Compliance als ständiger Prozess ist nicht nur eine tagtägliche Herausforderung für die Compliance-Verantwortlichen. In gleich mehrfacher Hinsicht fordert Compliance noch stärker die Wissenschaftler heraus, die sich im Rahmen ihres Forschungsfeldes des Themas annehmen: Zum einen müssen sie mit einer interdisziplinär geprägten Materie umgehen können. Zum anderen befindet sich Compliance wie kaum eine andere Fachdisziplin im ständigen Wandel und überschreitet damit diverse Grenzen. An vier konkreten Beispielen, auf die hier näher eingegangen wird, wird die hohe Praxisrelevanz solcher Ansätze für den täglichen Job des Compliance Managers deutlich erkennbar.
Erstens sind allen Compliance-Maßnahmen Grenzen zu setzen, was am Beispiel der Verhältnismäßigkeit erörtert wird. Zweitens wird durch Compliance das Verhältnis zwischen Unternehmen und staatlichen Institutionen neu definiert. Drittens stehen insbesondere Compliance Manager in global agierenden Unternehmen vor den Herausforderungen der globalen CMS-Implementierung, und viertens ist die Frage spannend, inwiefern diese praktischen Sachverhalte durch einen global einheitlichen ISO-Standard für CMS beeinflusst werden können. Die nachfolgende, beispielhafte Darstellung hat zum Ziel, die praktische Relevanz dieser exemplarischen Grenzen aufzuzeigen.
1. Betriebsintern: Grenzen für CMS
Wie wichtig die Beachtung der Grenzen im täglichen Compliance-Beruf ist, stellt eine Reihe von praktischen Fällen unter Beweis. Meint man es zu gut mit den Compliance-Maßnahmen, so kann etwa unerlaubtes Datenscreening zu datenschutzrechtlichen Verstößen oder zu oft durchgeführten Kontrollen, Mitarbeiter-Interviews zur Begehung einer Straftat (Mobbing) führen. Auch kann eine zu stark eingreifende Überwachung die Persönlichkeitsrechte der Überwachten verletzen. So würde eine Compliance-Maßnahme in einem Compliance-Verstoß münden. Jedoch müssen die Grenzen nicht nur bei der Durchführung der einzelnen Compliance-Maßnahmen beachtet werden. Ferner soll das CMS als solches nicht übertrieben werden, sondern verhältnismäßig bleiben. Insbesondere der Mittelstand stellt sich zu oft die Frage, was noch erforderlich, d. h. wo das ausreichende Mindestmaß an Compliance zu finden ist.
Eine immer größere Rolle in der täglichen Compliance-Welt wird daher die Grenze spielen, die den einzelnen Maßnahmen und dem CMS als solchem der Grundsatz der Verhältnismäßigkeit bestimmt. Anhand eines einfachen Tests können die Maßnahmen schnell – wenn auch im ersten Schritt nur gedanklich – untersucht werden. So hat der Compliance Manager einer Maßnahme nicht nachzugehen, wenn sie das Ziel nicht einmal fördert, somit nicht geeignet ist. Er wird sicherlich auch auf höheren Respekt und Akzeptanz unter der übrigen Unternehmensbelegschaft stoßen, wenn er ferner unter verschiedenen Alternativmaßnahmen diejenige wählt, die auch am wenigsten belastend ist, jedoch ebenso zielführend und somit insgesamt als erforderlich anzusehen ist. Schließlich werden das CMS und die in seinem Rahmen ergriffenen Maßnahmen weiter an Qualität gewinnen, wenn in konkreten Fällen die Vor- und Nachteile einer Maßnahme gegeneinander abgewogen werden und somit geprüft wird, ob die Maßnahme auch angemessen ist.
Dieser einfache Grundsatz der Verhältnismäßigkeit kann als Grenze für CMS verschiedene praktische Funktionen aufweisen. Das System wird nicht übermäßig belastet, nur geeignete und erforderliche Maßnahmen werden ergriffen, der Compliance Manager setzt sich mit den Vor- und Nachteilen auseinander und liefert damit direkt eine Handvoll sachlicher Argumente: Nicht nur gegenüber der Unternehmensleitung, um diese von der Implementierung zu überzeugen, sondern auch der Belegschaft gegenüber, die eher geneigt sein wird, verhältnismäßige Systeme zu akzeptieren. Die Beachtung der Grenzen kann daher im Ergebnis auch wesentlich zur Stärkung einer nachhaltigen Compliance-Kultur im Unternehmen beitragen.
