Gerade die Frage nach dem Gehalt eines Compliance Officers lässt sich nicht pauschal beantworten. Welche Vergütung Unternehmen letztendlich für den Compliance Officer einplanen sollten, hängt von zahlreichen Faktoren ab.
Für Compliance Officer relevant: Beim Aufbau eines CMS fallen Personalkosten besonders ins Gewicht
Unternehmen, die sich mit dem Aufbau eines Compliance-Management-Systems (oder kurz „CMS“) beschäftigen oder das bestehende System ausbauen wollen oder müssen, stellen nicht nur eine Kosten-Nutzen-Analyse an, sondern wollen sogleich konkret wissen, was sie diese Investition kosten wird.
Natürlich fallen die Personalkosten dabei besonders ins Gewicht, auch wenn es daneben weitere fixe und variable Kostenfaktoren geben mag, wie zum Beispiel externe Beratungskosten für spezielle Fragen, Kosten für Software und Lizenzen von Monitoring-Systemen oder Whistleblowing Hotlines und ggf. regelmäßig anfallende Kosten für Schulungen und entsprechende Materialien.
Das Gehalt eines Compliance Verantwortlichen war Gegenstand einer Haufe-News im April 2019 und die Meinungen über deren Vollständigkeit, Aktualität und Richtigkeit gingen auseinander. Das kann nicht verwundern, denn zum einen sind belastbare Angaben über Gehaltsstrukturen kaum zu erlangen, weil diese Daten und ihre statistischen Grundlage selten (vollständig) offengelegt werden, und zum anderen gibt es weder einen „Durchschnitts-Compliance-Officer“ noch ein „Durchschnitts-Unternehmen“, zu dem ein solcher „Durchschnitts-Compliance-Officer“ passen würde.
Folglich müssen sich die Entscheider/-innen in den Unternehmen genauso wie die Stellenbewerber/-innen ihre Meinung zum Thema selbst bilden. Zwar findet sich im Internet eine ganze Reihe von Informationen, zum Beispiel unter www.wirtschaftscampus.de, www.glassdoor.de, www.gehalt.de, www.finance-magazin.de, oder auch bei Stepstone, Xing und JUVE. Aber es gibt eben keine Tabelle, in die man kurz reinschauen kann, um zum „richtigen“ Ergebnis zu gelangen. Die nachfolgenden Überlegungen erläutern einerseits, warum das unvermeidlich ist, und sollen andererseits Denkansätze und Stellhebel aufzeigen, die den eigenen Meinungsbildungsprozess erleichtern.
Korrelation zwischen angemessener Vergütung und angemessener Compliance?
Die Vergütung sollte stets den Aufgaben und der Verantwortung des Compliance-Officers gerecht werden und angemessen sein. Um dies einordnen zu können, empfehlen sich Vergleiche zu den Gehältern vergleichbarer Führungskräfte und Mitarbeiter im Unternehmen (vgl. Schulz/Galster in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 5 Rn. 19 auf S. 121/122).
Die Vergütung des Compliance Officers sollte tunlichst in die vorhandenen individuellen Gehaltsstrukturen des Unternehmens passen. Für einen Chief Compliance Officer kann die Vergütung des Leiters der Rechtsabteilung oder des Leiters der internen Revision einen geeigneten Vergleichsmaßstab bilden. Für Mitarbeiter einer Compliance-Abteilung könnten die Gehälter von Mitarbeitern aus der Rechtsabteilung, der internen Revision oder dem Controlling herangezogen werden.
Man sollte sich bei dieser Entscheidung von vornherein bewusst sein, dass mit dieser Einordnung ins Gehaltsgefüge gleichzeitig eine Aussage darüber getroffen wird, welche Bedeutung die Compliance im Unternehmensalltag spielt. Wenn sich zum Beispiel ein größeres mittelständisches Unternehmen einen juristischen Berufsanfänger für rund 50.000 EUR „leistet“ und ihn mit dem Aufbau eines wirksamen Compliance-Management-Systems beauftragt, ist nicht nur das Risiko des Scheiterns verhältnismäßig hoch. Die Ermittlungsbehörden werden zudem im Falle einer festgestellten Non-Compliance ihre Schlüsse daraus ziehen. Gesetzliche Initiativen wie zuletzt das nun (vorläufig) gescheiterte Verbandssanktionengesetz sehen für Unternehmen, die in Compliance investieren und ein funktionierendes, wirksames CMS unterhalten, Milderungen, unter bestimmten Umständen sogar das Absehen von der Verfolgung vor, wenn einmal etwas schiefgeht. Solche „Vergünstigungen“ werden Unternehmen, die an Ressourcen und Ausstattung ihrer Compliance-Abteilungen sparen, voraussichtlich versagt bleiben.
