Herr Dr. Grebe, seit diesem Jahr haben Sie den Compliance Officern und den Geschäftsverantwortlichen im Konzern einen Risikoatlas zur Verfügung gestellt. Wie gehen Sie mit Ländern um, die bei Ihnen im Atlas in manchen Risikobereichen rot markiert sind?
Dr. Werner Grebe: Hier ist es mir wichtig, zu sagen, dass das, was wir auf diesen Karten darstellen, auf gar keinen Fall die Einschätzung ist, für wie kriminell die Deutsche Bahn ein Land hält. Wir haben definitiv keine Blacklist von Ländern, mit denen wir keine Geschäfte machen. Sondern wir schauen an, welches Geschäft wir wo machen wollen. Einen Großteil unseres Compliance-Wissens haben wir in diesem Risiko-Atlas dokumentiert und wollen es im Konzern als Arbeitsinstrument sowie zur Orientierung vorhalten. Denn wir haben bei der Bahn sehr unterschiedliche geschäftliche Tätigkeiten. Dazu sind wir in mehr als 130 Ländern an mehr als 2.000 Standorten tätig. Wollen wir in einem Land Geschäfte machen, dann müssen wir uns auch anschauen, wie dort die Situation ist. Und wie bei allen Atlanten gibt es auch hier verschiedene Quellen.
Auf welche Indizes bauen Sie Ihren Risikoatlas auf?
Dazu haben wir auf der einen Seite auf viele allgemein anerkannte Indizes zurückgegriffen. Auf der anderen Seite haben wir auf deren Grundlage auch einen eigenen entwickelt, den für Wirtschaftskriminalität. Er besteht aus Daten des CPI von Transparency International sowie anderen Indizes mit Teilindikatoren für Korruption, Durchsetzbarkeit von Vertragsansprüchen, richterliche Unabhängigkeit, Durchsetzung von Audit und Reporting Standards sowie ethischem Verhalten von Unternehmen und Investorenschutz. Wir greifen sowohl auf die Einschätzungen vonNGOs wie auch auf solche von überstaatlichen Einrichtungen wie der Weltbank zurück.
Ähnlich sind wir auch bei Menschenrechten vorgegangen. Wir haben dabei die Indikatoren Zwangs- und Kinderarbeit um die Aspekte Diskriminierung, Vereinigungsfreit und Arbeitsbedingungen erweitert. Mischt man das zusammen, dann bekommt man schon ein aufschlussreiches Bild.
Wenn man Ihre Farbskala bei Risikopositionen der Länder anschaut, dann ist Deutschland zum Thema Zwangsarbeit gelb. Das ist überraschend…
Das ist gut, dass Sie das ansprechen. Denn überraschend ist es nur auf den ersten Blick. Denken Sie hier aber zum Beispiel in Richtung Beschäftigung von Leiharbeitern am Bau Das könnte für die DB relevant werden, wenn ein Auftragnehmer Subunternehmen beschäftigt. Deswegen sind wir hier wachsam.
Aber wie weit kann man von Deutschland aus die richtige Einschätzung für ein fremdes Land treffen, wenn man zum Beispiel in Ihrem Risikoatlas die Farbgebung orange oder gelb feststellt? Das würde man noch für Deutschland schaffen, richtig zu interpretieren, aber wie würde die Einschätzung zum Beispiel für die Philippinen ausfallen? Könnte man das eventuell nicht auch falsch interpretieren?
Und da müssen wir eben unsere Risikobetrachtung in Abhängigkeit davon machen, welche Geschäfte wir in diesem Land tätigen. In erster Linie ist es für uns wichtig zu sehen, es gibt ein Risiko und wir müssen ein Auge drauf haben. Und selbst innerhalb der Farbabstufung haben wir Zahlenwerte stehen. Und als Arbeitsinstrument ist diese Wertetabelle viel genauer. Zum Beispiel haben wir bei Deutschland im Bereich „regulatorisches Umfeld“ den Wert 73. Und das ist knapp an der Grenze zu grün. Damit kann man die Einstufung exakter vornehmen.
Wie oft aktualisieren Sie die Daten für Ihren Risikoatlas?
Bei uns intern vervollständigen wir es laufend. Aber redaktionell werden wir es einmal im Jahr aktualisieren.
Wie entstand dieser Risikoatlas? Kommt das Konzept aus der Compliance-Abteilung?
