Über Moral, Mensch und Möglichkeiten

Im Blickpunkt: Die Zukunft der Complianceorganisation

Von Andreas Pyrcek und Kira Uebachs-Lohn, LL.M. oec.

Beitrag als PDF (Download)

Compliancemanagement hat sich in deutschen Großunternehmen weitestgehend zur gelebten Praxis und zum unternehmerischen Selbstverständnis entwickelt und wird durch ein gut strukturiertes und effektiv arbeitendes Compliancemanagementsystem (CMS) gespiegelt. Auch der Mittelstand hat den Anschluss mittlerweile gefunden und Compliance zur Chefsache erklärt; regelmäßige Risikoanalysen, solide Richtlinien, Prüfungen nach bestimmten Standards und allgemeine Trainings sind Methoden, die sich branchenübergreifend finden lassen. Denn Rechtstreue „lohnt“ sich für Unternehmen, auch und insbesondere finanziell.

Doch haben wir mit dem aktuellen Stand von Compliance den Zenit und den heiligen Gral erreicht? Wie sollten und werden sich Compliancemanagementsysteme und Ziele von Complianceorganisationen in den nächsten Jahren ändern? Dieser Artikel beschäftigt sich mit der Entwicklung, die die Compliancebewegung in den vergangenen Jahren durchlaufen hat, und wirft einen Blick auf das, was Compliance in der Zukunft sein könnte, wenn wir bereit dafür sind.

„On the road (again)“

AktG, GmbHG, OWiG, StGB und Co. – das sind Gesetze und Rechtsrahmen, die es ermöglichen, etwaige Versäumnisse im Unternehmen bei der Überwachung und Kontrolle der Mitarbeiter, die im schlimmsten Fall zu Strafbarkeiten führen, nicht nur bei den handelnden Personen zu ahnden, sondern auch die Unternehmensorgane und das Unternehmen selbst mit in die Pflicht zu nehmen. Aber in der Vergangenheit wurden diese rechtlichen Gegebenheiten von Seiten der Strafverfolgungsorgane kaum umgesetzt. Noch vor einigen Jahren waren zumindest § 30 OWiG und die Möglichkeit, gegen das Unternehmen direkt eine Geldbuße zu verhängen, bei den Ermittlungsbehörden und Gerichten mehr theoretisches Wissen als ernsthafte Option zur angestrebten individuellen Bestrafung des Verantwortlichen, der möglichweise am Ende nicht einmal klar zu identifizieren war.

Doch aufgrund eines Umdenkens des BGH, großer nationaler und internationaler Complianceverstöße im Bereich Korruption, Kartellrecht und Außenwirtschaft und des Einbringens von „Compliance“ in den Deutschen Corporate Governance Kodex fand eine langsame, aber solide Etablierung von Compliancemanagement in der deutschen Unternehmenslandschaft statt. Denn hier sollen angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (CMS) für den Schutz des Unternehmens sorgen.

Die Unternehmen rüsteten auf, Complianceabteilungen wurden implementiert, aufgebaut und über die Jahre personell massiv verstärkt. Complianceeinheiten, die als Anhängsel der Revision oder als kleiner „Einmannbetrieb“ innerhalb der Finanz- oder Rechtsabteilung begonnen hatten, mauserten sich zu den Aushängeschildern großer Unternehmen, nicht zuletzt in den Konzernen, bei denen ein Complianceskandal den Umschwung ausgelöst hatte. Mittlerweile ist Compliance – einer Berufsfeldstudie des „Berufsverbandes der Compliance Manager“ von 2017 zufolge – überwiegend als zentrale Funktion direkt unterhalb der Organisationsleitung angesiedelt (abrufbar unter https://www.bvdcm.de). Trotz dieser imposanten Entwicklung wird die Compliancepraxis nach wie vor stark durch juristische Vorgaben geprägt, aber auch hier ist zunehmend Veränderung in Sicht. Standards wie ISO 19600, IDW PS 980 oder FCPA/UK Bribery Act verschärften den Gedanken, dass State-of-the-Art-CMS eine gewisse „Rechtssicherheit“ und „Standardkonformität“ haben sollten – denn ansonsten macht sich das Unternehmen angreifbar. Es gibt jedoch keine Garantie für richterliche Milde oder eine konkrete Reduzierung von möglichen Bußgeldern im Ernstfall.

