Kontrolle oder Kultur – Was braucht Compliance?

Was genau benötigt also eine funktionierende Compliance? Es braucht zwei Perspektiven, um diese Frage zu beantworten. Zum einen die Perspektive der Compliance-Funktion selbst. Hier zählen eine fokussierte, moderne Revision, eine intelligente Sicherheit und ein ehrlicher „Tone from the Top“ zu den Erfolgsfaktoren. Daneben sind verständliche Richtlinien, nachvollziehbare Kontrollintervalle und eine konsequente, interne Sanktionierung sowie ein Compliance Officer als zentrale Schnittstelle von grundlegender Bedeutung. „Das Vorgenannte macht deutlich, dass eine funktionierende Compliance Zeit braucht, um zu greifen. In der Praxis sehen wir, dass mehr Kontrolle zwar mehr Regelverstöße zu Tage fördert, eine nachhaltige Compliance damit aber noch nicht notwendigerweise gegeben ist“, sagt Christoph Schlossarek, Senior Managing Director Forensic & Litigation.

Damit kommt die zweite Perspektive ins Spiel: Wenn mehr Kontrolle und mehr Regeln allein nicht ausreichen, um Compliance-Verstöße zu verhindern, müssen andere Einflussfaktoren auf eine funktionierende Compliance betrachtet werden. Dabei geht es nicht nur um die Bekämpfung und Prävention krimineller Handlungen über rechtliche Grundlagen und Vorschriften, sondern auch um das Umfeld, auf dem Compliance-Verstöße wachsen könnten. Dabei zeigt sich häufig: je größer und umfangreicher der Verstoß, desto wahrscheinlicher ist das Vorhandensein eines Umfeldes, welches derartige Verstöße fördert oder zumindest nicht ausreichend sanktioniert. Dieses Umfeld wird maßgeblich durch die Kultur eines Unternehmens geprägt. Es gilt also, bei der Unternehmenskultur selbst anzusetzen, um die Compliance in einem Unternehmen zu stärken.

In den USA hat diese Erkenntnis bereits Einzug in die Rechtsprechung gezogen. Der Begriff „Compliance Culture“ erhält dort seit einigen Jahren eine immer höhere Bedeutung: die Unternehmenskultur wird zunehmend zur Beurteilung der Strafbarkeit und zur Definition des Strafmaßes hinzugezogen. Kernfragen für US-Gerichte sind, inwiefern das Fehlverhalten einzelner Individuen in der jeweiligen Unternehmenskultur „angelegt“ war, wie oft das Unternehmen mit ähnlichen Verstößen bereits aufgefallen ist und welche Maßnahmen das Unternehmen getroffen hat, um nachhaltig Abhilfe zu schaffen. [2]

Auch in Europa und Deutschland ist die Forderung nach einer stärkere Regulierung Teil des öffentlichen Diskurses. Es lässt sich auch hier beobachten, dass der Aspekt der „Compliance Culture“ zunehmend Einzug in europäische und deutsche Regularien findet, wobei er im Prüfungsstandard für Compliance-Management-Systeme bereits explizit aufgeführt ist [3].

Spielt die „Compliance Culture“ eine größere Rolle bei der juristischen Bewertung von Compliance-Verstößen, sollten Unternehmen sich verstärkt fragen, was genau deren Unternehmenskultur kennzeichnet und wie sie den Nachweis einer funktionierenden „Compliance Culture“ führen können. Ilona Indra, Managing Director People & Transformation erklärt:

„Die Unternehmenskultur ist die Gesamtheit aller Faktoren, die die Art und Weise beeinflussen, wie Menschen in einem Unternehmen denken, sich verhalten und Entscheidungen treffen – individuell und kollektiv.“

Und diese Faktoren gehen über die in fast jedem Unternehmen existierenden kodifizierten Werte und Regelwerke hinaus. Eine Unternehmenskultur umfasst vier Bausteine, die Unternehmen berücksichtigen und analysieren müssen, wenn sie wissen wollen, wie es um ihre „Compliance Culture“ steht.

