Können Handbücher individuelle Führungsverantwortung und persönliche Integrität ersetzen?
Natürlich nicht! Persönliche Integrität und individuelle Führungsverantwortung sind die Basis. Compliance-Systeme bauen darauf auf. Entscheidend ist die Klarheit des „tone from the top" als Ausdruck einer unmissverständlichen Einstellung und Werteordnung: Korruption wird nicht geduldet und hat eindeutige Konsequenzen. Die Anwendung von Compliance bedarf jedoch des Augenmaßes. Vor „Risiken und Nebenwirkungen" ausufernder Kontrollsysteme auf den Organismus Unternehmen sei gewarnt. Die individuelle Verantwortung ist durch nichts zu ersetzen.
Warum gibt es eigentlich keinen adäquaten deutschen Begriff für Compliance* (übrigens auch nicht für Corporate Governance)? Im Kern bedeutet Compliance die Überwachung der Regelwerke eines Unternehmens. Weiter gefasst, umfasst Compliance die Übereinstimmung des Geschäftsgebarens mit allen gesellschaftlichen Erfordernissen und Wertvorstellungen. In dieser breiten Ausdeutung geht Compliance in die Führung des Unternehmens über. Am Verständnis von Compliance offenbart sich eine Tendenz in der Managementlehre und Unternehmenspraxis, natürliche Führungsaufgaben aufzutrennen: in solche, die das geschäftliche Tun betreffen und in solche, die dessen rechtliche und gesellschaftliche Stimmigkeit feststellen. In gewissem Sinne wird damit ein tayloristisches-manageristisches Prinzip in die Unternehmensführung eingeführt. Gehört nicht zur Führungsverantwortung, dass sie nicht nur die Ausführung als solche, sondern auch deren Rechtmäßigkeit und Stimmigkeit umfasst? Ohne Zweifel ist die Zahl der Gesetze und Regeln, die ein Unternehmen – unabhängig von seiner Größe und Vielfalt zu befolgen hat, in jüngster Vergangenheit rapide angewachsen. Das trifft in besonderem Maße für global agierende Konzerne zu. Früher beschränkten sich entsprechende Compliance-Aufgaben im Wesentlichen auf die Exportkontrolle, den Datenschutz, Sicherheitsvorschriften. Heute ist eine ungeheure Vielfalt von formalen Regelungen zu beachten, zumal Geschäfte nicht nur bilateral abgewickelt werden, sondern Wertschöpfungspartner aus verschiedenen Ländern und Rechtsräumen beteiligt sind.
Abgesehen von der Geschäftsabwicklung kamen neue Regelungstatbestände auf, zum Beispiel im Kapitalverkehr, im Bereich der Börse oder im Zusammenhang mit Beschäftigungsverhältnissen oder beim Umweltschutz. Dass dafür die notwendigen Vorkehrungen zu treffen sind, ist unbestritten. Compliance hilft Kosten zu vermeiden, indem Schäden, Strafzahlungen, Imageverluste vermieden werden. Sie soll das Unternehmen auf umfassende Weise präventiv vor Fehlverhalten bewahren, das auf Unwissenheit oder Fahrlässigkeit beruht. Prinzipiell kann sich ein Unternehmen nur beschränkt gegen Compliance-Schäden schützen. Es ist aber eine Pflicht des Vorstandes alle dafür notwendigen Maßnahmen zu veranlassen. Im Falle eines Verstoßes gegen diese Pflicht kann das Management für einen Verstoß gegen die Organisationssicherheit durch unzureichende Compliance-Organisation persönlich haftbar gemacht werden.
Nach dem Enron-Skandal wurde 2002 in typisch amerikanischer Manier der Sarbanes-Oxley-Act (SOX) verbindlich, der eine drastische Verschärfung der Aufsichtspflichten von CEO und Board vorsah, verbunden mit der Androhung drakonischer Strafen. Der Commissioner der amerikanischen Börsenaufsicht SEC, Cynthia Glassman, rief die großen amerikanischen Unternehmen auf, eine besondere Position auf höchster Ebene mit Berichtspflicht an den CEO einzurichten. Seitdem hat der Corporate Responsibility Officer/Compliance Officer Einzug in die Chefetagen nicht nur amerikanischer Unternehmen gehalten.
