Interview mit Prof. Dr. Stephan Grüninger, Wissenschaftlicher Direktor Konstanz Institut für Corporate Governance (KICG), HTWG Hochschule Konstanz
Compliance ist nun seit Jahren schon für viele Unternehmen ein wichtiges Thema – doch wohin entwickeln sich heutzutage “moderne” Compliance-Management-Systeme?
Es wird zunehmend klar, dass rein rechtsgetriebene Compliance-Management-Systeme in den Unternehmen nicht dauerhaft wirksam sein können. Moderne Compliance zeichnet sich meiner Meinung nach schlicht dadurch aus, dass die Regeln und Maßnahmen vom Linienmanagement verstanden und akzeptiert werden und deren Anwendung durchgesetzt wird.
Compliance muss also erst einmal als ganz normale Managementaufgabe wahrgenommen werden können. Dazu ist es elementar, dass Manager zu diesem komplexen Thema sehr gut ausgebildet werden. Das geht nur, wenn Präsenzschulungen durchgeführt werden, in denen der Umgang mit ethischen bzw. compliancebezogenen Dilemmata trainiert wird und Konflikte bei der Implementierung und Umsetzung der Compliance-Regeln und -Maßnahmen auf den Tisch kommen und besprochen werden. Wer ein Compliance-Management-System so aufbaut, investiert in die Ernsthaftigkeit und Glaubwürdigkeit der Corporate Compliance. Allen Beteiligten muss klar sein, dass Compliance Konsequenzen im und für das Geschäft hat. Der Aufbau einer Compliance-Organisation, die keinen oder wenig Anschluss an den Normalbetrieb hat, also lediglich ein paar Regeln aufstellt und diese per Mausklick in die Unternehmenswelt kommuniziert, ist eine sinnlose Alibiveranstaltung.
Welche Rolle kommt hierbei dem Compliance Officer zu?
Der Compliance Officer ist zentral für die Entwicklung des Compliance-Management-Systems; er muss im Namen des Vorstands oder der Geschäftsführung und mit dessen bzw. deren glasklarer Unterstützung den Prozess, dass Compliance zu einer Managementaufgabe für alle Führungskräfte wird, planen, fachlich unterstützen und letztlich auch überprüfen, ob die Regeln angewendet werden und die Maßnahmen in der Organisation greifen. Er muss also bei den Trainingsmaßnahmen mit den (oberen) Führungskräften persönlich anwesend sein, er muss in geschäftliche Transaktionen als “trusted advisor” eingebunden werden und er muss dafür sorgen, dass kritische Geschäftsprozesse (z. B. in Einkauf und Vertrieb) auf ihre Robustheit gegen wirtschaftskriminelle und unethische Praktiken überprüft werden, und etwaige Kontrolllücken beseitigen. Zu guter Letzt ist es sehr wichtig, dass das Compliance-Management-System selbst immer wieder auf den Prüfstand gestellt wird – und zwar durch dezentrale Monitoring-Maßnahmen.
Wie schaffen es Ihrer Ansicht nach Unternehmen des Mittelstandes, sich effektiv mit Compliance-Normen und -Systemen auseinanderzusetzen? Ist dies im Vergleich zu internationalen Konzernen einfacher oder schwieriger?
Zunächst ist es natürlich so, dass auch mittelständische Unternehmen oftmals international agieren und häufig auch Konzernstrukturen aufweisen. Deshalb sind auch sie nicht vor Fällen der Non-Compliance (etwa im Bereich der Korruption) gefeit. Auch das Compliance-Management-System eines Mittelständlers muss am Ende wirksam sein. Der Unterschied liegt also eher im Ansatz und damit in der Frage der Angemessenheit von Compliance-Maßnahmen. Mein Eindruck ist, dass sich der Mittelstand derzeit aufmacht, ein Compliance-Management-System zu entwickeln. Manche Unternehmen versuchen, von den Fehlern der Großen zu lernen, und beginnen direkt einen ernsthaften, vom Management mitgetragenen Prozess. Andere tappen in die Falle und setzen, wie früher auch viele Großkonzerne, dem Trugschluss auf, dass Compliance auch “ganz schlank” betrieben werden könne. Diese Lean Compliance erschöpft sich dann mitunter wirklich ausschließlich darin, dass ein Subalterner zum Compliance-Verantwortlichen ernannt wird, der dann einen Code of Conduct “entwickelt” – d. h. dann allerdings nicht selten: aus im Internet verfügbaren Vorbildern in “Copy&Paste- Manier” ein Regelwerk regelrecht zusammenzimmert — und diesen dann an die operativen Einheiten mit der Bitte um Beachtung verschickt. Aber ich bin zuversichtlich, dass sich die klugen Unternehmen in diesem Zusammenhang mehren, nicht zuletzt, weil sich auch für den Mittelstand das Entdeckungsrisiko gesteigert hat – etwa durch Betriebsprüfungen oder die Bildung von Schwerpunktstaatsanwaltschaften Wirtschaftsdelikte oder zur Korruptionsbekämpfung. Insofern, um Ihre Frage zu beantworten: Im Kern gibt es hier keine so großen Unterschiede in der Sache. Die Umsetzung kann aber in mittelständischen Unternehmen leichter gelingen, da die Strukturen übersichtlicher und die Führungsspannen oftmals deutlich kleiner sind.
Das Interview ist erschienen in “Existing Practice in Compliance 2016”
Bild: Prof. Dr. Stephan Grüninger
