Zwischen Aufsichtsrat und Vorstand

Compliance Manager im Fokus

07.01.2008 von Helene Endres und Klaus Werle
Ihre Mission wird mit jedem Skandal wichtiger: Die Compliance-Manager sollen dafür sorgen, dass sich alle im Unternehmen nach Recht und Gesetz verhalten. Das verlangt ihnen die Qualitäten eines Seelsorgers, Detektivs und Bürokraten ab.

Auf dem kleinen Wagen, der sich durch den fußballfeldgroßen Handelssaal der Commerzbank in Frankfurt schiebt, stapeln sich Softdrinks und Brötchen mit Putenbrust. Die Händler greifen gern zu, das spart Zeit, und die wird dringend gebraucht. Auf Hunderten von Bildschirmen blinken und flimmern die Transaktionen, quer über alle Kontinente.

Es sind Abertausende, und streng genommen ist Oliver Jost für jede einzelne von ihnen verantwortlich. Ebenso für die Millionen Kontenbewegungen der Privatkunden, für die Einhaltung diverser Handelsembargos, für den Aufbau eines neuen Risiko-Managements. Und dann die internationalen Befindlichkeiten: In manchem Land winken dicke Geschäfte, aber politisch ist die Sache so heiß wie ein frisch flambierter Apfelcrêpe. Knifflig.

Jost ist "Head of Group Compliance" der Commerzbank: Für alle Geschäfte der Bank muss er die Beachtung von Recht und Ethik sicherstellen. Eine ziemlich komplexe Angelegenheit. Und doch auch ganz einfach. "Ich frage mich bei jeder Entscheidung: Was wäre, wenn ich darüber morgen in der Zeitung lesen müsste? Und was würde meine Mutter dazu sagen?"

Dieser Artikel erscheint mit freundlicher Genehmigung von manager-magazin.de.
Foto: manager-magazin.de

Zwei simple Fragen, die man sich bei Enron, Worldcom, Siemens und anderswo auch hätte stellen können. Dass man es nicht getan hat, brachte einige Top-Manager ins Gefängnis, andere mussten zurücktreten, Hunderte Millionen Euro Bußgelder wurden verhängt.

Die Affären rückten einen Berufsstand ins Rampenlicht, der jahrelang ein Schattendasein führte: die Compliance-Manager. "Wir erleben eine Zeitenwende", sagt Peter von Blomberg, stellvertretender Vorsitzender von Transparency International in Deutschland, "durch das Siemens-Drama ist das Thema Compliance in der deutschen Wirtschaft ganz nach oben gerückt."

Der Begriff kommt ursprünglich aus der Medizin und meint die Einhaltung von ärztlichen Anweisungen durch den Patienten. Übertragen auf die Wirtschaft, umfasst Compliance die Gesamtheit aller Maßnahmen, um das rechtlich und ethisch korrekte Verhalten von Firmen, Organen und Mitarbeitern zu gewährleisten - gegen Preisabsprachen, Korruption, Kartellbildung, Geldwäsche bis hin zu Arbeitsschutz und Antidiskriminierung. Kurz: Compliance soll da vorbeugen, wo's teuer wird oder weh tut. Das hehre Ziel: saubere Unternehmensführung, vorbeugen statt Knast.

Nachfrage nach Compliance-Officers verdoppelt

Zunehmend fordern Analysten bei der Unternehmensbewertung effiziente Compliance-Strukturen ein; auch die Corporate-Governance-Kommission hat mit der expliziten Aufnahme des Begriffs in ihren Kodex im Sommer ein klares Bekenntnis zur Korruptionsprävention abgelegt. Und nicht zuletzt haben Vorstände und Aufsichtsräte ein massives Eigeninteresse an dem Thema, denn das Aktiengesetz schreibt ihre Überwachungs- und Kontrollpflichten fest - kommen sie denen nicht nach, können sie selbst verklagt werden.

Mittlerweile haben die meisten Dax-Firmen und Großunternehmen Compliance-Beauftragte ernannt. "Doch die Einbindung in die Firmenstruktur ist noch extrem heterogen", sagt Birgit Galley, Direktorin des Berliner Institute Risk & Fraud Management, der ersten Ausbildungsstätte in Europa, die einen Compliance-MBA anbietet. Kaum eine Aufgabe wird in deutschen Unternehmen derzeit so uneinheitlich geregelt wie die Compliance. Mal übernimmt der Leiter der Rechtsabteilung den Posten noch zusätzlich, mal ist die Funktion in der IT angesiedelt. Die dritte Variante, ein Chief Compliance Officer (CCO) mit eigener Stabsstelle und direkt dem Vorstand verantwortlich, hält Galley für die einzig sinnvolle: "In wenigen Jahren wird sich der CCO in jedem größeren Unternehmen durchgesetzt haben."

