Wie verläuft der Berichtsweg der Compliance-Organisation innerhalb eines Unternehmens? Welche Befugnisse hat sie? Wie wird der Aufsichtsrat informiert? Kurzum, wie sieht derzeit die Corporate Compliance im Hinblick auf ihre Organisation in Deutschland aus? Einen Überblick dazu gibt die aktuelle Studie des Berufsverbandes der Compliance Manager (BCM) „Die Compliance-Organisation 2015. Wie ist Compliance in Deutschland organisiert?“, an der 633 Compliance Manager teilgenommen haben. Besondere Überraschungen gibt es dabei nicht – vieles, was wir bisher intuitiv vermutet haben, wie zum Beispiel die Berichtslinie oder die funktionale Einordnung der Compliance-Organisation, haben die Umfragewerte bestätigt. Aber fangen wir von vorne an.
Da gehören wir hin
Insgesamt haben 65,2 Prozent der Befragten angegeben, dass ihr Unternehmen seit mehr als drei Jahren eine Compliance-Organisation hat, davon 36,3 Prozent sogar seit mehr als sieben Jahren. Der Blick auf die Prozentwerte verrät, dass börsennotierten Unternehmen die längste Compliance-Tradition haben. Verantwortlichkeit gegenüber den Aktionären stellt wohl einen Treiber dar. Die Größe eines Unternehmens spielt dagegen keine entscheidende Rolle für die Maturität der Compliance-Abteilung. Je größer ein Unternehmen ist, desto größer ist aber in der Regel auch seine Compliance-Organisation.
Formal ist bei 36 Prozent der Studienteilnehmern Compliance als Stabstelle auf der Leitungsebene angesiedelt, bei 19 Prozent befindet sich die Compliance-Organisation als zentrale Organisationseinheit direkt unterhalb der Leitungsebene. Und bei fast 15 Prozent der Befragten war die formale Anordnung der Compliance sogar unterhalb der Leitungsebene als zentrale Organisationseinheit mit Weisungsbefugnis für dezentrale Compliance-Einheiten. Eine direkte formale Anordnung der Compliance-Organisation auf der Ebene Vorstand bzw. Geschäftsführung ist die Ausnahme, in nur 10,7 Prozent der erfassten Unternehmen ist das der Fall. Und ein oft als Best-Practice gelobtes „Compliance-Komitee“ gibt es nur bei drei Prozent der Befragten.
Juristen prägen Compliance in Deutschland: Fast jede zweite Compliance-Organisation (42 Prozent) ist hierarchisch dem Bereich Recht/Legal zugeordnet. Schon eher überraschend ist, das Compliance in 14 Prozent der Unternehmen dem Bereich Finance/Controlling untergeordnet ist. Hier wäre es interessant, zu erfahren, ob bestimmte Branchen Compliance eher im Bereich Finance/Controlling einordnen als andere und ob sich das auch auf die wahrgenommene Effektivität des CMS auswirkt.
Warum machen wir das?
Die meisten Unternehmen haben eine Compliance-Organisation, weil sie Vorgaben von Regulierern oder anderen Aufsichtsbehörden erfüllen müssen – diesen Schluss legt zumindest die Grafik 5.07 nahe. Dieses Bild kommt aber vor allem durch die hohe Zahl der Unternehmen aus der Finanzbranche in der Umfrage zustande; sie machen ganze 30 Prozent der Befragten aus. Lässt man die Finanzer außer Acht, wird das Bild etwas farbenfroher.
Grafik 5.08 verdeutlicht, dass für 23,5 Prozent der Unternehmen, die aus anderen Branchen sind (also nicht aus der Finanzbranche), die Ausrichtung an strategischen Unternehmensinteressen der Grund war, eine Compliance-Organisation einzurichten (darunter Industrie, Gesundheit/Pharma, Verkehr/Logistik, Automotive, Maschinenbau). Auf Platz drei mit 13,6 Prozent rangiert die Haftungsvermeidung (Industrie, Maschinenbau, Automotive). Für 10,3 Prozent der Befragten war das einheitliche Organisationsbild der Unternehmung Grund genug, eine Compliance-Organisation anzuschaffen (am meisten bei der Branche Automotive).
Dürfen, haben und nicht haben
Die Frage ist aber, wie sind die Compliance-Organisationen qualitativ aufgestellt? Was ermöglicht eine bestimmte organisatorische Anordnung und welche Befugnisse hat Compliance?
Dazu sehen wir uns die Grafik 5.11 an. 72,7 Prozent der Befragten gaben an, dass die gewählte organisatorische Einordnung der Compliance im Unternehmen einen direkten Berichtsweg zur obersten Führungsebene ermöglicht. Immerhin. Negativ formuliert, haben aber immer noch knapp 30 Prozent keinen direkten Berichtsweg. Solche Unternehmen müssen sich fragen lassen, ob das wirklich ein guter Weg ist.
Nun ist es so, dass der einzelne Compliance Manager, selbst wenn er ein Chief Compliance Manager ist, nicht unbedingt bzw. in jedem Fall einen Einfluss darauf nehmen kann, wie seine Compliance-Organisation aussehen soll. Das wird an einer anderen Stelle entschieden, und viel hat damit zu tun, ob das Unternehmen schon einen Compliance-Vorfall hatte oder nicht. Interessant in diesem Zusammenhang ist übrigens, dass 11,1 Prozent der Befragten an anderer Stelle in der Umfrage (bei Verbesserungspotentialen) angaben, dass sie sich eine andere oder modifizierte organisatorische Anordnung der Compliance-Organisation wünschen würden.
