Compliance-Verstöße sind die Realität, obwohl Regelverstöße rigoros publik werden und die Unternehmen erheblichen Schaden nehmen. Benchmarks wie der Compliance on Board-Index (CoBI) zeigen einen erheblichen Verbesserungsbedarf schon bei DAX 30-Unternehmen und noch mehr beim MDAX. Vor dem Hintergrund verschärfter Strafverfolgung und Rekordstrafen sind Management und Aufsichtsrat gefordert, ein effektives Compliance-Bewusstsein im Unternehmen zu verankern, doch einschlägige Standards helfen hier wenig. Bevor wir zeigen, wie Compliance „built-in“ durch agiles Management konkret möglich wird, beleuchtet dieser Beitrag die Herausforderungen und Stolperfallen etwas genauer.

Compliance „built-in“ bislang alles andere als Norm

Die Frage, inwieweit gute Compliance tatsächlich in Unternehmen verankert ist, wurde zum Beispiel im Compliance on Board-Index (CoBI) erstmalig bei DAX 30-Unternehmen wissenschaftlich untersucht. MDAX-Unternehmen schneiden sogar noch schlechter in Bezug auf tatsächlich gelebte Compliance-Praxis ab (siehe Abbildung). Während die formalen Strukturen (beispielsweise eine Ombudsperson, an die Verstöße gemeldet werden können) noch befriedigend einzustufen sind, so besteht ein erheblicher Nachholbedarf bei den tatsächlich gelebten, „sauberen“ Geschäftspraktiken. Und dies ist wiederum eine Frage der Unternehmenskultur – oder genauer der Compliance-Kultur.

Man kann Compliance nicht verordnen

Dieses Phänomen ist nicht neu. Wir kennen es beispielsweise aus dem Qualitätsmanagement: Dort gibt es einschlägige Normen, gegen die Unternehmen sich auch zertifizieren lassen wie beispielsweise eine ISO 9001-Zertifizierung. Diese betrachtet zwar die Prozesse, nicht aber den tatsächlichen Output der Wertschöpfung, also Produkte oder Dienstleistungen. Somit sind sie keineswegs Garant für tatsächliche Qualität.

Compliance Management System (CMS) – notwendig, aber nicht hinreichend

Eine ähnliche Situation haben wir nun auch im Bereich Compliance: Regelkonformes Handeln kann man nicht durch Verordnungen erzwingen. Ganz im Gegenteil, es werden die Betroffenen immer wieder Auswege und Trampelpfade finden, die Regeln zu umgehen, solange sie nicht von sich heraus davon überzeugt sind, dass regelkonformes Handeln ihrem Werteverständnis entspricht. Doch wo stehen wir heute? Viele Unternehmen haben Compliance Management-Strukturen – zumindest ansatzweise – aufgesetzt in Übereinstimmung mit einschlägigen Normen wie der ISO 19600 und / oder lassen sich nach dem Prüfungsstandard PS 980 des Instituts der Wirtschaftsprüfer (IDW) ein Compliance Management System (CMS) zertifizieren. Zwar mögen diese Ansätze – ähnlich wie bei der Analogie Qualität – grundsätzlich zielführend sein, aber es ist keineswegs erwiesen, dass ein CMS effektiv zur Vermeidung von Compliance-Verstößen führt. So zeigt sich beim CoBI zum Beispiel kein direkter Zusammenhang zwischen ISO 19600- beziehungsweise IDW PS 980-zertifizierten Unternehmen und tatsächlich praktizierter Compliance.

Betrachtet man die publik gewordenen Verdachtsfälle auf Compliance-Verstöße am Beispiel des ersten Quartals 2018, so ist es schon erschreckend, wie viele renommierte Unternehmen hiervon betroffen sind.
Natürlich obliegt es den Institutionen, die tatsächlichen Sachverhalte aufzuklären, doch die Erfahrung zeigt, „wo Rauch ist, ist zumeist auch Feuer…“.

