Compliance in der VUCA-Welt

„Das Problem sind verkürzte Aufmerksamkeitsspannen.“

Unternehmen und Organisationen sind anscheinend zunehmend mit einem komplexen, widersprüchlichen und unsichereren Umfeld konfrontiert. Das Modewort in diesem Zusammenhang heißt VUCA-Welt. VUCA steht für „Volatility – Uncertainty – Complexity – Ambiguity“. Damit ist zugleich ein unangenehmer iatrogener Reflex in der Compliance-Community und bei Beratern verbunden, noch mehr sowie aufwändigere und komplexere Lösungsmodelle zu implementieren. Der Hang zu mehr Informationen, zu Big Data, zur Frequenz von Risikoanalysen, permanentem Monitoring, mehr Regulierung etc. spiegelt das vorherrschende Verständnis wider, mit diesen Mitteln Stabilität in das VUCA-System zu bringen.

Die daraus ableitbare Erwartungshaltung ist, dass heutige Compliance-Maßnahmen nicht nur regel-, sondern auch datenbasierend sowie integritätsbildend und siloübergreifend zu sein haben. Vor diesem Hintergrund hat ein Compliance Officer mit mindestens zwei wesentlichen praxisrelevanten Problemen zu kämpfen, wenn es um die Frage der Wirksamkeit des CMS bzw. der Effektivität seines Handelns geht. Zum einen mit dem fortwährenden Rechtfertigungsgrund, letztlich nicht alle ausschöpfbaren Informationsquellen genutzt, nicht zeitnah berücksichtigt oder nicht richtig interpretiert zu haben. In einer defensiv geprägten Rechts- und Absicherungskultur wie der unseren hat eine solche Erwartungshaltung zur Folge, dass im Zweifel viel zu viele Informationen erhoben, erfasst und bewertet werden – mit fragwürdigem Nutzen für die Compliance-Zielerreichung. Rechtlich ist in diesem Zusammenhang zwar anerkannt, dass Wissenszurechnung eine typische Begleiterscheinung arbeitsteiligen Wirtschaftens ist (vgl. nur § 166 BGB), aber eine generelle anlassunabhängige Informationsabfragepflicht besteht derzeit (noch) nicht. Zum anderen ist zu beobachten, dass insbesondere Unternehmensorgane, Führungskräfte und Compliance Officer mit verkürzten Aufmerksamkeitsspannen auf Grund der Informationsflut, der 24/7-Taktung, ständigen Erreichbarkeit und der „push-news-lastigen“ Smartphone-Umgebung zu kämpfen haben. Dadurch verändert sich die Erreichbarkeit jedes Einzelnen zum Negativen und es ist zunehmend schwieriger, sich mit Muße einem Thema zu widmen, in Bezug auf Kommunikation beim Adressaten durchzudringen oder Sachverhalte und Thesen auf sich wirken zu lassen und zu reflektieren ohne dass sich jemand sofort mit dem Smartphone oder der nächsten Mail beschäftigt.

Insofern ist auch zu bezweifeln, ob die Welt, das unternehmerische Umfeld und Organisationen tatsächlich volatiler, unsicherer, komplexer und widersprüchlicher geworden sind, oder nicht vielmehr das Problem in der Informationsflut und verkürzten Aufmerksamkeitsspannen liegt. Vor dem Hintergrund, dass ein ständiges Überangebot an Informationen existiert, könnte ein alternativer und realitätsbezogener Lösungsansatz für die Corporate Compliance wie folgt aussehen:

– Befreien Sie sich vom Big Data Druck und machen sich stattdessen die Mühe, Smart Data zu benutzen, also Daten, die eine valide Indizwirkung haben, Compliance-Risikoauslöser zu sein – das kann teilweise auch analog erfolgen ohne ausufernde IT-Lösungen. Unterscheiden Sie also bitte zwingend zwischen „noise“ (d. h. unbrauchbare Daten) und „signal“ (brauchbare Daten).

– Gleiches gilt für die Taktung bzw. Frequenz der Datenerhebung; häufiger ist nicht zwingend besser:

„Assume further that for what you are observing, at a yearly frequency, the ratio of signal to noise is about one to one (half noise, half signal) – this means that about half the changes are real improvements or degradations, the other half come from randomness. This ratio is what you get from yearly observations. But if you look at the very same data on a daily basis, the composition would change to 95 percent noise, 5 percent signal. And if you observe data on an hourly basis, as people immersed in the news and market price variations do, the split becomes 99.5 percent noise to 0.5 percent signal.“ (N. N. Taleb)

– Haben Sie den Mut, auch mit Heuristiken und „bottom up“ Methodiken zu arbeiten. In komplexen, sozialen, dynamisch nicht-linearen Systemen wie Organisationen und kulturellen Kontexten sind diese Verfahren häufig erfolgreicher als lineare Risikomanagementtools und top-down Standards.

– Widerstehen Sie dem Erwartungsdruck, viel unnötigen Compliance-Aktionismus an den Tag zu legen, um dann im Nachgang mühsam den Erfolg (d. h. die Wirksamkeit) der Maßnahmen messen und bewerten zu müssen. Nehmen Sie sich stattdessen vielmehr die Zeit, zuerst die Ursachen und Auslöser der wesentlichsten Compliance-Risiken zu analysieren und dann anschließend erst über geeignete Mitigierungs-Maßnahmen zu entscheiden.

Markus Jüttner, Rechtsanwalt (Syndikusrechtsanwalt), Vice President Group Compliance der E.ON SE und Vorstandsmitglied des Deutschen Instituts für Compliance (DICO e. V.). Die Ausführungen geben ausschließlich die private Meinung des Autors wieder. Markusjuettner@gmail.com