Kolumne

Über die Compliance-Seele in der Praxis

Compliance, Menschen und Kultur

Andreas Eicher / Frank Romeike [Redaktion RiskNET]19.11.2015, 08:00

Das Wirtschaftsmagazin "brand eins" titelte vor einiger Zeit "Die Chefsache" und fragte: "Wer braucht eigentlich noch einen Chef? Wäre es oben ohne nicht viel besser auf dieser Welt?" Das Magazin schlussfolgert unter anderem: "Compliance funktioniert auch deshalb so gut, weil die Führungskräfte, die davon in Geiselhaft genommen werden, vor allen Dingen und aus Überzeugung Manager sind. Sie haben gelernt, allen Anforderungen standzuhalten, jede Routine zu bedienen, fleißig zu sein – statt zu entscheiden und auch mal gegen den Mainstream zu handeln […] Manager sind die Bürokraten des Kapitalismus. Anführer sind sie nicht." Stimmt das alles? Teils, teils, müsste die Antwort nach dem RiskNET Summit 2015 lauten. Nein, weil die Teilnehmer der zweitägigen Fachkonferenz erfuhren, dass Compliance vielfach nicht gut funktioniert. Ein Beispiel bot Siemens, dessen Compliance Risk Management nach dem Compliance-Desaster im Jahr 2006 neu aufgestellt wurde.

Andererseits ja, denn Führungskräfte und Organisationen werden von überbordenden Gesetzen im Compliance-Umfeld überfordert, ohne Differenzierung. Zudem endet der Bürokratismus im Compliance- und Risikomanagement vielfach in einer Buchhaltung. Aber der Reihe nach.

Ein Blick in die Medien verrät viel über die "Compliance-Seele". Managementverfehlungen sind an der Tagesordnung – sei es in der Automobilbranche, im Bankenumfeld oder der Pharmaindustrie. Das wiederspricht vielen Geschäfts-, Risiko- und Compliance-Berichten in den Unternehmen, die das Gefühl vermitteln es sei organisationsweit alles zum Besten bestellt. Dem wiederspricht Dr. Josef Scherer, Professor für Unternehmensrecht, Risiko- und Krisenmanagement, Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk und Compliance der Technischen Hochschule Deggendorf, von Pflichtaufgaben des Managements beim Thema Compliance. "Die Lageberichte vieler Unternehmen sind auch nach Inkrafttreten vom Deutschen Rechnungslegung-Standard 20 (DRS 20) mit seinen vielfältigen Anforderungen nicht unbedingt verlässlicher geworden", erklärt Scherer. Und er ergänzt: "Man kann per Knopfdruck feststellen, ob möglicherweise im Rahmen des "Benchmarking" nur schön klingende Formulierungen nachgeahmt werden. Oder Lageberichte einschließlich der Chancen-, Risiko- und Prognoseberichte im eigenen Unternehmen seit Jahren nahezu unverändert wiedergegeben werden."

Siemens, Compliance und menschliche Schwächen

Was passiert, wenn Menschen in der Organisation "quer laufen" erörterte Jan Hansen, Head of Compliance Strategy & Risk, Siemens AG, in seinem Vortrag zu "Compliance Risk Assessment @ Siemens". Siemens, 2006 selbst von einer immensen Compliance-Panne betroffen, stellte nach diesem Vorfall die Uhren neu. Das heißt, der Gesamtprozess des Compliance-Managements wurde fundamental umgebaut und verbessert.

Hierzu heißt es im Siemens-Geschäftsbericht 2007: "Vor dem Hintergrund der Ende des Jahres 2006 bekannt gewordenen Korruptionsvorwürfe gegen Mitarbeiter des Unternehmens hat Siemens im Laufe der vergangenen zwölf Monate eine Reihe von wesentlichen Schritten unternommen, um seine Compliance-Verfahren und internen Kontrollen zu verbessern. Das Compliance-Programm wurde unter den Eckpunkten Vorbeugen, Erkennen und Reagieren neu strukturiert." Compliance-Manager Hansen: "Für Siemens war der Vorfall ein Auslöser, das Thema Compliance kulturell ganz anders anzugehen." 2006 war der Konzerne zunächst damit beschäftigt, eine Analyse zu betreiben und die Fälle aufzuarbeiten. Ab dem Jahr 2009 startete das Unternehmen mit der Compliance-Risikoanalyse. Nicht nur, um den eigenen Compliance-Prozess besser aufzustellen, sondern auch vor dem Hintergrund, dass Behörden stärker Richtung Compliance schauen. Die zunehmenden Kartellrechts- und Korruptionsverfahren sind ein eindeutiges Indiz. In diesem Zusammenhang spricht Josef Scherer von Pflichtaufgaben des Managements beim Thema Compliance. "Im Rahmen von Corporate Governance müssen Organisationen herausarbeiten, was zu den Pflichtaufgaben des Managements in den einzelnen Unternehmensfunktionen, Führungs-, Kern- und Unterstützungsprozess-Themen, zählt." Scherer: "Es geht darum, diese Anforderungen transparent zu machen, in messbare Ziele zu übersetzen und mit einem Steuerungs- und Überwachungssystem dafür zu sorgen, dass diese Ziele erreicht werden."