Dennoch: In seinem Urteil vom Mai 2017 führt der BGH nun endlich aus, dass Unternehmen, die ein wirksames CMS vorweisen können, bei festgestellten Complianceverstößen potentiell mit verminderten Bußgeldern rechnen können (BGH, Urteil vom 09.05.2017 – 1 StR 265/16). Auch Maßnahmen, die erst nach Bekanntwerden der Verstöße oder Einleitung des Ermittlungsverfahrens ergriffen werden, können gegebenenfalls finanziell berücksichtigt werden. Und „Geld“ ist bekanntermaßen eine Sprache, die auch Vorstände verstehen, wenn Compliance bisher noch als lästige, rein gesetzlich getriebene Pflicht oder als etwas verstanden wurde, das maximal auf dem Papier gelebt wurde und als „Feigenblatt“ diente.

Doch verlieren wir mit dieser Entwicklung nicht das eigentliche Ziel von Compliance aus den Augen? Reicht es aus Unternehmenssicht aus, die Mitarbeiter durch immer strengere Compliancekodizes, immer umfassendere Richtlinien, konkretere Verhaltensanweisungen oder regelmäßig wiederkehrende Schulungen zu gesetzestreu Handelnden erziehen zu wollen? Wird es dadurch, wie der BGH es in seinem Urteil formuliert, wirklich „deutlich erschwert“, dass es durch den Einzelnen im Unternehmen zu einem Rechtsverstoß kommt? Vermutlich ja, und alles andere wäre für jeden Compliance-Officer eine herbe Enttäuschung. Aber möglicherweise ist dies zu kurz gedacht.

Nötig ist vielmehr auch eine kritische Reflexion über Recht und Legalität und demzufolge auch über die Grundlagen ethisch fundierten, eigenverantwortlichen Verhaltens (Leitbild des ehrbaren Kaufmanns, abrufbar unter https://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html). Denn längst nicht alles, was legal ist, ist auch legitim (siehe Bussmann: Integrität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 53, Interview mit Rudolf X. Ruter, ZRFC 02/17, 57). Und nicht alles, was Recht ist, ist auch gerecht.

Ist „Integrität“ die Moralisierung der Rechtsnorm?

Nachdem sich Compliance nun von einem notwendigen Übel im Unternehmensalltag hin zu einer grundlegenden Stabsfunktion entwickelt hat, an der vom Geschäftsführer bis zum Mitarbeiter der Poststelle niemand mehr vorbeikommt, stellt sich die Frage, ob neue Zeiten nicht auch ein neues Compliancedenken erfordern, ein Compliancedenken, das sich von starren Vorgaben und der schmerzlichen Sanktionsgetriebenheit löst und das Unternehmen in ein Zeitalter von eigenverantwortlich, moralisch und integer handelnden Personen in allen Bereichen des Unternehmens entwickelt, die Compliance dafür lieben, was sie ist – ein Zukunftsmotor und ein Garant für langlebigen Erfolg. Das klingt zunächst hochtrabend und für viele Unternehmen wahrscheinlich noch realitätsfern. Aber dass ein Umdenken stattfinden muss und dies oft ein steiniger Weg ist, haben große deutsche Unternehmen bereits in der Vergangenheit erfahren (zum Thema Kulturwandel in deutschen Großunternehmen siehe „Deutsche Bank, Volkswagen, Siemens. Warum so viele Unternehmen sich mit dem Kulturwandel schwertun“, Handelsblatt online vom 12.04.2018).

Compliance muss letztlich das Herz und den Verstand eines jeden Mitarbeiters bewegen, damit diese Integrität tatsächlich leben und umsetzen. Experten sagen, nachhaltige Unternehmensführung sei ein langfristig ausgerichtetes, wertebasiertes und gegenüber Mensch und Umwelt Verantwortung forderndes, gelebtes Konzept und gewinne zunehmend einen immer höheren gesellschaftlichen Stellenwert (Interview mit O. Schneider, ZRFC 01/18, 10.). Und hier haperte es in der Vergangenheit enorm.

