Ursprünglich aus anderen Gebieten wie der Medizin bekannt, avanciert der Begriff "Compliance" seit einiger Zeit zum Modewort. Doch was genau verbirgt sich hinter dem englischen Begriff? In der Medizin fragt er die Therapietreue des Patienten ab. In der Wirtschaftswelt wird er vielseitig verwendet: bei der Frage nach der Legitimation von Nonprofit-Organisationen, bei Diskussionen über Corporate Governance, Solvency II oder Basel III. Unternehmen richten Complianceabteilungen ein und ernennen Compliancebeauftragte. Häufig sind sie dem Bereich des Risikomanagement zugeordnet. Die Vielschichtigkeit von Compliance zeigt jedoch, dass dies zu kurz greifen kann. Unterschiedlichste Facetten müssen berücksichtigt werden, um den externen Anforderungen an Compliance gerecht werden und gleichzeitig zum nachhaltigen Unternehmenserfolg beitragen zu können.
Governance beschreibt in der ökonomischen Diktion das System der gewählten Ausgestaltungsform von Transaktionsbeziehungen (siehe auch das aktuelle Stichwort im IfG-Newsletter 1/2009, abrufbar unter www.ifg-muenster.de). Drei übergeordnete Formen stehen dabei zur Verfügung: die Abwicklung der Transaktion über den Markt, mit Partnern, oder im eigenen Unternehmen. Jede Form beinhaltet ein unterschiedliches Set an Wirkungsmechanismen, also an Anreizintensitäten, administrativen Kontrollmöglichkeiten und verfügbaren Vertragsrechten. Im Rahmen von Organisationsentscheidungen geht es um die Suche nach der ökonomisch-optimalen Governanceform. Seit einigen Jahren haben jedoch zunehmende Wirtschaftsskandale, aufgedeckte "schwarze Kassen" und Korruptionen die Frage aufgeworfen, was ein "optimal gewähltes Set an Governancemechanismen" nützt, wenn die von ihm umgebenden Wirtschaftssubjekte nicht danach handeln. Negativbeispiele wie die WestLB, Siemens oder Unicef zeigen, dass sich Verhaltensweisen entgegen dem Governancesystem nicht nur in der Privatwirtschaft, sondern auch im öffentlichen und nichtgewinnorientierten Sektor finden lassen. Der Fall Enron zeigt, dass der damit verbundene einzel- und gesamtwirtschaftliche Schaden immens sein kann.
Viele Definitionen
Wie können folglich solche Skandale, Fälle von Missmanagement oder Veruntreuung vermieden werden? Wie müssen die eingangs genannten Wirkungsmechanismen ausgestaltet sein, damit sie nicht nur Effizienz und Effektivität, sondern auch Regelkonformität gewährleisten? Wie kann die Legalität aller Organisationsaktivitäten sichergestellt werden? Das alles sind Fragen nach der Compliance einer Organisation und ihrer Organe. Aus Sicht der Organisationsleitung kann Compliance proaktiv als "Organisation von Legalität und Rechtstreue in Unternehmen" (Stober 2010) definiert werden, während der Begriff reaktiv aus Mitarbeitersicht regelkonformes Verhalten umschreibt. Ebenso kann Compliance aus organisationsexterner und -interner Sicht erklärt werden: Während Erstere die Beachtung aller extern vorgegebenen Regeln und Gesetze beinhaltet, beschreibt Letztere zusätzlich noch das Einhalten von organisationsintern aufgestellten Vorgaben. Häufig werden darüber hinaus noch die Begriffe Ethik, Moral sowie Technologie-, Administration- und Risikomanagement in die Compliancedefinition integriert. Die Reichweite des Compliancebegriffs ist somit groß. Eine einheitliche Definition innerhalb der Wirtschaftswissenschaft gibt es nicht. Die verschiedenen Definitionsansätze zusammenfassend wird Compliance hier als Gesamtkonzept organisatorischer Maßnahmen verstanden, das für alle Organisationsaktivitäten Legalität und Konformität mit in- und externen Regeln gewährleisten soll. Mit der Integration von internen Regeln in die Compliancedefinition sprechen manche Autoren bereits von einem Verhalten "beyond compliance". Diese enge Auffassung wird jedoch der Komplexität der Complianceproblematik nicht gerecht.
Und jetzt?