Bereits bei der Frage der richtigen Einordnung in die Vergütungsstruktur des Unternehmens wird offensichtlich, dass sowohl die Spitzengehälter für Chief Compliance Officer als auch die Einstiegsgehälter für Compliance-Beauftragte auf Sachbearbeiter-Ebene je nach Unternehmen weit auseinanderfallen. Die Angabe von Durchschnittsgehältern, selbst wenn man zwischen „Chief“, „Senior“ und „Junior“ Compliance Officer differenziert, führt zu keinem messbaren Erkenntniszugewinn. Allein schon bedingt durch die Branche und die Unternehmensgröße unterscheidet sich das Aufgabenspektrum und der Verantwortungsbereich eines Compliance Officers beträchtlich. Genauso wenig wie es einen „Durchschnitts-Compliance-Officer“ gibt, existiert auch kein „Standard-Modell“ (siehe Schulz/Galster in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 4 Rn. 1 auf S. 72 sowie zu Budget- und Ressourcen unter § 5 Rn. 21-26 auf S. 122-124 m.w.N.).
Entscheidet beim Compliance Officer die Branchenzugehörigkeit über die Höhe der Vergütung?
Tatsache ist: Die Vergütung der Compliance Officer variiert je nach Branche stark. Einstiegsgehälter liegen nach meiner Erfahrung und Einschätzung zwischen ca. 45.000 und 90.000 EUR, Berufserfahrene verdienen zwischen 65.000 EUR und 130.000 EUR, und Chief Compliance Officer sind bei ca. 150.000 EUR bis zu mehreren 100.000 EUR pro Jahr dotiert. Solche Spannbreiten, wie sie andernorts in ähnlicher Form (siehe unter anderem bei den in der Einleitung genannten Quellen, die zum Teil auf umfassende statistische Erhebungen und weitere Quellen zurückgreifen können) berichtet werden, sind in der Praxis wenig hilfreich und hier wie gesagt nur erste Schätz- und Erfahrungswerte, die auf unterschiedlichen Wegen näher einzugrenzen sind.
Hochregulierte, große und international ausgerichtete sowie börsennotierte Unternehmen zahlen ihren Compliance Officer deutlich höhere Gehälter als mittelständische Unternehmen. Dabei spielen das interne Gehaltsgefüge des Unternehmens, aber auch die Lebenshaltungskosten vor Ort eine gewichtige Rolle. Außerdem trägt der Compliance Officer in größeren Unternehmen regelmäßig eine höhere Verantwortung vor dem Hintergrund eines breiteren (internationalen) Aufgabenspektrums. So gesehen hat die Branchenzugehörigkeit Einfluss auf den „Marktwert“ der Compliance Officer. Andere Faktoren spielen in der Praxis ebenfalls eine Rolle. So sind Compliance Officer im Falle eines Wechsels nicht selten bereit, gewisse Gehaltseinbußen hinzunehmen, wenn die Compliance-Kultur des neuen Unternehmens stimmt, die Aufgaben interessanter erscheinen oder sich ihre Work-Life-Balance (z. B. wegen kürzerer Anfahrzeiten) verbessert.
Eine Verpflichtung zur Bestellung eines Compliance Officers besteht im Regelfall nicht. Allerdings unterliegen zahlreiche Branchen gesetzlichen Vorgaben, zumindest bestimmte Teile ihrer Organisation mit Compliance-Beauftragten bzw. Experten zu besetzen. Die diesbezüglichen Spezialgesetze verlangen regelmäßig eine direkte Berichtslinie zur Geschäftsleitung, so z. B. für Geldwäsche- und Datenschutzbeauftragte sowie für diverse Umwelt-Compliance-Funktionen.
Im Ergebnis kann es zu einer Anhäufung unterschiedlichster Compliance-Verantwortlichkeiten auf Geschäftsleitungsebene kommen. In dieser Situation kann ein "generalistischer" Compliance Officer die jeweiligen Compliance-Experten sowie die Geschäftsleitung koordinierend unterstützen.
