des Chief Compliance Officers genannt. Wird eine hoch-kompetente, im Unternehmen und bei den Geschäftspartnern allseits anerkannte und gewissermaßen „mächtige“ Person auserkoren und wird sie mit weitreichenden Befugnissen und Ressourcen ausgestattet? Oder wird jemand zum CCO bestimmt, für den man schon lange keine passende Position finden konnte, der weithin als „harmlos“ gilt und Compliance in dritter oder vierter Ebene „gestalten“ soll und der die Reise für einen „Compliance Check“ bei einem Geschäftspartner erst einmal beim Vorgesetzten beantragen muss? Auch wenn hier Extreme beschrieben sind, ändert das nichts daran, dass mit der Personalentscheidung bezüglich des CCO die Ernsthaftigkeit und Glaubwürdigkeit des Compliance Managements in der oben beschrieben Weise verbunden sind: Ein schwacher CCO kann kein (intendiert) starkes Compliance Management betreiben. Ein (intendiert) schwaches Compliance Management verträgt keinen starken CCO. Durch die Berufung eines starken CCO signalisiert der Vorstand, dass das Compliance Management Priorität hat und gelingen soll. Durch diese signalisierte Selbsterzwingung wird wiederum Glaubwürdigkeit nach innen (Mitarbeiter) und außen (externe Stakeholder) erzeugt.
Der CCO sollte eine gewisse Teilmenge aller Compliance-Themenbereiche auch direkt inhaltlich betreuen (nach Möglichkeit die besonders risikobehaften, die in vielen Unternehmen oftmals im Bereich des Korruptions- und Kartellrechts zu finden sein werden), andere Compliance-Themen wird er lediglich koordinieren und ggf. die Berichterstattung konsolidieren. Natürlich sind Aufgaben, Kompetenz, Verantwortlichkeiten (AKV) für den CCO schriftlich festzulegen.
Wichtiger ist noch, dass klar ist, dass „Compliance“ ein eigenständiger Kompetenzbereich ist. Ein guter Jurist ist nicht automatisch ein guter Compliance Manager. Auch ein Nicht-Jurist kann ein guter Compliance-Manager sein. Die richtige Person auszuwählen ist wohl eine der wichtigsten Erfolgsvoraussetzungen für eine gelingende Compliance 2.0!
Zusammengefasst: Immer dort, wo der Schritt zur Initiierung des Selbsterzwingungsmechanismus im Compliance Management gewagt wird, kann intern bzw. extern Ernsthaftigkeit gezeigt und Glaubwürdigkeit erzeugt werden. Immer dort, wo vor diesem Schritt zurückgeschreckt wird, kann dies von den betroffenen Stakeholdern als ein Zeichen für Leichtfertigkeit, Oberflächlichkeit, Dilettantismus oder Scheinheiligkeit wahrgenommen werden.
Wenn man die angeführten Compliance-Maßnahmen als Beispiele für „Kriterien der Ernsthaftigkeit“ akzeptiert und in die Unternehmenslandschaft blickt, dann ist mein persönlicher Eindruck , dass
- qualitativ hochwertige Compliance-Workshops für Führungskräfte mit Dilemma-Trainings nach wie vor die Ausnahme darstellen dürften; stattdessen trifft man auf Rechtsbelehrungen und mehr oder weniger gelungene Web-based-Trainings,
- einschlägige, anonyme Führungskräfte- und Mitarbeiterbefragungen zum Thema Compliance & Integrität nur in sehr wenigen Fällen zur Anwendung kommen,
- anonyme Hinweisgeber-Systeme insgesamt noch wenig Verbreitung gefunden haben und, wenn sie installiert sind, nur mangelhaft implementiert sind (insbesondere mit Blick auf die Kommunikation, Schulung und Bestärkung relevanter Stakeholder, Hinweise abzugeben),
- die Position des CCO noch keinen festen Platz hat. Vom Vorstand bis zur Referentenstelle in dritter oder vierter Ebene ist alles zu finden. Unternehmerische Flexibilität mit Blick auf die Notwendigkeit (z. B. wegen aufgedeckten systematischen Fehlverhaltens), die Unternehmensstruktur und -größe, die allgemeine Risikoexposition und Internationalität ist sicherlich wichtig und richtig. Aber ohne eine im Unternehmen respektierte und mit Autorität versehene Person ist Compliance nicht erfolgreich gestaltbar.
