Kommentar: Compliance im Mittelstand – wie macht man es richtig?
Downsizing oder Upscaling?
Zunächst einmal: Es muss nicht immer Denglisch sein. Mag sich mittlerweile bei den meisten Betroffenen der Begriff der Compliance bereits im Kopf eingebürgert haben, so sollte Compliance, für das es ja das schöne deutsche Wort der Regelbefolgung gibt, nicht noch durch erhöhtes Auftauchen denglischer Begriffe abschrecken. In diesem Sinne gilt dann: Keep it simple!
Wenn Compliance im Mittelstand funktioniert, wo man in der Regel weniger Wert auf schön gemalte Hochglanzbroschüren als auf hemdsärmelige Wirksamkeit legt, dann darum, weil es einige klare Prinzipien gibt, die eingehalten werden. Das Einfach-halten ist eines davon.
Man muss bestehende Funktionen oder Abteilungen zusammenführen, ein Dach schaffen, unter dem sich Compliance abspielt und darauf achten, dass das Ganze auch insgesamt realistisch ist. Dafür gibt es kein Kochrezept, das immer funktioniert, aber aus der Praxis gute Erfahrungen darüber, was klappt. Es geht niemals schnell, und meistens auch nur mit Rückschlägen; aber es funktioniert immer öfter.
Wenn ein überlasteter Controller auch noch die siebte Zusatzaufgabe in Form der Compliance bekommt, funktioniert es nicht. Ebenso wenig, wie wenn man eine solche Funktion etabliert, sie aber weder mit den notwendigen Kompetenzen noch Ressourcen ausstattet. Dann handelt es sich um das berüchtigte Feigenblatt.
Man muss die Organisation also nicht unbedingt aufblasen, wozu der Mittelstand sowieso nur unter erhöhten Schmerzen neigt. Aber man muss sie so aufstellen, dass Compliance wirksam werden kann.
Sagen, wie man es haben will…
Compliance hängt ab von der Organisation, ihrem Zweck, ihrem rechtlichem Umfeld und ihren Stakeholdern, um mal ein paar Einflussfaktoren zu nennen. So muss zunächst betrachtet werden, wie das Umfeld der Organisation ist, welche wichtigen Regelungen es gibt und welche Risiken drohen.
Es reicht also nicht, bestehende und im Internet frei verfügbare Richtlinien herunterzuladen, mit dem eigenen Logo zu versehen, sprachlich ein wenig zu frisieren und dann ist man fertig. Solche Richtlinien dürften auch vor einem Richter im Fall der Fälle nicht überzeugen. Dem Sagen, wie man es haben will, geht also eine Analyse voran, was man eigentlich sagen müsste.
Sodann ist das Ergebnis in vernünftiges Deutsch zu bringen. Auch wenn es in diesem Zusammenhang manche Berater und Juristen, also Leute, die kein Deutsch können, vergessen: Die entsprechenden Regelungen werden von Menschen gelesen und müssen auch von Menschen verstanden werden. Da hilft es dann nichts, wenn Beraterkauderwelsch auf Juristenundeutsch trifft. Ein paar vernünftige, aus der Praxis kommende Beispiele können auch helfen, das Verständnis zu fördern. Man muss Compliance nicht komplizierter machen, als sie ohnehin schon ist.
Viele Compliancerichtlinien schaffen den Spagat zwischen Zudickumgelesenzuwerden und Zumagerumverstandenzuwerden nicht. Es gibt für beide hier angesprochenen Probleme eine einfach, wirksame und zweckmäßige Lösung: Man gibt sie den Menschen, die sie verstehen sollen, zu lesen und reagiert auf deren Hinweise.
Und dann: Wenn man feststellt, dass eine bestehende Richtlinie Lücken hat, muss man sich auch die Zeit nehmen, diese Lücken zu schließen, sprich die Regelungen zu überarbeiten.
Meinen, was man sagt…
Sodann, wenn die Regelwerke fertig und kommuniziert worden sind, kommt die Phase der Nagelprobe mit der Realität. Ursprünglich hat die Nagelprobe ja etwas mit Trinkritualen zu tun, in diesem Zusammenhang geht es aber um den Realitätstest: Richtlinie trifft auf Leben. Es ist nicht immer gleich im Voraus entschieden, wer gewinnt.