Am stärksten reguliert ist die Finanzbranche. Institute im Sinne des § 1 Abs. 1b des Kreditwesengesetzes (KWG), also Kreditinstitute (§ 1 Abs. 1 KWG) und Finanzdienstleistungsinstitute (§ 1 Abs. 1a KWG), sind nach § 25a Abs. 1 KWG gesetzlich verpflichtet, eine "Compliance-Funktion" sowie einen anonymen Hinweisgeberprozess ("Whistleblowing") einzurichten.
Das KWG macht darüber hinaus in § 25a Abs. 5 konkrete Vorgaben, wie diese Institute ihr Vergütungssystem, vor allem die variable Vergütung, auszugestalten haben.
Für spezielle Compliance-Felder gibt es gesonderte gesetzliche Regelungen, welche die Bestellung eines Beauftragten zwingend vorschreiben. Neben den Kreditinstituten müssen gemäß § 7 des Geldwäsche-Gesetzes z. B. auch Versicherungen, Kapitalverwaltungsgesellschaften und bestimmte Glücksspielbetreiber einen Geldwäschebeauftragten bestellen.
Die Liste der Beauftragten und Experten mit Compliance-Funktionen ist lang. Ohne Anspruch auf Vollständigkeit seien hier zur Verdeutlichung noch der Datenschutzbeauftragte (§ 38 BDSG), die Fachkräfte für Arbeitssicherheit (§§ 1, 5–7 ASiG), Exportkontrollbeauftragte (als verlängerter Arm des auf Geschäftsleitungsebene zwingend zu bestellenden Ausfuhrverantwortlichen) sowie Umweltschutzbeauftragte wie der Immissionsschutzbeauftragte (§ 53 BImSchG) und der Gewässerschutzbeauftragte (§ 64 WHG) erwähnt.
Erheblichen regulatorischen Anforderungen unterliegen neben der Finanzbranche beispielsweise auch die Pharmaindustrie, die Lebensmittelindustrie und die Energieversorger.
Soweit es sich um ein börsennotiertes Unternehmen handelt, besteht stets eine gesetzliche Verpflichtung, sich regelmäßig mit seinem Compliance-Management-System und Hinweisgebersystem zu befassen. Denn der Deutsche Corporate Governance Kodex fordert deren Einrichtung in seiner Empfehlung A.2 zu Grundsatz 5. Abweichungen von den Empfehlungen des Kodex bleiben selbstverständlich möglich, doch muss sich jedes börsennotierte Unternehmen zu etwaigen Abweichungen einmal jährlich öffentlich erklären.
Welche Rolle spielen Unternehmensgröße und internationale Tätigkeit beim Gehalt für Compliance Officer?
Unternehmensgröße und internationale Tätigkeit sind nicht primär ausschlaggebend für die Höhe der Vergütung eines Compliance Officers. Im Zweifel wird selbst ein regional agierendes Kreditinstitut seinem Compliance Officer mehr bezahlen als ein global tätiger Hersteller von geringwertigen (und ungefährlichen) Konsumgütern. Unternehmensgröße, Geschäftsmodell und Wettbewerbssituation haben in der Regel ihre ganz eigenen Auswirkungen auf die Gehaltsstruktur eines Unternehmens – und diese Strukturen werden sich in der Vergütung des Compliance Officers widerspiegeln.
Beeinflusst die Organisation der Compliance-Aufgaben im Unternehmen die Vergütung der Compliance-Officer?
Für die Bestimmung des angemessenen Gehalts eines Compliance Officers dürfte die interne Organisation und seine Stellung im Unternehmen eine größere Rolle spielen als die bloße Unternehmensgröße. Es finden sich zahlreiche, höchst unterschiedliche Organisationsmodelle in der Praxis (siehe Schulz/Galster in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 4 Rn. 2 auf S. 73 m.w.N.), wobei zwei Modelle, nämlich
- die parallel zur Rechtsabteilung bestehende "autonome" Compliance-Abteilung und
- die in die Rechtsabteilung integrierte Compliance-Funktion
den Löwenanteil ausmachen. Vergütungstechnisch macht es einen wesentlichen Unterschied, ob die Compliance-Funktion Teil der Rechtsberatung ist und an den Leiter der Rechtsabteilung berichtet oder aber autonom mit einem direkten Berichtsweg an die Geschäftsleitung aufgestellt ist.
