[:en]Compliance „built-in“? Dies sind die Herausforderungen[:]

[:en]

Compliance-Verstöße sind die Realität, obwohl Regelverstöße rigoros publik werden und die Unternehmen erheblichen Schaden nehmen. Benchmarks wie der Compliance on Board-Index (CoBI) zeigen einen erheblichen Verbesserungsbedarf schon bei DAX 30-Unternehmen und noch mehr beim MDAX. Vor dem Hintergrund verschärfter Strafverfolgung und Rekordstrafen sind Management und Aufsichtsrat gefordert, ein effektives Compliance-Bewusstsein im Unternehmen zu verankern, doch einschlägige Standards helfen hier wenig. Bevor wir zeigen, wie Compliance „built-in“ durch agiles Management konkret möglich wird, beleuchtet dieser Beitrag die Herausforderungen und Stolperfallen etwas genauer.

Compliance „built-in“ bislang alles andere als Norm

Compliance on Board-Index, CoBI, Dax 30, MDAX, Compliance — CoBI visuell: Compliance on Board Index für DAX 30 und MDAX. (Bild: © Stefan Vieweg)

Die Frage, inwieweit gute Compliance tatsächlich in Unternehmen verankert ist, wurde zum Beispiel im Compliance on Board-Index (CoBI) erstmalig bei DAX 30-Unternehmen wissenschaftlich untersucht. MDAX-Unternehmen schneiden sogar noch schlechter in Bezug auf tatsächlich gelebte Compliance-Praxis ab (siehe Abbildung). Während die formalen Strukturen (beispielsweise eine Ombudsperson, an die Verstöße gemeldet werden können) noch befriedigend einzustufen sind, so besteht ein erheblicher Nachholbedarf bei den tatsächlich gelebten, „sauberen“ Geschäftspraktiken. Und dies ist wiederum eine Frage der Unternehmenskultur – oder genauer der Compliance-Kultur.

Man kann Compliance nicht verordnen

Dieses Phänomen ist nicht neu. Wir kennen es beispielsweise aus dem Qualitätsmanagement: Dort gibt es einschlägige Normen, gegen die Unternehmen sich auch zertifizieren lassen wie beispielsweise eine ISO 9001-Zertifizierung. Diese betrachtet zwar die Prozesse, nicht aber den tatsächlichen Output der Wertschöpfung, also Produkte oder Dienstleistungen. Somit sind sie keineswegs Garant für tatsächliche Qualität.

Compliance Management System (CMS) – notwendig, aber nicht hinreichend

Eine ähnliche Situation haben wir nun auch im Bereich Compliance: Regelkonformes Handeln kann man nicht durch Verordnungen erzwingen. Ganz im Gegenteil, es werden die Betroffenen immer wieder Auswege und Trampelpfade finden, die Regeln zu umgehen, solange sie nicht von sich heraus davon überzeugt sind, dass regelkonformes Handeln ihrem Werteverständnis entspricht. Doch wo stehen wir heute? Viele Unternehmen haben Compliance Management-Strukturen – zumindest ansatzweise – aufgesetzt in Übereinstimmung mit einschlägigen Normen wie der ISO 19600 und / oder lassen sich nach dem Prüfungsstandard PS 980 des Instituts der Wirtschaftsprüfer (IDW) ein Compliance Management System (CMS) zertifizieren. Zwar mögen diese Ansätze – ähnlich wie bei der Analogie Qualität – grundsätzlich zielführend sein, aber es ist keineswegs erwiesen, dass ein CMS effektiv zur Vermeidung von Compliance-Verstößen führt. So zeigt sich beim CoBI zum Beispiel kein direkter Zusammenhang zwischen ISO 19600- beziehungsweise IDW PS 980-zertifizierten Unternehmen und tatsächlich praktizierter Compliance.