Nun sind die Dinge so wie sie sind. Man kann sie oft nicht ändern, aber man kann sich auf die positiven Seiten der gegebenen Compliance-Organisation konzentrieren und diese ausbauen. Wo sehen die Befragten diese positiv Seiten ihrer organisatorischen Situation? Nachfolgende Werte offenbaren das: 49,6 Prozent der Befragten finden, dass ihre gegebene Organisation ihnen eine effiziente Abstimmung mit ähnlichen Fachbereichen, wie zum Beispiel Legal, Risikomanagement oder Finance und Controlling, ermöglicht. Nahezu 42 Prozent schätzen jeweils die Möglichkeit, eine hohe Fachkompetenz an einer zentralen Stelle zu bündeln und einen direkten Berichtsweg zu den Aufsichtsratsgremien zu haben. Und 37,8 Prozent sehen es als positiv an, dass ihre derzeitige organisatorische Anordnung ihnen einen zentrale Verwaltung und Steuerung einer Vielzahl von Compliance-relevanten Informationen ermöglicht.
Zur qualitativen Einschätzung einer Compliance-Organisation gehört auch, zu wissen, was sie eigentlich darf und nicht darf – also was ihre Befugnisse sind. Die meisten haben funktionale Weisungsbefugnisse (34,4 Prozent), Informationsbefugnisse (21,5 Prozent, das heisst die Compliance-Organisation besitzt das Recht, Compliance-relevante Informationen einzufordern) und Beratungskompetenz (19,3 Prozent, im Sinne von Anhörungs- und Beratungsrechten). Zwei Punkte waren aber besonders interessant, auch wenn sie mengenmäßig nicht einen Trend anzeigen: 9,8 Prozent der Befragten gaben an, dass sie disziplinarische Weisungs- und Entscheidungsbefugnisse haben und 7,1 Prozent haben sogar Vetorechte (im Sinne von Untersagungsrecht für Compliance-relevante Geschäftsvorfälle). Disziplinarische Weisungs- und Entscheidungsbefugnisse gibt es dabei am häufigsten in den Branchen Automotive (16,2 Prozent) und Industrie (sonstige, 13,9 Prozent)(Grafik 5.17), und Vetorechte hat eine Compliance-Organisation am ehesten in der Finanzbranche (10,6 Prozent) und bei Gesundheit/Pharma (8,5 Prozent) – diese beiden Branchen sind auch am stärksten reguliert.
Die befragten Compliance Managern haben drei wesentliche Verbesserungswünsche: 27,8 Prozent wünschen sich höhere Sach- und Personalressourcen, 22,6 Prozent sind selbstkritisch und denken, dass sie ihren Service sowie die Kommunikation zu den Mitarbeitern verbessern sollten und 20,3 Prozent fühlen sich unwohl, weil die Zuordnung von Kompetenz und Verantwortung zur Reduzierung des Haftungsrisikos noch nicht ganz geklärt ist. Die beiden letzten Punkte zeigen an, dass hier in der nahen Zukunft die Compliance Officer selbst aktiv sein werden.
Der Aufsichtsrat – ein unerreichbares Objekt
Zum Schluss wollten wir noch auf die Beziehung der Compliance-Organisation und ihrer Compliance Manager zu den Aufsichtsratsgremien eingehen. Es gibt nicht wenige Compliance Manager, die im persönlichen Gespräch einräumen, dass eine gewisse Effektivität ihrer Compliance-Maßnahmen erst dann erreicht sein könnte, wenn sie einen direkten Berichtsweg zum Aufsichtsrat hätten. Dies dürfte umso mehr der Fall sein, wenn zum Beispiel die Vorstandsebene in einem Compliance-Vorfall verwickelt ist. Für viele bleibt das allerdings ein Wunschtraum.
Dennoch, wie informiert sich nun der Aufsichtsrat über die Compliance in seinem Unternehmen? Wenn wir uns dazu die Grafik 6.01 anschauen, werden wir feststellen, dass 63 Prozent der Befragten angaben, ihrem Aufsichtsrat regelmäßig einen Compliance-Bericht der Compliance-Organisation vorzulegen, für 53,4 Prozent gibt es darüber hinaus noch Prüfungsberichte der Wirtschaftsprüfer im Rahmen der Jahresabschlussprüfung als mindestens eine zusätzliche Informationsquelle. An dritter und vierter Stelle rangieren die Prüfungsberichte der Revision (49 Prozent) sowie Compliance-Berichte des Vorstandes/Geschäftsführung (35,9 Prozent). 17,4 Prozent legen dem Prüfungsausschuss im Aufsichtsrat einen Compliance-Bericht vor.
Wenn wir diese Werte mit der Frage an die Compliance Manager kombinieren, ob sie denn ihren Aufsichtsrat für sachkundig im Hinblick auf die Compliance-Anforderungen der Unternehmung halten, stellen wir fest, dass laut Grafik 6.04 insgesamt 41,2 Prozent diese Frage bejahen, 35,4 Prozent sich jeder Bewertung enthalten und 23,4 Prozent nein sagen. Sind nun diese 41,2 Prozent genug oder zu wenig? Wenn wir uns das Ausmaß der finanziellen Konsequenzen bei einem Compliance-Vorfall für manche Unternehmen anschauen, dann muss man die Fragen eindeutig mit „zu wenig“ beantworten. Denn eigentlich müsste es ebenso im Interesse des Aufsichtsrats sein, dass ein Unternehmen eine gute und effiziente Compliance-Organisation hat.
Ob die Aufsichtsräte sich dieser Tatsache überhaupt bewusst sind, müssen wir eigentlich sie selbst fragen. Vielleicht bei der nächsten BCM-Umfrage?
Mehr Informationen und Bestellung unter: www.bvdcm.de