Nach meinem Dafürhalten ist einer autonomen Organisation der Compliance-Funktion eindeutig der Vorzug zu geben, weil sich die Rechtsabteilung vorrangig auf das Vertragswesen und die Anspruchsabwehr konzentrieren will und soll, während sich die Compliance Funktion intern und bisweilen sogar investigativ betätigt, um Schwächen und potenzielle Compliance-Risiken aufzuspüren und sie abzustellen. Die Trennung hilft, potenzielle Interessenkonflikte zu vermeiden. In der Unternehmenspraxis sind beide Modelle etwa gleich stark vertreten, wobei die Neigung zu einer autonomen Compliance-Abteilung nach meinen, möglicherweise nicht repräsentativen, Beobachtungen mit der Unternehmensgröße wächst. Funktionieren können jedenfalls beide Modelle, was ich aus eigener Erfahrung bestätigen kann. Ist die Compliance-Funktion der Rechtsabteilung angegliedert, wird sich auch die Vergütung der Compliance Officer an derjenigen der Rechtskollegen ausrichten. Handelt die Compliance autonom von der Rechtsabteilung, bilden deren Gehaltsstruktur (einschließlich des Leiters) sowie die Strukturen anderer Peer-Abteilungen (z. B. interne Revision, Controlling) den Vergleichsmaßstab.
Muss es ein Jurist sein?
Nicht unbedingt. Es gibt kein Gebot, dass Compliance Officer über eine juristische Ausbildung verfügen müssen (zu den Kompetenzen eines Compliance Officers siehe bei Thierfelder in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 2 Rn. 4–9 auf S.16–18). Je nach Branche und Aufgabenschwerpunkten können Fachleute aus anderen Bereichen, wie z. B. Wirtschaftswissenschaftler, Umwelt- oder Datenschutzexperten, durchaus besser geeignet sein. Da es bei der Compliance letztlich immer um die Einhaltung rechtlicher Vorschriften und Regelungen geht, sind ausgebildete Juristen im Allgemeinen im Vorteil. Nach meiner Einschätzung sind rund zwei Drittel aller Compliance-Officer-Positionen in Deutschland mit Juristen besetzt. Ähnlich äußern sich sowohl Thierfelder, der davon ausgeht, dass die Mehrzahl dieser Stellen von Juristen bekleidet wird, als auch Preusche/Würz (vgl. Thierfelder in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 2 Rn.7 auf S. 18; vgl. ferner Preusche/Würz, Compliance, HAUFE-Taschenguide, 3. Aufl. 2020, S. 50). Das finance-magazin nannte 2014 in einer Internet-Mitteilung unter Bezugnahme auf eine Berufsfeldstudie der Quadriga Hochschule Berlin und des Berufsverbands der Compliance-Manager aus dem Jahr 2013 einen Juristenanteil von knapp 40%. Bei diesen Schätzungen und Statistiken ist stets Vorsicht geboten, denn teilweise werden Compliance-Spezialisten wie Datenschutz-, Geldwäsche-, Immissionsschutz- oder Gewässerschutzbeauftragte bzw. Product Compliance Manager oder IT Compliance Manager in diese Statistiken mit eingerechnet.
Profi oder Berufseinsteiger?
Wer ein Compliance-Management-System aufbauen und eine Compliance-Funktion im Unternehmen einrichten möchte, weil er die Zeit gekommen sieht, oder es sogar muss, weil es schwerwiegende Non-Compliance-Vorfälle gab, wird sich neben den in der Einleitung genannten Überlegungen vor allem fragen, ob er einen erfahrenen – und somit teureren – Compliance-Fachmann benötigt oder ein Berufseinsteiger mit den anstehenden Aufgaben betraut werden kann.
Die Entscheider in den Unternehmen sind aus Kostengründen geneigt, sich „für den Anfang“ mit einem Berufseinsteiger zu begnügen. Dabei spielt vielleicht eine Rolle, dass junge Führungskräfte eventuell leichter zu motivieren und zu steuern sind. Wer einen begabten jungen Compliance-Manager findet, der sich schnell einarbeitet, wirtschaftliches Verständnis mitbringt und die Dinge in einer sinnvollen Reihenfolge angeht, kann mit seiner Entscheidung Glück haben. Deshalb werde ich mich hüten, von der Einstellung junger Juristen pauschal abzuraten, wenn es um den Aufbau eines CMS geht, zumal diese für die Konzeption oder Einzelfragen zum CMS immer noch auf externen Rat qualifizierter Compliance Experten zurückgreifen können. Der § 13 Abs. 2 des mittlerweile gescheiterten Verbandssanktionengesetzes (Referentenentwurf vom 20.4.2020) ging sogar soweit, dass im Falle einer festgestellten Non-Compliance eine externe Beratung durch „sachkundige Stellen“ gerichtlich angewiesen werden sollte.