3. These: Ohne eine moralische Fundierung geht es nicht
„Compliance“ bedeutet die Konformität mit einer Regel. Das englische Verbum „to comply [with]“ bedeutet u. a. „einhalten“, „befolgen“, „sich nach etwas richten“. Compliance stellt also offensichtlich eine Handlungsbeschränkung dar und muss stets noch hinsichtlich der Norm konkretisiert werden, die eingehalten werden soll. Das erwünschte Verhalten wird vorwiegend durch externen Druck ausgelöst und es steht die Frage im Mittelpunkt, welches Verhalten (gerade) noch akzeptabel bzw. erlaubt ist.
Dagegen bezieht sich „Integrität“ unter anderem auf die Konsistenz von Werten und Prinzipien, Motivation und Handeln. Integrität hängt eng mit Ehrlichkeit und Aufrichtigkeit zusammen, kann als Gegenteil von Heuchelei und Scheinheiligkeit verstanden und individuell als „Tugend der innerlichen Konsistenz“ aufgefasst werden, da das Handeln des Akteurs mit einer entsprechenden inneren Einstellung einhergeht. Im Rahmen der Ethik wird Integrität als eine eigenständige moralische Qualität aufgefasst, die bestimmt ist als ein Handeln nach moralisch fundierten Werten und Prinzipien aus innerer Überzeugung. Es geht darum, dass das richtige Verhalten durch Einsicht in seine moralische Richtigkeit gesteuert wird und der handelnde Akteur aufgrund der intrinsischen Motivation, richtig zu handeln, sozusagen gar nicht anders kann als sich entsprechend zu verhalten. Er fragt sich zwar auch, was erlaubt ist, aber eben insbesondere, welches Verhalten (moralisch) richtig ist. Auf Basis der dabei stattfindenden Reflexion seines Handelns kann er gute Gründe dafür angeben, warum es richtig ist, sich so zu verhalten, wie er es beabsichtigt. Recht und Gesetz sind auch für die Frage der Integrität entscheidende Referenzpunkte, aber eben nicht die einzigen. Für Unternehmen heißt Integrität vielmehr, dass sich ein Unternehmen bewusst nicht nur zu rechtskonformem, sondern auch zu moralischem Handeln bekennt und dieses insbesondere durch das Setzen und Leben unternehmensindividuell passender Werte und Prinzipien im Geschäftsalltag konsistent verwirklicht.
Um dies an einem Beispiel zu verdeutlichen: Die Bestechung zur Auftragserlangung im Auslandsgeschäft ist seit geraumer Zeit strafrechtlich sanktioniert. Nimmt man den – in verschiedenen Ländern durchaus unterschiedlichen – investigativen Druck von Staatsanwaltschaften hinzu, gibt es einen ausreichenden externen Druck, dass sich Unternehmen und Mitarbeiter gleichermaßen an Anti-Korruptionsregeln halten. Zusätzlich wird der intrinsisch Motivierte und Reflektierte verstehen und anerkennen, dass Korruption das (ethisch legitimierte) Wettbewerbsprinzip, wonach der Leistungsstärkste bzw. der Kostengünstigste einen Auftrag erhalten soll, aushebelt, dadurch Innovation verhindert und insbesondere in Entwicklungs- und Schwellenländern die Entwicklung der Rechtsstaatlichkeit und Demokratisierung unterminiert. Dies sind alles gute Gründe, um zu verstehen, dass Korruption schlecht ist. Diese Erkenntnis löst (bei manchen Menschen) eine intrinsische Motivation zum Handeln aus, die auch unter der Bedingung einer schwach ausgeprägten Rechtsdurchsetzung zum „richtigen Verhalten“ führt. Ein im Sinne richtig verstandener Compliance verantwortungsvolles Handeln ist somit nicht ohne eine moralische Fundierung der Compliance-Regeln und -Maßnahmen zu haben – auch da ansonsten jede Ungenauigkeit einer Compliance-Regel oder Lücke in der gesetzlichen Rahmenordnung viel wahrscheinlicher zu Fehlverhalten führen würde.