1. Die Darstellung: Wie stellt das Unternehmen offiziell dar, wie Dinge intern gehandhabt werden? Dazu gehören:
   • Purpose, Werte und Führungsprinzipien
   • Richtlinien, Guidelines sowie Unterschrifts- und Freigaberegelungen
   • Organigramme und Berichtslinien
   • Beförderungskriterien und Bonussysteme
   • Offizielle Verlautbarungen und der „Tone from the Top“
2. Das Fundament: Wie werden die Dinge im Unternehmen wirklich gehandhabt? Dazu gehören:
   • Ungeschriebene Gesetze
   • Tatsächliche Entscheidungen
   • Beziehungsnetzwerke und persönliche Abhängigkeiten
3. Das Erleben: Welche Verhaltensmuster beobachte ich bei anderen und wie will ich wahrgenommen werden? Dazu gehören:
   • Sprachregelungen und Dresscodes
   • Kommunikations- und Führungsstile
4. Das Verborgene: Welche individuellen Werte treiben das Handeln des Einzelnen an? Dazu gehören:
   • Persönliche Werte
   • Individuelle Erwartungen und Erfahrungen

Analysiert man diese vier Bausteine zeigt sich in der Praxis häufig eine Diskrepanz zwischen Wunsch und Realität: „Wir beobachten zum Beispiel im Baustein ‚Darstellung‘ häufig isolierte Maßnahmen und Aktionismus zur Rechtfertigung der Compliance-Funktion“, sagt Christoph Schlossarek. Weitere Beispiele aus der Praxis sind die Wahrnehmung der Compliance-Funktion als Gegner statt als Freund und Helfer. Und im Bereich „Erleben“ spielt häufig blinde Gefolgschaft der Führungskräfte in Ermangelung einer Kritikkompetenz eine größere Rolle als bewusstes Reflektieren über Konsequenzen bestimmter Entscheidungen. Es gilt herauszufinden, was hinter verschlossenen Türen passiert und wie sehr die Unternehmenskultur hier ein stabiles Grundgerüst bildet, um Sätze wie „Lass Dich einfach nicht erwischen“ oder „Der Zweck heiligt die Mittel“ gar nicht erst aufkommen zu lassen. Auf die Frage, welche Wertemaßstäbe für Führungskräfte und Mitarbeiter als Entscheidungshilfe relevanter sind – die des Arbeitgebers oder die eigenen – haben Analysen von FTI Consulting ergeben, dass die Mehrheit sich häufig eher an den eigenen persönlichen Werten orientiert – dies dürfte vor allem global agierenden Unternehmen Schwierigkeiten bereiten.

.

Es gilt also, die eigene Unternehmenskultur in all ihren Aspekten bewusst und vor allem proaktiv zu gestalten, um eine funktionierende Compliance sicherzustellen. Das geht weit über die Überarbeitung von Werten und Führungsleitlinien hinaus, sondern muss sich auf alle Faktoren beziehen, die das Verhalten von Menschen im Unternehmen beeinflussen. Dabei gilt es drei Herausforderung zu meistern:

1. Vermeintliche Gewissheiten der Unternehmensführung: Es gilt, Überzeugungsarbeit auf oberster Ebene zu leisten, dass es sich lohnt, tiefer nachzuschauen, woher im Unternehmen Druck kommen könnte, Compliance-Regeln zu missachten.
2. Unbewusste Motive und Antreiber: Der Wunsch nach politischer Korrektheit kann so stark sein, dass Führungskräfte und Mitarbeiter sich gar nicht bewusst sind, was deren Entscheidungen wirklich antreibt.
3. Das verständliche Vermeiden von „Selbstbelastung“: Niemand gibt gerne zu, dass er unethisch handelt oder gegen Vorschriften verstößt.