Denn eigentlich ist schon die Ausgangsfrage nicht richtig gestellt. Ausschlaggebend sollte nicht die Anzahl der Jahre an Berufserfahrung sein, sondern das Aufgabenprofil. Und wenn es für die Umsetzung der bevorstehenden Aufgaben ein gerüttelt Maß an Menschenkenntnis, Führungsstärke und Persönlichkeit braucht, um etwa tiefgreifende Veränderungen herbeizuführen oder neue Prozesse im Unternehmen zu implementieren, dann ist das Unternehmen besser mit einem erfahrenen Fachmann aufgehoben, der schon einmal durch ein solches „Feuer“ gegangen ist.
Seniorität und Autorität können daher von Vorteil sein. Will das Management jedoch die Umsetzungsschritte aktiv mitbegleiten, können erfahrener Geschäftsleiter und Compliance-Berufseinsteiger durchaus ein perfektes Team bilden.
Ein ganz wesentliches Kriterium für die Qualität und den Erfolg aller Compliance-Anstrengungen des Unternehmens ist der so oft beschworene „tone from the top“ (kurz und anschaulich dazu: Daum in Bay/Hastenrath, Compliance Management Systeme, 2014, Kap.3 Rn.60-63 auf S.61/62). Spricht die Unternehmensleitung über Compliance, ist ihr die Beachtung der Regeln wichtig, wird Non-Compliance verfolgt und aufgearbeitet, demonstriert sie eigenes Engagement und wird sie ihrer Vorbildrolle gerecht? Angesichts wirtschaftlicher Zwänge und des täglichen Arbeitspensums ist es alles andere als leicht, diesen „tone from the top“ in Sachen Compliance nachhaltig vorzuleben. Umgekehrt gibt es aber keinen aussagekräftigeren „tone from the top“ als ein bei der Lösung von Compliance-Problemen oder der Einführung präventiver Compliance-Maßnahmen aktiv mitwirkendes Top-Management. Wer beim Thema Compliance Leadership und Vorbildfunktion auf Geschäftsleitungsebene selbst wahrnimmt, der benötigt gegebenenfalls nur ein wenig fachliche Unterstützung, die ein talentierter Compliance-Manager als Berufseinsteiger bereits leisten (und sich erforderlichenfalls „draufschaffen“) kann.
Lösung des "Gehaltsproblems" über fixe und variable Gehaltsbestandteile für den Compliance Officer?
Die Performance und angemessene Bezahlung eines Compliance Officers lässt sich über variable Gehaltsbestandteile austarieren und steuern. Es liegt auf der Hand, dass es dabei sowohl auf Geschäftsleitungsebene als auch beim Compliance Officer selbst zu Interessenkonflikten kommen kann. Im Idealfall ist die Ausgangslage aber perfekt: Der Compliance Officer erhält ein moderates Fixgehalt und darüber hinaus eine variable Vergütung, die zum Beispiel an die Erreichung definierter und messbarer Ziele geknüpft ist. Die Geschäftsleitung kann sich zuvor überlegen, was ihr die Erreichung dieser Ziele tatsächlich wert ist, so dass sie ein späterer Erfolg nicht „schmerzt“, wenn sie zusätzlich die dafür vereinbarte „Zielerreichungs-Prämie“ zahlen muss.
Geschäftsleitern sei in diesem Zusammenhang empfohlen, sich selbstkritisch zu hinterfragen. Die Zusammenarbeit mit einem Compliance Officer bringt es notgedrungen mit sich, dass er Probleme aufdeckt und „negative Botschaften“ (zum Beispiel Berichte über Non-Compliance) übermittelt. Wer dem Irrglauben unterliegt, nicht „bösgläubig“ werden zu wollen, und/oder dazu neigt, den Überbringer der schlechten Nachricht zu „erschießen“, anstatt den Ball aufzunehmen und das Problem einer Lösung zuzuführen, wird keine Freude an seinem Compliance Officer haben. Umgekehrt natürlich auch nicht. Wahrscheinlich wird in einem solchermaßen geleiteten Unternehmen auch das Risikomanagement stiefmütterlich behandelt.