In Deutschland wurde Siemens unfreiwillig zum Vorreiter von Compliance und den damit einhergehenden Praktiken. Die nach Auslaufen der gesetzlichen Toleranz von Schmiergeldzahlungen (auch als „Nützliche Ausgaben" bezeichnet) im Ausland weiter betriebenen Korruptionspraktiken brachten Siemens einem Notstand nahe. Der Konzern wurde zum stereotypen Gegenstand von Berichten, Kommentaren und Glossen; für deutsche Staatsanwaltschaften erwuchs ein großes Arbeitspensum mit der Aufarbeitung der zahlreichen Vorkommnisse. Nicht direkt in Erscheinung trat die amerikanische Justiz in Gestalt der SEC. Siemens wurde jedoch indirekt eine umfassende Aufklärung durch amerikanische Rechtsanwaltskanzleien auferlegt, für deren gigantische Kosten das Unternehmen aufzukommen hatte. In der Tat handelt es sich um eine Privatisierung von Rechtshilfe zulasten des Beschuldigten.
Über fast zwei Jahre war die SEC das Damoklesschwert für Siemens in Form von Mutmaßungen über den Ausschluss von öffentlichen Aufträgen in den USA und von Strafzahlungen in der Größenordnung von mehreren Milliarden Dollar. Um den Erwartungen der SEC vorauseilend zu entsprechen, richtete Siemens eine umfangreiche Compliance-Organisation ein. Zu ihrer Leitung wurde der frühere Executive Vice President & Counsel von General Electric (GE) – der wichtigste Konkurrent von Siemens - P. Solmssen berufen.
Fall Siemens
Mit der Korruptionsaffäre trat für Siemens der GAU (größter anzunehmender Unfall) ein. Die folgenden Angaben belegen dies: Gesamtkosten von 3,5 Milliarden Euro, Aufbau einer Compliance-Organisation auf rund 600 Mitarbeiter in 18 Monaten mit jährlichen Kosten von 400 Millionen Euro im Jahr. Das Compliance Programm umfasst über 100 Einzelmaßnahmen. Was erlaubt ist und was nicht ist in einem 42-seitigen „Compliance Handbuch Korruptionsbekämpfung" aufgelistet. So sollen bei Geschäftsreisen „teure Weine und Delikatessen" vermieden werden, Ehepartner oder Freunde des Geschäftspartners sollen nicht eingeladen werden. Zur einfacheren Meldung von möglichen und tatsächlichen Verstößen wurde eine „Whistle-blower"-Hotline („Skandal-Melde-Stelle") eingerichtet, die von einem amerikanischen Dienstleistungsunternehmen in 100 Sprachen sieben Tage die Woche betrieben wird. Zusätzlich wurde die Funktion eines Ombudsmann eingerichtet, 12 forensische (staatsanwaltähnliche) Ermittler eingestellt und ein Compliance Monitor in der Person des früheren Finanzministers Theo Waigel geschaffen, der über vier Jahre die Einhaltung der Anti-Korruptionsregeln überwachen und den US-Behörden regelmäßig Bericht erstatten soll.
Mit Hilfe der amerikanischen Spezialkanzlei Debevoise & Plimpton wurden rund 100 Millionen Dokumente – entspricht rund 10 Kilometer Aktenordnern gesichtet (davon gingen hunderttausend Seiten an das amerikanische Justizministerium) und 1,5 Millionen Arbeitstunden in Rechnung gestellt (mit Stundenhonoraren bis zu 1000 $). Die Befolgung von Compliance wurde auch in das Bonussystem (mit 20%) für 5.500 Führungskräfte eingebaut.
Mit all diesen unfreiwilligen und freiwilligen Compliance-Maßnahmen wurde Siemens zum Benchmark sogar für amerikanische Unternehmen; will heißen, dass kein amerikanisches Unternehmen einer ähnlich rigiden Aufsicht untersteht.
Amerikanische Regulierung im Vormarsch
Im Gefolge der Unternehmensskandale in den USA zu Beginn dieses Jahrzehnts hat sich eine „Compliance-Industrie" herausgebildet mit Substrukturen für einzelne Ermittlungssparten, mit Vereinigungen von Professionals, mit Kongressen, Trainingsveranstaltern und Lobbyisten. Die Entwicklung des „Compliance-Business" verlief ausgesprochen erfreulich: Das Wachstum war hoch und die Arbeit unverhältnismäßig einträglich. Parallel stiegen die administrativen Kosten der Unternehmen stetig. Im Nachgang zur Bank- und Finanzkrise ist mit einem weiteren Schub an Compliance-Auflagen zu rechnen.
