Wirksamkeit formaler Compliance-Managementsysteme

Wie man Verhalten wirksam steuern kann


Wirksamkeit formaler Compliance-Managementsysteme: Wie man Verhalten wirksam steuern kann Study

Eine neue Befragung von mehr als 220 Chief Compliance Officer (CCO) zeigt, dass Unternehmen aller Branchen planen, ihre Fähigkeit zum Begrenzen und Verhindern von Fehlverhalten zu verbessern. Diese Entwicklung erfolgt angesichts eines intensiveren öffentlichen Bewusstseins für ethisches Verhalten und einer gestiegenen regulatorischen Erwartungshaltung, messbare Erfolge bei der Verbesserung der Wirksamkeit formaler Compliance-Managementsysteme nachzuweisen.

Die CCO-Umfrage 2019 von KPMG mit dem Untertitel "Insights for the Future of Ethics & Compliance" hebt hervor, dass die meisten Unternehmen, unabhängig von ihrer Branche, Compliance-Risiken sehr ernst nehmen. Die Studie basiert auf einer Befragung von mehr als 220 Chief Compliance Officer (CCO) aus den größten Unternehmen in verschiedenen Branchen und identifiziert u.a. fünf Hauptbereiche, in denen CCOs eine stärkere Integration ihres Compliance-Managementsystems in die täglichen aufgabenbezogenen Prozesse der Organisation planen: Training (67 Prozent), Investigations (55 Prozent), Monitoring & Testing (55 Prozent), Due Diligence (26 Prozent) und Governance (24 Prozent).

Compliance-Managementsysteme können allgemein als formale, in Unternehmen eingesetzte Kontrollsysteme, das heißt als Systeme, die Mitarbeiterverhalten berechenbarer machen und auf eine Übereinstimmung zwischen Mitarbeiterverhaltensweisen und den Erwartungen der Organisation hinwirken sollen, charakterisiert werden. In der organisationswissenschaftlichen und soziologischen Literatur sind Kontrollsysteme bereits vielfach untersucht worden, wobei eine Reihe unterschiedlicher Dimensionen dieser Systeme herausgearbeitet wurde. Demnach unterscheidet man Kontrollsysteme gewöhnlich danach, ob sie Ordnung im Verhalten der Mitarbeiter erzeugen, indem sie bestimmte Verhaltensweisen erzwingen, oder aber dafür sorgen, dass Mitarbeiter sich mit kollektiven Organisationsnormen und -werten identifizieren und sich für diese engagieren. Im ersten Fall wird ein Kontrollsystem als notwendig angesehen, um das Mitarbeiterverhalten in Übereinstimmung mit Erwartungen der Organisation zu bringen, gelegentlich auch unter Verwendung von Zwang. Im zweiten Fall geht man von der Annahme aus, dass die Ziele der Organisation derart sind, dass die Mitarbeiter sich mit ihnen identifizieren können und sich daher zielkonform verhalten, vielleicht auch deswegen, weil sie mit den Bedürfnissen, Zielen oder der Identität des einzelnen Mitarbeiters im Einklang stehen.

Die Wirkungen formaler Compliance-Managementsysteme können sehr vielfältig sein, und irgendwie kann jede Maßnahme einen positiven Effekt auf die Einstellungen und Verhaltensweisen der Mitarbeiter haben. Solange die genaue Wirkungsweise der Maßnahmen jedoch nicht bekannt ist, können diese Effekte nicht gesteuert und belegt werden. Ziel muss es daher sein, aufzuzeigen, wie die Maßnahmen auf Mitarbeiterebene ankommen, damit vorhandene Ressourcen optimal allokiert und eingesetzt werden können, um Compliance-Managementsysteme gezielt zu verbessern.

So zeigen empirische Studien (vgl. Rick 2018) beispielsweise, dass nicht die dimensionale Breite und Vielfalt an Maßnahmen entscheidend ist, um das Verhalten der Mitarbeiter positiv zu beeinflussen, sondern deren Wahrnehmung durch die Mitarbeiter. Was nützt ein Ethik-/Verhaltenskodex, wenn Mitarbeiter davon überzeugt sind, dass dieser nicht ernst zu nehmen ist? Was bringen Richtlinien und Verfahrensanweisungen, wenn Mitarbeiter glauben, dass diese leicht außer Kraft gesetzt oder umgangen werden können? Wie effektiv können Hinweisgebersysteme sein, wenn Mitarbeiter nicht bereit sind, Verstöße zu melden?

