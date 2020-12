Nach wie vor wird Compliance in vielen Unternehmen als unnötige Zusatzbelastung empfunden, als Einschränkung des unternehmerischen Handelns wahrgenommen. Dabei gibt es, auch gerade aus Unternehmersicht, gute Gründe, das Thema zügig und strukturiert anzugehen.

Nach wie vor wird Compliance in vielen Unternehmen als unnötige Zusatzbelastung empfunden, als Einschränkung des unternehmerischen Handelns wahrgenommen. Dabei gibt es, auch gerade aus Unternehmersicht, gute Gründe, das Thema zügig und strukturiert anzugehen.

Wozu denn Compliance?

Noch immer ist der Begriff „Compliance“ in den Chefetagen der Unternehmen überwiegend negativ besetzt. Er suggeriert gleichermaßen Haftungsängste und Freiheitsbeschränkungen unternehmerischen Handelns. Fast könnte man meinen, es sei nicht möglich bzw. nicht unternehmerisch, sich an die Regeln zu halten. Sicherlich generiert Compliance kein neues Geschäft. Compliance ist Teil der Risikovorsorge der Unternehmen. Klug eingesetzt, können Compliance-Initiativen einen „Doppel-Nutzen“ in den Unternehmen stiften. Nämlich dann, wenn sie nicht nur der Schadensvermeidung, sondern auch der Prozessoptimierung dienen.

Wenn ich gefragt werde, was mich beruflich interessiert und motiviert, und dies wahrheitsgemäß mit Compliance beantworte, reagieren meine Gesprächspartner nicht selten mit Verwunderung, verdrehen die Augen oder schütteln den Kopf.

Diskussionen über Prozessabläufe im Unternehmen drehen sich regelmäßig um die „core processes“ wie „supply chain“, „product lifecycle management“ oder CRM, doch sollte man die unterstützenden internen Prozesse dabei nicht vernachlässigen. Compliance ist in meinen Augen ein ganz wesentlicher interner Prozess. Die Reaktionen darauf sind allerdings mehrheitlich ablehnend. Das sei alles übertrieben, Compliance stehe schnellen Entscheidungen im Wege und liefere keinen Wertbeitrag, sind noch die mildesten und „vernünftigsten“ Entgegnungen. Meistens ist zu hören: „So ein Quatsch!“

So einfach sollte man es sich nicht machen. Folgende Fragen erlauben eine Annäherung der zunächst weit auseinander liegenden Positionen:

Mit welchem internen Prozess können Sie Ihr Unternehmen komplett erfassen, jeden Mitarbeiter erreichen und auf Ihr Unternehmen in seiner Gesamtheit Einfluss nehmen?

Womit erzielen Sie im Unternehmen und in der Öffentlichkeit gleichermaßen positives Feedback, steigern Ihre Krisenfestigkeit und polieren gleichzeitig Ihr Employer Branding auf?

Was folgt ist erst einmal Schweigen. Dann kommen viele gute Ansätze. Auf die erste Frage sind Human Resources (HR) und IT sowie das Qualitätswesen die meistgenannten internen Prozesse. Und bei der zweiten Frage wird sehr schnell die Profitabilität ins Spiel gebracht, allerdings begleitet von einem Stirnrunzeln. Nach nochmaligem Überlegen sprudeln Kundenzufriedenheit, Nachhaltigkeit und ein Potpourri aus Begriffen, die am ehesten Attribute wie Zuverlässigkeit, Berechenbarkeit, Verlässlichkeit und Verbundenheit umschreiben, aus meinen Gesprächspartnern heraus – allesamt Qualitätsbegriffe.

Alle Antworten sind richtig. Es gibt noch viele andere zutreffende Antworten. Obwohl nur selten genannt, gehört Compliance definitiv dazu. Selbstverständlich kommt es darauf an, was man daraus macht und wie man das Thema Compliance im Unternehmen positioniert. Aber wer möchte bestreiten, dass man mit Compliance-Schulungen alle Mitarbeiter erreichen kann, dass man Veränderungsprozesse unter Bezugnahme auf bestehende Compliance-Anforderungen anzustoßen vermag oder mit einer guten Compliance-Kultur Kunden, Lieferanten und Geschäftspartner beeindrucken und seine Mitarbeiter zufriedener machen kann?