Das kommt schon aus meinem Bereich, der Compliance. Wir waren diejenigen, die die Konzeption entwickelt haben und die redaktionellen Arbeiten machen. Aber dennoch ist der Risikoatlas ein Gemeinschaftswerk, an dem im Konzern mehr als hundert Leute beteiligt waren. Diejenigen, die die Konzeption vorgenommen haben. Und diejenigen, die in der zentralen und dezentralen Compliance-Organisation die Betreuungsaufgaben wahrgenommen und die Einschätzungen von den Geschäften geliefert haben. Zusätzlich noch diejenigen, mit denen wir das abgestimmt haben. Das heißt, neben den jeweiligen Geschäftsverantwortlichen auch die Revision, Konzernsicherheit, Compliance-Hinweismanagement und viele andere. Außerdem ist der Risikoatlas so etwas wie der Compliance-Bericht, den wir für den Gesamtkonzern erstellen. Bei mir befasst sich innerhalb des Compliance-Bereichs ein Team nur mit dem Risikoatlas.
Wie haben Sie in der Entstehungsphase die einzelnen Geschäftsfelder einbezogen?
Wir haben uns mit den jeweils für ein Geschäft Verantwortlichen zusammengesetzt und sind die Risiken durchgegangen. Manchmal haben sie gesagt, dass sie bestimmte Risiken genauso wie wir sehen und manchmal haben sie es anders gesehen. Und genau das ist ja der wichtigste Teil der Compliance-Arbeit, dass man mit den Geschäftsverantwortlichen über ihre Risiken redet und sie zum Nachdenken bringt. Man kann ja auch mit dem Risikoatlas zu Compliance kommunizieren. Wir wollen natürlich zum Nachdenken anregen. Aber wir wollen auch, dass bei uns ein einheitlicher Maßstab geschaffen wird.
Jetzt steht der Risikoatlas. Wie kommunizieren Sie nun damit im Alltag?
Unseren Mitarbeitern steht er seit Anfang 2014 zur Verfügung. Wir haben ihn zunächst dem Vorstand und dem Prüfungs- und Compliance-Ausschuss vorgestellt. Danach haben wir den Risikoatlas an die Geschäftsfelder herangetragen. Diese bekommen aber neben der Executive-Summary auch die sie betreffenden ausführlichen Ausformulierungen aus dem Risikoatlas.
In dieser Langfassung wird beschrieben, wie sich die Geschäfte geographisch und organisatorisch verteilen sowie welche wesentlichen Compliance-Risiken dahinter stehen. Bei diesen orientieren wir uns auch an unserem internen Fallwissen. Zum Beispiel ist die Infrastruktur mit ihren großen Investitionen in Brücken, Tunnel oder Schienenwege anfällig dafür, Opfer für Betrug, Kartelle und Korruption zu werden. Das heißt, es würde wenig bringen, wenn die Compliance-Abteilung dem Bereich Infrastruktur Schulungen oder andere Maßnahmen gegen die aktive Korruption verordnen würde. Wenn ich mir aber überlege, dass die Mitarbeiter im Geschäftsbereich Infrastrukur häufiger Opfer von Straftaten werden, dann muss ich sehen, dass dort eine höhere Wahrnehmung und Sensibilisierung dafür aufgebaut wird, wie man das vermeiden kann. Der Risikoatlas verschafft also nicht nur uns einen guten Überblick und ein gewisses Maß an Kontrolle, sondern wir bestätigen damit auch dem Management des ganzen Konzerns, dass wir in allen Bereichen aufmerksam sind. So haben wir in jedem Geschäftsbereich aufgelistet, welche Maßnahmen ergriffen wurden, um das Risiko einer bestimmten Einheit oder Geschäftsfeldes zu minimieren. Der Risikoatlas ist der Spiegel unseres risikobasierten Compliance-Ansatzes.
Genau so, wie mit den geographischen Atlanten, haben Sie wahrscheinlich auch mit Ihrem Risikoatlas erst Dinge festgestellt, die Sie vorher vielleicht anders wahrgenommen haben?
Ja! Das hat uns erst gezeigt, womit wir uns in Zukunft in Bereich Compliance befassen müssen. Uns ist wirklich erst bei der Arbeit am Risikoatlas bewusst geworden, dass Compliance die Leistungen des Konzerns, die er über die Grenzen erbringt, also die Warenströme, bisher nicht annähernd vollständig erfasst. Wir werden daher in den nächsten Ausgaben des Risikoatlas‘ versuchen, auch diese grenzüberschreitenden Warenströme zu berücksichtigen. Oder nehmen Sie zum Beispiel unsere zentralen Funktionen wie Treasury. Diese wirken überwiegend risikoreduzierend und daher wollen wir sie im Risikoatlas auch erfassen. Es wäre falsch zu sagen, wir haben eine Struktur im Risikoatlas festgesetzt und die behalten wir jetzt für immer. Es gibt noch viele Dinge, die wir verfeinern können. Wir lernen viel dazu. Deswegen wird sich unser Risikoatlas über die nächsten Jahre weiter entwickeln und er wird aussagekräftiger werden.