Wirkung von Maßnahmen messen

Unterstützt wird dieses Ziel durch das Compliance-Index-Modell (vgl. Rick 2018). Es ist Ergebnis zweier empirischer Studien, die an der Frankfurt University of Applied Sciences mit Unterstützung des Frankfurter Instituts für Risikomanagement und Regulierung (FIRM) durchgeführt wurden.

Im Prinzip umfasst das Compliance-Index-Modell eine Reihe statistischer Verfahren zur Untersuchung komplexer Beziehungsstrukturen zwischen Maßnahmen und Mitarbeiterverhalten und ermöglicht so die quantitative Abschätzung der Wirkungszusammenhänge. Ein charakteristisches Merkmal des Modells ist, dass mit latenten Variablen (auch hypothetische Konstrukte genannt) gearbeitet wird. Latente Variablen sind dadurch gekennzeichnet, dass sie sich einer direkten Beobachtbarkeit auf empirischer Ebene entziehen. Es bedarf daher zunächst geeigneter Indikatoren, mit deren Hilfe empirische Beobachtungswerte für die latenten Variablen gewonnen werden können. Indikatoren sind direkt gemessene Beobachtungen (Rohdaten), die entweder als Items (eines Fragebogens) oder als Messvariablen bezeichnet werden. Ein Beispiel für eine latente Variable im Compliance-Index-Modell ist das wahrgenommene Compliancerisiko, also das aktuelle oder potenzielle Risiko für Erträge und Kapital, das durch Verstöße gegen Gesetze, Regelungen, Vorschriften, Vereinbarungen, vorgeschriebene Praktiken oder ethische Standards entsteht. Unter Verwendung dieser Ausgangsdaten können dann die Wirkungszusammenhänge zwischen den latenten Variablen mit Hilfe der Verfahren der Strukturgleichungsanalyse geschätzt werden.

Dazu werden die Wirkungszusammenhänge in einem linearen Mehrgleichungssystem (sog. Strukturgleichungen) abgebildet und die Modellparameter mit Hilfe des Partial Least Squares (PLS) -Ansatzes (vgl. Wold 1973, 1975, 1982) so geschätzt, dass die Erklärungs- und Prognosekraft des Modells im Hinblick auf das Compliancerisiko maximiert wird. Im Prinzip ist der dabei zur Anwendung kommende PLS-Algorithmus eine Sequenz von Ordinary Least Squares (OLS) -Regressionen in Form von gewichteten Vektoren, die nach dessen Konvergenz Fixpunktgleichungen erfüllen. In anderen Worten fasst das Modell die Wirkungszusammenhänge zwischen Maßnahmen und Mitarbeiterverhalten formal so, dass diese effektiv messbar und damit steuerbar werden.

In Kombination mit einer Clusteranalyse lassen sich auf diese Weise Mitarbeitergruppen im Unternehmen finden, die sich in der Wirksamkeit der Maßnahmen unterscheiden. Unter dem Begriff Clusteranalyse werden unterschiedliche Verfahren zur Gruppenbildung zusammengefasst, die sich vor allem im Hinblick auf folgende zwei Aspekte unterscheiden:

  1. Wahl des Proximitätsmaßes, d. h. des statistischen Maßes, mit dem die Ähnlichkeit bzw. Unähnlichkeit (Distanzmaße) zwischen Objekten gemessen wird.
  2. Wahl des Gruppierungsverfahrens, d. h. der Vorgehensweise, nach der eine Zusammenfassung von ähnlichen Objekten zu Gruppen (Fusionierungsalgorithmen) oder aber die Zerlegung einer Erhebungsgesamtheit in Gruppen (Partitionierungsalgorithmen) erfolgen soll.

Das Ergebnis ist ein mitarbeitergruppenspezifischer Complianceindex (KPI), mit dem die Wirksamkeit der Maßnahmen innerhalb der Organisation gemessen, gesteuert und überwacht werden kann (siehe Abb. 01).

Abb. 01: Mitarbeitergruppenspezifischer Complianceindex (KPI)
Abb. 01: Mitarbeitergruppenspezifischer Complianceindex (KPI)

Darüber hinaus ist der Index auch in Einzelkomponenten zerlegbar. Er stellt somit ein aussagekräftiges Analyseinstrument dar und ist ein hilfreiches Controllinginstrument für das Management eines Unternehmens. Der Complianceindex wird genutzt, um Stärken und Schwächen im Compliance-Managementsystem zu identifizieren und daraus, falls notwendig, strategische Maßnahmen zur Verbesserung abzuleiten.

