••• Von Ulf D. Posé
Unter Compliance verstehen Unternehmen, dass sich Beschäftigte an Richtlinien und Vorschriften halten. Das klingt banal. Aber das Thema wird immer wichtiger, weil Behörden, Börsenaufsicht und Öffentlichkeit wachsenden Wert darauf legen, dass sich Firmen an Regeln halten. Schmieren Beschäftigte etwa Kunden, damit der Betrieb Aufträge bekommt, leidet nicht nur das Image. Auch saftige Strafen werden fällig, schlimmstenfalls droht das Aus.
Die Wirtschaft zum Umdenken brachten Korruptionsaffären wie die 2006 aufgedeckte von Siemens: 330 dubiose Projekte, 4.300 illegale Zahlungen und Kosten von insgesamt 2,5 Mrd. Euro. Die gemeldeten Verstöße betrafen zu 8% Korruption, zu 7% Betrug, zu 17% Interessenskonflikte und zu 18% die Arbeitsbedingungen. Das Umdenken lässt sich auch an der Zahl der Compliance-Mitarbeiter ablesen: Bei Siemens waren es 83 im Geschäftsjahr 2006, 170 2007 und 621 2008 – darunter 100 Implementierungs-Manager.
Ein anderes Beispiel? Daimler. Auch dieser Konzern hat mit einigem aufzuwarten, beispielsweise mit Compliance-Fällen in Afrika. 2010 wurden 45 Mitarbeiter wegen Bestechung entlassen, und es setzte 185 Mio. USD Strafe für die Korruptionsaffäre. Dabei ist der Chief Compliance-Wächter von Daimler ein ziemlich harter Hund. Schließlich war Louis Freeh vor seinem Amt bei Daimler der Chef der amerikanischen Bundesbehörde FBI. Und wie Manager generell über das Thema denken, das zeigte sich in einer Umfrage von Ernst & Young vor rund drei Jahren: Jeder vierte zeigte sich damals bereit, Schmiergelder an Geschäftspartner zu zahlen, um Aufträge für das Unternehmen zu sichern.
Was folgt daraus?
Wir brauchen Compliance! Das scheint so offensichtlich korrekt zu sein, dass man über die Notwendigkeit von Compliance nicht mehr nachzudenken braucht. Die Basisanforderungen stehen denn auch außerhalb jeglicher Kritik. Wir benötigen eine klare Definition von Zuständigkeiten, eine revisionssichere Archivierung von Geschäftsdokumenten und E-Mails, die Bestimmung von Beweismitteln und der Informationswege (wer wird über welche Sachverhalte wie informiert), eine Definition des Hinweisgeberprinzips, das berühmte Whistleblowing. Dagegen kann man doch nichts haben, oder? Nein, dagegen habe ich tatsächlich nichts. Wobei ich Whistle-blowing durchaus kritisch sehe, aber dazu später mehr.
Ist Compliance gefährlich? Ebenfalls nein. Doch sie kann es werden, wenn sie in die falschen Hände gerät. Auch die Grundpfeiler guter Compliance sind durchaus ehrenwert. Es gibt derer vier: Die Identifikation von Risiken (Benchmarking, Identifikation und Analyse des rechtlichen Risikos, Kenntnisse der rechtlichen Rahmenbedingungen), das interne Informationssystem (Einschätzung des Schulungsbedarfs, die Entwicklung und Verbesserung der Richtlinien), das externe Kommunikationssystem (Entwicklung von Verfahrensabläufen bei Beschwerden, Kontakte mit Behörden) und schließlich das interne Kommunikationssystem (Berufung eines Compliancebeauftragten, Entwicklung von Kontrollverfahren und Kommunikationsabläufen). Da ich all das für sinnvoll erachte, werden Sie sich also fragen: „Was hat er dann nur?”
Die Feinde der Compliance
Ich sehe zwei Probleme. Erstens hat es Compliance sehr schwer, wenn sie in die Hände von Systemagenten gerät. Was sind Systemagenten? Menschen mit einem gut funktionierenden Gewissen, allerdings einem funktionalen. „Wess Brot ich ess’, des Lied ich sing!” Das ist ihr Lebensmotto. Getreu diesem Motto versuchen sie immer das zu tun, was irgendwo geschrieben steht. Sie fragen nicht danach, was mit einer Norm, einer Regel gemeint sein könnte. Sie suchen nicht den Sinn der Regel, also das, was der Normengeber mit der Regel beabsichtigt hat, sondern fragen nur: „Was steht da?” Und das wird sklavisch, fast im vorauseilenden Gehorsam, durchgezogen, koste es, was es wolle. Zivilcourage oder gar Epikie ist ihnen nicht nur fremd, sondern zuwider. Demnach gilt es zu fragen, welche Charakterstärke sollte ein Chief Compliance Officer haben. Ist er zu einer verantwortungsvollen Güterabwägung fähig? Denn Compliance hat nur dann eine realistische Chance, wenn der dafür Verantwortliche sich immer auch fragt: Warum gibt es diese Regel? Was soll damit erreicht werden? Was ist der Sinn dieser Regel? Und nicht nur: „Was steht da?”