Zurück zu Siemens und dem neuen Weg. Aufgrund der komplexen Struktur bei Siemens gibt es eine Regionen- und Geschäftsverantwortlichkeit. "An diesen Stellen sitzen operative Compliance-Officer", so Hansen zum Organisationsaufbau. Gesamt spricht Hansen von rund 300 Mitarbeitern weltweit, die in den operativen Einheiten sitzen. Hinzu kommen Zentraleinheiten, wie "Regulatory”, "Strategy & Risk Data” und "Corporate Core, Global Services, Financial Services, Anti-Money Laundering”. Hansen ging im Rahmen seines Vortrags auf zwei Kernprozesse innerhalb der Siemens-Organisation ein. Hierzu zählt der   "Compliance Risk Assessment: Bottom-up Compliance risk process”. Ein relativ einfacher Prozess in Form eines Workshops. Ziel war es, dass der jeweilige CEO oder CFO Workshops mit den Compliance-Officer in der jeweiligen Einheit (Lead Country/Division) durchführt. Identifizierte Top-Risiken werden danach vor Ort in den Ländern besprochen, systematisiert, dokumentiert und zentral ausgewertet. Der Vorteil dieses Prozesses liegt für Hansen darin, dass man ein anderes Bild über die speziellen Risiken vor Ort bekommt und kulturelle und nationale Aspekte besser berücksichtigt.

Ein Beispiel: Was kann man als Unternehmen in Nigeria tun, um nicht permanent angehalten zu werden, wenn man eine Turbine von A nach B transportiert. Denn solche Stops sind in der Regel mit massiven Hindernissen, Diskussionen und nicht selten Compliance-Verstößen verbunden. Nach den Worten Hansens stelle solch ein Verfahren vor Ort mit den unterschiedlichen Risikoeinflüssen ein Lernprozess dar. Diese ganzen Maßnahmen laufen parallel zum Enterprise-Risk-Management-Prozess, wo es vielmehr um strategische oder Produktthemen geht.

Zum zweiten Kernprozess zählt die "Compliance Risk Analysis: Top-down Compliance risk process”. Hierbei werden vier bis fünf Einheiten pro Jahr von zentraler Stelle ausgewählt. Es folgt eine detaillierte interne und externe Analyse des gesamten Umfelds. Die Informationen werden gesammelt und konsolidiert, um daraus Fragen für das Management abzuleiten. "Das Ziel ist der Dialog mit dem Management vor Ort", erklärt Hansen den Prozess. Ebenso ausführlich wird der externe Markt nach möglichen Compliance-Schwachstellen abgeklopft und analysiert – inklusive des Marktumfeldes und der Entwicklung, Wettbewerber sowie das juristische Umfeld. Im Grunde geht es nach Hansens Worten darum mit dem Kollegen offen zu diskutieren und die Frage zu stellen, wie sie mit der Beobachtung zu einem potenziellen Risiko umgehen.  

Was passiert, wenn Menschen in der Organisation „quer laufen“ erörterte Jan Hansen, Head of Compliance Strategy & Risk, Siemens AG

Was passiert, wenn Menschen in der Organisation „quer laufen“ erörterte Jan Hansen, Head of Compliance Strategy & Risk, Siemens AG

Ein Compliance-Blick: globale Risikolandkarte, kulturelle Unterschiede

Ein düsteres Bild zeigte Dr. Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A in seinem Vortrag im Rahmen des RiskNET Summit über Brasilien und Russland. Korruption, Misswirtschaft und Rezession verfolgen beide Volkswirtschaften. Sie sind bereits in der Rezession und werden vermutlich auch im kommenden Jahr keine positiven Wachstumsraten erreichen. Auch die Türkei und Südafrika tun sich schwer. Und da ist "Das Unbehagen am Wachstum", wie das Magazin "Le Monde diplomatique" es jüngst schrieb. Denn es spielt keine Rolle ob Brasilien, Russland oder Südafrika. Die genannten Länder kämpfen zumeist mit einem immensen Korruptionssumpf. Und doch müssen kulturelle Unterschiede mit in die Betrachtung von Compliance-Vergehen einbezogen werden.

Dr. Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.

Dr. Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.

Exkurs: Unterschiedliche Compliance-Kultur

Erstaunlich an der ganzen Compliance-Diskussion ist die Tatsache, dass sich die Frage der Unternehmens- oder Compliance-Kultur rein auf die jeweilige Organisation bezieht, ergo das große Ganze außen vor lässt. Denn wie eingangs beschrieben sind Länderkulturen unterschiedlich und ein übergestülpter Compliance-Ansatz fasst hier zu kurz – nicht nur aus sprachlichen oder regulatorischen Gründen, sondern aufgrund kultureller Gesichtspunkte. Im Umkehrschluss heißt das, die Binnensicht zu verlassen und den Blick auf die Außensicht zu lenken.