So wird aus dem Posten, den man noch vor Kurzem dem erstbesten Firmenjuristen aufs Auge gedrückt hat, weil irgendeiner den Job eben machen musste, eine zentrale Funktion von strategischer Bedeutung.

Entsprechend begehrt sind derzeit geeignete Kandidaten: "In den vergangenen Jahren hat sich die Nachfrage nach Compliance-Officers verdoppelt", sagt Roman Sauermann von der Personalberatung Civitas International. Auch die Gehälter sind gestiegen; 200.000 bis 400.000 Euro, in den USA sogar mehr als eine Million, sind für einen CCO drin.

COO: Emotionale Intelligenz unverzichtbar

Gleichzeitig aber ist sein Profil bislang alles andere als klar definiert: Jurist oder Betriebswirt? Alt oder jung? Fest steht nur: Der Kandidat muss extrem gut beleumundet sein. "Für Compliance-Manager schauen wir uns die Biografie äußerst gründlich an", sagt Sauermann. Bei der Deutschen Bahn, deren Vorsteher Hartmut Mehdorn auf seinem Schreibtisch ein Schild mit der Aufschrift "No surprises" aufstellte, ging man auf Nummer sicher - und verpflichtete mit dem Frankfurter Oberstaatsanwalt Wolfgang Schaupensteiner das wohl bekannteste Gesicht der Korruptionsbekämpfung im Lande.

Es gilt, ein Fiasko wie bei Siemens zu vermeiden, wo Ex-Compliance-Chef Albrecht Schäfer vorgeworfen wird, Vorstand und Aufsichtsrat nicht immer rechtzeitig und umfassend über Korruptionsverdacht informiert zu haben - was Schäfer mit Nachdruck bestreitet.

Sein glückloser Nachfolger Daniel Noa, der ehemalige Stuttgarter Oberstaatsanwalt, war nicht im Unternehmen verdrahtet - und musste nach kurzer Zeit aufgeben. Seit Anfang Oktober sollen nun der neue Siemens-Vorstand für Recht und Compliance, Peter Solmssen, und Andreas Pohlmann als neuer CCO die Aufklärung der Schmiergeldskandale vorantreiben und den Konzern künftig zu einem Vorbild für saubere Geschäfte machen. Beide kennen sich mit dem Thema aus: Solmssen wirkte zuvor als Chefjustiziar - in der Healthcare-Sparte des amerikanischen Rivalen General Electric. Pohlmann war seit sieben Jahren beim Chemiekonzern Celanese in Dallas tätig. Dort war er unter anderem für die Gebiete Recht, Corporate Governance und Compliance zuständig.

Die Suche nach den obersten Gesetzeshütern war bei Siemens Chefsache: Die Top-Headhunter von Egon Zehnder suchten weltweit Kandidaten mit guten Kontakten zur Regierung, nach Brüssel und zur US-Börsenaufsicht SEC - und mit Sinn fürs operative Geschäft. Es gab kein Gehaltslimit; Siemens-Chef Peter Löscher führte selbst die Interviews mit Bewerbern.

Es sind nicht nur formale Qualifikationen, die den Job eines CCOs so anspruchsvoll machen. Natürlich sollte er sich auskennen in den Gesetzen, in BWL, Kriminalistik, Organisations-Management und Psychologie. Unverzichtbar aber ist seine emotionale Intelligenz: "Ein CCO muss die Organisation sanft verändern, er sollte gleichzeitig Vertrauen und harte Kante ausstrahlen", sagt Expertin Galley. Er muss Regeln aufstellen, kommunizieren und ihre Einhaltung überwachen. Er darf Rechtsverletzungen nicht tolerieren - aber auch nicht alles verbieten, sonst macht die Firma kein Geschäft mehr. "Managing the grey zones" nennt die Szene das.

