Ob Schwarzgeldzahlungen an staatliche Stellen, das Ausplaudern von Firmengeheimnissen durch Mitarbeiter oder die übereilte Überweisung einer telefonischen Zahlungsanweisung des angeblichen Chefs – die Bandbreite möglicher Compliance-Vergehen ist groß. Nun denken viele Entscheider: Uns kann das nicht passieren. Ein Trugschluss, bei einem Blick in die vielen Meldungen zu Compliance-Verstößen großer und kleiner Unternehmen. Und auch im Rahmen des diesjährigen RiskNET Summit, der am 5. und 6. November im Schloss Hohenkammer stattfand, wurde das Thema Compliance diskutiert.
Und auch in diesem Bereich herrscht in den Unternehmen und dem Management viel Unsicherheit, sprich wie mit dem Thema Compliance organisationsweit umzugehen ist. Ein Faktor, der auch während des zweitägigen RiskNET Summit zur Sprache kam. Denn neben dem Einhalten von Compliance-Regeln, ist für viele Entscheider in der täglichen Arbeit nicht immer klar, wo Compliance-Risiken lauern und wie man diese bewertet.
Vom Prüfstandard zum Messen
Doch es gibt Lösungen. "Messen – Wiegen – Zählen", über die Compliance-Risiken und die -Wirksamkeit referierte Sebastian Koch, Group Compliance beim Energieversorger EON. Koch stellte die Frage: Was ist das Ziel eines Compliance- Managementsystems, kurz CMS, in Organisationen? Seine Antwort bezog er auf den Prüfungsstandard für Compliance-Managementsysteme nach "IDW PS 980". Darin geht es um "die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten". Und mehr noch steht "die Einhaltung bestimmter Regeln und damit […] die Verhinderung von wesentlichen Verstößen (Regelverstöße)" im Mittelpunkt.
Sebastian Koch von EON zum Thema: "Messen – Wiegen – Zählen" im Compliance-Umfeld [Bildquelle: Stefan Heigl / RiskNET GmbH
Soweit zum theoretischen Standard und der etwas sperrigen Formulierung. Doch wie kann Compliance in der Realität gemessen und vor allem gelebt werden? Kochs Antwort: "Die Lösung liegt in einer besseren Messung." Demnach können effektive Compliance-Programme nicht ohne effektive Messwerkzeuge entwickelt werden. Denn eine bessere Compliance-Messung führt zu einem besseren Compliance-Management. Wichtig sei es nach Koch, sich selbst und das jeweilige CMS auf die Probe zu stellen. In diesem Zusammenhang geht es auch um zentrale Fragen nach der Fehlerkultur und den in der Organisation gelebten Werten. Gibt es ein Compliance-Mindset im Management sowie Anreize für die Mitarbeiter, sich legal zu verhalten?
[vimeo:372172761]
Kulturelle Unterschiede werden zu wenig berücksichtigt
Ein Hauptaugenmerk muss in einem solchen Compliance-Prozess auf die jeweilige Kultur im Unternehmen gelegt werden – sei es lokal oder bei großen Unternehmen international und damit auf die jeweiligen Länderunterschiede. Ein Schlüsselfaktor, um Compliance überhaupt ins Leben zu rufen und die notwenige Akzeptanz bei den Mitarbeitern zu schaffen.
Denn ohne die Kollegen vor Ort und mit der notwenigen Unternehmenskultur ist ein Organisationsweites Compliance-Management nicht umsetzbar. Dies bestätigt auch Josef Scherer, Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement an der Technischen Hochschule in Deggendorf (THD).
"Viele Unternehmen berücksichtigen zu wenig die kulturellen Unterschiede innerhalb der eigenen Organisation sowie in Bezug auf die Ländergesellschaften", so Scherer. Mit dem Masterstudiengang Risiko- und Compliance-Management bietet die THD seit Jahren einen erfolgreichen Studiengang zum Thema an, um den akademischen Nachwuchs zu fördern.
Ein Modell zur Wirksamkeitsmessung von Compliance
Apropos akademischer Nachwuchs. Aus dessen Reihen entsprang das Compliance-Index-Modell. Genauer gesagt von Sebastian Rick, der das Modell entwickelte (siehe hierzu auch das Interview im Infokasten). Rick arbeitet als Seniorberater bei der KPMG und ist Experte für quantitative Methoden zur Messung und Verbesserung der Wirksamkeit von Compliance. Mithilfe des Compliance-Index-Modells lasse sich nach Ricks Worten die Wirkung von Compliance-Maßnahmen durch die Messung der Ursache-Wirkungs-Beziehung ermitteln. Rick: "Das Compliance-Index-Modell ist ein neuartiges mitarbeiterbasiertes Messsystem, um die Wirksamkeit von Maßnahmen und Programmen zu beurteilen und zu verbessern." Mit dem Fokus auf die Zielsetzung spricht der KPMG-Manager unter anderem von einer schnellen und kostengünstigen Mess- und Vergleichbarkeit der Compliance-Kultur, einer übergreifenden Messung und Steuerung der Effektivität von Maßnahmen und Programmen sowie von einem fundierten internen und externen Benchmarking. Bei der Methode wird auf eine standardisierte und zugleich anonyme Mitarbeiterbefragung gesetzt.