Doch hilft die hier gewählte Definition von Compliance tatsächlich weiter? Handelt es sich nicht vielmehr um eine mit einem Modewort umschriebene Selbstverständlichkeit? Ja und nein, möchte man antworten. Rechtstreue, Legalität und die Einhaltung von unternehmensinternen Standards sind eine Selbstverständlichkeit, die jedoch organisationsspezifisch entwickelt, durch Maßnahmen gewährleistet und in regelmäßigen Abständen auch immer wieder überprüft werden muss. Es ist ein Irrglaube, dass sich Compliance von alleine ergibt. Vielmehr bedarf es eines organisationsindividuellen Management. Zur Ausgestaltung eines solchen bietet es sich an, zwischen vier verschiedenen Complianceelementen zu unterscheiden:
Abbildung: Die vier Compliancebereiche und ihre in- und externen Anforderungen
Die gesetzesorientierte Compliance
Sie impliziert die Einhaltung der jeweilig geltenden gesetzlichen Bestimmungen. Eine einheitliche, für alle Organisationsformen verbindliche Rechtsgrundlage gibt es jedoch nicht. In Abhängigkeit der Rechtsform, der Größe, der Ausgestaltung, des Aktionsradius und weiterer Faktoren müssen folglich unterschiedliche Rechtsregeln beachtet werden. Für deutsche, börsennotierte Aktiengesellschaften lässt sich die gesetzesorientierte Complianceanforderung beispielsweise in § 91 Abs. 2 Aktiengesetz wiederfinden; für Versicherungsunternehmen in § 64a Versicherungsaufsichtsgesetz. Daneben werden für börsennotierte Unternehmen die gesetzlichen Regelungen und Standards auch im sogenannten Deutschen Corporate Governance Kodex zusammengefasst. Unter der Ziffer 4.1.3 wird in der Neufassung von 2007 erstmals der Compliancebegriff explizit genannt. Über die Entsprechungserklärung gemäß § 161 Aktiengesetz hat der Kodex eine gesetzliche Grundlage.
Für andere Organisationsformen des Forprofit-Sektors wird zunehmend davon ausgegangen, dass sie sich ebenfalls an den Deutschen Corporate Governance Kodex halten müssen. Gegenüber Gerichten oder Kapitalgebern müssen sie sich entsprechend des Kodex verantworten, auch wenn keine Börsennotierung vorliegt.
Für Organisationen des Nonprofit-Sektors gibt es ebenfalls kein einheitliches Reglement. Die jeweils relevanten Rechtsgebiete müssen daher bekannt sein, um ihre Einhaltung gewähren zu können. Führt man sich die Unterschiedlichkeit einer großen diakonischen Einrichtung mit mehreren hundert Mitarbeitern und einer rein ehrenamtlich geführten Stiftung vor Augen, wird schnell ersichtlich, dass auch innerhalb des Dritten Sektors sehr unterschiedliche Rechtsgebiete hinsichtlich der gesetzesorientierten Compliance zum Tragen kommen können, die es innerhalb der jeweiligen Organisation zu berücksichtigen gilt.
Zusammengefasst kommen die Anforderungen der gesetzesorientierten Compliance von außen durch Gesetze an die Organisation heran. Ziel ist es, Verstöße gegen geltendes Recht zu vermeiden. Es geht um vor Gerichten einklagbare Ansprüche, die das Fortbestehen der Organisation in seiner gewählten Form bei Nichteinhalten gefährden können.
Die richtlinienorientierte Compliance
Über die gesetzlichen Vorschriften hinaus haben viele Branchen weiter spezifizierende Richtlinien erstellt, die die Regelkonformität und Legalität aller Unternehmensaktivitäten sicherstellen sollen. Dachverbände verabschieden Verhaltenskodices, Unternehmensgruppen gehen freiwillige Selbstverpflichtungen ein. Dabei wirken sich die für börsennotierte Unternehmen erlassenen Vorschriften (US Sarbanes-Oxley Act, Deutsche Corporate Governance Kodex, etc.) zunehmend auch auf andere Bereiche und Sektoren aus. So verabschiedete beispielsweise die Diakonie den "Diakonischen Corporate Governance Kodex" im Oktober 2005 und der Bundesverband Deutscher Stiftungen stellte 2006 die "Grundsätze guter Stiftungspraxis" auf. Anders als bei der gesetzesorientierten Compliance handelt es sich hier jedoch nicht um Ausführungen mit gesetzlicher Grundlage.