Vorhandene „Compliance-Brücken“ helfen Compliance im Unternehmen zu etablieren

Compliance-Felder, um die sich die Unternehmen kümmern müssen, gibt es unzählige. Viele mittelständische Unternehmen, die Compliance für eine unnötige Zusatzbelastung erachten, wissen gar nicht, wieviel Compliance sie heute schon machen. Weil die immanenten Compliance-Aspekte ihrer wirtschaftlichen Tätigkeit im Tagesgeschäft gar nicht auffallen. Industriebetriebe kümmern sich um Abfallentsorgung, Arbeitssicherheit und die Sicherheit ihrer Produkte. Finanzdienstleister kommen gar nicht drumherum, sich mit Geldwäschethematiken oder der Überprüfung ihrer Geschäftspartner zu beschäftigen. Exportorientierte Unternehmen haben tagtäglich mit Sachverhalten aus dem Zollrecht und der Exportkontrolle zu tun. Um den Datenschutz und die Gleichbehandlung ihrer Mitarbeiter haben sich alle Unternehmen zu sorgen, die Menschen beschäftigen.

Die ursprünglichen Kern-Compliance-Felder der Korruption und des Kartellrechts (insbesondere Preisabsprachen und abgesprochenes Marktverhalten) spielen in der Regel gar keine große Rolle. Klar lauern auch dort Gefahren, die man nicht unterschätzen sollte. Tatsächlich stellen für die Mehrzahl der Unternehmen aber Produktsicherheitsrisiken im weitesten Sinne, also Gefahren, die von ihren Produkten und Dienstleistungen ausgehen, weitaus bedrohlichere Compliance-Risiken dar als Korruption und Preisabsprachen. Demgemäß sollen die Unternehmen ihre Compliance-Management-Systeme ausrichten – an den wirklichen Risiken. Korruption und Preisabsprachen sollte man nun nicht beiseitelassen. Aber sie sollten im Compliance-Risiko-Atlas des Unternehmens genau den Platz erhalten, der ihnen nach einer umfassenden Risikobeurteilung gebührt.

Wenn man genau hinschaut, sind in jedem Unternehmen bereits „Compliance-Brückenbauer“ am Werk. Diese Unternehmensbereiche und -funktionen haben sich nicht unbedingt Compliance auf ihre Fahnen geschrieben, aber faktisch machen sie Compliance. Qua ihrer Aufgaben verfügen sie außerdem über die größte Reichweite im Unternehmen: Human Resources, die IT und das Qualitätswesen. Also genau die Antwort auf die eingangs gestellte erste Frage – neben Compliance natürlich.

Alle drei besetzen eigene Compliance-Felder. Denkt man darüber nach, finden sich überall dutzende davon. Ich nenne stellvertretend jeweils nur drei, z. B. im Personalwesen:

die gesetzliche Mitbestimmung sowie die Rechte des Betriebsrats mit Zustimmungserfordernissen und Anhörungsrechten,

Fragen der Arbeitnehmerüberlassung einschließlich der Problematik rund um die so genannten Scheinselbstständigen,

datenschutzrechtliche Anforderungen an den Umgang mit Mitarbeiterdaten.

Nicht anders im Bereich der Informationstechnologie:

Sicherstellung des (technischen) Geheimnisschutzes von Betriebs- und Geschäftsgeheimnissen,

geordnete Administrations- und Nutzerrechte,

Gewährleistung des (technischen) Datenschutzes.