Das Compliance-Index-Modell erklärte Sebastian Rick in seinen Ausführungen [Bildquelle: Stefan Heigl / RiskNET GmbH]
Diese Informationen dienen als Dateninput für ein empirisch fundiertes, praxiserprobtes quantitatives Modell. Hinzu kommt eine Befragung auf Basis eines Selbstauskunftsfragebogens. "Die Wirkungsbeziehungen werden mithilfe der kausalanalytischen PLS-Methodik ermittelt", so Rick. Das heißt mit der "causal-predictive method". Den Mehrwert umschreibt er unter anderem mit einem Einblick in die Einstellungen und Verhaltensweisen der eigenen Mitarbeiter, dem Erkennen der Wirksamkeit konkreter Maßnahmen zur Reduzierung von Risiken sowie dem identifizieren risikobehafteter Mitarbeitergruppen im Unternehmen samt wertvoller Informationen zur Weiterentwicklung von Maßnahmen und Programmen. Und Rick resümiert: "Da die mithilfe des Compliance-Index-Modells erzielten Ergebnisse zwischen verschiedenen Mitarbeitergruppen oder Bereichen im Unternehmen vergleichbar sind, können gezielt Verbesserungsmaßnahmen abgeleitet und die Ergebnisse als Controllinginstrument auf vielfältige Weise für den Unternehmenserfolg genutzt werden.
Im Interview: Sebastian Rick, KPMG
Compliance heißt auch: "Walk the Talk"
Das Compliance-Index-Modell macht die Wirkung von Compliance durch Messung von Ursache-Wirkungs-Beziehungen sichtbar. Wie das geschieht, welche Mehrwerte ein solches Modell mit Blick auf Mitarbeiterschulungen, aber auch hinsichtlich der Wirksamkeit, bietet, darauf gab uns Dr. Sebastian Rick von der KPMG im Rahmen des RiskNET Summit Antworten.
Unternehmen versuchen das Compliance-Problem mit Mitarbeiterschulungen in den Griff zu bekommen, zumeist mit kostengünstigem jährlichem E-Learning. Was bringt das wirklich?
Sebastian Rick: Unternehmen, deren Mitarbeiter und Führungskräfte Regeln nicht einhalten, müssen mit hohen Strafzahlungen und evtl. Haftstrafen rechnen. Zum materiellen Verlust – auch durch Rechtsanwalts- und Gerichtkosten – kommen unter Umständen noch die Herabstufung der Bonität hinzu und auf alle Fälle ein Imageschaden. Bspw. mussten Banken weltweit zwischen 2008 und 2019 mehr als $350 Milliarden an Strafzahlungen für Fehlverhalten zahlen. Vor diesem Hintergrund lohnen sich Mitarbeiterschulungen, wie zum Beispiel E-Learning.
Ob es sich dabei allerdings um diejenigen Maßnahmen im Unternehmen handelt, die den stärksten Effekt auf die Mitarbeiter-Compliance haben, lässt sich nur durch entsprechende Messungen mit Hilfe des Compliance-Index-Modells herausfinden.
Mit welchen Maßnahmen kann Mitarbeiter-Compliance sonst wirksam verbessert werden?
Sebastian Rick: Nun das hängt ganz von den Mitarbeitern eines Unternehmens ab. Beispielsweise lässt sich durch entsprechende Messungen aufzeigen, dass es Mitarbeitergruppen im Unternehmen gibt, die sich in der Wirksamkeit der Maßnahmen unterscheiden. Beispielsweise könnte sich herausstellen, dass es eine Mitarbeitergruppe im Unternehmen gibt, bei der nur bestimmte Maßnahmen, wie zum Beispiel E-Learning, beibehalten werden müssen, um die Mitarbeiter-Compliance wirksam zu verbessern, und die übrigen Maßnahmen, wie zum Beispiel Kontrollen, von untergeordneter Bedeutung sind.
Verhaltensänderungen zu bewirken, ist schwierig. Führt der Compliance-Officer nicht eigentlich einen Kampf gegen Windmühlen?