Beispiel Südafrika: Das Land gilt als Paradebeispiel einer gelungenen Wende von einem Apartheidsystem hin zu einem gewaltfreien und demokratischen Weg als Regenbogennation. Und doch herrscht weiterhin eine Zweiklassengesellschaft. Das heißt, ohne Schmiergeldzahlungen, politisch motivierte Einflussnahme im Sinne der Herrschenden und "Auftragsschiebereien" geht in vielen Bereichen nichts. Die deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) formuliert es so: "In einer Umgebung, in der eine schwarze Mittelschicht dank staatlicher Förderprogramme rasch wachsen kann und auch die Gruppe der 'Black Diamonds', der neureichen Schwarzen, an Einfluss gewinnt, gedeiht die Korruption.

Für diejenigen unter 'Mandelas neureichen Enkeln', die sich dabei auch noch lukrative Staatsaufträge sichern können, hat die Gesellschaft den Begriff 'Tenderpreneurs' geprägt, eine Wortschöpfung aus 'tender' (Ausschreibung) und 'entrepreneur' (Unternehmer)."

Beispiel Russland: Auch das flächenmäßig größte Land der Erde kämpft mit Korruption. Zu den Sprachbarrieren (Anmerkung: Russischkenntnisse sind im Umgang mit Behörden sowie in den Regionen unabdingbar) kommen für ausländische Investoren die enormen Entfernungen hinzu. Das heißt, was in Moskau beschlossen wird, muss in Nowosibirsk oder Wladiwostok nicht unbedingt Maßstab sein. Lokale Machthaber, regierungstreue Politiker sowie Verwalter sichern sich ihre Pfründe und verdienen kräftig mit bei regionalen Entwicklungs- und Wirtschaftsvorhaben. Und darauf müssen sich ausländische Investoren einstellen. Bestechung, bürokratische Hürden (die teils mit Schmiergeldern aus dem Weg geräumt werden) und das Sponsoring örtlicher Einrichtungen öffnen die Türen zum Business. Der "Exportbericht Russland" der "Außenwirtschaft Austria" in Kooperation mit der Industrie- und Handelskammer in Bayern kommt zu dem Schluss: "Die wohl wichtigsten Charakteristika hierbei sind die große Bedeutung der Schattenwirtschaft, das Vertrauen auf persönliche und informelle Beziehungen, das ausgeprägte Hierarchiedenken und die besondere Stellung der Bürokratie. Laut Schätzungen bewegen sich mehr als 30 Prozent der russischen Wirtschaft im Schwarz- und Graubereich, sodass russische Geschäftsleute die Tendenz haben, auch im Geschäft mit Ausländern Verträge über Drittfirmen zu konstruieren und gesetzliche Anforderungen und Probleme zu umgehen." Und der Bericht sieht eine vielfach hemmende Bürokratie als weiteres Problem: "Die Zusammenarbeit mit der russischen Bürokratie gestaltet sich oftmals schwierig. Große Ermessenspielräume, informelle Netzwerke und niedrige Gehälter einfacher Beamter begünstigen Problemsituationen, die zu unorthodoxen Vorgehensweisen führen können. Außerdem können eine Vielzahl widersprüchlicher Vorschriften und eine sehr formalistische Auslegung von Bestimmungen eine rasche Erledigung von Behördenwegen verhindern."

Die Frage, warum Manager nach wie vor erhebliche Compliance-Verstöße begehen, hat für Josef Scherer viele Facetten: "Leichtfertigkeit, Naivität oder Unwissenheit ist eine Ursache für Verstöße." Hier würde nach Scherers Worten die Sensibilisierung und entsprechende Weiterbildung des Managements im Bereich Governance, Risk & Compliance, kurz GRC, viel bewirken. Eine Besonderheit besteht im Bereich GRC-Basiswissen für Entscheider. Es fehlen in den grundlegenden Ausbildungsmöglichkeiten für das Management, technische, juristische oder betriebswirtschaftliche Studien- oder Ausbildungsgänge. Aber gerade das wäre sinnvoll, um Manager wieder zum Anführer im Compliance-Umfeld zu machen.

Prof. Dr. Josef Scherer, Professor für Wirtschaftsprivatrecht und Unternehmensrecht, insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht

Dr. Josef Scherer, Professor für Wirtschaftsprivatrecht und Unternehmensrecht, insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht

[ Bildquelle: © DOC RABE Media - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Kolumne

Blickpunkt

Digital, digitaler, am digitalsten

Redaktion RiskNET06.09.2017, 10:09

Als im Jahr 1761 das französische Schiff "Utile" vor der Insel Tromelin im indischen Ozean sank, rettete sich eine Gruppe von Sklaven auf das Eiland. Die nur rund 1,7 Kilometer lange und...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...