Ja selbst das Qualitätswesen unterliegt mehr und mehr konkreten rechtlichen Anforderungen:

Anforderungen an die Produktsicherheit (Vermeidung von Produkthaftungsansprüchen) für technisches Gerät, aber auch für Konsumgüter wie Lebensmittel, Pharma-Produkte oder Spielzeug,

Einhaltung technischer Normen beim Design und der Herstellung von Produkten unter Beachtung einschlägiger Stoffverbote (REACH, RoHS usw.),

Einhaltung von Beratungs- Hinweis- und Aufklärungspflichten gegenüber Kunden und Verbrauchern, u.a. für diejenigen, die Finanzdienstleistungen erbringen.

Folglich müssen viele „Compliance-Brücken“ nicht mehr erbaut werden. Sie sind schon da. Statt sie in Verkennung des mehrfachen Nutzens von Compliance, nur weil der Begriff so „abstoßend“ klingt, einzureißen, sollte man sie vielmehr stabilisieren, verstärkt „befahren“ und zwischen den Brücken sinnvolle „Zubringerstraßen“ errichten, um noch mehr Compliance-Felder miteinander zu verbinden.

Gelingt dies, steht ohne großes Zutun zumindest schon die Infrastruktur für das Compliance-Management-System des Unternehmens. Darauf lässt sich aufbauen.

Der originäre „Nutzen“ von Compliance

Die wohl gängigste „promotion campaign“ für Compliance „If you think compliance is expensive – try non-compliance“ des US-Staatsanwalts Paul McNulty (ehemaliger U.S. Deputy Attorney General) verfängt beim Top-Management nicht. Meines Erachtens zurecht. Zwar greift die Aussage einen wichtigen Aspekt auf originelle Weise heraus, aber sie bleibt am Ende oberflächlich. Welches Unternehmen verhält sich schon absichtlich non-compliant? Das sind nur wenige „schwarze Schafe“. In den meisten Fällen „schlittern“ die Unternehmen in ihre Compliance-Probleme unmerklich hinein. Es fängt ganz harmlos an und, wenn man das nächste Mal nachschaut, ist einem das Thema schon (fast) über den Kopf gewachsen.

Trotzdem sei an dieser Stelle erwähnt, dass Compliance-Arbeit einen originären Nutzen hat, denn sie wirkt unangenehmen Folgen der Non-Compliance entgegen. Ihre positive Wirkung spiegelt sich in folgenden Aspekten wider:

Risikovermeidung,

keine Kriminalisierung, Strafen und Bußgelder,

keine Untersagung, Stilllegung oder Produktrückrufe,

keine Skandale, kein Reputationsverlust,

weniger Angriffsfläche, keine Erpressbarkeit, echte Transparenz der Geschäftsprozesse,

kein schlechtes Gewissen, keine übertriebene „management attention“ und

Souveränität in der Krise.

Das alles ist überzeugend, aber nicht so überzeugend, dass es in den Unternehmen Priorität erlangen würde. Wohl auch zurecht, denn im Mittelpunkt soll das Geschäft und seine positive Entwicklung stehen. Je mehr Compliance genau darauf Einfluss nehmen kann, umso eher wird Compliance richtig eingeordnet und akzeptiert. Das ist nicht die Aufgabe des Top-Managements. Die Rolle des Top-Managements besteht darin, strategische Akzente zu setzen, Initiativen zuzulassen und deren Umsetzung zu fördern, wenigstens aber nicht zu behindern. Machen müssen das die Compliance-Verantwortlichen, die bei der Einführung von Systemen, Methoden und Instrumenten nicht nur „ihre“ Compliance-Ziele, sondern das Unternehmen als Ganzes und seinen geschäftlichen Erfolg im Blick behalten müssen. Compliance ist und bleibt im Unternehmensinteresse.