Sebastian Rick: Nicht mit den richtigen Instrumenten, wie z.B. dem Compliance-Index-Modell. Im Kern untersucht das Modell mithilfe einer Reihe statistischer Verfahren Ursache-Wirkungs-Beziehungen zwischen Maßnahmen und Mitarbeiterverhalten und ermöglicht so die quantitative Abschätzung der Wirkungszusammenhänge. Das Ergebnis ist ein mitarbeitergruppenspezifischer Compliance-Index (KPI), mit dem die Wirksamkeit der Maßnahmen innerhalb der Organisation gemessen, gesteuert und überwacht werden kann. Es stellt somit ein aussagekräftiges Analyseinstrument dar und ist ein hilfreiches Controllinginstrument für Compliance-Officer.
Der Compliance-Index wird genutzt, um Stärken und Schwächen im Compliance-Management zu identifizieren und daraus, falls notwendig, strategische Maßnahmen zur Verbesserung abzuleiten.
Dazu lassen sich modellgestützt mitarbeitergruppenspezifische, datengetriebene Handlungsportfolios aufbauen, die dabei helfen, Ressourcen effektiv einzusetzen, um die Wirksamkeit der Maßnahmen zu verbessern. Die Wirkung umgesetzter Maßnahmen kann im Zeitablauf betrachtet werden und zeigt die Entwicklung des Compliance-Indexes. Weil es sich bei dem Modell um einen quantitativen Ansatz handelt, erhalten Anwender "harte", belastbare Ergebnisse, die sich durch ein hohes Maß an Objektivität und Vergleichbarkeit auszeichnen. Aus einem schlichten "immer mehr" wird so ein effizienter, mitarbeitergruppenspezifischer Ansatz der Compliance-Steuerung.
Viele Unternehmen verabschieden auch einen Ethik-/Verhaltenskodex als Teil ihres Compliance-Managementsystems: Feigenblatt-Aktion oder wirksame Compliance-Maßnahme?
Sebastian Rick: Ob es sich um eine Feigenblatt-Aktion oder eine wirksame Compliance-Maßnahme handelt, hängt maßgeblich davon ab, ob der Ethik-/Verhaltenskodex im Unternehmen auch gelebt wird. So zeigen empirische Studien, dass Führungskräfte dabei eine entscheidende Rolle spielen. Unter anderem reagieren Mitarbeiter verbittert auf Führungskräfte, die über die Wichtigkeit ethischen Verhaltens sprechen, sich aber selbst nicht an die Regeln halten, deren Einhaltung sie bei ihren Mitarbeitern voraussetzen. Ergo sollten Führungskräfte getreu der Devise "Walk the Talk" durch ihr eigenes Verhalten unmissverständlich klarstellen, dass sie von den Mitarbeitern ethisch einwandfreies Verhalten erwarten. Dieses dürfte vor dem Hintergrund aktueller Diskussionen nicht nur durch regulative Zwänge, wie Regelungen, Gesetze und Sanktionen, die traditionell mit Compliance verbunden werden, geprägt sein. Und auch kognitive Zwänge, wie Erfordernisse, die sinnvoll erscheinen oder als organisationsüblich angesehen werden, sind weniger zielführend. Das Ganze muss in erheblichem Maße durch normative Zwänge, wie Verpflichtungen gegenüber der Gesellschaft oder dem, was Interessensgruppen als "richtig" erachten, geprägt sein.
Ob Führungskräfte tatsächlich der "Walk the Talk" Devise folgen und ob der Ethik-/Verhaltenskodex eine Feigenblatt-Aktion oder wirksame Compliance-Maßnahme ist, lassen sich in der Praxis mithilfe des Compliance-Index-Modells untersuchen und aufzeigen.
Wie können Unternehmen konkretes Fehlverhalten wie etwa Geldwäsche sanktionieren? Wie kann das in der Praxis aussehen?
Sebastian Rick: Beispielsweise in dem sie die in den Verstoß involvierten Mitarbeiter mit den Konsequenzen ihres Verhaltens konfrontieren. In der Praxis sollten Unternehmen eine offene Arbeitsatmosphäre pflegen und ihre Mitarbeiter ermutigen, Verhalten zu hinterfragen und Hinweise auf mögliche Regelverstöße zu geben, indem sie sich an ihre Vorgesetzten, Anti-Geldwäsche-, Anti-Bestechungs- und Anti-Korruptions-Beauftragte oder die Compliance-, Rechts- oder Personalabteilung wenden.
Darüber hinaus sollten Unternehmen ein Hinweisgebersystem implementieren, über das der Verdacht auf unethische oder unangemessene Geschäftspraktiken anonym gemeldet werden kann. Auch die Wirksamkeit dieser Maßnahmen kann mithilfe des Compliance-Index-Modells in der Praxis überprüft werden.
Dr. Sebastian Rick ist Senior Manager im Bereich Financial Services der KPMG AG Wirtschaftsprüfungsgesellschaft und Experte für quantitative Methoden zur Messung und Verbesserung der Wirksamkeit von Compliance. Er ist Mitglied in der Gesellschaft für Risikomanagement und Regulierung e.V. und der Studienstiftung des deutschen Volkes e.V.