Natürlich ist es illusorisch zu glauben, dass Recht, Normen und Gesetze im Compliancemanagement keine Rolle spielen. Im Gegenteil: Sie bilden den Rahmen des Handelns und beschreiben, welche Eckpfeiler für ein Unternehmen gelten – vergleichbar mit den Eckfahnen und Spielfeldgrenzen beim Fußball. Doch verfügen Fußballvereine zur Vermittlung der Spielregeln auch über intensive Richtlinien und Trainings, um die Regeln und Anforderungen an das Spiel zu erklären? Wohl eher nicht. Aber warum weiß jeder auf recht natürliche Weise, was „Fair Play“ und „unsportliches Verhalten“ ist?

Was plakativ klingt, trifft eigentlich den Kern von Compliance: Wie schafft es ein moderner Compliance-Officer, ein Thema natürlich, plastisch und ohne juristische Auffangnetze so zu platzieren, dass es eine Selbstverständlichkeit im Unternehmensspiel wird? Oder anders: Wie entwickle ich die notwendige Moral und das gewünschte Integritätsverständnis bei den Mitarbeitern?

Die Compliance von morgen

Aller Anfang ist bekanntlich schwer. Hat man es nun nach Jahren mühevoller Aufbauarbeit geschafft, sein Unternehmen mit einem funktionierenden CMS auszustatten, ein solides Regelwerk zu erarbeiten, Einstellungskriterien nach Compliancegesichtspunkten zu überarbeiten, die Führungspersonen und die Mitarbeiter für die rechtlichen Vorgaben und Verhaltensregeln zu sensibilisieren und regelmäßig zu schulen, da kommen schon wieder neue Gedanken hinzu: Man spricht jetzt von „Ethik“ und „Integrität“.

Zunächst sei erwähnt, dass damit nicht gemeint ist, dass unzählige Compliance-Officer in deutschen Unternehmen jahrelang das Falsche gemacht hätten. Das aktuelle CMS setzt vielmehr das Fundament für die Zukunft. Moderne Compliance-Officer haben aber auch verstanden, dass es mehr gibt als die reine Auslegung des Rechts und das Managen von Risiken, nämlich den Faktor Mensch. Es gibt unterschiedliche Typen des Lernens und Verarbeitens und Wirkungen von Hierarchie, Führung und Motivation zu integrem Handeln.

Integer zu handeln ist aber nicht immer so einfach, wie es klingt, und „Integrität“ selbst ist kein zeitunabhängiger Wert, er wächst vielmehr mit seinen Aufgaben (vgl. Bussmann: Integrität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 53). Aber es braucht diejenigen, die Integrität verstehen, leben und so sehr verinnerlicht haben, dass sie auch große Umstände in Kauf nehmen, um den – persönlichen und beruflichen – Prinzipien treu zu bleiben. Compliance ohne eine Orientierung an Unternehmenswerten und vorgelebter moralischer Führungskultur wird schwerlich ihrem Hauptzweck, nämlich der Prävention doloser Handlungen, gerecht werden können. Umgekehrt gilt allerdings auch, dass ein striktes Compliancemanagement die notwendige Basis für jede Unternehmensethik ist (vgl. Wieland: Unternehmens- ethik und Compliance Management. Zwei Seiten einer Medaille, CCZ 2008, 17). Es geht also darum, statt einer allein juristisch geprägten Kontrollkultur eine freiwillige Selbstbindung aus Einsicht zu entwickeln; es kommt darauf an, die kodifizierten Werte in den Regeln zu verstehen und innerlich zu akzeptieren (vgl. Bussmann: Integrität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 54). Der einzelne Mitarbeiter muss wieder mehr als mündiger Entscheidungsträger anerkannt werden, der von der Führungsebene wertgeschätzt und dabei unterstützt werden will, gute Entscheidungen zu treffen.