Compliance-Verstäße 2018, 1. Quartal, Januar bis März, Image-Schaden, Unternehmens-Image, Lösungsansätze, agiles Management, Compliance — Hätte das Konzept von Compliance “built-in” die Skandale des ersten Quartals 2018 verhindern können? (Bild: © Stefan Vieweg)

Betrachtet man die publik gewordenen Verdachtsfälle auf Compliance-Verstöße am Beispiel des ersten Quartals 2018, so ist es schon erschreckend, wie viele renommierte Unternehmen hiervon betroffen sind.
Natürlich obliegt es den Institutionen, die tatsächlichen Sachverhalte aufzuklären, doch die Erfahrung zeigt, „wo Rauch ist, ist zumeist auch Feuer…“.

Das Gegenteil von Compliance „built-in“ und seine Resultate

Die Bedeutung des Themas Compliance sollte jeden Verantwortlichen aus mindestens zweierlei Gründen bewusst und für das operative Geschäft wesentlich sein:

Geschäftsführung und Aufsichtsgremien sind persönlich haftbar für die Etablierung eines geeigneten Risikomanagement- und Compliance-Systems. Der Nachweis eines effektiven Compliance-Systems hat unmittelbar strafmildernde Wirkung, wie das BGH-Urteil vom 09.05.2017 – 1 StR 265/16 wegweisend zeigt: Es schafft ein Anreizmodell – wie bereits in Frankreich und Spanien gelebt und nun auch in Deutschland – dafür, ein effektives Compliance System zu implementieren, welches strafmindernde Wirkung bei Compliance-Vorfällen haben kann. Das bedeutet, dass Transparenz in Sachen Compliance-Struktur und tatsächlicher Implementierung, wie sie zum Beispiel mit dem Compliance on Board Index (CoBI) nachgewiesen wird, sich im Fall der Fälle strafmindernd auswirken kann.
Die verhängten Strafen für die Unternehmen können verheerende Dimensionen annehmen: Allein im Finanzsektor betrugen die seit der Finanzkrise verhängten Strafen 321 Milliarden US-Dollar – bisher! Diese Zahl verdeutlich die Wucht, die Non-Compliance entfalten kann. Zudem kommen noch mittelbare Schäden durch Reputationsverlust nach außen wie auch nach innen, die meist von ähnlicher, wenn nicht sogar größerer Reichweite sind.

Wie kann nun eine gute, die Compliance befördernde Kultur im Unternehmen etabliert werden bei teilweise stagnierenden beziehungsweise rückläufigen Compliance-Budgets?

Compliance ist keine „Geschäftsverhinderung“ oder „Nice to Have“

Es fängt beim Management an, hier mit gutem Beispiel – dem „Tone from the Top“ – voranzugehen. Doch allzu oft wird die Tragweite schon auf oberster Ebene unterschätzt, man ist aufgrund anderer strategischer oder operativer Themen nicht wirklich an Compliance interessiert oder gar aufgrund der Regulationsflut, die nicht zuletzt durch die Finanzkrise vor zehn Jahren ins Rollen kam, des Themas überdrüssig. Verfolgt man die Aussagen der Compliance Officer genau, so ist derzeit ein Rückgang der Ressourcen in den Compliance-Abteilungen vieler Unternehmen zu konstatieren.

Tone from the Top

Wenn eloquente Wirtschaftsbosse wie Jamie Dimon (CEO JPMorgan Chase) „regulation and the cost of compliance are becoming a threat to the American dream“ bei Bloomberg postulieren, dann ist es nicht verwunderlich, dass sich Compliance nicht als Selbstläufer im Unternehmen verfestigen kann.

Die Verankerung von Compliance in der Unternehmenskultur ist stark davon geprägt, dass die Führungskräfte ein gefestigtes Werteverständnis haben, das von Vision und Leitsätzen über die strategische und schließlich die operative Unternehmensführung das eigene Handeln leitet und als Vorbild dient. Genau hier mangelt es bei so manchem auf die persönliche Vorteilhaftigkeit bedachten Führungsgebaren.