Der Umgang mit Regeln
Das zweite Problem guter Compliance: Es gibt immer zwei Möglichkeiten, mit Regeln umzugehen. Ich muss wissen, ob eine Regel in diesem Moment, in einer bestimmten Situation befolgt werden muss, vielleicht sogar unbedingt oder ob sie nur beachtet werden sollte. Das ist ein erheblicher Unterschied. Dazu bedarf es eines intelligenten Menschen. Intelligent ist jemand, der sich konzentrieren kann, Regelmäßigkeiten erkennt und Wesentliches von Unwesentlichem unterscheidet. Das hat nichts mit Bildung zu tun. Es gibt sehr gebildete Menschen, die im Sinne der Intelligenz doch recht dumm sind.
Gute Compliance ist nicht nur eine Frage der Regelfestlegung, sondern vor allem eine Frage der Regelauslegung. Der intelligente Compliance Officer kennt und beachtet (!) diesen Unterschied. Auch hier ist der Systemagent nicht sehr hilfreich. Der kennt nur die Regelbefolgung, selbst wenn eine Regelbeachtung zu einem für alle Beteiligten besseren Erfolg führen würde.
Dann ist da das Whistleblowing
Beim Whistleblowing geht es um das Anzeigen von ungesetzlichen (kriminellen), unmoralischen oder unlauteren Praktiken innerhalb eines Unternehmens. Die Whistleblower sind in der Regel „Insider”, die einen Missstand anzeigen bzw. „Alarm schlagen”. In Amerika und Großbritannien gelten Whistleblower als Volkshelden. Dort gibt es auch Organisationen und Gesetze, die sie unterstützen und schützen. In Österreich haben dagegen diese zivilcouragierten Menschen fast keine Lobby. Sie gelten oft als Anschwärzer und Querulanten oder ihnen wird Renommiersucht vorgeworfen. Oder um es auf österreichisch zu sagen: Diese Leute vernadern. Auch die Gesetzeslage ist hierzulande immer noch ungeklärt. Nur langsam wird die Bedeutung von Whistleblowing für Staat und Gesellschaft gesehen und respektiert.
Österreich kennt keinen Kündigungsschutz für Whistleblower. Nur Beamte sind seit 2011 in Österreich durch die Whistleblowing-Regelung gesetzlich abgesichert. 2013 hat die Wirtschafts- und Korruptionsstaatsanwaltschaft probehalber eine Homepage für Whistleblower eingerichtet; seitdem können Bürger Staatsanwälten anonym Hinweise geben – 2.300 Hinweise gab es inzwischen, bei nur 14 Hinweisen wurde Anklage wegen Missbrauch oder Sozialbetrug erhoben. Verschwindend wenig, nicht wahr?
Auch die Anonymisierung wird in Österreich kritisch gesehen. Selbst der Datenschützer Andreas Krisch meinte: „Aussagen über die totale Anonymisierung von Whistleblowern sind mit Vorsicht zu genießen.” Whistleblower haben es auch nicht leicht. Seit 2013 gibt es einen Entschließungsantrag der Grünen, um Whistleblower in Österreich besser zu schützen. Bis heute liegt dieser Antrag auf Eis. Selbst wenn es ein Gesetz gäbe, bliebe zu fürchten, dass Whistleblower eher sozial diskriminiert würden. Da könnte eine Hotline helfen.
Aber selbst wenn Unternehmen in Österreich eine Hotline für Wistleblowing einrichten möchten, ist das nicht so einfach: Ohne Genehmigung der DSB (Datenschutzbehörde) geht nichts. Eine Genehmigung für eine solche Hotline wird von der DSB nur unter besonderen Auflagen erteilt. Wichtig ist, dass Whistleblowing zu keiner Zeit zu einer Benachteiligung im Unternehmen führen darf. Es muss eine im gesetzlich zulässigen Rahmen vertrauliche Bearbeitung durch eine unabhängige Stelle zugesagt werden. Eine der wichtigsten und interessantesten Auflagen der DSB ist, dass die DSB solche Hotlines nur dann genehmigt, wenn die anonymen Hinweise schwere Verstöße von Führungskräften betreffen. Ist das nicht schon eine Diskriminierung in sich?
Was also benötigt Compliance?
Wenn Sie sich fragen, wie Sie Compliance am besten herstellen können, dann gibt es bei Entscheidungen fünf hilfreiche Fragen, die von der Siemens AG entwickelt wurden: Ist es im Interesse des Unternehmens? Ist es im Einklang mit unseren Unternehmenswerten und meinen Werten? Ist es rechtmäßig? Ist es moralisch richtig? Ist es etwas, wofür ich bereit bin, Verantwortung zu übernehmen? Ist die Antwort „Ja”, sind Sie auf der sicheren Seite.
Um compliant zu bleiben, können Sie sich auch selbst abfragen, vornehmlich dann, wenn es um Hospitality geht, um Vorteilsgewährung oder nur um eine höfliche Selbstverständlichkeit: Hätte ich den Vorteil auch bekommen, wenn ich kein Amtsträger wäre? Warum macht der Geber das? Hätte ich dasselbe für den Geber ohne Vorteil/ohne Aufmerksamkeit auch getan? Ich wünsche Ihnen viel Spaß bei der Analyse.
GALERIE