Betont und hervorgehoben wird an dieser Stelle immer die Gesamtverantwortung des Managements und seine Vorbildfunktion. Das ist schwere Kost, obwohl sich die Verantwortlichkeit der Geschäftsleitung, für ein gesetzmäßiges Verhalten des von ihnen geleiteten Unternehmens zu sorgen, überall herumgesprochen hat. Diese Rolle auszufüllen, wird als echte Herausforderung empfunden. Denn gefordert ist ein unmissverständlicher „tone from the top“, aber davon sieht und hört man vergleichsweise wenig. Irgendwie auch verständlich, denn es gibt attraktivere, „lautere“ Botschaften. Dabei könnte es so einfach sein. Es geht gar nicht darum, Lärm zu machen. Man stelle sich vor, der CEO eines Industriebetriebs besucht die Teilefertigung, wo geschliffen und gefräst wird. Vor seinem Rundgang verlangt er nach einer Schutzbrille, setzt sie auf und während seines Rund­gangs auch nicht mehr ab. Der betriebliche Arbeitsschutz ist gar nicht in der Lage, eine so starke Botschaft abzusetzen. Der CEO braucht nicht einmal Worte dafür. Ein Manager, der sich demon­strativ an eine Regel hält, die alle kennen, aber nicht alle befolgen, setzt den „tone from the top“.

„Nur so viel Compliance wie unbedingt nötig!?“

Alles richtig zu machen und die Vorschriften möglichst lückenlos einzuhalten, ist nicht der tiefere Sinn von Compliance. Vielleicht ist dies ein erster guter Ansatz, aber die Gefahr, auf dem Holzweg zu landen, ist groß. Brutal formuliert: Eine solch pedantische „Vorschriftenhörigkeit“ ist nicht im Unternehmensinteresse. Noch weniger ist sie unternehmerisch.

Der Deutsche Corporate Governance Kodex verpflichtet börsennotierte Unternehmen in seiner Empfehlung A.2 zum Grundsatz 5, ein angemessenes Compliance-Management-System einzurichten und vorzuhalten. Wörtlich sagt er: „Der Vorstand soll für ein an der Risikolage des Unternehmens ausgerichtetes Compliance-Management-System sorgen und dessen Grundzüge offenlegen.“ Die Betonung liegt hier auf „an der Risikolage ausgerichtetes“. Die im Top-Management allzu oft anzutreffende Grundhaltung „wir wollen nur so viel Compliance wie unbedingt nötig machen“ wird dem nicht gerecht. Denn mit diesem minimalistischen Ansatz ist schon fraglich, ob wirklich alles Erforderliche getan wird. Es bleibt unklar, ob systematisch vorgegangen wird und ob die Organisation in der Lage ist, auf kritische Entwicklungen und ggf. Verdachtsfälle zu reagieren.

Umgekehrt schützt die Forderung nach einem individuell am Unternehmen ausgerichteten System vor überzogenen Anforderungen. Denn wenn ein Unternehmen seine Compliance-Risiken kennt und angemessen darauf reagiert, liegt es praktisch schon „im grünen Bereich“. Um beim Bild von vorhin zu bleiben: „Die Brücken stehen und die Zubringerstraßen sind angelegt.“ Natürlich erfordert dies eine regelmäßige Beschäftigung mit dem Atlas der Compliance Risiken und die Bereitschaft, auf Veränderungen wiederum angemessen zu reagieren. Aber man darf wirtschaftliche Vernunft und Augenmaß walten lassen. Compliance-Prävention und -Maßnahmen sollen in einem vernünftigen Verhältnis zu den tatsächlichen Compliance-Risiken stehen. Kritische Bereiche auszuklammern oder einfach nur wegzuschauen hat selbstverständlich mit Augenmaß nichts zu tun. Das ist eher Betriebsblindheit.

Compliance statt Vorschriften zu biegen und zu beugen

Erst recht erlaubt Compliance nicht, Vorschriften zu biegen und zu beugen, Ausflüchte zu suchen und sein Geschäft in einer „Schattenwelt“ zu betreiben, die mit ihrer Intransparenz schwarze Kassen, manipulative technische Vorrichtungen oder Scheinkonten bei ausländischen Banken zulässt oder ermöglicht.