Es geht um Regeln und Empfehlungen, die Orientierung geben und das Bewusstsein schärfen sollen. Ziel der richtlinienorientierten Compliance ist somit das Einhalten von externen, zum Teil branchen- oder organisationsformspezifischen Standards. Ihre Anforderungen werden folglich ebenfalls von außen durch Verbände, Dachorganisationen etc. an die jeweilige Organisation gestellt, sind jedoch im Vergleich zu denen der gesetzesorientierten Compliance in der Regel weniger bindend. Da die Richtlinien jedoch zusammengefasste Standards auf Basis der geltenden Gesetze bzw. Auslegungen dieser beinhalten, stellt die richtlinienorientierte Compliance einen wichtigen Teil des Gesamtkonstrukt Compliance dar. Zusammengefasst beinhaltet die richtlinienorientierte Compliance die Operationalisierung und Konkretisierung der gesetzlich vorgeschriebenen allgemeinen Sorgfaltspflichten einer Branche bzw. eines Sektors.
Inhalt | Ziel | Beispiel Umweltstiftung | |
---|---|---|---|
Gesetzesorientierte Compliance | Gewährleistung der Einhaltung von vor Gericht einklagbaren Ansprüchen | Vermeidung von Gesetzesverstößen | Berücksichtigung der Anforderungen der Abgabenordnung zum Erhalt der Gemeinnützigkeit |
Richtlinienorientierte Compliance | Operationalisierung und Konkretisierung der gesetzlich vorgeschriebenen Sorgfaltspflichten | Einhaltung von externen, branchen- oder organisationsformspezifischen Standards | Berücksichtigung der "Grundsätze guter Stiftungspraxis" |
Organisationsorientierte Compliance | Definition von organisations-spezifischen, internen Standards | Einhaltung und Leben der Organisationskultur bei allen Organisationsaktivitäten | Entwicklung von internen Förderrichtlinien und Verfahrensbestimmungen |
Missionsorientierte Compliance | Abstimmung aller Compliancebereiche mit der eigenen Mission | Missionsübereinstimmendes Compliance-Management | CO2-neutrales Reisen der Mitarbeiter sowie Angebot von CO2-neutralen Veranstaltungen |
Tabelle: Die vier Compliancebereiche am Beispiel einer StiftungDie organisationsorientierte Compliance
Wie beschrieben geht Compliance über Rechts- und Richtlinienkonformität hinaus. Während die beiden zuvor genannten Bereiche von außen nach innen wirken, kommen die Anforderungen der organisationsorientierten Compliance von innen heraus. Nicht Gesetze geben hier den Ausschlag, sondern organisationsinterne Vorgaben. Denn eine wirksame und nachhaltig erfolgreiche Organisationssteuerung wird nicht allein durch das Befolgen von externen Vorschriften und Richtlinien ermöglicht. Ziel ist hier die Ausgestaltung eines organisationsspezifisch festgelegten Rahmens, innerhalb dessen sich alle Organisationsmitglieder bewegen. Zu beachten ist, dass es hier um nicht einklagbare Verhaltensweisen innerhalb einer Organisation geht, die nur organisationsintern regelbar sind. Hält sich ein Mitarbeiter nicht an intern aufgestellte Vorgaben, ist er "non-compliant", eine Änderung in seinem Verhalten ist jedoch nicht gerichtlich einklagbar. Vielmehr ist es Aufgabe eines wirksamen Compliancemanagement, die Erfüllung intern aufgestellter Standards zu gewährleisten. Zusammengefasst beinhaltet die organisationsorientierte Compliance die Einhaltung von internen Standards, die dazu beitragen, den Organisationszweck bzw. das Unternehmensziel optimal und regelkonform zu erfüllen.
Die missionsorientierte Compliance
Neben den Gesetzen, Richtlinien und organisationsspezifischen Standards besitzt jede Organisation eine eigene Unternehmensphilosophie bzw. Mission. Auch diese ist im Rahmen des Compliancemanagement zu beachten. Ansonsten ist ihr Überleben und ihr Charakter des individuellen Merkmals gefährdet. Dies wird sich langfristig auf die Wettbewerbsfähigkeit bzw. bei Nonprofit-Organisationen auf die Legitimationsberechtigung auswirken. Negativbeispiele aus der Praxis zeigen, dass sich Nonprofit-Organisationen von ihrer eigenen Mission fortbewegen können. Spendengelder werden dann nicht mehr im Sinne der eigentlichen Intention der Spender eingesetzt. Diese auch als "Goal displacement" bezeichnete Gefahr basiert in der Regel auf Druck durch bestimmte in- oder externe Gruppen. Noncompliance mit der Mission kann somit erhebliche Auswirkungen auf das Fortbestehen der Organisation haben. Gleiches gilt für Forprofit-Unternehmen. Ein sich in der Unternehmensphilosophie als Ideenschmiede oder Innovation Tank bezeichnendes Unternehmen muss dieses Credo auch intern leben und entsprechend umsetzen. Interne Noncompliance der Unternehmensleitung mit der Philosophie kann ansonsten starke negative Auswirkungen auf die Motivation der Mitarbeiter haben, die sich einmal bewusst für dieses Unternehmen bzw. dessen Philosophie entschieden haben.
