Die Augen öffnen

Wie Compliance den Praxistest besteht

Von Dr. Stefan Heißner, Andreas Pyrcek und Felix Benecke

Beitrag als PDF (Download)

Was beschäftigt Compliancemanager heute besonders? Die Realität. Denn klassische Compliance-Management-Ansätze sind oftmals kontrollbasiert und detailreich – das sieht in der Theorie gut aus, hat sich in der Praxis aber nicht bewährt. Egal, wie formell alles aufgebaut wurde, das Informelle prägt den Alltag. So erleben wir derzeit, dass sich die Herangehensweisen an Compliancemanagement in einer Transformation befinden: Während in der ersten Generation von Compliance-Management-Systemen (CMS) die Governance, die Regeln und ihre Einhaltung im Vordergrund standen, stellen moderne CMS heute die Elemente Compliance- und Wertekultur, Kommunikation und Selbstverantwortung mehr in den Fokus.

Dass eine reine Regelorientierung zu kurz greift, zeigen viele Beispiele aus Praxis und Soziologie. Manager schauen gerne mal weg, wenn sie in einem Zielkonflikt stehen und deswegen Dinge nicht ganz nach Vorschrift laufen. Der Soziologe Niklas Luhmann beschrieb dieses Phänomen als „brauchbare Illegalität“.

Wie lässt sich der Kulturwandel dennoch in Richtung Good Governance und Integrität gestalten? Formalität und Informalität in Organisationen beschäftigen Wissenschaftler ebenso wie Unternehmensberater. Ein Schlaglicht auf dieses ungemein spannende Thema wirft das Werk „Unwritten Rules of the Game“ von Peter Scott-Morgan, das 1994 erschienen ist. Es beginnt mit der These, die Hauptursache für scheiternde Veränderungsprozesse sei, dass ungeschriebene Regeln einer Organisation nicht erkannt und verändert werden. Dies führe vor allem dann zur Unterwanderung des verordneten Veränderungsprozesses, wenn Gruppen im Unternehmen die gesetzten Regeln ohne Sanktion ignorieren können.

Ein großer Unterschied zwischen offiziellen Regeln und ungeschriebenen Gesetzen besteht demzufolge darin, dass die offiziellen Vorgaben in der Regel auf externe Einflüsse antworten, Risikomanagementmaßnahmen darstellen oder Zielsetzungen aus Unternehmenssicht formulieren – also oftmals Dekrete der Geschäftsleitung oder Übersetzungen des Regulierers sind. Die informellen Regeln hingegen sind das Ergebnis eines Verständigungsprozesses, der von unterschiedlichen Interessen, auch persönlichen und emotionalen, ausgeht.

Gefährlich für die Compliance wird die Situation, wenn die Regulierung und Rahmenwerke im Widerspruch zur gelebten Unternehmenskultur und zu informellen Prozessen stehen. Denn die Umsetzung der Compliance durch einfache Bestätigung des Arbeitsvertrags oder des Code of Conduct kann nun einmal nicht umfassend funktionieren. Viele Mitarbeiter begeben sich mit Compliance in einen Entwicklungs- und Veränderungsprozess, der durch die Elemente des Compliancesystems und der Compliancekultur geprägt sein muss. Eine wichtige Rolle spielen dabei die Führungskräfte: Sie müssen dieses Zusammenspiel begreifen, Konflikte zwischen Systemen und Kulturen erkennen und heilen und somit die Veränderung gestalten. Darin liegt der Schlüssel zum Erfolg eines jeden Changemanagements und letztlich von Compliance.

Zwischen Geschäft und Gesetz

Spannungen regelbasierter Compliance in Bezug auf die gelebten Unternehmenswerte wird es immer geben. Wo die formale Compliance harte Regeln und Prozesse implementiert, schaffen Informalität und die ethische Grundeinstellung der Mitarbeiter mitunter ein Umfeld, das sich bewusst und akzeptiert darüber hinwegsetzt. Solche Dilemmasituationen finden sich in so gut wie jeder Branche – vom Autobau bis zur Produktion von Schoko-Weihnachtsmännern –, auch wenn es vielerorts Compliancebeauftragte gibt. Dem Umgang mit Regelbrüchen verschaffen sie eine neue Dynamik.

Schauen wir kurz zurück: Nach den zahllosen Unternehmensskandalen begann die Ära der regelbasierten Compliance. Auf der Basis nationaler und internationaler Compliancestandards sowie prozessbasierter Kontrollsysteme nach COSO (Committee of Sponsoring Organizations of the Treadway Commission) oder dem Sarbanes-Oxley Act wurden Compliancesysteme entwickelt, deren Fokus auf der Schaffung eines Rechtsrahmens lag. Auf der Basis umfangreicher Richtlinien und Prozessbeschreibungen war das Ziel, Compliance im Unternehmen regelbasiert umzusetzen. Der Vorteil dieser Systeme war sicherlich die Schaffung eines Handlungsrahmens, die gewünschte Einhaltung der Prozesse und deren Überwachung. Auf der anderen Seite galt jedoch die Complianceorganisation als isoliert, nicht integriert in Geschäftsabläufe und abgekoppelt vom alltäglichen Geschäft. Dies führte zu einem Konflikt: Compliance als Protektionist der Gesellschaft vs. Verhinderer von Geschäft. Er entzündete sich an einem der ältesten Spannungsfelder der Organisationsforschung: Kontrolle und Vertrauen.