2. Betriebsextern: Zwischen Staat und Wirtschaft
Eine weitere spannende Grenze, welche CMS neu definiert, besteht im Verhältnis zwischen Unternehmen und staatlichen Organen. Diese perspektivische Grenzziehung verläuft zwischen dem Staat als normsetzende Hoheitsmacht und den Exekutivorganen einerseits und dem Unternehmen als Adressat einer solchen Norm andererseits.
Zwar ist denjenigen Skeptikern Recht zu geben, die behaupten, dass Compliance deswegen nichts Neues ist, weil es schon immer so war, dass sich Unternehmen rechtstreu verhalten sollten. Innovativ ist hier jedoch der Ansatz, wie dieses Ziel erreicht wird. Hier scheint das CMS in der Tat neuartige Erkenntnisse zu liefern. Festzuhalten bleibt zunächst, dass beide Akteure dasselbe Ziel verbindet: Sowohl die staatlichen Organe als auch Unternehmen wollen erreichen, dass die Letzteren rechtstreu handeln. Während hierzu durch den Gesetzgeber insbesondere Methoden der Repression und starker Reglementierung ergriffen werden, entwickelte die Wirtschaft mit dem CMS ein gemischtes, präventiv-repressives System, um genau dasselbe Ziel, nämlich die Regeltreue, zu erreichen.
Am praktischen Beispiel der unternehmensinternen Ermittlungen wird deutlich, wie sich die Grenzen verziehen können. So sehen sich Unternehmen heutzutage bemüht, durch CMS nicht nur sicherzustellen, dass sich keine Verstöße ereignen, sondern im Falle eines Verstoßes auch für Aufklärung zu sorgen. Spannend in dem Zusammenhang ist die aktuelle Gesetzgebungsinitiative zur Einführung der Strafbarkeit von juristischen Personen. Auch diesbezüglich kommt es offensichtlich zu einer neuen Grenzziehung zwischen Staat und Wirtschaft – dieses Mal in Richtung der weiteren Sanktionierung.
3. Zwischen den geographischen Grenzen: Cross Cultural Compliance
Die dritte exemplarische Grenze ist besonders deutlich und praxisnah. Es ist die geographische Grenze zwischen den Staaten. Werden diese durch Unternehmen betreten – und das passiert in der Zeit der globalisierten Wirtschaft andauernd – so treffen die Unternehmen, und mit ihnen die Compliance Manager, auf ein zum Teil völlig anderes soziokulturelles Umfeld, indem sie versuchen, ihnen vertraute Compliance-Standards umzusetzen. Und das gilt für beide Richtungen: So stoßen nicht nur deutsche Compliance Manager auf erhebliche Schwierigkeiten im Ausland, sondern haben auch ausländische Unternehmen, etwa die aus den USA, diverse Fragen zu lösen, wenn sie dortige Standards in der EU und auch in Deutschland implementieren möchten. Oft sind diese mit der nationalen Gesetzeslage auch schwer zu vereinbaren.
Global tätige Unternehmen stehen somit vor der Herausforderung, allgemein gültige Compliance-Standards zur Stärkung der Integrität ihrer weltweiten Konzernstruktur einheitlich zu implementieren, um das erarbeitete, hohe Compliance-Niveau weltweit gewährleisten zu können. Das neue Forschungsprojekt des Zentrums für Interdisziplinäre Compliance-Forschung soll mit dem Ansatz „Cross Cultural Compliance (CCC)“ für diese praktischen Sachverhalte konkrete und praxistaugliche Lösungen liefern. So wird hier erforscht, wie die Diskrepanz zwischen der Herkunftskultur und Anwendungskultur einer Gesellschaft einerseits sowie zwischen der Normtheorie und der Anwendungsrealität andererseits überbrückt werden kann.
4. Globale Antwort: ISO 19600 – Compliance Management Systems
Eine Erleichterung und mehr Einheitlichkeit in der globalen Compliance-Umsetzung und damit im globalen Geschäft könnte ein einheitlicher und allgemein anerkannter Compliance-Standard bieten. In dem Zusammenhang sei auf die aktuelle Entwicklung eines ISO-Standards „Compliance Management Systems“ hingewiesen. Der Standard wird derzeit (Stand: März 2014) unter der Nummer ISO 19600 in Form eines Leitfadens entwickelt, der voraussichtlich Ende 2014 erlassen wird.
Die entsprechende Initiative haben im Juni 2012 die Australier ergriffen und daraufhin einen entsprechenden Entwurf eingebracht. Dieser ist durch Deutschland wegen vieler offener Fragen zunächst abgelehnt worden. Zweifel bestanden insbesondere im Hinblick auf den unklaren Zweck der Norm (Leitfaden oder Managementsystemnorm), ihren Nutzen sowie mögliche Konflikte mit bestehenden Initiativen wie etwa den Compliance-Richtlinien der OECD und des ICC. Nachdem der Entwurf jedoch von den übrigen ISO-Mitgliedern angenommen und das weitere Verfahren in Gang gesetzt wurde, beschloss auch das in Deutschland zuständige Deutsche Institut für Normung (DIN), ein entsprechendes Spiegelgremium zu gründen.