Anforderungen an die missionsorientierte Compliance werden sowohl von außen durch die Öffentlichkeit und (potenzielle) Spender, Mitarbeiter und Partner, als auch von innen heraus durch den Organisationszweck bzw. die Unternehmensphilosophie an die Organisation herangetragen. Ziel der missionsorientierten Compliance muss es daher sein, die unterschiedlichen Compliancebereiche zu einem organisationsindividuellen und missionsübereinstimmenden Compliancemanagement nach außen und innen zusammenzufügen. Die missionsorientierte Compliance beinhaltet die Abstimmung der gesetzes-, richtlinien- und organisationsorientierte Compliance mit der eigenen Organisationsphilosophie.
Reziprozität
Compliance mag zwar eine Selbstverständlichkeit sein, ist jedoch kein Selbstläufer. Die Ausgestaltung eines wirksamen Compliancemanagement stellt somit eine nicht-triviale Aufgabe dar. Dabei ist auch zu beachten, dass das Unternehmen nicht nur regelkonformes Verhalten seiner Mitarbeiter empfangen, sondern selbst auch aussenden muss: Indem die Unternehmensleitung zeigt, wie sie die organisationseigene Philosophie bzw. Mission lebt, dem Recht gegenüber steht, wie es sich an interne Vorgaben hält, wie wichtig ihr die zwischen ihr und den Mitarbeitern getroffenen Vereinbarungen sind etc. sendet sie Compliance aus. Die Leitung beeinflusst somit mit ihrem Verhalten die Erwartungs- und Einstellungshaltung ihrer Mitarbeiter, die ihrerseits die Qualität der auszusendenden Compliance des Mitarbeiters beeinflusst. Ein wirksames Compliancemanagement basiert somit auf Reziprozität. Daher sollte es nicht nur mit Instrumenten der Kontrolle und Überwachung, sondern auch durch Berücksichtigung der unterschiedlichen Wechselwirkungen auf Erwartungen und Einstellungen begegnen. Ansonsten droht die Gefahr, dass das Management in der Rolle des Compliancesenders einen Negativkreislauf auslöst, in den die Mitarbeiter als Complianceempfänger rutschen und somit ihr Complianceverhalten anpassen. Diese Negativspirale setzt sich aus zunehmenden Kontrollmaßnahmen, sinkender Arbeitszufriedenheit, sinkender Leistungsbereitschaft und letztlich sinkender Effizienz zusammen ("Kontrollparadoxon"). Ergebnis ist die unzureichende Unternehmenszielerfüllung.
Das Management muss sich daher bewusst sein, dass es nicht nur stellvertretend für die Organisation Complianceverhalten durch die Mitarbeiter empfängt, sondern auch an diese aussendet. Daher sollte sich das Management auch nicht nur auf die Anforderungen im Rahmen der gesetzesorientierten und richtlinienorientierten Compliance konzentrieren. Denn diese haben weniger Auswirkungen auf die Erwartungs- und Einstellungsentwicklung der Mitarbeiter als die organisations- und missionsorientierte Compliance. Letztere beeinflussen unmittelbar die Arbeitswelt des Mitarbeiters und werden somit Auswirkungen auf seine Arbeitseinstellung haben. Darüber hinaus können Unternehmensphilosophie oder Nonprofit-Mission die Stellschraube für die intrinsische Motivation der Mitarbeiter und somit auch für ihre Einstellungsentwicklung sein. Das Ausmaß der Erfüllung der missionsorientierten Compliance wird somit im Zeitablauf großen Einfluss auf die Einstellungsentwicklung der Mitarbeiter haben. Aus diesem Grund sollte im Rahmen des Compliancemanagement die Bedeutung der organisations- und missionsorientierten Compliance nicht unterschätzt werden, da Compliance und Motivation zwei eng miteinander verknüpfte Konstrukte sind.
