Kolumne: Spielräume erkennen
In den vorherigen Ausgaben hat unser Kolumnist Markus Jüttner den Begriff des „Systems“ für die Compliance näher beleuchtet, insbesondere was ein Compliance-System von einem Compliance-Haufen unterscheidet und wann man von einem integrierten Compliance-Management-System (CMS) sprechen kann. Ein bedeutsamer Blickwinkel wurde aber noch nicht betrachtet, nämlich der Kontext.
Spielräume erkennen: Compliance-Verantwortliche müssen immer zwei Systeme im Blick haben – das CMS und die Organisation.
Auch das formal beste CMS ist unwirksam, wenn der Kontext, in dem es eingesetzt wird, nicht berücksichtigt wird. Dieser Kontext ist – wenig überraschend – die jeweilige nationale oder gar internationale Organisation, die regel- und gesetzeskonform ihre Ziele erreichen will und muss. Dabei wäre es ungenügend, die Organisation lediglich aus der juristischen Perspektive (Betrieb, Verband, AG, GmbH, Konzern etc.), der betriebswirtschaftlichen (Auf- und Ablauforganisation) oder aus der psychologischen (Ansammlung bzw. Ort von mehreren Individuen) zu betrachten; denn die jeweilige Organisation selbst ist ein System, jedoch im Gegensatz zum CMS und den einschlägigen Gesetzen ein dynamisches, soziales System, das zudem komplex ist.
So sind Unternehmen weder „einfach“ beziehungsweise „kompliziert“ aufgebaut wie etwa eine Maschine, eine Uhr o.ä., bei der absehbar ist, wenn etwas geändert wird, was dann passiert. Ein Unternehmen ist nicht linear-kausal, dessen Verhalten sich berechnen oder prognostizieren lässt; die Organisationswissenschaften sprechen in diesem Zusammenhang von Emergenz. Manager und Berater sehen entgegen dieser Erkenntnis weiterhin vielfach Organisationen als (komplizierte) Maschinen an, die mit standardisierten Prozessen und Richtlinien zu steuern seien; insofern wird Compliance auch mit einem Schachspiel verglichen. Aber nicht nur der inzwischen verstorbene James March und seine Kollegen haben gezeigt, dass die Vorgänge und Entscheidungen in Organisationen mitnichten den vorgezeichneten Programmen und Regeln folgen. Dahinter steckt keine böse Absicht, sondern es ist Konsequenz komplexer, emergenter, sozialer Systeme.
So werden zwar „kompliziert“ und „komplex“ im Management- und Compliance-Alltag unbedacht synonym verwendet, allerdings ist kompliziert nicht die kleine Schwester von komplex (Habermann/Schmidt 2021). Der Kern in der Unterscheidung liegt in der Vorhersagbarkeit und Kausalität. „Die Grenze zwischen kompliziert und komplex verläuft also zwischen vorhersagbar und überraschend, zwischen statisch und dynamisch und letztlich zwischen tot und lebendig. Der erfolgreiche Umgang mit Komplexität bedingt einen Wechsel der Methode von der Analytik zur Empirie. Verhalten und Kausalitäten lassen sich nicht mehr rein analytisch durch Zerlegen in Komponenten bestimmen, sondern können nur über geeignete Hypothesen und Experimente zu ihrer Verifikation oder Falsifikation verstanden und beschrieben werden.“ (Raitner 2021)
Insofern wird verständlicher, warum Compliance in der Praxis so schwierig zu managen ist. Ein CMS und das jeweils in den Blick genommene Gesetz, was es einzuhalten gilt, sind, wenn nicht einfach dann lediglich kompliziert. Die Organisation, in der das CMS wirken soll, ist hingegen komplex. Maßnahmen und Vorkehrungen, die für einfache bzw. komplizierte Kontexte geeignet sind, passen aber nicht für komplexe Situationen. Das zeigt sich beispielsweise in der Compliance-Risikoanalyse; häufig kommen hier Konzepte und Methoden des konventionellen Risikomanagements zur Anwendung, die für statische, komplizierte Risiken aber eben nicht für dynamische, komplexe Unsicherheits-Zusammenhänge geeignet sind. Die simplifizierten 3x3- bzw. 4x4-Risikomatrixen zeigen dies. Kombiniert man die Analyse mit Detailverliebtheit einerseits und waghalsigen Annahmen andererseits, reichert es mit quantitativen Eintrittswahrscheinlichkeiten, Durchschnittsbildungen an, blendet man Unsicherheit aus und verweigert man sich einer Methodenvielfalt, darf man sich nicht wundern, dass die Compliance-Risikoanalyse mit der realen Organisation und den darin stattfindenden Verhalten und tatsächlich getroffenen Entscheidungen wenig zu tun hat.
Compliance-Management ist somit letztlich nur dann wirksam, wenn es Teil des sozialen Systems ist, d.h. im Kontext von Entscheidung, Informalität, Mitgliedschaft und Vernetzung stattfindet. Das gegenwärtige Compliance-Managementverständnis lässt diesen Zusammenhang häufig außen vor. Compliance-Management wird mit planerischem Organisieren gleichgesetzt (instrumenteller Organisationsbegriff). Übersehen wird, dass das Unternehmen eine Organisation ist (institutioneller Organisationsbegriff). Compliance-Management weist ohne ein entsprechendes Verständnis des Unternehmens als komplexes soziales System idealistische und fiktive Züge auf, sowohl in der Zielsetzung, in der Planung als auch in der Wahl der Mittel. Wirksames Compliance-Management bedarf daher statt einer impliziten Gleichsetzung mit Organisieren (im Sinne planerischen Handelns) eines Organisationsverständnisses (als soziales System). Insoweit hat ein Compliance-Verantwortlicher letztlich immer zwei Systeme zu managen und im Blick zu haben: Das CMS als juristisch-betriebswirtschaftliches System und seine Organisation als soziales System. Wirksame Compliance-Programme legen damit auch den Fokus „eher auf das Verhalten als auf Gesetze sowie Vorschriften und beobachten vor allem die Worte und Handlungen ihrer eigenen Mitarbeiter. Sie fragen sich immer wieder nach dem Warum und Wie und wollen wirklich wissen, was in ihren Unternehmen vor sich geht.“ (Chen 2017)
Markus Jüttner
Markus Jüttner ist Rechtsanwalt und Partner des Fachbereichs Forensic & Integrity Services, Ernst & Young GmbH. Er berät Unternehmen in Fragen der Compliance, der Kultur und der Integrität. markus.juettner@de.ey.com