Behavioral Compliance statt Fehlanreizen und blinder Flecken

Beitrag als PDF (Download)

Der Anspruch an Compliance wächst nicht erst seit dem Referentenentwurf zum Verbandssanktionengesetz; damit verbunden ist auch die Forderung, die Effektivität (nicht zu verwechseln mit Effizienz) des installierten Complianceprogramms zu messen, vgl. beispielsweise ISO 19600:2014, 5.3.4. Insofern werden Daten und Fakten auch in der Compliance immer wichtiger. Denn Daten wohnt eine Objektivität inne, sie gelten damit als unbestechlich und sind das Gegenteil bloßer Meinungen und Sinneseindrücke. Ohne geeignete Daten besteht also das Risiko, dass die Compliance zum unbestimmten Adjektiv verkommt. Letzteres ist (zu) häufig in der Compliancepraxis noch anzutreffen, wenn Aussagen getroffen werden, wie „Wir haben eine gelebte Compliancekultur“, „Wir haben effektive Compliancetrainings“, „Wir haben ein angemessenes Compliancesystem“, „Wir haben einen guten Tone from the Top“, „Wir haben integre Führungskräfte“, „Wir haben ausreichende Complianceprozesse“ und so weiter. Werden diese Aussagen nicht mit (richtigen) Daten hinterlegt, sind dies lediglich vage Behauptungen. Im Vergleich dazu sind andere Unternehmensbereiche in der Regel viel weiter und konkreter, indem sie messbare Key-Performance-Indikatoren – KPIs – aufstellen (mit Betonung auf Performance, was mit Erfolg/Effektivität/Wirksamkeit gleichzusetzen ist).

Falsche Compliance-KPIs führen zu Fehlanreizen

In diesem Zusammenhang wird dann sehr häufig das (angebliche) Zitat von Managementvordenker Peter Drucker verwendet: „If you can’t measure it, you can’t manage it“. Das ist sicherlich nicht falsch, aber es ist nur die eine Seite der Medaille, wie bereits das Wort „vermessen“ in der Überschrift aufzeigt. Es kann nämlich heißen: „etwas genau in seinen Maßen festlegen“, „etwas falsch messen“ und „unangemessen bzw. überheblich“. So mahnte V. F. Ridgeway bereits 1957 im Zuge des sich damals bereits abzeichnenden Mess- und Bewertungsmantra an:
„What gets measured gets managed — even when it’s pointless to measure and manage it, and even if it harms the purpose of the organisation to do so.“
Für die Compliance bedeutet diese Warnung, nicht (nur) das zu managen, was (leicht) zu messen ist. Studiert man die veröffentlichte Compliancepraxis, gewinnt man aber schnell den Eindruck, dass genau das geschieht. Folgende Indikatoren, werden sehr häufig genannt:

  • Zahl durchgeführter Schulungen
  • Anzahl der geschulten Mitarbeiter
  • Quote erfolgreich bestandener „Lernzertifikate“
  • Dauer der Trainings pro Mitarbeiter/Jahr
  • Zahl der eingegangenen Whistleblowermeldungen
  • Häufigkeit der Inanspruchnahme sogenannter
  • Compliance-Helpdesks
  • Durchschnittliche Dauer der Beratungsdienstleistung
  • Zahl der Tone-from-the-Top-Äußerungen
  • Abgegebene Compliancebestätigungserklärungen

