Kolumne: Spielräume erkennen

Nachdem unser Kolumnist Markus Jüttner in der Mai-Augabe den wichtigen Unterschied zwischen Compliance-Management-Haufen und Compliance-Management-System erläutert hat, zeigt er nun auf, wie der Weg vom Compliance-Haufen zum Compliance-System gelingen kann.

Lassen Sie mich mit einer Zusammenfassung der vorherigen Kolumne beginnen: Ein Haufen von Einzelteilen bzw. einzelnen Maßnahmen bildet noch kein System, selbst wenn man weitere Komponenten hinzufügt. So sprechen zwar viele vom Compliance Management System („CMS“) oder Compliance-System, sie haben aber nach diesem Systemverständnis lediglich einen Haufen von Compliance-Maßnahmen vorliegen. Dies liegt vielfach daran, dass weder die einzelnen Maßnahmen miteinander verknüpft noch die Wechselbeziehung, mithin die Rückkopplungen zwischen diesen erfasst werden. Beschreibungen des installierten CMS – wenn überhaupt vorhanden – fokussieren sich daher in der Regel auf Darstellungen der einzelnen Elemente, aus denen das CMS „besteht“: Die Elemente werden dann vielfach lediglich additiv zuammengefügt, d.h. entweder in Form einer linearen Abfolge oder als Kreis – mit aber nur einer Drehrichtung. Man hat damit die Herangehensweise an Compliance zwar strukturiert, aber Ausführungen zur Wechselbeziehung der Elemente untereinander sind dann weiterhin nicht vorhanden. So heißt es beispielsweise auch in der Gesetzesbgründung zum LkSG (BT-Drs. 19/28649, 41) zum Thema Compliance bzw. Risikomanagementsystem: „Die Sorgfaltspflichten gemäß § 3 sind kein einmaliger Prozess. Sie beinhalten einen sich wiederholenden Kreislauf der verschiedenen, in den §§ 4 bis 10 definierten Verfahrensschritte, die aufeinander aufbauen und sich aufeinander beziehen.“

Aber auch außerhalb des LkSG zeigt bereits ein Blick auf das CMS-Element „Compliance-Programm“, dass es sich eigentlich aus der Compliance-Risikoanalyse speisen und daher je nach deren Ergebnis immer wieder anders aussehen sollte. Das Compliance-Programm wiederum sollte Einfluss auf das (Nicht-) Vorhandensein der Compliance-Risiken haben. Aber auch andere CMS-Elemente bedingen sich untereinander: Das Compliance-Ziel hat Auswirkungen auf das Scoping der Compliance-Risikoanalyse. Compliance-Risiken, auch gravierende, bleiben aber im Zweifel unentdeckt, weil das Compliance-Ziel zu eng, zu weit, zu unspezifisch definiert wurde. Besonders deutlich wird der Unterschied zwischen Haufen und System beim so häufig zitierten Element der Compliance-Kultur. Zwar besteht Einigkeit, dass es das zentrale oder gar integrative Element eines wirksamen CMS darstellt, aber wie man die Kultur beeinflusst, was sie ausmacht, welchen genauen Einfluss sie auf die anderen Elemente hat usw. bleibt oft vage. So steht die Compiance-Kultur quasi „neben“ den anderen CMS-Elementen und wird auf einzelne, isolierte Komponenten wie der Existenz eines Verhaltenskodex, eines „Tone from the top“, der Verkündung von etwaigen Leitwerten, Integritätsworkshops etc. heruntergebrochen. Dabei beeinflusst die Kultur (das „So-machen-wir-es-hier“) jedes einzelne Element, vom Compliance-Ziel über die Compliance-Risikoanalyse bis hin zur Überwachung des CMS. Das Vorhandensein einer ernsthaften Compliance-Kultur wird beispielsweise sichtbar, wenn es um das Verhindern, Aufdecken und Abstellen von Fehlverhalten geht, was erstmal an sich für die Organisation nützlich ist. Ist dies dann auch tatsächlich das Compliance-Ziel? Soll dieses Risiko wirklich von der Compliance-Organisation verhindert, aufgedeckt und abgestellt werden? Sollen dafür fähige Ressourcen und geeignete Tools zur Verfügung gestellt werden, die aber unter Umständen das Geschäft erschweren? Sollen die Mitarbeiter wirklich im Rahmen von Stichproben auf „funktionale Regelabweichungen“ hin kontrolliert werden?

Man sieht allein beim Compliance-Element der Compliance-Kultur, dass diese die anderen Elemente beeinflusst und von diesen wiederum beeinflusst wird. Aber auch bei den anderen Compliance-Elementen bestehen Rekursivitäten, Rückkopplungen, Feedbackloops, d.h. sich wechselseitig bedingende Interaktionen zwischen den einzelnen Elementen. So kommen wir auch zum Kern, was ein wirksames CMS ausmacht: Es ist nicht allein die Existenz einzelner Maßnahmen und deren lineares, mechanisches Abarbeiten, sondern vielmehr die Verknüpfung, die Interaktion und Wechselbeziehung zwischen den einzelnen Elementen in einem spezifischen Kontext. Dieser Kontext ist die Organisation selbst, um derer Willen man ein CMS vorhält. Wer im ersteren Stadium verharrt, also lediglich CMS-Elemente nach einem Schema abarbeitet, der kann in eine sogenannte Zweck-Mittel-Verdrehung verfallen: An sich sollte ein CMS mit seinen Elementen ein Mittel sein, um Regel- und Gesetzeskonformität zu fördern bzw. sich wiederholdendes Fehlverhalten der Organisation zu verhindern (also der Zweck). Liegt aber der Fokus der Compliance-Tätigkeit im – wenn auch systematischen – Abarbeiten von (standardisierten) Elementen eines CMS, so wird das CMS zum Selbstzweck oder in anderen Worten: Das Mittel wird zum Zweck. Die Wahrung formaler Korrektheit, ein CMS bestimmter Art und Güte vorzuhalten, wird dann (schleichendes) Ziel der Compliance-Bemühungen, statt die Organisation „mit“ einem CMS compliant zu halten. Wie ein CMS sich aber an die sich stetig ändernden Umweltbedingungen dynamisch anpasst, wird in der nächsten Kolumne beschrieben.

Markus Jüttner