Es ist davon auszugehen, dass sich der Grad der Erfüllung von organisations- und missionsorientierter Compliance auf die zwei vorgelagerten Compliancebereiche auswirkt. Dies liefert auch eine Antwort auf weiter oben angeschnittene Frage, warum man sich überhaupt mit der Selbstverständlichkeit Compliance beschäftigen sollte. Compliance ist eine abhängige Variable, die von vielen Einflussfaktoren bestimmt wird und gleichzeitig hohen Einfluss auf den langfristigen Organisationserfolg hat.
Grenzüberschreitend
Damit einhergehend ist ebenfalls zu berücksichtigen, dass die Complianceproblematik über die eigenen Organisationsgrenzen hinausgeht. Nicht nur die internen Mitarbeiter, sondern auch Dritte können Einfluss auf alle Compliancebereiche ausüben. So kann der außerhalb der Organisationsgrenzen liegende Lieferant die Compliance eines Unternehmens empfindlich tangieren, wenn er auf Methoden zurückgreift, die gegen die Unternehmensphilosophie sprechen. Große Unternehmen wie C&A, H&M oder Ikea gerieten in die Schlagzeilen, weil sie durch Kinderarbeit erbrachte Leistungen bezogen haben sollen. Das Unternehmen ist also darauf angewiesen, dass sich auch dessen Lieferanten compliant verhalten. Lieferanten stellen für alle Organisationsformen wichtige Compliancesender dar. Bei Nonprofit-Organisationen kommt eine weitere wichtige Compliancegruppe hinzu: die Spender. Sie investieren hochspezifisch in die Organisation und haben gleichzeitig nur unter Aufbringung von hohen Informationskosten die (eingeschränkte) Möglichkeit, ihre Investition zu überwachen. Sie sind folglich auf den Empfang von Compliance angewiesen, um ihren return on investment aus der Spende zu erhalten. Spender können somit als wichtige Complianceempfänger identifiziert werden.
Zusammengefasst zeigt sich für Organisationen aller drei Sektoren die Vielschichtigkeit der eigentlich selbstverständlichen Compliance. Es betrifft viele Anspruchsgruppen auf unterschiedliche Weise und muss daher organisationsspezifisch gemanagt werden. Ziel muss die Einhaltung von Gesetzen, Branchenrichtlinien und internen Standards sowie die permanente Berücksichtigung der Organisationsmission und/oder Unternehmensphilosophie auf allen Stufen entlang der Wertschöpfungskette sein. Das Compliancemanagement einer Organisation steht damit vor sehr komplexen Herausforderungen, den nicht nur mit Kontroll- und Überwachungsmaßnahmen begegnet werden kann. Vielmehr ist ein gegenseitiger "enabling process" anzustoßen, der neben den extrinsischen auch die intrinsischen Motivationsanteile aller Beteiligten berücksichtigt, da hier der wichtigste Anknüpfungspunkt zur gelebten Compliance einer Organisation zu liegen scheint.
Autor:
Dr. Annegret Saxe
Institut für Genossenschaftswesen
Westfälische Wilhelms-Universität
Am Stadtgraben 9
D-48143 Münster
Verwendete Literaturquellen:
Lehmann Nielsen, V.;Parker, C. (2008): To What Extent Do Third Parties Influence Business Compliance? In: Journal of Law and Society, Jg. 35, H. 3, S. 309-340.
Saxe, A. (2012): Compliance im Dritten Sektor, in: Schmidt-Trenz, H.-J./Stober, R.: Jahrbuch für Recht und Ökonomik des Dritten Sektors 2011/2012, Compliance im Dritten Sektor.
Stober, R. (2010): Ist der Ehrbare Kaufmann der Schlüssel für Compliance-Anforderungen? in: Stober, R. (Hg.): Der Ehrbare Kaufmann und Compliance. Zur Aktivierung eines klassischen Leitbilds für die Compliancediskussion.
Vetter, E. (2009): Compliance in der Unternehmenspraxis, in: Wecker, G.; Laak, H. van (Hg.): Compliance in der Unternehmerpraxis. Grundlagen, Organisation und Umsetzung.
Der Text ist ursprünglich im Newsletter 02/2011, S. 92 bis 95 des Instituts für Genossenschaftswesen an der Westfälischen Wilhelms-Universität Münster erschienen. Die RiskNET-Redaktion dankt Frau Prof. Dr. Theurl und Frau Dr. Saxe für die Erlaubnis, den Text auf dem Portal RiskNET zu veröffentlichen.
[Bildquelle oben: iStockPhoto]
Kommentare zu diesem Beitrag