Wer unter dem Diktat von US-Behörden einen „monitor“ in seinem Unternehmen installieren (und bezahlen) möchte, der mag dies tun. Zuvor empfehle ich jedoch, sich mit den Erfahrungen betroffener Unternehmen wie zum Beispiel Siemens oder Bilfinger vertraut zu machen. Und wer nicht halten kann, was er verspricht, und es anschließend mit technischen Tricksereien versucht, kann sich aktuell gleich bei mehreren Autoherstellern im In- und Ausland umhören, was ihm blüht. Wobei er gar nicht so weit fahren muss, weil wir auf diesem Gebiet in Deutschland eine „Spitzen­position“ einnehmen. Ja, und wer wissen will, wie man an einer der größten und besten Wirtschaftsprüfungsgesellschaften vorbei leere Bankkonten um knapp zwei Milliarden Euro aufhübschen kann, sollte bei Wirecard vorbeigehen. Treffen wird er dort allerdings niemanden mehr, abgesehen von den Mitarbeitern in Unternehmensteilen, die der Insolvenzverwalter an Investoren veräußern konnte. Das ganze Unternehmen ein einziger Scherbenhaufen mit wütenden Aktionären, einer blamierten Finanzaufsicht, einem diskreditierten Big-4-Unternehmen und einem ehemaligen Management in U-Haft oder auf der Flucht.

Sie meinen, das sind Einzelfälle und so etwas könnte Ihrem Unternehmen niemals passieren? Ja, das kann sein und ich wünsche es Ihnen. Aber ganz so einfach ist es nicht. Denn schließlich handelt es sich bei allen genannten um hoch angesehene und erfolgreich agierende Unternehmen. Und sie sind nicht die einzigen, denen so etwas passiert ist. Da sind auch noch Nestlé, ThyssenKrupp, die Deutsche Bank, Fresenius und viele mehr, die mit Compliance-Problemen zu kämpfen hatten. Auch Institutionen wie der DFB oder der ADAC. Die Liste ist lang und kaum einer hat seine Compliance Probleme wissentlich verursacht. Versäumnisse, Fehleinschätzungen und mangelhafte Kontrollen sind in aller Regel die Ursache. Da wurde eben nur das „unbedingt Nötige“ gemacht oder sogar noch weniger. Solche Unternehmen kommen nicht einmal in den „Genuss“ des originären „Nutzens“ von Compliance.

Der „Doppel-Nutzen“ der Compliance

Kommen wir zum positiven Spin, den man seinem Unternehmen mit Compliance geben kann.

Die gleich zu Beginn gestellten Fragen haben es angerissen. Compliance eröffnet Kommunikationspfade in alle Winkel des Unternehmens. Die Botschaft, es richtig machen und nicht mit dem Gesetz in Konflikt geraten zu wollen, kommt bei der Belegschaft, dem Betriebsrat, aber auch bei Kunden und Lieferanten gut an. Nach geschäftlichem Erfolg zu streben und dem Markt gute Produkte zur Verfügung zu stellen, steht selbstverständlich im Vordergrund. Aber auch Vorsorge zu betreiben und auftretende Risiken zügig und wirksam zu managen, gehört zum „Handwerk“ der Geschäftsleitung.

Jedes Unternehmen organisiert sich und betreibt seine eigenen Geschäftsprozesse. Beides soll helfen, die strategischen Ziele zu erreichen und im Wettbewerb zu bestehen. Die dafür verantwortliche Geschäftsleitung sucht nach Methoden und Instrumenten, die den wirtschaftlichen Erfolg sicherstellen. Die Unternehmen etablieren dazu allerlei Systeme, z.B. ein Qualitätsmanagement-System oder all die anderen auf Kunden, Produkte oder Lieferketten ausgerichteten Systeme. Es geht um Effizienz und kontinuierliche Verbesserung. Zur Absicherung richten die Unternehmen außerdem Risiko-Management, Compliance-Management oder -Systeme zur Messung der finanziellen Performance ein. Weil unternehmerisch zu handeln, Chancen und Risiken beinhaltet, oder auch nur weil es im Gesetz steht und Aufsichtsrat sowie Wirtschaftsprüfer es (deshalb) verlangen.