Oliver Jost (38), Nadelstreifenanzug, grüne Augen, Stoppelhaare, absolviert diese Gratwanderung jeden Tag. Geldwäsche, Insider-Geschäfte, Korruption müssen er und seine weltweit hundert Mitarbeiter verhindern; dazu die Angestellten schulen, Ansprechpartner in kniffligen Entscheidungen sein. Bei vielem hilft die Technik: Computer vergleichen jede Überweisung mit offiziellen Listen, auf denen Tausende Tabuwörter wie Bin Laden oder Kuba stehen. Andere Programme rastern das Kundenverhalten - und schlagen Alarm, wenn jemand plötzlich 100.000 Euro nach Südamerika überweist, obwohl er nur 3.000 Euro im Monat verdient.

Aufklären und präventiv arbeiten

Dass es "keine hundertprozentige Sicherheit gibt", ist Jost klar. "Entscheidend ist aber, dass die Compliance auf Risiken hinweist, ihre Bedeutung priorisiert und versucht, sie zu minimieren." Ab und zu kommt es auch vor, dass er etwa wegen Geldwäscheverdachts zum Abbruch einer Kundenbeziehung rät, der Vertrieb sich aber querstellt. "Da braucht man eine Menge Rückgrat und muss gleichzeitig nach pragmatischen Lösungen suchen."

Oliver Jost, COO der Commerzbank erklärt: "Man braucht eine Menge Rückgrat und muss gleichzeitig pragmatisch sein."
Foto: Commerzbank

Diese Kombination aus Geschäftssinn, Fingerspitzengefühl und der Fähigkeit, auch mal Nein sagen zu können, traut man meist altgedienten Konzernrecken zu. Mit seinen Ende 30 ist Jost, der als Assistenzprofessor, Unternehmensberater bei BCG und Chef der Audit-Abteilung der Eurohypo gearbeitet hat, bevor er im Juli 2006 CCO der Commerzbank wurde, unter seinen Kollegen die Ausnahme.

Doch der Volkswirt, der mit seiner Mannschaft auch gern in einzelnen Bankbereichen auftaucht und stichprobenartig etwa die Durchführung der Schulungen checkt, bringt das nötige Selbstvertrauen mit. Sein offenes, freundliches Auftreten paart er mit robuster Sturheit in der Sache. Auch wenn er natürlich nie sagen würde, er habe sich "durchgesetzt". Jost bevorzugt die Formulierung, er habe "den Gedanken noch etwas verdeutlicht".

Die zurückhaltende Diktion gehört zum Geschäft: "Wir wollen weg vom Image der Unternehmenspolizei und stärker als Berater wahrgenommen werden, die aufklären und präventiv arbeiten", sagt Dirk Scherp, Josts Kollege bei der Dresdner Bank. Motto: systematisches Hinterfragen statt Schnüffelei. Im Zweifel aber sind die Machtverhältnisse wegen der Sonderstellung des CCO direkt unter dem Vorstand, meist dem Chief Financial Officer, klar: Ein kluger Vorstand wird sich nie gegen den Rat seines CCOs stellen - denn dann obläge ihm selbst die Pflicht, sich gegenüber den Aufsichtsbehörden zu rechtfertigen.

In vielen Firmen kann das Veto des CCOs grundsätzlich nicht übertrumpft werden - auch nicht durch das Votum des Vorstandschefs. Heftig diskutiert wird derzeit in vielen Unternehmen die Frage, ob der CCO über eine "dotted line" parallel noch an den Aufsichtsrat berichten sollte, um eine Deckelung durch den CEO zu verhindern. "Da entsteht dann ein interessantes Spannungsfeld", sagt Compliance-Experte Bernd Saitz von PricewaterhouseCoopers, "denn der CCO ist ja im Auftrag des Vorstands unterwegs, müsste diesen aber gleichzeitig kontrollieren."

Compliance-Kultur ist von Ethik und Integrität geprägt

Die Banken als besonders stark regulierte Branche haben ihre Compliance-Strukturen mit meist mehr als hundert Mitarbeitern bereits Anfang der 90er Jahre geschaffen und gelten als Vorreiter. Doch auch sie bekommen die verschärfte Bedeutung des Themas zu spüren, immer neue Vorschriften wie die 3. EU-Geldwäscherichtlinien müssen umgesetzt und überwacht werden: "Das Bewusstsein in der Öffentlichkeit ist größer, die Regelungen sind komplexer und die Sanktionen drastischer geworden", sagt Jost.

Schwarze Kassen, Bestechung und Kartellabsprachen sind ernsthafte Delikte. "Die Bußgelder etwa der EU-Kommission werden weiter stark ansteigen und können für kleinere Firmen existenzbedrohend sein", sagt Jens Liese von der Kanzlei Freshfields. So verhängte Brüssel im Januar über Siemens wegen illegaler Absprachen ein Bußgeld von 397 Millionen Euro; im Februar wurde ein Kartell von Aufzugsherstellern zu einem Rekordbußgeld von 992 Millionen Euro verdonnert.

