Compliance-Studien gibt es wie Sand am Meer. Angefangen von Wirtschaftsprüfungsgesellschaften bis hin zu Compliance-IT-Buden. Sie alle versorgen die Compliance Officer jedes Jahr mit einem Berg an Daten. Dabei stellt sich mit der Zeit das Gefühl ein, dass alle mehr oder weniger dasselbe abfragen, aber jeder kommt zu unterschiedlichen Ergebnissen. An welche Studie soll man sich nun halten? Es ist daher sinnvoll die Studien mit ähnlichen Sachverhalten untereinander zu vergleichen.
Das Profil des Compliance Officers
Da derzeit viel über das Profil eines Compliance Officers gesprochen wird, lohnt der Blick in eine aktuelle Studie von PwC, „What it means to be a ‚chief‘ compliance officer: Today’s challenges, tomorrow’s opportunities. State of Compliance 2014 Survey”. Die Verfasser schreiben zwar, dass sie auch Unternehmen, die nicht in den USA ansässig sind, berücksichtigen. Doch die meisten Befragten werden wohl aus US-Unternehmen stammen. Interessant dürfte diese Studie dennoch auch für die Compliance Officer im deutschsprachigen Raum sein. Denn sie gibt die Gelegenheit, die eigene Compliance-Arbeit und Themen sowohl mit den Kollegen im Ausland als auch bei den multinationalen Unternehmen zu vergleichen und eventuell zu hinterfragen.
Die vorliegende PwC-Studie wollen wir mit den beiden 2013 erschienenen Studien vergleichen, die sich ebenfalls mit Profil, Funktion und Aufgabenbereich der Compliance Officer beschäftigen: Die erste ist von Alvarez & Marsal (A&M) “Compliance Programme. Studie zu Organisationsformen und Aufgabenschnitt“. Die zweite ist die vom Berufsverband der Compliance Manager (BCM) vorgelegte „Berufsfeldstudie Compliance Manager 2013. Vermessung eines Berufsstandes“.
Die PwC-Studie beginnt mit den Top-Risikobereichen der Compliance Officer. Auf den ersten Rängen sind die traditionellen Risiken aufgeführt, wie zum Beispiel industriespezifische Regulierungen, Korruption und Schmiergelder sowie Interessenkonflikte oder Betrug. Darunter findet sich kein einziges geschäftsnahes Risiko, wie beispielsweise Lieferanten-Compliance oder das Risiko der sozialen Netzwerke. Gerade Facebook und Co. bilden bei der Umfrage 2014 das Schlusslicht von insgesamt 22 aufgeführten Compliance-Risiken. Dabei geht der Unternehmensnachwuchs, die sogenannten Digital Natives, viel ungezwungener mit den sozialen Netzwerken um und in vieler Hinsicht auch naiver.
Bei der Frage nach der Wahl der Indikatoren und Messgrößen, die benutzt werden, um die Wirksamkeit eines Compliance-Programms zu messen wird in der PwC-Studie darauf hingewiesen, dass eher die Compliance-Aktivität als die tatsächliche Wirksamkeit gemessen wird. Darunter fallen Ergebnisse des Compliance Audits, des Risk Assessments und die Anzahl der abgeschlossenen Schulungen.
Auch bei den anderen beiden Studien von BCM und A&M stehen auf Platz 1 einfache, quantitative Verfahren sowie Prüfungen. Erst auf Platz 2 folgen bei BCM Untersuchungen der Wirkung von Compliance bei relevanten Zielgruppen. Schade nur, dass es keine weitere Aufsplitterung gibt, um welche Wirksamkeitsuntersuchungen es sich konkret handelt. Bei der Studie von A&M rangieren auf Platz 2 immerhin Interaktive Mitarbeitertrainings.
Priorität aus wessen Blickwinkel?
Die Priorisierung der Compliance-Aufgaben bestimmt auch das Compliance-Programm für die nächsten Jahre. Hier kann man die Beobachtung machen, wie sich das Denken der US-amerikanischen Compliance Officer von dem ihrer Kollegen in Deutschland unterscheidet. Während die US-Kollegen die höchste Priorität der Compliance-Strategie und Tätigkeit sowie Monitoring und Reporting zuordnen, gehen die deutschen Compliance Officer defensiver vor. Sie stützen sich in erster Linie auf Schulungen und Richtlinien, gefolgt von Identifizierung von Compliance-relevanten Risiken.
Die Studie von A&M ist nutzenorientierter vorgegangen, indem nicht nur die Priorität der Compliance-Aufgaben abgefragt wurde, sondern diese Prioritäten immer nach den Compliance-Funktionen Steuern, Umsetzungsverantwortung und Beratung aufgegliedert wurden. Erst dann sieht man, dass die Compliance Officer offensichtlich die höchste Priorität solchen Aufgaben zuordnen, wo sie eine nahezu alleinige Umsetzungsverantwortung haben (Verhaltenskodex, Beratungshotline, Compliance-Schulungen etc.).
Eine interessante Feststellung, die helfen könnte, das eigene Tun bei der Ausarbeitung von Prioritätenlisten zu reflektieren.