Was passiert, wenn man, sagen wir, auf mittelschwere bis schwere Complianceverletzungen trifft? Und was passiert weiter, wenn es sich dabei um gehobenes bis höchstes Management handelt? Das ist dann die Nagelprobe für ein Compliancesystem…
Hier spielt dann auch das berühmte Tone at the top hinein, oder auf Deutsch gesagt, die Vorbildfunktion des Managements für den Rest der Organisation. Verhalte dich so, wie du auch wünschst, dass sich andere verhalten sollen. Viele Manager unterschätzen ihre Rolle und auch die Wirksamkeit dieser einfachen Regel.
Der Mittelstand ist nicht besser oder schlechter als ein Großkonzern, weil auch in ihm das statistische Mittel der Bevölkerung arbeitet. Es gibt dort also gute, weniger gute und auch schlechte Menschen. Das wird in der Diskussion um die so genannte Vertrauenskultur gerne übersehen.
Nachsehen, ob es so gemacht wird, wie man gesagt hat…
Die Taktik, eine Richtlinie und ein Regelwerk zu entwickeln und dann zu denken, das ist jetzt auch endlich erledigt, funktioniert nicht. Neben dem Einrichten gehört es zum elementaren Tun, auch zu überwachen, dass die Regelungen eingehalten werden.
Das ist manchmal nicht so einfach, wie man es hier hinschreiben kann. Sei es, dass die chronisch unterbesetzte Interne Revision es nicht schaffen kann, sei es, dass die vielbeschworenen Sachzwänge dazu führen, dass andere Prioritäten gesetzt werden, was in der Praxis oftmals heißt, wie schieben es auf eine so lange Bank, dass das Thema am hinteren Ende hinunterfällt.
Wirksamkeit heißt, Effektivität und Effizienz zu prüfen. Es ist nicht entscheidend, wer es tut. Aber es ist wichtig, dass es jemand tut.
Sanktionieren, wenn es nicht so gemacht wird, wie man gesagt hat…
Das tut meistens weh. Je nachdem, um was oder wen es sich handelt, ist die Durchführung von Sanktionen mit teilweise gravierenden Änderungen in der Organisation verbunden. Der Mittelstand zeichnet sich nicht durch üppige Personalausstattung aus; in manchen Fällen muss man schon von schwindsüchtigen Organisationen sprechen. Da tut jede Person weh, die gehen muss, vor allem, wenn es sich um Schlüsselpersonen oder solche mit Funktionshäufungen handelt.
Die Friedhöfe sind voll von unentbehrlichen Leuten. Sanktionen müssen sein, weil sonst das ganze Compliancesystem nicht ernst genommen wird, vielmehr kann sogar der gegenteilige Effekt sich einstellen. Das ist ja alles gar nicht so schlimm. Selbst wenn ich entdeckt werde, passiert mir nichts.
Halb gute Lösungen sind Aufhebungsverträge in beidseitigem Einverständnis, vertraulich abgewickelt. Das erste, was dann auf der Strecke bleibt, ist die Aufrichtigkeit. Außerdem haucht auch die Vertraulichkeit relativ schnell ihr Leben aus, und dann weiß man in der Organisation: Man lässt sie laufen. Welche Folgen das zeitigen kann, liegt auf der Hand.
Sagen, dass man sanktioniert hat, wenn es nicht so gemacht wurde, wie man gesagt hat…
Darum gibt es auch gute Beispiele, die Verfehlungen auch so benennen und in der Organisation kommunizieren, dass sie begangen und sanktioniert wurden. Prävention kann in vielerlei Maßnahmen bestehen, und die schlechteste ist nicht, dass man darüber spricht, wenn man jemanden ganz altmodisch bestraft hat.
Keine Organisation ist zu hundert Prozent gegen Verfehlungen gefeit. Keine braucht also zu tun, als ob das der Fall wäre. Kein Zacken bricht auch aus keiner Krone, wenn ein Fall auftritt, sofern er dann vernünftig abgearbeitet und abgeschlossen wird. Auch darin kann man Übung bekommen.