Solche Summen können selbst einen Weltkonzern ins Mark treffen. BASF , das Ende der 90er wegen illegaler Preisabsprachen im Vitamingeschäft von den amerikanischen Kartellwächtern eine Geldbuße von 225 Millionen Dollar aufgebrummt bekam, hat damals seine bittere Lektion gelernt - und umgehend ein Compliance-Programm aufgebaut. Mittlerweile gehen die Ludwigshafener das Thema grundsätzlicher an: "Compliance bedeutet nicht nur die Einhaltung von Gesetzen", sagt CCO Eckart Sünner (63), "es ist eine von Ethik und Integrität geprägte Kultur, die jeder im Unternehmen leben muss."

Deshalb hat BASF wie die meisten Konzerne einen "Code of Conduct" mit Verhaltensregeln von "Anlagensicherheit" bis zu "Umgang mit Geschäftspartnern" entwickelt. "Keinem Amtsträger im In- oder Ausland darf ein persönlicher Vorteil irgendwelcher Art angeboten oder gewährt werden", heißt es etwa darin. Es gilt das Vier-Augen-Prinzip, und es gibt umfangreiche Dokumentationspflichten, Teams werden häufig gewechselt, um mögliche Seilschaften aufzubrechen. Der Konzern hat eine Hotline eingerichtet, über die sich Mitarbeiter bei einem Anwalt von Shearman & Sterling Rat holen oder bei der sie Bedenken mitteilen können. Jeder Angestellte wird in den Regeln geschult. Die Teilnahme wird dokumentiert.

Das klingt nach einer Menge Bürokratie. Tatsächlich sind Mitarbeiter in deutschen Unternehmen bisweilen genervt von dem Zusatzaufwand. Gar nicht zu reden von den Kosten in Millionenhöhe, die bei US-gelisteten Firmen wegen der rigiden Sarbanes-Oxley-Anforderungen anfallen. Für Sünner ist das kein Argument: "Wer das teuer und aufwendig findet, sollte es mal ohne Compliance versuchen. Er kann schnell sein blaues Wunder erleben."

Compliance-Manager beugt Imageschäden vor

Um das zu vermeiden, drohen BASF-Mitarbeitern bei Regelverletzungen harte Sanktionen: "Wir fahren eine Null-Toleranz-Linie. Indem wir die schwarzen Schafe kennzeichnen, belohnen wir die loyalen Mitarbeiter." Dennoch versteht sich Sünner, der die Aufgabe als CCO 2005 zusätzlich zu seinem Job als Chefsyndikus übernahm, "nicht als interne Strafverfolgungsbehörde, sondern als Aufklärer und Helfer". Nicht gegängelt werden soll der Mitarbeiter, sondern geschützt vor Fehltritten.

Es sind diese beiden Pole - Ermittlung und Prävention -, zwischen denen die Compliance-Arbeit oszilliert und die den CCO im besten Fall zu einem gewandten Wanderer zwischen den Welten machen - und im schlimmsten Fall zu einem, der zwischen allen Stühlen sitzt, hin- und hergerissen zwischen den Rollen als harter Hund und als Kollege, dem man sich anvertraut.

Der schwierige Balanceakt zeigt sich schon in einem vermeintlichen Detail: der Frage nach der Herkunft des CCOs. "Wer von innen kommt, kriegt eventuell in schwierigen Situationen Loyalitätsprobleme", sagt Jörg Stolzenburg von Towers Perrin, der Firmen beim Thema Compliance berät. "Jemand von außen hat weniger Angst, Leuten auf die Füße zu treten - kennt aber den Laden nicht."

Der besonnene Sünner, der mit 28 Jahren als Jurist zu BASF kam, ist das eine Extrem. Ironisch bezeichnet er sich als "Eigengewächs"; den Konzern kennt er in- und auswendig, die Abläufe, die Versuchungen, die Fallstricke.

Das andere Extrem verkörpert Wolfgang Schaupensteiner (59), als Frankfurter Oberstaatsanwalt einer der exponiertesten Korruptionsbekämpfer Deutschlands und seit einigen Wochen CCO der Bahn, wo er vor allem die Verträge von Sub-Unternehmern unter die Lupe nehmen soll - traditionell ein beliebtes Spielfeld der Bestechung.