Dazu können modellgestützt konkrete, datengetriebene Handlungsportfolios aufgebaut werden, auf die man sich konzentrieren sollte, um vorhandene Ressourcen effektiv einzusetzen (siehe Abb. 02). Um das gemessene Indexniveau zu halten, müssen Maßnahmen im rechten oberen Quadranten beibehalten werden ("Stärken"). Um das gemessene Indexniveau zu verbessern, müssen Maßnahmen im rechten unteren Quadranten überarbeitet werden ("Schwächen"). So zeigt das Beispiel "Mitarbeitercluster B", dass hier präventive (z.B. Trainings) und reaktive (beispielsweise Investigations) Maßnahmen des Compliance-Managementsystems verbessert werden müssen, um die Wirksamkeit zu erhöhen. Der Tone from the Top (beispielsweise Vorbildfunktion der Führungskräfte) und detektive Maßnahmen (z.B. Monitoring & Testing) sind hier von untergeordneter Bedeutung. Durch wiederkehrende Messungen kann der Erfolg von Maßnahmen zur Verbesserung der Wirksamkeit des Compliancemanagementsystems im Zeitablauf aufgezeigt werden, so wie es bspw. vom U.S. Department of Justice (DOJ) seit kurzem gefordert wird (vgl. DOJ 2019, S.13).

Abb. 02: Handlungsportfolio Mitarbeitercluster B

Abb. 02: Handlungsportfolio Mitarbeitercluster B

Auf den Punkt gebracht

Der Complianceindex hat zum einen eine Informationsfunktion, denn er vermittelt wichtige Informationen über Stärken und Schwächen des Compliance-Managementsystems eines Unternehmens. Außerdem kann er in einzelne Komponenten zerlegt werden. Wird zusätzlich eine Clusteranalyse durchgeführt, ermöglicht diese eine Betrachtung der Wirksamkeit des Compliance-Managementsystems in unterschiedlichen Mitarbeitergruppen. Zum anderen hat der Index eine Steuerungsfunktion, da aus den ermittelten Stärken und Schwächen strategische Maßnahmen zur Verbesserung der Wirksamkeit des Compliance-Managementsystems abgeleitet werden können. Die Wirkung umgesetzter Maßnahmen kann im Zeitablauf betrachtet werden und zeigt die Entwicklung des Complianceindexes. Eine weitere Funktion des Indexes ist die Kommunikation, denn er bildet ein wichtiges Diskussionsthema im Unternehmen, um an der Verbesserung der Compliancekultur zu arbeiten. Darüber hinaus wird der Complianceindex von Unternehmen dazu eingesetzt, Verbesserungen der Wirksamkeit des Compliance-Managementsystems nach außen zu kommunizieren (vgl. E.ON SE 2019, S.89).

Autoren

Dr. Sebastian Rick, KPMG AG Wirtschaftsprüfungsgesellschaft, Frankfurt am Main

Timo Purkott, KPMG AG Wirtschaftsprüfungsgesellschaft, Frankfurt am Main

Professor Dr. Ralf Jasny, Frankfurt University of Applied Sciences

Quellenverzeichnis sowie weiterführende Literaturhinweise:

  • KPMG LLP (2019): 2019 CCO Survey. Insights for the future of ethics and compliance.
  • U.S. Department of Justice (2019): Evaluation of Corporate Compliance Programs. Guidance Document. Updated: April 2019.
  • E.ON SE (2019): Sustainability Report 2018.
  • Rick, S. (2018): Das Compliance-Index-Modell. Wie der Wertbeitrag von Compliance aufgezeigt werden kann. Springer Gabler, Wiesbaden.
  • Wold, H. (1973): Nonlinear Iterative Partial Least Squares (NIPALS) Modeling: Some Current Developments, in Multivariate Analysis, vol. 3, Paruchuri R. Krishnaiah, Hrsg., New York: Academic Press, 383-407.
  • Wold, H. (1975): Path Models with Latent Variables: The NIPALS Approach, in Quantitative Sociology: International Perspectives on Mathematical and Statistical Modeling, H.M. Blalock, A. Aganbegian, F.M. Borodkin, R. Boudon, and V. Capecchi, Hrsg., New York: Academic Press, 307-357.
  • Wold, H. (1982): Soft Modeling: The Basic Design and Some Extensions, in Systems Under Indirect Observations: Part I, Karl G. Jöreskog and Herman Wold, Hrsg., Amsterdam: North-Holland, 1-54
[ Source of cover photo: Adobe Stock | Abb. 01 und Abb. 02: Autoren ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.