Der Compliance Officer steht in einem ganz ähnlichen Dilemma. Er läuft Gefahr, zum „Sündenbock“ gestempelt zu werden. Schlimmstenfalls zieht er die negativen Reaktionen, die eigentlich dem von ihm berichteten Compliance-Vorfall gelten sollten, auf sich. Er wird zum Problem, nicht die von ihm festgestellte Non-Compliance. Beobachtet man regelmäßig die öffentlich zugänglichen Stellenanzeigen für (Chief) Compliance Officer auf Plattformen und Job-Börsen, stößt man auf Unternehmensseite immer wieder einmal auf alte „Bekannte“. Meist sind auch deren Compliance-Probleme öffentlich bekannt, so dass man nur schlussfolgern kann, dass es die Protagonisten nicht miteinander aushalten – aus welchen Gründen auch immer.
Kluge Zielvereinbarungen sollten deshalb von vornherein mit einkalkulieren, was man bereit ist auf sich zu nehmen („Konfliktpotenzial“) und was dabei dem Unternehmensinteresse dennoch bestmöglich dient. Aus diesem Grund halte ich es für zielführend, einen Teil der variablen Vergütung an den Unternehmenserfolg und dessen Gesamtergebnis zu knüpfen (so auch schon Hauschka/Galster/Marschlich in den „Leitlinien für die Tätigkeit in der Compliance Funktion im Unternehmen (für Compliance Officer außerhalb regulierter Sektoren)“ in CCZ 2014, S.242 ff., S.248 unter Ziffer 8.1). Eine Kombination aus unternehmerischen und individuellen Zielen kann eine gute Kompromisslösung darstellen. Kritisch zu sehen sind dagegen allzu pauschale Zielvereinbarungen. Wird z. B. ganz allgemein die „Verhinderung von Compliance-Verstößen im zugewiesenen Verantwortungsbereich“ als Ziel ausgelobt, mag das zwar messbar sein. Im Zweifel ist die Zielerreichung im Ergebnis aber schlicht und ergreifend nur „Glück“ oder das Verfehlen der Ziele eben „Pech“, wodurch die Belohnungswirkung entweder verpufft oder sich sogar ins Gegenteil verkehrt (dazu ausführlich und mit Beispielen: Böckelmann in Bay/Hastenrath, Compliance Management Systeme, 2014, Kap.2 Rn.81-88 auf S.45-47).
Was also könnten solche klugen Ziele sein? In der Literatur werden beispielsweise die Zertifizierung des Compliance-Management-Systems und die Einführung einer (Whistleblowing) Hotline vorgeschlagen (so bei Thierfelder in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 2 Rn. 24 auf S. 23). Die flächendeckende Schulung von Mitarbeitern zu gezielt ausgewählten Compliance-Sachverhalten wäre ein weiteres Beispiel. In einem funktionierenden CMS treten bei der jährlichen Nachschau sowie bei der Überprüfung des Katalogs der Compliance-Risiken regelmäßig neue Compliance-Herausforderungen (z. B. wegen sich ändernder Gesetzeslage) und Problemzonen (z. B. infolge eines Non-Compliance Vorfalls oder „Beinahe-Unfalls“) zutage, die aufgegriffen werden können. Das mag im Ergebnis zur Anpassung von Geschäftsprozessen, zur Überarbeitung der internen Regularien, zur Durchführung zielgerichteter „Awareness-Kampagnen“ oder zum Ausbau der Kontroll- und Sanktionsmechanismen im Unternehmen führen. Die Themen gehen folglich nie aus.
Aus Sicht des Managements erscheinen die genannten Ziele noch nicht wirklich attraktiv. Denn es fehlt an einer betriebswirtschaftlichen Komponente. Mit ein wenig Fantasie lässt sich der angestrebte „Doppelnutzen“ – regelkonform und betriebswirtschaftlich sinnvoll – erreichen. Zum einen können ggf. Synergien identifiziert werden, denn Unternehmen neigen oft dazu, mehrere Systeme parallel aufzubauen und zu unterhalten. Getrennte Compliance- und Risiko-Management-Systeme sind nicht der Weisheit letzter Schluss. Die damit verbundene Doppelarbeit, insbesondere die doppelte Erhebung von Daten in der Organisation, ist eine unnötige Belastung. Unterhält das Unternehmen ein Qualitätsmanagement-System nach ISO 9001, lassen sich zahlreiche Brücken zu einem CMS nach ISO 37301 schlagen. Vorhandene Qualitätsabläufe können genutzt und um einen Compliance-Aspekt bereichert werden. Die bereichsübergreifende Zusammenarbeit und der „Team-Spirit“ im Unternehmen werden mit solchen „Compliance-Projekten“ belebt und gefördert.