Nicht nur bei näherer Betrachtung wird klar, dass diese aufgeführten Messgrößen quantitativer Natur sind und schwerlich eine Evidenz für die Wirksamkeit eines installierten Complianceprogramms darstellen: So sind beispielsweise Complianceschulungen an sich kein Ziel, sondern zunächst ein Kostenfaktor. Das Ziel von Compliance ist die Reduzierung von Risiken, und Schulungen sind lediglich ein mögliches (quod erat demonstrandum) Mittel, um dies zu erreichen. Diese KPIs sind damit Indikatoren für die unternommenen Complianceanstrengungen, für das Bemühen, für den Compliance-Input und den sich unmittelbar daran anschließenden Output (beispielsweise eine Schulungsteilnehmerquote). Sie geben weniger Aufschluss über den Outcome, Impact eines Complianceprogramms, einschließlich dessen Akzeptanz und der Compliancekultur. Ein Compliancemanagementsystem ist aber dann (mindestens) erfolgreich, wenn es zu keinen kriminellen Unternehmenshandlungen kommt. Insoweit liegt es nahe, nach anderen Daten als den soeben skizzierten Ausschau zu halten. Die Situation ist vergleichbar mit unserer Gesundheit:
Eine Person (sagen wir mal ein Kettenraucher) kann zwar viel Sport treiben, sich gesund ernähren, ausreichend schlafen, meditieren und dies alles brav aufzeichnen, messen und reporten – hat er dann aber Gewissheit über seinen Gesundheitszustand? Wohl kaum. Es liegt auf der Hand, dass diese Person stattdessen einen Lungenfunktionstest durchführen, Laboruntersuchungen oder Gewebeentnahmen über sich ergehen lassen sollte und eher das Rauchen einzustellen hat. Bezogen auf Compliance, stellen die veröffentlichten Aussagen demnach keine validen Aussagen über die Effektivität der Compliance dar.

Falsche Compliance-KPIs führen zu blinden Flecken

Sich dieser Problematik wohl bewusst, folgen viele Unternehmen sogenannten Best-Practice-Beispielen, anerkannten Compliancestandards, einschließlich externer Compliancezertifizierungen oder gar Complianceauszeichnungen/-Awards. All dies wird (auch) deswegen in der vermeintlichen Erwartung durchgeführt, ein erfolgreiches, effektives Complianceprogramm installiert, eingekauft und sogleich – mit der Zertifizierung, der Auszeichnung, dem Best-Practice-Vergleich – nachgewiesen zu haben. Aber auch hier besteht ein nicht zu unterschätzendes Risiko, das des blinden Flecks. Das Nacheifern von Best-Practice-Programmen und Standards sagt nämlich noch nicht viel über den Erfolg eines implementierten Complianceprogramms aus (vgl. Jüttner, Compliance-Newsletter Oktober 2018, S. 2). Viele Complianceskandale auch in jüngster Vergangenheit traten auf trotz existierender, installierter, zertifizierter oder ausgezeichneter Complianceprogramme. Wenn man also strikt oder blind irgendeinem Compliancestandard folgt, besteht die Gefahr, die Realität aus dem Blick zu verlieren, mit teilweise gravierenden Folgen:
„Enron, Lehman Brothers, or Fannie Mae’s asset valuations, for example, surely followed some accounting standards and yet were not necessarily related to reality.“
(D. W. Hubbard, How to measure anything)

Und was nun? Ein Plädoyer für organisationskluge und verhaltensbasierte Messparameter