4. These: Das A und O – Verpflichtung und Vorbildverhalten auf oberster Führungsebene, Schulung der Führungskräfte in der Linie
Der Vorstand trifft strategische und operative Entscheidungen, die das Commitment, die Verpflichtung zu Compliance und Integrität belegen. Der Vorstand und die (oberen) Führungskräfte sind informiert und kompetent im Themenbereich Compliance und Integrität, kennen die wesentlichen Compliance-Risiken in den Regionen, Geschäftsbereichen und Geschäftsprozessen und informieren sich in Gesprächen mit den ihnen zugeordneten Führungskräften persönlich über die Umsetzung des CMS und etwaige Konfliktsituationen/ethische Dilemmata. Die wesentlichen Compliance-Risiken und das Commitment zu Compliance werden vom Vorstand und von den (oberen) Führungskräften regelmäßig unternehmensintern und -extern adressiert (Town Hall Meetings, Führungskräftetreffen, Kundengespräche, Konferenzen etc.). Es bedarf keiner separaten Anreize, die gesetzeskonformes Verhalten belohnen , doch dürfen die vorhandenen Anreize im Unternehmen keinesfalls die Einhaltung von Compliance-Vorschriften erschweren oder gar unmöglich machen. Dies sicherzustellen, ist Aufgabe der Unternehmensführung. Für (obere) Führungskräfte ist allerdings zu prüfen, ob sich sinnvolle Ziele bzgl. des Compliance Managements finden (Umsetzung des CMS im eigenen Verantwortungsbereich, Umgang mit auftretenden Fällen, bottom-up Beurteilung zu Verhalten, Werten, Compliance Commitment), die in die ggf. vorhandene regelmäßige Zielvereinbarung integriert werden können. Fehlverhalten ist entsprechend des Schweregrades (finanzieller Schaden, Reputationsschaden, Strafbewehrtheit etc.) ohne Ansehen der Person zu sanktionieren. Zusammengefasst: der viel zitierte „Tone from Top“ ist wichtig, wichtiger ist allerdings der „Tone at the Top“!
Auch wenn das richtige Verhalten der obersten Führungskräfte eine entscheidende Voraussetzung für den Erfolg von Compliance ist, erfolgt die Umsetzung von Compliance im Unternehmen durch die Mitarbeiter in der Linie – es gilt die normale Hierarchie. Jede Führungskraft hat demnach für Compliance im eigenen Führungsbereich zu sorgen. Die Compliance-Funktion (der CCO) unterstützt das Linienmanagement bei der Umsetzung des CMS im Geschäftsalltag und hat eine beratende Funktion im Rahmen von Geschäftsentscheidungen und -transaktionen (evtl. gemeinsam mit weiteren Stellen, etwa der Rechtsabteilung). Damit ist auch klar, dass eine so angelegte Compliance nur dann funktionieren kann, wenn die Führungskräfte in der Linie (Einkauf, Vertrieb, Produktion, F&E etc.) fundiert geschult werden. Diese Schulungen müssen, wie oben ausgeführt, ein Training ethischer Entscheidungsfindung beinhalten. Nur dann können die Führungskräfte eigenständige, informierte Entscheidungen in konfliktgeladenen Situationen treffen, nur dann können sie Wissen und Orientierung weitergeben, nur dann können sie das CMS in ihrem Verantwortungsbereich implementieren, mit Leben füllen und zum Bestandteil der Geschäftsprozesse machen. Und nur wer sprachfähig ist, wird auch sprechen. Das heißt, derart geschulte Führungskräfte werden auch zur Förderung der viel beschworenen „Speak-up Culture“ deutlich mehr beitragen können. Dieser Mechanismus kann dadurch noch gestärkt werden, dass auch die obersten Führungskräfte (mindestens der Vorstand, evtl. auch der Aufsichtsrat) an solchen Trainings teilnehmen und sich selbst klar zu geschäftsbezogenen Dilemmata positionieren.
5. These: Ein CMS muss angemessen und funktionsfähig, aber auch effizient sein, um dauerhaft zu wirken
Es wird viel über die Frage der Wirksamkeit von CMS diskutiert und geschrieben. Eine ganze Armada von Anforderungen und Standards wurden in den letzten Jahren entwickelt (siehe i. S. einer unvollständigen Aufzählung Abb. 2: Anforderungen an CMS).