Das Gegenteil von Compliance „built-in“ und seine Resultate

Die Bedeutung des Themas Compliance sollte jeden Verantwortlichen aus mindestens zweierlei Gründen bewusst und für das operative Geschäft wesentlich sein:

1. Geschäftsführung und Aufsichtsgremien sind persönlich haftbar für die Etablierung eines geeigneten Risikomanagement- und Compliance-Systems. Der Nachweis eines effektiven Compliance-Systems hat unmittelbar strafmildernde Wirkung, wie das BGH-Urteil vom 09.05.2017 – 1 StR 265/16 wegweisend zeigt: Es schafft ein Anreizmodell – wie bereits in Frankreich und Spanien gelebt und nun auch in Deutschland – dafür, ein effektives Compliance System zu implementieren, welches strafmindernde Wirkung bei Compliance-Vorfällen haben kann. Das bedeutet, dass Transparenz in Sachen Compliance-Struktur und tatsächlicher Implementierung, wie sie zum Beispiel mit dem Compliance on Board Index (CoBI) nachgewiesen wird, sich im Fall der Fälle strafmindernd auswirken kann.
2. Die verhängten Strafen für die Unternehmen können verheerende Dimensionen annehmen: Allein im Finanzsektor betrugen die seit der Finanzkrise verhängten Strafen 321 Milliarden US-Dollar – bisher! Diese Zahl verdeutlich die Wucht, die Non-Compliance entfalten kann. Zudem kommen noch mittelbare Schäden durch Reputationsverlust nach außen wie auch nach innen, die meist von ähnlicher, wenn nicht sogar größerer Reichweite sind.

Wie kann nun eine gute, die Compliance befördernde Kultur im Unternehmen etabliert werden bei teilweise stagnierenden beziehungsweise rückläufigen Compliance-Budgets?

Compliance ist keine „Geschäftsverhinderung“ oder „Nice to Have“

Es fängt beim Management an, hier mit gutem Beispiel – dem „Tone from the Top“ – voranzugehen. Doch allzu oft wird die Tragweite schon auf oberster Ebene unterschätzt, man ist aufgrund anderer strategischer oder operativer Themen nicht wirklich an Compliance interessiert oder gar aufgrund der Regulationsflut, die nicht zuletzt durch die Finanzkrise vor zehn Jahren ins Rollen kam, des Themas überdrüssig. Verfolgt man die Aussagen der Compliance Officer genau, so ist derzeit ein Rückgang der Ressourcen in den Compliance-Abteilungen vieler Unternehmen zu konstatieren.

Tone from the Top

Wenn eloquente Wirtschaftsbosse wie Jamie Dimon (CEO JPMorgan Chase) „regulation and the cost of compliance are becoming a threat to the American dream“ bei Bloomberg postulieren, dann ist es nicht verwunderlich, dass sich Compliance nicht als Selbstläufer im Unternehmen verfestigen kann.

Die Verankerung von Compliance in der Unternehmenskultur ist stark davon geprägt, dass die Führungskräfte ein gefestigtes Werteverständnis haben, das von Vision und Leitsätzen über die strategische und schließlich die operative Unternehmensführung das eigene Handeln leitet und als Vorbild dient. Genau hier mangelt es bei so manchem auf die persönliche Vorteilhaftigkeit bedachten Führungsgebaren.