Eine gelebte Fehlerkultur und der offene Umgang mit Fehlverhalten gehören dazu: Begangene Fehler sollen kommuniziert werden, um aus ihnen zu lernen. Das geschieht jedoch nur, wenn Mitarbeiter sich trauen, darauf hinzuweisen, und ihnen daraus keine Nachteile entstehen. Die Vereinbarung von realistischen Leistungszielen und Boni bei compliancegerechtem Verhalten mag (kurzfristig) einen Erfolg versprechen (zum Thema siehe Berendt/Pretzel: Präventiver Schutz vor Compliance-Verstößen im Rahmen von Bonusvereinbarungen, CB 2017, 454  ff.). Bonus-/Malus- oder sogar Claw-back-Regelungen sind aber als Motivations- und Sanktionssystem weitestgehend überholt, nur in vielen Unternehmen ist diese neue Realität bisher nicht angekommen: Wer dort einen Fehler macht, muss gehen. Und schlimmer noch: Wer auf einen Fehler hinweist, wird von den Kollegen rausgemobbt. Einer der wichtigsten Faktoren für einen guten Umgang mit unerwünschtem Verhalten ist deshalb eine gute Fehlerkultur (siehe hierzu Hahne: Compliance als Denkhaltung: Die moralische Unternehmenskultur, abrufbar unter www.haufe.de). Aber jeder Kulturwandel ist schwer, denn man muss sich nicht nur von etwas Altem verabschieden, sondern auch etwas Neues annehmen (siehe Bussmann: Integrität durch nachhaltiges Compliance Management über Risiken, Werte und Unternehmenskultur, CCZ 2016, 53). Wichtig bei einem Kulturwandel ist – wie so oft – gute Kommunikation, die zum Unternehmen passt und die gesamte Belegschaft durchdringt. Erlaubt ist hier im Übrigen, was gefällt, vom einfachen Poster über die praktische Taschenkarte bis zum emotionalen Film, schlicht alles, was positive Aufmerksamkeit für Compliance generiert (zu Kommunikation im Unternehmen siehe Möhrle/Weinen: Ist Integrität messbar?, CCZ 2016, 254 ff. und Proll-Grewe: Compliance-Kommunikation, CCZ 2017, 143 f). Noch viel wichtiger ist auch hier die Rolle, die die Führungskräfte einnehmen. In keinem Bereich des geschäftlichen Lebens sind der Einsatz und das Bekenntnis der Leitungsebene so wichtig wie beim Aufbau einer Integritätskultur – die persönlichen Eigenschaften einer Führungsperson müssen mit ihren öffentlichen und privaten Erklärungen und ihren direkten und indirekten Handlungen übereinstimmen (hierzu bereits Rosbach: Ethik in einem Wirtschaftsunternehmen – nützlich oder überflüssige Förmelei?, CCZ 2008, 103). Ohne diese Konsequenz geht es nicht.

Am Ende muss es also beides geben, um das Unternehmen für die Zukunft fit zu machen: die an den rechtlichen Vorgaben orientierte Compliancepflichtübung und die an moralisch-ethischen Grundwerten orientierte Integritätskür. Und für die individuelle Ausgestaltung ist in den meisten großen und auch mittelständischen Unternehmen sicherlich noch Luft nach oben.

Doch ist das alles? Leider nein – denn auch das klassische „CMS-Rad“ wird sich weiterdrehen, sei es durch die Ausweitung des klassischen Risikoumfelds der Complianceorganisation, durch die Veränderung der Unternehmensorganisation, -kultur und -prozesse aufgrund der Einflüsse der digitalen Transformation oder durch die Weiterentwicklung präventiver und aufdeckender Compliancesystemelemente (vgl. hierzu auch DICO e.V.: Erwartungen an eine Compliance Funktion 4.0., Thesen zur digitalen Zukunft von Compliance). Diese Veränderungen werden signifikanten Einfluss auf die Governance und die Operations der Complianceorganisation von morgen haben.

Fazit

„Compliance“ ist kein statischer Begriff, sondern befindet sich heute mehr denn je im Wandel. Die rein juristische Herangehensweise wirkt zunehmend limitiert und nicht mehr zeitgemäß. Moderne Compliance-Officer sollten sich daher von starren rechtlichen Vorgaben lösen und den „Faktor Mensch“ mehr in ihre tägliche Arbeit einbeziehen – was auf der Basis der bisherigen Herangehensweise in der praktischen Umsetzung nicht immer einfach ist; aber es lohnt sich, den Blick über den Tellerrand zu wagen. Veränderungen, bedingt durch neue Strategien und die Umsetzung der digitalen Transformation, haben enormen Einfluss auf die Themen der Complianceorganisation und  -Strategie. Darüber hinaus werden sich auch das Compliance-Office und das CMS der Zukunft einer Modernisierung nicht verschließen können. Es bleibt also spannend.

andreas.pyrcek@de.ey.com

kira.uebachs-lohn@de.ey.com