In der Branche rief die Berufung des Oberstaatsanwalts Skepsis hervor, weil sie als Ausweis des Misstrauens gegenüber den Mitarbeitern gedeutet werden könnte. Schaupensteiner selbst sieht sich nicht als verlängerter Arm der Staatsmacht: "Der Compliance-Beauftragte ist weder Polizist noch Oberrevisor, sondern eine Art Versicherung gegen Vermögens- und Imageschäden. Er sorgt dafür, dass der Konzern seine Schwachstellen kennt."

Schon ganz weltläufiger Manager, betont Schaupensteiner, dass es bei Compliance nicht allein darum gehe, die Vorstände vor Haftungsrisiken zu schützen. Der Schwerpunkt liege vielmehr in der Prävention. "Compliance ist ein Teil des Risiko-Managements und sollte als Unternehmensphilosophie gelebt werden."

Durchsetzungsstärke und Erfahrung gefragt

Tatsächlich wird den Unternehmen zunehmend bewusst, dass "legal" nicht gleich "richtig" oder auch nur öffentlich anerkannt ist - wie die Diskussionen um Kinderarbeit oder Mindestlöhne zeigen. Auch das weite Feld der Bewirtungen, Spenden und Beraterverträge ist gesetzlich nur schwer fassbar. Den Job des CCOs macht das nicht leichter: Konnte er sich früher auf das rein Rechtliche beschränken, erfordert seine neue Rolle ein Gespür für die gesellschaftliche Wahrnehmung - und komplexe Interessenabwägung im Einzelfall.

Auf der Visitenkarte von Karl-Friedrich Hempel (56) steht Unilever und Corporate Risk Manager. Es könnte aber auch Beichtvater darauf stehen, und das würde auch gut passen zu dem Mann mit den kurzen grauen Haaren, die sich erfolgreich gegen jede einheitliche Konzernfrisur wehren. Dazu ein Bart, fast weiß, graublaue Augen, ein tiefes Lachen. Man kann ihm vertrauen.

Hempel hat, was ein Compliance-Manager braucht: Seniorität, Durchsetzungsstärke, Erfahrung. Seit der Diplomkaufmann vor 30 Jahren als Trainee bei Unilever gestartet ist, hat er zehn Positionen an den unterschiedlichsten Stellen im Konzern absolviert. "Da lernt man alle Tricks und Kniffe." Und bekommt ein Gefühl dafür, wo die Grenzen verlaufen zwischen Freundlichkeit und Bestechung, zwischen Schusseligkeit und Schuld.

Als Deutschland-Chef für Compliance und Risk berichtet er über die Einhaltung des "Code of Principles" an den Finanzvorstand - und an die Europa-Zentrale, als Absicherung für den Fall, dass er den Fehltritt eines Vorgesetzten melden muss.

Vor allem aber ist er Ansprechpartner für all die Fragen zu Details, in denen der Teufel stecken könnte. Neulich rief ein Werksleiter an: Er habe zur Hochzeit von einem Lieferanten eine Karte bekommen, darin ein Gutschein für ein Wochenende im Hotel, auch für die werte Gattin. Was er denn jetzt machen solle? Hempels Antwort war eindeutig: "Gutschein zurückschicken".

Oder die Sache mit dem Videoclip für Axe, in dem Bikinimädels mit vollem Körpereinsatz um den Axe-Mann kämpfen und der auch auf den Bildschirmen am Firmeneingang der Hamburger Zentrale gezeigt wurde. Eine Mitarbeiterin fühlte sich sexuell belästigt, Hempel wurde alarmiert, der Spot verschwand.

Solche eher harmlosen Aspekte von Compliance ließen Kritiker das Thema lange unterschätzen. Oder sie taten es ab als Alibiveranstaltung, als eine Art Feigenblatt, hinter dem eher schlimmer gemauschelt wird als zuvor: Der Compliance-Manager wahrt die schöne Fassade, kehrt intern aber die brisanten Fälle unter den Teppich.

Bei diesem Vorwurf kann Hempel nur abwinken: "Da wird die Position völlig überschätzt. Wenn ein Unternehmen das nicht aus Überzeugung tut, wird es früher oder später gegen die Wand fahren. Und dann kann der Compliance-Manager gar nichts mehr machen. Höchstens noch darauf achten, dass die Wirtschaftsprüfer pünktlich ihren Kaffee kriegen."