Compliance kann zur Optimierung der Systemlandschaft beitragen

Alle diese Systeme müssen bestimmte Compliance-Anforderungen erfüllen, z.B. mit Blick auf den Datenschutz, die Rechnungslegung und die steuerlichen Erfordernisse oder wegen der Zoll- und Exportkontrollvorschriften. In mancherlei Hinsicht dienen sie sogar konkreten Compliance Zielen, beispielsweise wenn es um die sichere Verwendung der Produkte und deren ordnungsgemäße Dokumentation im Entwicklungs- und Herstellungsprozess geht. Oder um all die anderen Compliance-Felder, auf denen schon massenweise „Compliance-Brücken“ stehen.

Übersehen wird allerdings gerne, dass es zwischen diesen Systemen zahlreiche Überschneidungen gibt. So werden Prozesse mehrfach durchlaufen und dieselben Daten wieder und wieder erhoben, weil jeder unternehmensinterne „Systembetreiber“ seine eigenen Daten erheben und auswerten will, statt sich mit benachbarten Fachbereichen abzustimmen. Parallel installierte Systeme für Qualitätsmanagement, Risiko Management und Compliance-Management und ebenso parallel durchgeführte Audits mit entsprechender Dokumentation erzeugen keinen „Doppel-Nutzen“, sondern machen doppelte Arbeit. Außerdem stiften sie Verwirrung, wenn die Ergebnisse nicht deckungsgleich sind, wo sie deckungsgleich sein müssten. Folge? Man muss sich beides noch einmal anschauen, um der Abweichung auf den Grund zu gehen.

Wer ein Qualitätsmanagementsystem nach ISO 9001 und ein Umweltmanagementsystem nach ISO 14001 betreibt, erkennt schnell, dass es sowohl inhaltlich als auch bei der systematischen Vorgehensweise zahlreiche Überschneidungen zu Risiko- und Compliance-Management-Prozessen gibt. Nicht umsonst nimmt auch die Zahl der ISO-Normen für Compliance-Sachverhalte (z. B. ISO 19600, ISO 37301) stetig zu. Und die Organisation ächzt und stöhnt über den mit jeder neuen Prüfung und Zertifizierung verbundenen Aufwand. Allzu „systematisches“ Vorgehen erzeugt nur Frust und Unverständnis.

Die große Kunst besteht folglich darin, unternehmensweit durchgängige Prozesse überschneidungsfrei zu etablieren. Es geht darum, denselben Prozess nicht zweimal zu durchlaufen und die erforderlichen Daten möglichst nur einmal zu erheben, um sie all denjenigen zukommen zu lassen, die sie für ihre Arbeit benötigen. Das können durchaus mehrere Systeme sein. Welches System dabei führend ist, spielt keine Rolle. Entscheidend ist, ob sie so durchlässig und leistungsfähig sind, dass sie in ihrer Gesamtheit den unterschiedlichen Anforderungen genügen.

Unternehmen, die diesbezüglich gut aufgestellt ist, bekommen auf diese Weise ihre „Compliance-Hausaufgaben“ gleich „mitgeliefert“. Frei Haus sozusagen. Und können reagieren. Wer dabei feststellt, dass zurzeit noch mehrere Systeme überlappend betrieben werden, findet mit dieser Herangehensweise Synergien, sie zu verschlanken und effizienter zu nutzen. Ist bislang noch kein solches System installiert, kann man sich bei dessen Design flexibler aufstellen, um Doppelarbeit zu vermeiden und doppelten, wenn nicht sogar mehrfachen Nutzen aus ihm bzw. ihnen zu ziehen – nicht für die Compliance, sondern für alle wesentlichen Prozesse und Abläufe im Unternehmen. So verfestigen sich „Compliance-Brücken“, die „Zubringerstraßen“ werden transparent sichtbar und die Prozesse und Abläufe im Unternehmen verbessern sich nicht nur inkrementell, sondern ganzheitlich.

