Ob Ergo-Skandal oder falsch deklariertes Pferdefleisch - Aufreger werden gern genommen in der Tagespresse. Compliance rückt daher bei vielen Unternehmen in den Mittelpunkt. Wie eine Compliance-Policy in der Praxis aussehen sollte, erklärt Claudia Schmidt im Gespräch mit cio.de. Schmidt ist Geschäftsführerin des Beraters Mutaree aus Eltville-Erbach. Mutaree versteht sich als Spezialist für Change Management.
Frau Schmidt, Sie fordern für jedes Unternehmen eine Compliance-Policy. Was muss die beinhalten?
Claudia Schmidt: Ein One-size-fits-all gibt es hier nicht, weil Compliance-Management stets individuell an das jeweilige Unternehmen und die Risikolandschaft anzupassen ist. Im Groben kann man aber sagen, dass folgende Elemente Pflicht sind: Erstens muss die Unternehmensstrategie auf das Einhalten von Regularien überprüft werden. Außerdem gehört Risiko-Management hinein sowie alles rund um Organisation, hier geht es beispielsweise um die Frage, ob Abläufe und Prozesse transparent und den Richtlinien entsprechend gestaltet sind. Darüber hinaus befasst sich eine Compliance-Policy mit Management-Prozessen, um Compliance nachhaltig zu fördern und Verstöße zu vermeiden, etwa der Frage, wie das Unternehmen mit Betrugsfällen umgeht, und mit sämtlichen Geschäftsprozessen.
Wie oft muss die Unternehmensleitung die Compliance-Policy überprüfen?
Schmidt: Große Unternehmen sollten einmal im Jahr sicherstellen, dass ihre Compliance-Policy noch auf dem neuesten Stand ist. Bei kleineren Firmen und Mittelständlern dürfte das alle zwei Jahre ausreichend sein. Wichtig ist, dass das regelmäßig passiert.
Sie sagen, Compliance ist eine Haltung, die von der Firmenspitze her gelebt werden muss. Was heißt das konkret?
Schmidt: Eine Compliance-Kultur braucht neben der Kommunikation der Regelwerke vor allem eine Spiegelung dieser Grundsätze im Handeln und Auftreten der Verantwortlichen auf allen Management-Ebenen. Werte und Haltungen können nur vermittelt werden, wenn diese erkennbar von der Führung vorgelebt werden. Darüber hinaus heißt das, dass Compliance-Verstöße konsequent geahndet werden. Wenn ein Spitzen-Manager gegen Regeln verstößt, dann muss die Firma Konsequenzen ziehen. Notfalls bis zur Entlassung. Und zwar auch dann, wenn derjenige aus betriebswirtschaftlicher Sicht sehr erfolgreich ist. Da dürfen die Zahlen nicht über der Compliance stehen.
Sie plädieren für eine Organisationseinheit, die Compliance verantwortet. Wie soll die aussehen?
Schmidt: Optimal ist eine Kombination aus drei Wirkungsrichtungen. Erstens die Implementierung der Compliance-Abteilung als Stabsfunktion, die direkt beim Vorstand angesiedelt ist. Für das externe Regelwerk sollte ein Jurist im Team sitzen, außerdem ein Vertreter des Bereiches Organisation und Prozesse, ein Vertreter aus dem Feld Human Ressources und ein Informatiker. Gegebenenfalls können Kollegen aus Rechnungswesen, Risiko-Management und Datenschutz das Team ergänzen. Zweitens, als Querschnittsfunktion mit direkter Anbindung an die Stabsstelle, sollten Compliance-Beauftragte in allen Organisationseinheiten etabliert werden. Drittens, den Führungskräften kommt beim Thema Compliance eine besondere Rolle zu. Nur, wenn die Führungskräfte ein ethisch und rechtlich einwandfreies Verhalten vorleben, kann sich daraus eine nachhaltig funktionsfähige Compliance-Kultur entwickeln.
Worum geht es dabei vorrangig?
Schmidt: Um das Vernetzen einzelner Compliance-Maßnahmen zu einem Ganzen. Einzelne Compliance-Inseln wie ein Anti-Korruptions-Management oder ein Code of Conduct nützen dem Unternehmen nur bedingt. Firmen brauchen ein übergreifendes, aussagefähiges Compliance-Management-System.
IT muss die gesamte Prozess-Historie dokumentieren
Welche Rolle schreiben Sie der IT zu?
Schmidt: Der IT kommt eine besondere Rolle in der Überwachung der Einhaltung der bestehenden Regelwerke zu. So muss sie beispielsweise die gesamte Prozess-Historie dokumentieren. Im Rahmen von Geschäftsprozessen muss jederzeit klar und transparent nachvollziehbar sein, wer wann was entschieden und ausgeführt hat.
Wo sehen Sie dabei die größten Probleme?
Schmidt: Aus der Beratungserfahrung wissen wir, dass natürlich nicht alle Unternehmen über lückenlose Systeme verfügen. Nach Fusionen oder Zukäufen wurden neue Systeme weiterentwickelt, manches alte aber liegengelassen. Dann entstehen zum Beispiel Probleme mit der Dokumentation der Prozess-Historie oder der Aktualität von Legimimations- und Zugriffsrechten.
Jenseits von IT oder einzelnen Fachbereichen - worin besteht die größte Herausforderung bei Compliance?
Schmidt: Die größte Herausforderung bei der unternehmensweiten Umsetzung ist die Entwicklung einer Compliance-Kultur. Nur in einem unterstützenden Kontext kann sich die gewolte Haltung und die daraus resultierende Verhaltungsumstellung nachhaltig entwickeln.