Das deutsche Gremium nahm die aktive Mitarbeit an der Gestaltung der neuen ISO-Norm auf und konnte während der globalen Sitzung im Oktober 2013 in Paris die wesentlichen Änderungsvorschläge auch durchsetzen. Kritisiert wurden insbesondere die fehlende Flexibilität der Norm, ihre eingeschränkte Anwendbarkeit auf kleine und mittelgroße Unternehmen, ihre Vereinbarkeit mit anderen bestehenden Richtlinien sowie eine Reihe von weiteren spezifischen Punkten. Seitdem befindet sich der Entwurf auf der sog. Komiteestufe und wird in der kommenden Sitzung im Juli 2014 in Wien als Internationaler Norm-Entwurf (DIS) auf die nächste Stufe überführt.
Der Entwurf „ISO 19600“ ist als Ergebnis des intensiven Austausches internationaler Fachexperten zu betrachten, wobei den einzelnen Bestimmungen oft langwierige Diskussionen vorangingen und – aufgrund der rechtskulturellen, sozialen und ökonomischen Hintergrundunterschiede – oft Kompromisse geschlossen werden mussten. ISO 19600 erhebt künftig den Anspruch, auf alle Organisationsformen anwendbar zu sein, wobei nicht nur Großkonzerne, sondern auch kleine und mittelständische Unternehmen sowie Behörden und sonstige Organisationen umfasst werden.
Das dem ISO-Standard zugrunde liegende Modell enthält im Wesentlichen zwei Phasen: Die Frühphase, welche im Einrichten des Systems besteht, und die Spätphase, welche im Betrieb des Systems besteht. In der ersten Phase sollten Ziele und Anwendungsbereich des CMS im Unternehmen festgelegt werden, wobei die Prinzipien von Good Governance und Interessen aller Beteiligten zu berücksichtigen sind. Auf dieser Basis wird die Compliance-Politik in Unternehmen definiert. Die Schnittstelle zur zweiten Phase stellt der risikobasierte Ansatz dar, welcher die Compliance-Risiken und -Verpflichtungen identifizieren soll. Im Mittelpunkt des weiteren Prozesses stehen die Zuweisung von Zuständigkeiten sowie die Einrichtung der CMS-Leitung und sonstiger fördernder Funktionen. Diese Elemente werden durch prozessuale Schritte begleitet: Entwicklung (development), Umsetzung (implementation), Evaluierung (evaluation) und Aufrechterhaltung (maintenance) des CMS. Nicht unberücksichtigt sind in dem ISO-Modell auch Maßnahmen zur geordneten Berichterstattung, Dokumentation sowie zum Management von Compliance-Verstößen. Den einzelnen Bestimmungen gehen allgemeine Regeln und Grundsätze zur Ausgestaltung von CMS, wie etwa die Prinzipien von Good Governance oder Grundsätze der Flexibilität und Verhältnismäßigkeit, voraus. Mit ca. 50 Klauseln auf nur etwa 40 Seiten handelt es sich bei dem ISO 19600 um einen gut überschaubaren und recht flexiblen Leitfaden.
Fazit
Compliance in Motion ist ein Begriff, der seine Daseinsberechtigung vielfach unter Beweis gestellt hat. Kaum ein anderes Gebiet entwickelt sich derzeit dynamischer und facettenreicher als Compliance, wodurch diverse Grenzen verschoben und neu definiert werden. Während einige Grundsätze der tagtäglichen Compliance-Praxis, wie am Beispiel des Verhältnismäßigkeitsprinzips gezeigt, konkrete Schranken setzen, wirkt sich CMS als solches auf das Verhältnis zwischen Unternehmen und staatlichen Behörden gestalterisch aus. Zu einer ganz besonderen Herausforderung wird aber die Compliance-Aufgabe dann, wenn Compliance Manager dafür sorgen müssen, dass auch im Ausland Compliance-Standards eingeführt werden. Die Cross Cultural Compliance wird demnächst konkrete Erkenntnisse liefern, wie globale Standards unter Beachtung soziokultureller Unterschiede implementiert werden können. Nicht nur global, sondern auch lokal, wird dabei sicherlich der neue ISO-Standard für neue Grenzziehung sorgen. Die Zukunft der Compliance-Grenzen bleibt spannend!