Wie sich Compliance zu einem neuen Betätigungsfeld für den Überschuss an Lawyers aufgetan hatte, wuchs der Druck, die Praktiken in anderen Ländern durchzusetzen. Wegen der wirtschaftlichen Verflechtung und der Börsennotierungen in den USA ist der Kreis der potentiellen Klienten im Ausland groß. Am Beispiel Siemens wird deutlich, wie über einen quasi-exterritorialen Zugriff des SEC amerikanische Praktiken und Interessen gefördert werden, ohne dass ein bemerkenswerter Widerstand von Politik und Wirtschaft zu verzeichnen gewesen ist. Nutznießer sind vor allem amerikanische Rechtsanwaltskanzleien. Die schleichende, mit großem Beharren verfolgte Anwendung amerikanischer Praktiken auf andere Länder gemahnt an imperiale Züge.
Schnell und hart
Das amerikanische Reaktionsmuster auf Verfehlungen in der Wirtschaftspraxis durch leitende Manager ist hinlänglich bekannt. Die Abhilfe wird in strengen Auflagen gesucht, deren Nichtbefolgung mit harten Strafen bedroht ist.
Die Auflagen sind notwendigerweise häufig formal-juristischer Art. Deren vorbildliche Befolgung formal performant ist ausreichend stellt die überwachende Behörde zufrieden, belastet jedoch die Unternehmen erheblich. So hat General Motors (GM) zwar breite Anerkennung für die Umsetzung des Sarbanes-Oxley-Act (SOX) erhalten. Ob damit auch eine bessere Unternehmensaufsicht verbunden war, darf nach dem krisenhaften Niedergang dieser US-Industrie-Ikone bezweifelt werden.
Dass strenge Strafen nicht die erhoffte abschreckende Wirkung haben, zeigt die allgemeine Vollzugspraxis. Die USA sind dafür das lehrreiche Beispiel.Die zahlreichen Betrugsfälle, angefangen von Enron bis Tyco, unterstreichen dieses Manko. Auch die umfassende Literatur zur abschreckenden Wirkung drastischer Strafen legt dar, dass Härte der Strafe nicht mit der Kraft der Abschreckung korrespondiert. Nach einer anfänglich scheinbar durchgreifenden Praxis werden in USA die Regelungen auf Drängen der Interessensgruppen und interessierter Politiker gewöhnlich gelockert.
Anspruch: Lückenlos
Das Ansinnen, Compliance nur in besonderen Bereichen und Fällen, also eingeschränkt anzuwenden, widerspricht dem Gebot der umfassenden Kontrolle aller Vorgänge. Was nicht kontrolliert wird, ist – so die unausgesprochene Annahme – eine Quelle für Verfehlungen und Versagen. Daher muss der totale Anspruch umgewandelt werden in lückenlose Anweisungen und Auflagen und in die Einrichtung einer flächendeckenden Organisation, die deren Einhaltung überwacht. Die Obsession des Überwachens offenbart sich insbesondere in den kleinen Dingen, zum Beispiel bei den Bewirtungskosten. Selbst Mini-Vorgänge unterliegen der Genehmigung durch die Compliance-Organisation. Dazu gehört natürlich dann auch eine penible Dokumentation, um jedwede Risiken auszuschalten.
Mit einem Wust von Regelungen wird suggeriert, dass alle Tatbestände erfasst sind. Auch hier mag der Verweis auf die Sozialgesetzgebung und den Vollzug genügen, dass es eine Illusion ist, alles ins letzte Detail regeln zu können. Die Verhältnismäßigkeit ist auf jeden Fall nicht mehr erfüllt. Über die negativen Folgen von Mikromanagement auf die Leistung – dazu zählen viele demonstrative Fälle von Compliance – ist an anderer Stelle schon geschrieben worden.
Nicht vertretbare Begleiterscheinungen
Das Anwachsen einer Parallelorganisation von 600 gut dotierten Stellen bei Siemens ist der eindrucksvolle Beweis für eine ungehemmte Verbreitung von Compliance. Rechnet man grob die Relation auf die 30 DAX-Unternehmen hoch, würden in diesem Segment allein 6000 Compliance-Stellen entstehen; eine wahrhaft erstaunliche Zahl an nicht-wertschöpfenden und zudem teuren Akteuren.
