Gesamtlösung gesucht

In Compliance-Richtlinien wimmelt es oft vor „Regeltreue“, „Verantwortung“, „ethischen Grundsätzen“ und dem Sprachklassiker „Unternehmens-kultur“. Bei so viel bewusstem und moralisch korrektem Handeln ist ja in Organisationen alles im Lot. Von wegen! Ein täglicher Blick in die Gazetten zeigt ein anderes Bild. In Unternehmen, der Verwaltung und Politik werden Gelder unterschlagen und Lieferanten geschmiert. Es gelangen unternehmenskritische Daten in falsche Hände oder es engagieren sich Manager neben ihrer Haupttätigkeit über die Verhältnisse bei Interessengruppen und Verbänden. Ganz zu schweigen von Preisabsprachen, „Lustreisen“ der Management- Riege oder einem allzu geschwätzigen Unternehmensvertreter in der Bahn oder Sauna. Und diese Fälle passieren, trotz selbstverpflichtender Maßnahmen wie dem „Deutschen Corporate Governance Kodex“ oder dem Code of Ethics der Vereinten Nationen.

Die Gründe für Missstände? Es mangelt an Veränderungsbereitschaft in Organisationen. Hinzu kommen falsche Vorstellungen in Bezug auf den langwierigen Integrationsprozess einer organisationsweiten Compliance-Strategie. Grundsätzlich gilt, ohne das frühzeitige Einbinden der eigenen Mitarbeiter wird jede organisatorische Veränderung nur als eine von vielen „lästigen“ Aufgaben verstanden. Das Resultat sind mürbe Mitarbeiter, die das „Neue“ ablehnen und sich dem Prozess verweigern.

Wichtig ist, in einem solch sensiblen Bereich von Beginn an auch die Arbeitnehmervertretung in den Prozess einzubeziehen. Darum sollte es für Verantwortliche primär darum gehen, Transparenz zu erzeugen und eine offene Kultur des Vertrauens aufzubauen. Ergebnisse, Richtlinien und Dokumentationen gehören allen Mitarbeitern zugänglich gemacht – über Informationsveranstaltungen, Awareness-Kampagnen oder das Intranet. Nur so können sie den Sinn eines tiefgreifenden Kulturwandels mit positiv verstandenen Compliance-Richtlinien in der Organisation nachvollziehen, verstehen und verinnerlichen.

Zur guten Kommunikation gehört auch, dass kulturelle Unterschiede in den globalen Rechtskreisen berücksichtigt werden. Hierzu sollten Compliance-Verantwortliche sowie Entscheider auch mal über unseren römisch-germanischen beziehungsweise kontinentaleuropäischen Rechtskreis hinausschauen. Unser Civil Law wurde vor allem durch das römische Recht geprägt. Anders sieht es im Common Law beziehungsweise anglo-amerikanischen Rechtskreis aus. Und wieder anders im chinesischen Rechtskreis, der stark von der konfuzianischen Lehre geprägt wurde. Und das genuine islamische Recht, die Scharia, kennt keine klare Trennung zwischen Recht und Religion.

Ein Jurist, der internationale Compliance lediglich aus einer engen Rechtsperspektive betrachtet, wird lediglich einen geduldigen Papiertiger – etwa in Form eines Code of Conduct – produzieren und nur wenig Akzeptanz in der Organisation ernten.

Hinzu kommen vielfach lähmende Kontrollen. „Compliance-Prozesse dienen dazu, Organisationen schrittweise effizienter aufzustellen. Und an dieser Stelle unterstützt ein klares Prozessmanagement, um vom Kontrollieren – Stichwort: Schuldsuche – zum Prozess-Steuern zu gelangen“, erklärt Dr. Josef Scherer, Professor für Unternehmensrecht, Risiko- und Krisenmanagement, Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk und Compliance der Technischen Hochschule Deggendorf. Apropos: Schlanke Prozesse braucht es gleichfalls in den Abteilungsschubladen samt zahllosen Excellisten, Datenbanken und IT-Lösungen. Zu viele Insellösungen – von der IT-Unterstützung bis zum Risikomanagement – hemmen den Gesamtprozess und versperren den Blick über den Tellerrand. Zielführend ist eine Gesamtlösung in Form eines Internen Kontrollsystems (IKS), das in einem integrierten Managementsystem und Gesamtrisikomanagement mündet.

Im Vordergrund steht, über regelmäßige Prüfaktivitäten mithilfe einer IT-Lösung zu klaren Aussagen und aufeinander abgestimmter organisationsinterner Grundsätze, Verfahren und Maßnahmen zu kommen. Dabei geht es im Grunde um das Einhalten von Gesetzen und geschäftspolitischen Rahmenbedingungen.

Gleichwohl unterstützt ein IKS den Rechnungslegungsprozess und stellt die Wirksamkeit unternehmenskritischer Informationen sicher. Dieser Gesamtprozess braucht einen Verantwortlichen (Compliance Officer), der für den kompletten IKS-Prozess verantwortlich ist und die einzelnen Schritte überwacht, regelmäßig testet und auf Basis aktueller Daten und Fakten neu justiert. Und für diese verantwortungsvollen Aufgaben müssen Unternehmen Ressourcen bereitstellen und Geld in die Hand nehmen, um den Komplettprozess professionell aufzusetzen.

Im Grunde lässt das Abschieben der Initiative einer Compliance-Umsetzung sowie der Leitungs- und Lenkungsverantwortung von der Geschäftsführung auf Projektmanager und Mitarbeiter viele Projekte letztendlich scheitern. Unternehmenslenker sollten mit gutem Beispiel vorangehen und den Gesamtprozess anstoßen. Ziel eines Compliance-Programms muss es sein, bei einer Gefährdungslage eine Schadensprävention und Risikokontrolle durchzuführen. Die Hauptverantwortung für Compliance liegt grundsätzlich beim Vorstand oder der Geschäftsführung. Entschließen sich Organisationen, untere Managementebenen mit dem Thema Compliance zu beauftragen, so müssen die jeweiligen Personen mit einem klaren Mandat und den jeweiligen Befugnissen ausgestattet sein. Ein weiterer wichtiger Faktor besteht in der lückenlosen Informationspflicht bis in die Leitungsebene.

Im Klartext: Die Geschäftsleitung muss sich um angemessene Strukturen in der Compliance-Kommunikation kümmern, diese anstoßen und für die Überwachung des Gesamtprozesses sorgen. Wenn Geschäftsleiter die Risiken einer Haftung aufgrund mangelnder Aufsichtspflichten ausschließen möchten, müssen sie Compliance-Programme regelmäßig auf deren Effektivität überprüfen.