Zum anderen besteht erfahrungsgemäß immer „room for improvement“. Es gibt Möglichkeiten zur Verbesserung der Performance durch Compliance. Interne Regelungen und Policies können zusammengefasst, verständlicher formuliert und vereinfacht werden. Zustimmungs- und Kontroll-Prozesse lassen sich schneller und effizienter gestalten oder sogar miteinander kombinieren. Bereits bestehende Compliance-Prozesse, wie zum Beispiel eine extern betriebene Whistleblowing-Hotline, können auf den Prüfstand gestellt und je nach Ergebnis verbessert oder unter Kosteneinsparungen durch eine wettbewerbsfähigere Lösung ersetzt werden. Auf diese Weise kann die Compliance-Funktion neben ihrer ureigenen Aufgabe der Risikominimierung und Prävention, deren Erfolg immer schwer messbar bleiben wird, auch einen positiven Wertbeitrag leisten.
Darüber hinaus ergeben sich Möglichkeiten, unternehmensweit Geschäftsziele und Compliance-Ziele miteinander zu verbinden. Gemessen wird dann nicht nur die Zielerreichung (z. B. Umsatzsteigerung), sondern qualitativ auch die Art und Weise (z. B. das Maß an Regelkonformität).
Immer im Auge zu behalten sind dabei die bereits mehrfach angesprochenen Interessenkonflikte. Wer seinen Compliance Officer dafür bezahlt, dass möglichst wenige Compliance-Vorfälle ans Tageslicht kommen, der setzt den Schwerpunkt nicht unbedingt auf Prävention, sondern muss eher damit rechnen, dass solche Vorfälle nicht genau untersucht oder sogar ganz unter den Teppich gekehrt werden. Und wer den Compliance Officer dafür belohnt, dass er jede Compliance-Schwäche rigoros aufdeckt, macht sich ebenfalls nicht glücklich, denn erkannte Defizite lösen auf Geschäftsleitungsebene sofort Handlungspflichten aus. Hier ist verantwortliches und vorausschauendes Handeln gefragt. Der Compliance Officer kann und sollte nicht zum „Feind im Innern“ oder Handlanger der Ermittlungsbehörden mutieren, sondern vielmehr im wohlverstandenen besten Unternehmensinteresse handeln. Das bedeutet letztlich nichts anderes als mitzuhelfen, existenzbedrohende oder zumindest wirtschaftlich oder für die Reputation des Unternehmens bedeutsame Risiken zu identifizieren und geeignete Gegenmaßnahmen zu entwickeln. Dafür braucht es Erfahrung, Augenmaß, wirtschaftliches Verständnis sowie die Fähigkeit, diese Themen zu verbalisieren und ggf. unternehmensweit klar zu kommunizieren. Das gibt es nicht umsonst.
Wirkt sich ein guter bzw. schlechter "Compliance-Zustand" auf die Vergütung aus?
Unternehmen, die in puncto Compliance bereits unangenehm aufgefallen sind, müssen nicht nur größere Anstrengungen unternehmen, um die in der Vergangenheit gemachten Fehler abzustellen und deren Wiederholung zu vermeiden, sondern sollten gegenüber der Öffentlichkeit und den Ermittlungsbehörden auch demonstrieren, dass sie es ernst damit meinen. Dazu gehört, die unternehmensinterne Compliance angemessen auszustatten – fachlich und budgetmäßig.
Bei den Unternehmen lassen sich grundsätzlich drei Compliance-Zustände (siehe Schulz/Galster in: Bürkle/Hauschka, Der Compliance Officer, 2015, § 4 Rn.30-31 auf S.86/87) unterscheiden:
- Unternehmen unmittelbar nach einem Compliance-Verstoß;
- Unternehmen mit Compliance-Verstößen in der Vergangenheit und einem Potenzial für (weitere) Compliance-Verstöße;
- Unternehmen, bei denen noch kein Compliance-Verstoß auftrat bzw. unmittelbar droht.
