Foto: Thinstock
Der "Compliance Officer Mittelstand des Jahres", Thomas Muth, im Interview

Das System lebt

Herr Muth, Sie waren jahrelang nicht nur der Compliance Officer, sondern auch Prozessmanager Ihres Unternehmens. Das bedeutet aber, dass Sie dadurch einen sehr guten Überblick über das ganze Unternehmen hatten. War das ein Vorteil für Ihre Compliance-Arbeit?
Thomas Muth: Ja. Dadurch, dass ich mit den Methoden des Prozessmanagements umgehen konnte und die operativen Abläufe des Unternehmens gut kannte, konnte ich mit dem Compliance-Gedanken an den richtigen Stellen aufsetzen. Compliance ist ja auch eine bestimmte Art des Risikomanagements. Wenn ich die Arbeitsabläufe schon mal transparent beschrieben habe, dann ist die Risikoanalyse einfacher. Ich brauche nur an den Arbeitsabläufen entlang zu gehen, die einzelnen Arbeitsschritte und die dazugehörigen rechtlichen Verpflichtungen anzuschauen. Dann muss ich mir Gedanken machen, wie ich sicherstellen kann, dass man rechtliche Verpflichtungen einhält und nachweist, dass sie eingehalten wurden. Dann kann ich an der Stelle im operativen Arbeitsablauf, wo ich ein Risiko entdeckt habe, eine Kontrollfunktion implementieren.

Das hört sich nach einem aus sich selbst heraus lebenden System an. Aber die meisten Ihrer Kollegen vereinen nicht Prozessmanager und Compliance Manager in einer Person. Was wäre Ihr Rat? Wie kann man das auf größere Unternehmen und auf die Arbeit Ihrer Kollegen übertragen, die nicht gleichzeitig Prozessmanager sind?
Das Wichtigste beim Prozessmanagement ist der Überblick über verschiedene Bereiche. Wenn ich diesen Überblick nicht in einer Person haben kann, weil die Bereiche zu groß und zu weit voneinander entfernt sind, dann sollte man versuchen, für jeden dieser Bereiche einen Prozessspezialisten einzusetzen, der mit diesem Handwerkzeug umgehen kann. Wenn man diese Spezialisten an einem Tisch versammelt, können sie gut miteinander reden, denn sie sprechen die gleiche Sprache. Es ist keine Frage der Tools, sondern eine Frage des Denkmusters.

Aber worüber wir gerade sprechen, ist nur die Basis, worauf Sie Ihre Prozesse aufsetzen. Es ist also die handwerkliche Komponente. Und das Interessante daran ist, dass Ihre Mitarbeiter die Compliance-Aktivität nicht an jeder Stelle als solche separat wahrnehmen, denn die Prozesse sind so gestaltet, dass sie nicht extra daran denken müssen, compliant zu sein. Aber da gibt es eben die zweite, menschliche Komponente. Wie gehen Sie da vor?
Wer die handwerkliche Arbeit sauber gemacht hat, kennt das Unternehmen und weiß, wie das Geschäft funktioniert. Ich kann also mit den Kollegen in ihrer jeweiligen Fachsprache reden und passe die Compliance-Argumentation darauf individuell an. Ich habe den Mitarbeitern erklärt, dass ich weiß, wie viele Vorschriften jeder von ihnen zu beachten hat und wie ich ihnen ein Mittel an die Hand gebe, mit dem das relativ einfach wird, nämlich den Prozess. Wenn sie entlang der Leitplanken eines bestimmten Prozesses arbeiten, dann können sie sicher sein, nichts falsch zu machen. Wenn sich irgendwo eine Rechtsvorschrift ändert, dann wird es im Unternehmen bekannt und die Prozesse werden zentral aktualisiert. Die Mitarbeiter werden regelmäßig informiert, wenn an einer bestimmten Stelle im Prozess Änderungen vorgenommen werden. Sie müssen also nicht selbst neben ihrer täglichen Arbeit auch noch ständig auf Änderungen von Gesetzen, Normen, Rechtsverordnungen oder Verträgen achten. Und dieses Argument hat im Unternehmen die Mitarbeiterinnen und Mitarbeiter überzeugt, weil sie den Nutzen für sich persönlich erkannt haben. So habe ich vermieden, die Kollegen mit einem zusätzlichen Kontroll- und Administrationssystem zu konfrontieren. Denn das verschreckt sie nur und baut Widerstände auf.  

Sie müssen Ihrer Geschäftsführung die Ergebnisse Ihrer Tätigkeit präsentieren. Gleichzeitig ist aber auch für Sie selbst ein gewisses Benchmark in Compliance wichtig. Haben Sie irgendwelche spezifischen Compliance KPI aufgestellt?
Das Messen von Compliance-Erfolgen ist ein stark strapaziertes Thema. Auch hier hilft mir wieder das Prozessmanagement. Die Mitarbeiter bestätigen in ihren Arbeitsunterlagen, dass sie die Compliance-Kontrollen durchgeführt haben. Die Kontrollen müssen in einer gewissen Häufigkeit durchgeführt werden. Wir halten im Prozess-Audit fest, dass bestimmte Arbeitsschritte darauf geprüft werden, ob man sie ordnungsgemäß durchgeführt hat. Wir schauen also stichprobenartig nach, ob die Kontrollen sachgerecht angewendet wurden und ob dies auch beim Vorgang dokumentiert ist. Diese Dokumentation lassen wir auch extern prüfen. In den zu jeder Kontrolle gehörigen Steckbriefen ist jeder Prüfschritt eindeutig beschrieben. Insofern muss der Prüfer nur diesen Steckbrief „abhaken“. Wenn externe Prüfer feststellen, dass Prozesse nicht ordentlich eingehalten wurden, hat die verantwortliche Führungskraft evtl. ein Problem. Und ich berichte, indem ich sage: Es wurde an dieser und jener Stelle gegen den Prozess bzw. die Compliance-Kontrolle verstoßen. Dafür ist irgend jemand verantwortlich. Und wenn jemand in seiner Zielvereinbarung stehen hat, dass er ein bestimmtes Qualitätslevel bei Compliance-Kontrollen erreichen soll, hat dies - im negativen Fall - auch spürbare Konsequenzen.