Es zeigt sich also, dass die Bewertung und Bestimmung der Wirksamkeit (Effektivität) eines Complianceprogramms auf den zweiten Blick alles andere als trivial ist. Dies im Wesentlichen aus folgenden Gründen:
Erstens ist der Erfolg einer wirksamen Compliance in Form eines typischen Präventionsprogramms ein Nichtereignis, was per Definition nicht (direkt) eruierbar ist. Zweitens tritt gesetzeswidriges Verhalten selten offen und damit messbar für die Complianceabteilung zutage; es ist vielmehr die Informalität oder das Dunkelfeld ausschlaggebend – das „So machen wir das hier!“. Drittens geht es bei der Compliance weniger um schlichte quantifizierbare Größen, wie beispielsweise das Wiegen einer Wurst oder das Zählen von Erbsen. Vielmehr hantiert die Compliance mit sozial determinierten Informationen über menschliches Verhalten, Handeln und Denken in einer Organisation, was letztlich eine indirekte Messung indiziert. Damit ist Compliance sozusagen ein In-tangible Asset. Meine Empfehlungen für die Praxis lauten daher: Compliance sollte bereits in der Konzeption nicht statisch irgendeinem Laborstandard folgen und dann vergeblich, mühsam und verzerrt den Erfolg der einzelnen Maßnahmen messen wollen oder sollen. Die Wirksamkeit von vielleicht per se ungeeigneten Maßnahmen oder solchen, deren Erfolg einem Münzwurf gleicht, zu messen, ist ineffizient. Entscheidend ist ein auf der Grundlage von Ursachen und Auslösern von Fehlverhalten entwickelter Behavioral-Ansatz der Compliance, mithin ein realitätsbezogenes Konzept (vgl. Jüttner, JUVE Rechtsmarkt 04/2020, S. 86 ff.; sowie Jüttner et. al., CCZ 2019, 225 ff.). Insoweit sollte nicht der zweite Schritt vor dem ersten getan werden. Dabei spielt die Art des zu verhindernden Fehlverhaltens eine maßgebliche Rolle, konkret also die Frage, ob es sich um organisatorische oder individuelle Devianz handelt (vgl. Jüttner/Koch, CB 2018, 437 ff.). Um diesen Gedankengang am obigen Gesundheitsbeispiel zu erläutern, genügt zunächst allein die Aufgabe des Rauchens, um den Gesundheitszustand wesentlich zu verbessern – das wäre eine ernsthafte, messbare Maßnahme. Die anderen zeitaufwendigen und kostenintensiven Tätigkeiten sind sekundär und (zunächst) nicht erforderlich, solange die Person Kette raucht. Auf die Compliancemessung bezogen, heißt das: Es sind die Umstände für unternehmenskriminelles oder eigennütziges Fehlverhalten in der Organisation mit Smart Data aufzudecken (also der Laboruntersuchung) und dann messbar zu beseitigen, anstatt stetig neue proaktive Compliancemaßnahmen einzuführen und deren Erfolg mühsam zu messen. Mit diesem Verständnis ist die Complianceaufgabe auch nicht mit der Legal-Funktion zu verwechseln – auch wenn man beides parallel oder in einem Bereich zusammen managt, was unschädlich ist. Das Verhindern, die Aufdeckung und das Abstellen von Wirtschaftskriminalität sind etwas anderes als eine reine Rechtsberatung. Dafür ist eine „Compliance-Subject-Matter-Expertise“ erforderlich, die mit Rechtswissenschaft und Betriebswirtschaft wenig gemein hat. Das interdisziplinäre Verständnis, mithin der Approach, ist für den Erfolg eines Complianceprogramms entscheidend. Compliance-KPIs sind dann auch andere als KPIs der Legal-Funktion. Ganz praktisch heißt es, dass bereits die ersten Folien eines „Compliance-Wirksamkeits-Dashboards“ oder die ersten Fragen an den präsentierenden Compliance-Officer Aussagen über das Mindset offenbaren. Vor diesem Hintergrund sind auch Verhaltens- und Prozesskontrollen durchzuführen. Vertrauen ist zwar gut, Kontrolle ist aber besser. Die Ergebnisse dieser qualitativen Kontrollen oder Audits sind ebenfalls geeignete Compliance-KPIs.
Schließlich ist zu empfehlen, regelmäßig Complianceumfragen und -interviews zu implementieren, um die Glaubwürdigkeit zu evaluieren, denn „Perception is Reality“. Hier kommen sowohl quantitative Mitarbeiterumfragen als auch qualitative Multiplikatoreninterviews in Frage, um Aussagen über die Compliancekultur, die Compliance-risiken und zur Akzeptanz des Complianceprogramms zu erhalten. Allerdings liegt hier der Teufel im Detail, denn solche Umfragen und Interviews sollten sorgfältig geplant und durchgeführt werden, möchte man ein wahres Spiegelbild der Realität bekommen und nicht etwa nur sozial erwünschte Antworten aufgrund eines sogenannten Satisficing der Teilnehmer. Die Ergebnisse dieser Umfragen oder Interviews sind dann wiederum geeignete Compliance-KPIs.

Fazit

Um den Erfolg von Compliance als Intangible Asset darzustellen, genügen wenige, aussagekräftige Messpunkte. „Usually, only a few things matter – but they usually matter a lot”, wäre damit auch der Grundsatz der KPI-Darstellung in der Compliance. Diese einfache, aber nicht vereinfachte Sichtweise sollte auch in der Compliancewirksamkeitsbeurteilung Berücksichtigung finden.

markus.juettner@eon.com

Aktuelle Beiträge