Neben der Entstehung des ComplianceProgramMonitorZfW aus dem Jahre 2009, konnte ich auch an der Entwicklung der KICG-Leitlinien aus dem Jahre 2014 mitwirken. Diese stellen den erstmaligen Versuch dar, Empfehlungen für die Angemessenheit von CMS für Unternehmen unterschiedlicher Compliance-Komplexitätsstufen (Größe, Internationalität, Risikoexposition) abzugeben und detailliert zu beschreiben. Es ist wichtig zu betonen, dass in diesem Projekt viele Stakeholdergruppen mitgewirkt haben (Vertreter von Unternehmen unterschiedlicher Compliance-Kompexitätsstufen, Rechtsanwälte, Wirtschaftsprüfer) und die Projektergebnisse derzeit mit Angehörigen von Justizbehörden, Wissenschaftlern, NGO-Vertretern im Rahmen eines Anschlussprojektes verifiziert werden, um ein höheres Maß an Verbindlichkeit und damit einen Anreiz insbesondere für den Mittelstand zu schaffen, sich mit Compliance zu befassen und in Prävention zu investieren. Ebenso wichtig ist es, zu sehen, dass mit den KICG-Leitlinien lediglich Empfehlungen und keine neuen Standards (im Gegensatz etwa zur Intention des ISO 19600) für die Ausgestaltung und Beurteilung von CMS entwickelt wurden. Dieses Projekt war deshalb wichtig und wird hier erwähnt, weil der in sehr großen Unternehmen (v. a. DAX 30) etablierte „CMS Best Practice Standard“ den Mittelstand schlichtweg überfordert und nicht zu den Unternehmen passt. Ein CMS bemisst sich letztlich immer an der Wirksamkeit – „effective“ muss ein CMS stets sein, egal ob das eines sehr großen oder eines vergleichsweise kleinen Unternehmens. Mit Blick auf die Frage der „angemessenen Ausgestaltung“ gibt es allerdings mitunter erheblich Differenzen wie die Projektergebnisse zeigen.
Es wird für mein Dafürhalten – trotz oder gerade wegen der vielen Standards und Empfehlungen – notwendig werden, dass der Gesetzgeber eine allgemeine Anforderung an CMS in positives Recht kleidet, bei der er prägnant umreißt, was er von Unternehmen und anderen Organisationen im Bereich Compliance erwartet. Eine Präzisierung des OWiG, wie von verschiedener Seite vorgeschlagen , wäre hier wohl ein gangbarer Weg, Leitlinien wie die des KICG oder Standards wie der IDW PS 980 oder ISO 19600 könnten als Referenzstandards für die Umsetzung dienen. Soweit zur Angemessenheit.
Darüber hinaus ist es für Unternehmen elementar und kann nur dort entschieden werden, dass das Funktionieren der CMS-Maßnahmen in einer effizienten, d.h. auch kosteneffizienten Art und Weise sichergestellt wird. Auch hier hilft der Ansatz „Compliance als Linienaufgabe“, weil er von vornherein auf einen überbordenden Ressourcenaufbau in der zentralen Compliance-Funktion verzichtet und stattdessen eine dezentrale Organisation präferiert. Damit die Maßnahmen im Bereich Compliance greifen können, ist es wiederum wichtig, dass Akzeptanz geschaffen wird – auch hierzu sind die in den Thesen 2 und 4 umrissenen Führungskräfte-Workshops der geeignete Ort. Die Compliance-Funktion hat die Aufgabe, auf Risiken aufmerksam zu machen und diese gemeinsam mit dem Linienmanagement zu mitigieren. Aber auch unabhängige Kontrollen und Prozessanalysen sind wichtig, um Lücken und Schwachstellen in der Umsetzung des CMS zu identifizieren – wie auch bei anderen zentralen Themen im Unternehmen sollte nicht alleine auf das Verständnis der Führungskräfte und das Vertrauen in deren persönliche Integrität und Kompetenz gesetzt werden, sondern diese je nach Bedarf um Fachexpertise auch von externer Seite ergänzt werden, um die Funktionsfähigkeit des CMS sicherzustellen.