Die Form von Compliance-Verstößen ist vielfältig – die Beweggründe dagegen eindeutig

Es sei als Beispiel auf die zumindest als unsensibel einzustufende Problematik des Insiderhandels hingewiesen. Einer der prominentesten Fälle aus dem Jahr 2017 ist der damalige Vorstandsvorsitzende der Deutschen Börse (er musste das Unternehmen letztlich aufgrund dieses Vorfalls verlassen). Eine ähnliche Problematik ergibt sich bei der Metro, insbesondere bei seinem Aufsichtsratsvorsitzenden oder beim Intel CEO gleichermaßen: Opportunistische Aktien(ver)käufe von Top-Managern in engem zeitlichen Zusammenhang zu wesentlichen, nichtöffentlichen Unternehmensinformationen. Dies deutet vor allem auf den Kern des Problems, den feinen aber merklichen Unterschied zwischen Legalität und Legitimität. Diese Gratwanderung finden wir auch in anderer Form und auf den unterschiedlichsten Führungsebenen wieder: In bewusstem Wegschauen und Nicht(s)-Wissen-Wollen manifestiert sie sich, wenn es um Bestechung, Korruption, Geldwäsche und Co. geht. In der medial durchdrungenen und teilweise faktenentrückten Zeit reicht das legale Minimum – Compliance – bei Weitem nicht aus um (Reputations-)Schäden von Unternehmen abzuwenden. Die unglücklichen „Peanuts“ eines ehemaligen Vorstandsvorsitzenden des größten deutschen Bankhauses vor 23 Jahren wie auch die unsäglichen drei Sekunden des „Victory“-Zeichens eines seiner Nachfolger vor über zehn Jahren sind ins gesellschaftliche Langzeitgedächtnis eingebrannt.
Es gilt also,

1. eine Kompetenz der Sensibilität für Legitimität – auch „Crowding in“ genannt – dort aufzubauen und zu fördern, wo das individuelle Wertegefüge opportunistischen Entscheidungen durchaus Platz einräumt. Hierzu sind auf die bekannten, groß angelegten Untersuchungen von dem Psychologen Dan Ariely („The honest truth about dishonesty“) verwiesen, der mit dem „Schummel-Faktor“ (fudge factor) sehr anschaulich zeigt, welchen Einfluss das Umfeld auf nicht ganz lauteres Verhalten hat.
2. bei denjenigen, die aufgrund ihrer intrinsischen Motivation bereits einen sehr hohen Anspruch an sich selbst auf Korrektheit haben, einen entsprechenden „Crowding out“-Effekt zu vermeiden, also das von sich heraus korrekte Handeln nur noch gegen spezielle Incentivierung machen um sich gegenüber anderen nicht schlechter zu stellen.

Aus der Not eine Tugend machen!

Damit haben wir also eine Kernfrage erreicht: Wie kann es gelingen, eine Organisation und ihre Individuen tatsächlich zu einer höheren Compliance-Bewertung zu bewegen? Oder anders gefragt: aus der Not (regelkonformes Verhalten) eine Tugend (aus Überzeugung) zu machen.

Ein Ansatz findet sich bei Unternehmen, bei denen – quasi als Beiprodukt – Compliance automatisch verankert ist: Agiles Management (einen Überblick über die Bandbreite von agilen Ansätzen bietet die TCI zum Beispiel in Zusammenarbeit mit dem ICC in Seminaren an und hilft Unternehmen in ihrer agilen Transformation insbesondere nach der marktführenden Methode SAFe).

Diese beiden nicht offensichtlich in Verbindung stehenden Themen – Compliance einerseits und Agilität andererseits – zeigen bei genauerer Betrachtung fast schon eine zwingende gemeinsame Logik. Wie die Umsetzung konkret aussehen kann um von Erfolg gekrönt zu sein, lesen Sie im zweiten Teil: Compliance „built-in“ durch agiles Management.

Weitere Informationen

Kommen Sie für weitere Informationen gerne jederzeit auf den Autor des Beitrags zu: Prof. Dr. Stefan Vieweg

• Transformation Consulting International – Managing Partner
• Direktor Institut für Compliance und Corporate Governance (ICC)
• Systemischer Change Manager, Coach und Trainer (n. TÜV-zertifizierter SYMA-Methodik)
• SAFe Trainings des ICC: SAFe 05. und 06. Juli 2018 sowie am 27. und 28. August 2018

(Coverbild: © flyinger | fotolia.com)