Wie wird sich ein unterschiedlicher Compliance Zustand auf drei ansonsten in jeder Hinsicht vergleichbare Unternehmen auswirken?
Das Unternehmen der Kategorie 1 wird vergleichsweise weniger attraktiv für Stellenbewerber sein. Denn neben viel Arbeit drohen erhebliche Risiken. Eventuell unterliegt das Unternehmen einem externen Monitoring, was die Compliance-Arbeit „mühsamer“ macht. Der Stellenbewerber – überhaupt alle Stellenbewerber – könnten größere Schwierigkeiten haben, sich mit dem Unternehmen zu identifizieren. Unter Umständen ist der künftige Compliance Officer sogar dazu gezwungen, gegen die (frühere) Führungsebene des Unternehmens zu ermitteln. Für die geringere Attraktivität sowie das höhere Risiko- und Konfliktpotenzial wird das Unternehmen tiefer in die Tasche greifen müssen. Voraussichtlich wird es einen erfahrenen und „hartgesottenen“ Compliance-Profi engagieren. Würde es sich für einen oder mehrere Berufseinsteiger entscheiden, müsste es sogleich mit dem Vorwurf leben, seine Compliance-Probleme nicht ernst zu nehmen.
Das alles gilt auch für die Unternehmen der Kategorie 2, nur in abgemilderter Form. Denn dort wurden augenscheinlich wirksame Compliance-Maßnahmen implementiert, das Unternehmen hat aus seinen Fehlern gelernt und seine Compliance-Kultur verbessert. Aus Sicht des Stellenbewerbers wird es bei der künftigen Aufgabe um die Erhaltung des Status Quo und weitere Verbesserungen gehen. Eine solche Konstellation lässt sich den Bewerbern besser „verkaufen“, und die vom Unternehmen der Kategorie 1 zusätzlich zu zahlende „Risikoprämie“ entfällt.
Bei Unternehmen der Kategorie 3 besteht natürlich das Risiko, dass sich nur "Schönwetter-Compliance Officer" bewerben. Zusätzlich birgt diese Konstellation die Gefahr, es sich zu leicht zu machen und ggf. Compliance-Risiken zu übersehen oder zu unterschätzen. Im Ergebnis wird ein solches Unternehmen attraktiver auf Stellenbewerber wirken, weil Risiken und Konfliktpotenzial überschaubar erscheinen. Die "Risikoprämie" entfällt auch hier.
Festlegung des Gehalts eines Compliance Officers: Erforderlich sind Kenntnis der Umstände und die Analyse der Anforderungen
In jedem Unternehmen lässt sich die richtige und angemessene Vergütung für dessen Compliance Officer ermitteln. Das ist nicht unbedingt einfach, aber machbar. Erforderlich ist die Kenntnis der Umstände gepaart mit einer sorgfältigen Analyse der Anforderungen. Die Suche nach bzw. Angabe von irgendwelchen Gehaltsbandbreiten bringt dagegen rein gar nichts, wenn man sich die konkreten Verhältnisse nicht genau angeschaut hat. Und wer nicht weiß, ob er Compliance überhaupt will, der sollte erst gar kein Geld dafür ausgeben. Denn „Alibi-Compliance“ hilft nichts und niemandem, sondern kostet nur Geld, nämlich zuerst für das „gekaufte“ Alibi und später, wenn dann doch etwas schiefgeht, für die halbherzige Compliance und deren mögliche Folgen. Diese reichen von Strafzahlungen über Reputationsverlust bis hin zu Kosten und zusätzlichem Aufwand eines externen Monitorings, wie es seinerzeit zum Beispiel Siemens und Bilfinger auferlegt wurde.
Für eine erste Orientierung sind „Marktpreise“, Bandbreiten und Empfehlungen natürlich kein Fehler.
Anschließend muss man aber selbst denken oder sich beraten lassen. Der Weg führt über die genaue Kenntnis der eigenen Gehaltsstruktur im Unternehmen und das gewünschte Anforderungsprofil an den Compliance Officer bis hin zu den drei „Stellhebeln“ (1) Branchenzugehörigkeit, (2) Gestaltung der variablen Gehaltsbestandteile und (3) „Compliance-Zustand“ des Unternehmens.