In der Unternehmensrealität lautet die Erfahrung, dass Compliance rund 95 Prozent der Mitarbeiter erreicht und auch (mehr oder weniger) zu den gewünschten Zielen führt. Doch auch wenn die Mehrheit die Regeln akzeptiert, gibt es Mitarbeiter, von denen die Regeln und Prozesse herausgefordert werden – und genau mit diesen muss sich das Compliancemanagement fokussierter befassen. Hier liegt aber auch die Herausforderung modernen Compliancemanagements.

Viele Verantwortliche wissen, dass das Motto „Vertrauen ist gut, Kontrolle ist besser“ mitunter Misstrauen unter den Angestellten auslöst. Trotzdem sind in einem CMS Prüfungen, Audits und Analysen notwendig, denn illegale Aktivitäten kann kein Unternehmen einfach tolerieren. Allerdings ist Compliance auch flexibler, als die meisten glauben. Sie kann nicht nur Regeln aufstellen, sondern diese auch ändern: damit sie besser zur Unternehmensrealität passen und sich in der Unternehmens­praxis besser etablieren – der Weg zur modernen Compliance.

Die Realität erfassen

Welcher Weg ist richtig? Auch wenn es zunächst idea­listisch klingt: Gute Unternehmensführung und das Vertrauen, das damit einhergeht, sind die ideale Ergänzung regelbasierter Compliance. Ein Unternehmen mit klarer Ausrichtung, das Fehler und Regelbrüche sofort kommuniziert und offenlegt, wird daher langfristig erfolgreich sein. Statt nur Vorschriften zu bestimmen und durchzusetzen, müssen Manager wie auch Complianceverantwortliche der Realität ins Auge sehen und erkennen, wie mögliche illegale Prozesse in ihrem Betrieb ablaufen und wie Raum für Toleranz gegenüber einem solchen Verhalten geschaffen wurde. Vor allem aber müssen sie auch lernen, Vorbild zu sein und gegebenenfalls mit moralischen Zweifeln umzugehen und richtig zu reagieren.

Nun mag es phrasenhaft und naiv anmuten, wenn Good Corporate Governance dafür plädiert, Überprüfung und Kontrolle in Organisationen gänzlich dadurch zu ersetzen, dass den Mitarbeitern mehr Vertrauen entgegengebracht wird, man sich also eher auf soziale statt auf formale Kontrolle verlässt. Grundsätzlich ist aber genau das der Weg, den die notwendige Weiterentwicklung der regelbasierten Compliance aufzeigt. Denn wem es gelingt, Normen und Werte zu vermitteln und zugleich Vertrauen in der Kultur zu verankern, versetzt sich in die Lage, Kontrollstrukturen bis auf ein notwendiges Maß abzubauen und die eigene Leistungsfähigkeit zu erhöhen. Regeln und Kontrolle sind unverzichtbar, dennoch sollte auf ihnen nicht der Hauptfokus liegen – der Schlüssel zur richtigen Balance ist das ethische Grundverständnis eines jeden Mitarbeiters.

Erkenntnisse der letzten Jahre weisen darauf hin, dass jene Unternehmen wirtschaftlich am erfolgreichsten sind, die eine durchgängige Kultur und eine eindeutige Ausrichtung haben. Bei allen Nuancen des „cultural understanding“ gilt dies auch international. Hier ergibt sich eine klassische betriebswirtschaftliche Logik: Unternehmen, die wissen, was sie wollen, und dies durch alle Ebenen kommunizieren, haben in der Regel deutlich weniger Reibungsverluste in verwaltungstechnischen oder operativen Prozessen und spiegeln wider, wofür sie stehen – und dies wiederum spiegelt sich im ethischen Normenverständnis der Unternehmenskultur. Hier liegen hohe Effizienzpotentiale, zugleich hat eine solche Führung auch Vorteile im Employer Branding.

Integritätsmanagement gehört daher ins Zentrum jeder Unternehmensführung. Mit einer richtigen Balance aus Unternehmensverantwortung, Integrität und einer regelbasierten Compliance können Unternehmen die Effektivität und die Effizienz der Compliance viel mehr steigern als mit statischen CMS-Ansätzen. Das wissen mittlerweile Manager genauso wie Complianceverantwortliche. Sie setzen sich dafür ein, dass Regeln und Werte zusammenfinden.

Fazit: Integrität leben

Eine intelligente Risikominimierung ist rein über Überwachung und Kontrolle nicht zu leisten. Sie braucht eine gelebte Kultur, in der Integrität und ethisches Handeln dazugehören. Weniger – aber an den richtigen Stellen – ist oft mehr. Nichts ist zudem wirksamer als der positive Druck der direkten Peergroup. Doppelt wirksam wird dieser, wenn Botschaften und Verhalten bereichsübergreifend transparent sind.

Moderne Compliance ist eng verbunden mit Good Governance. Beide setzen sich mit Realitäten auseinander und müssen ein sehr feines Gespür dafür entwickeln, wie die informellen – und vielleicht illegalen – Praktiken wirklich aussehen. Und vor allem: wo die Gründe dafür liegen. Wer seine Mitarbeiter kennt und mit den Unternehmensabläufen vertraut ist, der weiß, dass besondere Situationen besondere Maßnahmen erfordern. Genau darum geht es bei Good Corporate Governance.

stefan.heissner@de.ey.com

andreas.pyrcek@de.ey.com

felix.benecke@de.ey.com