6. These: Compliance muss realistisch und zielgerichtet sein
Das Compliance Management muss inhaltlich und mit Blick auf die Geschäftsbeziehungen begrenzt werden. Das bedeutet, dass ein Unternehmen im Rahmen des Verhaltenskodex oder anderer normativer Texte darauf achtet, nicht Dinge zu versprechen, die es nicht einhalten bzw. dessen Einhaltung es in keiner Weise kontrollieren kann. Dass „alle UN Konventionen eingehalten werden“, ist in manchem Code of Conduct zu finden, und es hört sich natürlich auch gut an – niemand würde jedenfalls das Gegenteil behaupten wollen. Aber man sollte dann auch alle UN-Konventionen und deren Inhalte kennen. Die Einhaltung der Menschenrechte in der Wertschöpfungskette ist für global agierende Unternehmen jedenfalls alles andere als trivial. In vielen Ländern werden die Menschenrechte mit Füßen getreten, Verstöße haben eine Eintrittswahrscheinlichkeit von eins. Man kann also vielleicht sagen, dass man die Menschenrechte achtet, wo immer es im Einflussbereich des Unternehmens liegt, aber man sollte auch darauf hinweisen, wo es Probleme gibt und wo die Grenzen der Reichweite der Verantwortung liegen.
Als Richtschnur eignen sich hier u. a. die breit anerkannten UN Guiding Principles on Business and Human Rights , die Staaten auf den Schutz der Menschenrechte verpflichten („State Duty to Protect“), den Unternehmen hingegen eine Verantwortung zur Achtung der Menschenrechte zuschreiben („Corporate Responsibility to Respect“), mit der eine „due diligence“, also eine Sorgfaltspflicht, einhergeht. Im bewussten Abstecken und Gestalten des eigenen Verantwortungsbereichs zeigt sich, ob Compliance ernst und glaubwürdig konzipiert und gestaltet wird oder ob die vielfältigen Stakeholder-Anforderungen unbedacht übernommen und unreflektiert deren Einhaltung gelobt wird. Auch mit Blick auf die Korruptionsprävention sollte klarer formuliert werden, wo die Grenzen des Compliance Managements im Vertrieb liegen. Auch die noch so perfekt gemanagte Business Partner Due Diligence beinhaltet das Restrisiko, dass der Vertriebsintermediär den Endkunden besticht. Niemand kann einem Unternehmen heute sagen, wo der Sorgfaltsmaßstab liegt, der exkulpierend wirkt. Umso wichtiger ist es, dass Unternehmen klarstellen, was sie tun und wo die Grenzen, auch die finanziellen Grenzen, einer sorgfältigen Prüfung in diesem Bereich liegen.
Die Compliance-Abteilung und besonders der CCO müssen als „Trusted Advisors“ entwickelt werden, die den operativen Geschäftseinheiten einen klaren Mehrwert bieten. Dieser besteht im Kern darin, dass die Kompetenz für alle Geschäftseinheiten lokal entwickelt und à jour gehalten wird, grundsätzlich risikobehaftete Geschäfte mit dem höchstmöglichen Grad an Rechtssicherheit und Rechtschaffenheit auszustatten. Das beinhaltet selbstverständlich auch, dass einzelne Geschäfte nicht gemacht werden können. Eine Compliance-Abteilung, die lediglich Regeln vorgibt und kommuniziert, sich aber bei konfliktträchtigen Situationen aus dem Staub macht, wird sich in einem Unternehmen auf Dauer nicht halten können bzw. versinkt in Bedeutungslosigkeit. Dazu gehört auch, dass der Fokus im Compliance Management auf die „Top Risks“ gelegt wird. Unternehmen beschäftigen sich im Bereich Compliance gerne mit dem Thema „Geschenke und Bewirtungen“. So interessant das sein mag, die wirklichen Probleme liegen stets woanders: Bestechung zur Auftragserlangung, Umweltstraftaten, Kartelle, Umgehung von Exportkontrollen, Produkthaftung etc. – das sind die Themen die Unternehmen bearbeiten müssen, und zwar weltweit, um ein wirksames CMS zu haben. Nur wenn ein CMS bei diesen Themen Orientierung bieten kann, können die wirklich relevanten Compliance-Risiken eines Unternehmens verringert und weitreichende, gar existenzbedrohende Compliance-Verstöße möglicherweise verhindert werden. Dann ist Compliance dem Geschäft wirklich dienlich.