Stärkung der Feedback-Kultur durch Compliance

Noch ein ganz anderes Beispiel. Der Deutsche Corporate Governance Kodex empfiehlt den (börsennotierten) Unternehmen, ein System einzurichten, in dem Mitarbeiter, unter Umständen sogar auch Geschäftspartner des Unternehmens, geschützt Hinweise über (potenzielle) Compliance-Verstöße geben können. Sinn und Wirksamkeit dieser so genannten „Whistleblowing Hotlines“ werden schon seit vielen Jahren kontrovers diskutiert. Während der Whistleblower im US-amerikanischen Rechtskreis Anerkennung findet und sogar Belohnungen erhalten kann, stößt er hierzulande noch immer auf Vorbehalte. Deshalb wurden unlängst in der EU verstärkt Anstrengungen unternommen, den Whistleblower besser zu schützen, da er nicht selten am Ende der Leidtragende war – und nicht derjenige, der sich non-compliant verhalten hatte. Hauptkritikpunkt ist jedoch, dass diese mit zum Teil großem Aufwand eingerichteten Systeme in der Praxis kaum Wirksamkeit entfalten. Entweder gehen nur sehr wenige Meldungen ein oder viele von ihnen sind nicht verwertbar, weil der angebliche Missstand keinen Compliance-Verstoß betrifft. Oder beides. Natürlich gibt es auch positive Beispiele.

Andere gut gemeinte Systeme wie ein betriebliches Vorschlagswesen, Zufriedenheitsumfragen oder (interne) Complaint Management Systeme teilen ein ähnliches Schicksal. Viel Aufwand, wenig Ertrag lautet in vielen Fällen die Bilanz. Neue Ideen zu kreieren ist eben schwierig, und kritisches Feedback ist schwer zu verdauen. Trotzdem erscheint es mir aus Unternehmenssicht eine Überlegung wert, über ein integriertes internes „Feedback-System“ nachzudenken, welches von den bisherigen „Systembetreibern“ gemeinsam gepflegt wird. Vielleicht gibt es das auch schon – ich selbst habe jedoch noch keines gesehen.

Compliance als Katalysator der kontinuierlichen Verbesserung

Genau jetzt ist es wieder an der Zeit, an die großen Mitspieler, die einem solchen systematischen Vorgehen erst zum Erfolg verhelfen, zu denken. Dies ist zunächst die IT-Organisation, die das Unternehmen und seine Prozesse nicht nur am Laufen halten, sondern auch abbilden und messbar machen soll. Ferner ist es HR, weil HR in einem solchen Veränderungsprozess eine entscheidende Rolle bei der Kommunikation der Ziele, der Einbindung der Arbeitnehmervertreter und bei der Einschätzung und Bewertung der neuen Arbeitsabläufe einnimmt bzw. einnehmen sollte. Außerdem ist HR denknotwendig immer dann mit im Boot, wenn es zu einem Compliance-Vorfall gekommen ist, der nach Aufklärung, disziplinarischen Maßnahmen und/oder geeigneten Schulungsmaßnahmen für die betroffenen Bereiche verlangt. Schließlich muss noch jemand auf die Qualität achten, am besten jemand der sich auf Qualitätsprozesse und -sicherung versteht. Damit das System hält, was sich das Unternehmen davon verspricht. Compliance – und weitere Bereiche wie z. B. die Interne Revision ­ sind Ideengeber, machen auf rechtliche Anforderungen aufmerksam, helfen mit, präventive Maßnahmen und Prüfkriterien zu entwickeln, und kontrollieren den für sie relevanten Teil des Systems, indem sie beispielsweise Audits oder interne Ermittlungen durchführen. Und – ganz im Sinne des kontinuierlichen Verbesserungsprozesses – das „System“ mit ihren „Findings“ und daraus resultierenden Verbesserungsvorschlägen füttern.

Eigentlich ist es wie immer. Ohne IT, HR und Qualitätswesen geht nichts. Und ohne Compliance geht es auch nicht.