Wie gehen Sie mit Dingen um, die man nicht messen kann?
Die Prüfer befragen stichprobenartig Mitarbeiter zu ihrem Compliance-Wissen. Das funktioniert gut.

Prozessmanagement im Unternehmen befasst sich mit der Analyse und Strukturierung von praktischen Arbeitsabläufen unter Anwendung von bestimmten Visualisierungs- und Analysemethoden. Es hat den Zweck, operative Abläufe transparent zu strukturieren und zu optimieren. Die Effizienz des Arbeitsablaufes wird gesteigert, indem man Schnittstellen objektkonkret definiert. Man schaut also über die Schreibtischkante des einzelnen Arbeitsplatzes hinaus und betrachtet die Abläufe insgesamt, beispielsweise beim Kundenauftrag beginnend bis hin zur Auslieferung des fertigen Produkts.

Visualisierungs- und Analysemethoden im ­Prozessmanagement. So wird es vorgenommen: Man wählt einen bestimmten Produktionsbereich aus und analysiert die logische Abfolge der Arbeitsschritte unter Berücksichtigung des individuellen Verantwortungsbereiches. Dazu setzt man sich am besten mit den Fachleuten dieses Produktionsabschnittes zusammen. Man beschreibt, wie die Arbeitsschritte im Einzelnen miteinander verknüpft sind, an welchen Schnittstellen sie verbunden sind und in welchem Arbeitsschritt welches Ergebnis entsteht (Output), bzw. in den nächsten Arbeitsschritt eingeht (Input). Dazu stellt man fest, wer bei welchem Arbeitsschritt welche Verantwortung wahrnehmen muss. Meist gibt es eine klar definierte Rollenverteilung: Durchführender, Mitwirkender, Entscheider. Dies ist tabellarisch sehr übersichtlich darstellbar. Es gibt In- und Outputschnittstellen innerhalb eines bestimmten Prozesses und auch zu Nachbar-Prozessen; dort haben ggf. andere Prozessbeteiligte die Durchführungs- und Mitwirkungsverantwortung. Die Kunst ist, festzustellen, wo sich die Verknüpfungen zwischen den Prozessen befinden und wie sie qualitativ einvernehmlich definiert sind (Service Level Agreements).  

 

Foto: Privat

Thomas Muth ist Compliance Beauftragter für die Hinweisgeber-Hotline der Corpus Sireo Real Estate Asset Management Holding. Er wurde 2013 für seine erfolgreiche Compliance Arbeit mit dem Preis „Compliance Officer Mittelstand des Jahres“ geehrt.  

 

 

Das könnte sie auch noch interessieren

© SAI Global

Eine gelebte Compliance-Kultur zum Anfassen

Was ist eine Compliance-Kultur, wie kann sie entstehen und am Leben erhalten werden? Das fragen sich viele Compliance Manager. Sie werden sehen, dass eine Compliance-Kultur nicht...

(c) SAI Global

Compliance-Kultur im Home Office

Informationssicherheit, Datenschutz, aber auch Integrität, Respekt und Transparenz bleiben weiterhin wichtige Elemente der täglichen Arbeit. Wie kann man sicherstellen, dass sie auch im Homeoffice...

(c) SAI Global

Wie wertebasierte Verhaltenskodizes Compliancekultur fördern

Wann waren Ihre Mitarbeiter das letzte Mal von dem Gedanken begeistert, eine Compliance-Schulung zu absolvieren? Wir alle kennen die Antwort – und den Grund dafür.

© GettyImages / relif

Das Regulatory Monitoring muss professionalisiert werden

Das vorausschauende Erfassen und Verarbeiten von Norm- und Gesetzesänderungen ist ein Punkt, in dem das Compliance Management vieler Unternehmen nach wie vor Schwächen aufweist. Ein einheitlich...

© GettyImages / ChakisAtelier

Digitalisierung spart Zeit und Kosten

Durch Automatisierung und Digitalisierung zur effizienteren Compliance-Risikoanalyse.

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Neuen Kommentar schreiben

Das Compliance-Portal

compliance-manager.net informiert über aktuelle Entwicklungen im Bereich Compliance. Wir veröffentlichen Meldungen, Fachartikel und Gastbeiträge, die darüber hinaus Einblicke in die Unternehmenspraxis und den aktuellen Diskurs geben.

Jetzt Abonnieren

Bleiben Sie auf dem Laufenden: Unsere kostenfreien Newsletter informieren Sie über aktuelle Diskussionen, Personalwechsel und Job-Perspektiven im Compliance-Bereich. Unser Printmagazin „Compliance Manager“ unterstützt Sie auf mehr als 80 Seiten mit gut recherchierten Geschichten und spannenden Interviews in Ihrem Berufsalltag.