Die Form von Compliance-Verstößen ist vielfältig – die Beweggründe dagegen eindeutig

Es sei als Beispiel auf die zumindest als unsensibel einzustufende Problematik des Insiderhandels hingewiesen. Einer der prominentesten Fälle aus dem Jahr 2017 ist der damalige Vorstandsvorsitzende der Deutschen Börse (er musste das Unternehmen letztlich aufgrund dieses Vorfalls verlassen). Eine ähnliche Problematik ergibt sich bei der Metro, insbesondere bei seinem Aufsichtsratsvorsitzenden oder beim Intel CEO gleichermaßen: Opportunistische Aktien(ver)käufe von Top-Managern in engem zeitlichen Zusammenhang zu wesentlichen, nichtöffentlichen Unternehmensinformationen. Dies deutet vor allem auf den Kern des Problems, den feinen aber merklichen Unterschied zwischen Legalität und Legitimität. Diese Gratwanderung finden wir auch in anderer Form und auf den unterschiedlichsten Führungsebenen wieder: In bewusstem Wegschauen und Nicht(s)-Wissen-Wollen manifestiert sie sich, wenn es um Bestechung, Korruption, Geldwäsche und Co. geht. In der medial durchdrungenen und teilweise faktenentrückten Zeit reicht das legale Minimum – Compliance – bei Weitem nicht aus um (Reputations-)Schäden von Unternehmen abzuwenden. Die unglücklichen „Peanuts“ eines ehemaligen Vorstandsvorsitzenden des größten deutschen Bankhauses vor 23 Jahren wie auch die unsäglichen drei Sekunden des „Victory“-Zeichens eines seiner Nachfolger vor über zehn Jahren sind ins gesellschaftliche Langzeitgedächtnis eingebrannt.
Es gilt also,

eine Kompetenz der Sensibilität für Legitimität – auch „Crowding in“ genannt – dort aufzubauen und zu fördern, wo das individuelle Wertegefüge opportunistischen Entscheidungen durchaus Platz einräumt. Hierzu sind auf die bekannten, groß angelegten Untersuchungen von dem Psychologen Dan Ariely („The honest truth about dishonesty“) verwiesen, der mit dem „Schummel-Faktor“ (fudge factor) sehr anschaulich zeigt, welchen Einfluss das Umfeld auf nicht ganz lauteres Verhalten hat.
bei denjenigen, die aufgrund ihrer intrinsischen Motivation bereits einen sehr hohen Anspruch an sich selbst auf Korrektheit haben, einen entsprechenden „Crowding out“-Effekt zu vermeiden, also das von sich heraus korrekte Handeln nur noch gegen spezielle Incentivierung machen um sich gegenüber anderen nicht schlechter zu stellen.

Aus der Not eine Tugend machen!

Damit haben wir also eine Kernfrage erreicht: Wie kann es gelingen, eine Organisation und ihre Individuen tatsächlich zu einer höheren Compliance-Bewertung zu bewegen? Oder anders gefragt: aus der Not (regelkonformes Verhalten) eine Tugend (aus Überzeugung) zu machen.

Ein Ansatz findet sich bei Unternehmen, bei denen – quasi als Beiprodukt – Compliance automatisch verankert ist: Agiles Management (diese bieten wir in Zusammenarbeit mit dem ICC in Seminaren an und hilft Unternehmen in ihrer agilen Transformation insbesondere nach der marktführenden Methode SAFe).

Diese beiden nicht offensichtlich in Verbindung stehenden Themen – Compliance einerseits und Agilität andererseits – zeigen bei genauerer Betrachtung fast schon eine zwingende gemeinsame Logik. Wie die Umsetzung konkret aussehen kann um von Erfolg gekrönt zu sein, lesen Sie im zweiten Teil: Compliance „built-in“ durch agiles Management.

[:]

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
language	1 year	This cookie is used to store the language preference of the user.

Cookie	Duration	Description
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.