FTI Consulting hat eine Analyse- und Umfragetool entwickelt, dass vor allem die letzten beiden Herausforderungen adressiert, sodass Unternehmen ein ehrliches und transparentes Bild ihrer tatsächlichen Compliance Culture erhalten. „Viele glauben, Kultur lasse sich nicht messen – aber es geht“, bekräftigt Ilona Indra.

Letztlich ist es von zentraler Bedeutung, dass die Verantwortlichkeit für die Etablierung und Sicherstellung einer nachhaltigen Compliance klar definiert wird, was angesichts der Einbeziehung der Unternehmenskultur die Frage aufwirft, wer eigentlich zuständig ist. Man ist geneigt zu sagen, Compliance in der auch die Unternehmenskultur umfassenden Definition geht alle an. Dies ist so erstmal auch richtig. Um aber nicht in eine Verantwortungsdiffusion zu geraten, braucht es einen Sponsor im Top Management. Dies ist in der Regel das Vorstandsmitglied, welches die Letztverantwortung für Compliance innehat. Durch die Nähe zum Aufsichtsrat – und somit zu den Vertretern der Kapitalgeber sowie der Arbeitnehmer – ist so eine nachhaltige Unterstützung gegeben. Nun liegt es auf der Hand, dass das entsprechende Vorstandsmitglied eine solch umfassende Aufgabe im Tagesgeschäft nicht selbst umsetzen kann. Es kann jedoch für den Compliance Officer die Möglichkeit schaffen, die Funktion des Compliance-Verantwortlichen neu bzw. anders zu positionieren und sie bei der Schaffung von Schnittstellen zu den relevanten Funktionen zu unterstützen. Kurz gesagt: zuständig sollte der Compliance Officer sein, jedoch kann sie oder er diese Aufgabe nur dann sinnvoll übernehmen, wenn das Top Management die Zusammenarbeit mit allen relevanten internen Stakeholdern fordert und fördert. Zu diesen gehören zwingend HR, Kommunikation, Betriebsrat, Konzernsicherheit und Revision.

Zusammenfassend lässt sich festhalten, dass Compliance einen ganzheitlichen Ansatz braucht. Entscheidend ist das Verständnis, dass jedes Unternehmen eine Unternehmenskultur hat, auch wenn diese nicht aktiv gesteuert wird. Die Unternehmenskultur kann daher Nährboden für beides sein: für regelkonforme und regelwidrige Denkweisen, Verhaltens- und Entscheidungsmuster. Indem sich Unternehmen aktiv der Gestaltung ihrer Compliance Culture widmen, und zwar ganzheitlich unter Berücksichtigung aller vier oben beschriebener Bausteine, gewinnen sie mehr Kontrolle über ihre Compliance als es Compliance Management Systeme und Regelwerke allein können. Tun sie dies nicht, geben sie ein entscheidendes Kontrollinstrument zur Sicherstellung von Compliance aus der Hand.

Dieser Artikel basiert auf einer Präsentation, die die Autoren auf dem 13. Antikorruptions und Compliance Summit 2022 im September 2022 in Berlin gehalten haben. Um die vollständige Präsentation „Kontrolle oder Kultur – Was braucht Compliance“ von Ilona Indra und Christoph Schlossarek zu erhalten, wenden Sie sich bitte direkt an die Autoren.

[1] Zum Beispiel: Volkswagen (2015), Wirecard (2019), DFB (2021), Axel Springer (2022)

[2] Siehe zum Beispiel die Aussage des stellvertretenden Generalstaatsanwalts Kenneth A. Polite in einer Rede im März 2022: „We are also interested in how a company measures and tests its culture—at all levels of seniority and throughout its operations—and how it uses the data from that testing to embed and continuously improve its ethical culture.”

[3] Prüfungsstandard Compliance-Management-Systeme (IDW EPS 980 n.F. (10.2021)): „Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar.“