In diesem Zusammenhang gehört auch das Eigeninteresse der Compliance-Organisation, das gesamte Unternehmen mit hauptberuflichen Compliance-Funktionären zu überziehen. Für den Aufbau einer Compliance Organisation müssen „Newcomer" zu vorteilhaften Konditionen, vornehmlich aus dem Lager der Jung-Juristen rekrutiert werden. Die fehlende Nähe an eine gewachsene Unternehmenskultur wird in diesem Falle nicht als Nachteil gesehen, eher als Vorteil gebotener Distanz gewertet. In Großunternehmen entstehen auf diese Weise funktionale Subkulturen, die den betrieblichen Zusammenhalt beeinträchtigen und die Unternehmenskultur schwächen. Das geschieht allein dadurch, dass die Compliance-Manager überdurchschnittlich honoriert werden, ja besser bezahlt werden als diejenigen, die sie überwachen. Oder wenn hochrangige Compliance-Officers Vertragsverhandlungen mit Kunden beiwohnen als Aufpasser des operativen und Geschäftsverantwortung tragenden Kollegen. Das ist eine demotivierende Situation.
Beaufsichtigende Funktionen sind nach modernem Managementverständnis – zum Beispiel Lean Manufacturing nicht wertschöpfend. Wächst deren Anteil, verschlechtert sich die Relation zugunsten des administrativen Aufwands, den es nach allgemeinem Bekunden des Managements gilt, klein zu halten. Funktionen wie Compliance sind betriebsnotwendig, weil sie von dritter Seite verlangt werden und weil man sich jeden Vorwurfs mangelhafter Implementierung entledigen will. Sind persönliche Folgen für die Unternehmensleitung zu befürchten, scheint ein hoher Überwachungsaufwand allemal gerechtfertigt.
Für ein Unternehmen steht aber viel mehr auf dem Spiel. Es geht um die Balance von Regulierung und Verantwortung. Je mehr der Schwerpunkt auf Compliance gelegt wird, desto mehr wird die persönliche Verantwortung verdrängt. Zugleich hat überbordende Compliance die schleichende Immobilisierung einer Großorganisation zur Folge. Das ist das Gegenteil von dem, was ein dynamisches Unternehmen ausmacht, nämlich Flexibilität und persönliche Verantwortung.
Manageristische Form der Überwachung
Kommen Verfehlungen wie in jüngster Zeit gehäuft vor, wird reflexartig eine Lücke des Systems der Überwachung ausfindig gemacht, die es zu schließen gilt. Und je breiter das Versagen, desto umfassender und enger wird das Netz von Regelungen geknüpft. Die Lösung wird in einer für den Managerismus typischen Form auf besondere Zuständigkeiten, auf Genehmigungs- und Kontrollverfahren verlagert; in jedem Fall auf eine unpersönliche, bürokratische Weise an Compliance-Verantwortliche delegiert und in Compliance-Handbooks geregelt. An die Stärkung der Unternehmenskultur mit dem Ziel einer hohen Integrität der Handelnden wird zunächst nicht gedacht, obwohl hier der stärkste Hebel liegt.
Mit der Ausbreitung einer „Compliance"-(Un-)Kultur wird Führungskräften ihre unmittelbare und uneingeschränkte Verantwortung für die Rechtmäßigkeit und Stimmigkeit ihres Handelns genommen. Welch ein Widerspruch zu der in den 1990er-Jahren aufgekommenen Einsicht, dass „Empowerment" nötig ist, dass der Einzelne Verantwortung erhält und übernehmen kann. In einer aufgeschlossenen Haltung, statt einer misstrauischen, wurde ein Schlüssel zu größerer Motivation und höherer Produktivität gesehen. Viele Unternehmen verdankten diesem Gesinnungswandel in der Führung Fortschritte in Innovation, Qualität und Produktivität. Nun droht, dass das Rad zurück gedreht wird durch kleinliche Genehmigungspraxis, durch den Aufbau eines aufwändigen Kontrollapparates. Forderte man vordem Agilität und sprach von der Notwendigkeit einer Vertrauenskultur, hat man zuletzt dem Papierkrieg und dem Misstrauen eine neue institutionelle Basis verschafft.
Dass Unternehmen auf diese Weise geschwächt werden, ist eine so nicht beabsichtigte Nebenwirkung. Seinen Ursprung hatte Compliance in manageristischen Praktiken in den USA, die eine „Carrot and Stick"-(Belohnung- und Bestrafungsmodell)-Ideologie verfolgen und klare Bezüge zu einer tayloristischen Unternehmensführung aufweisen. Die amerikanische Auffassung von Ethik und Verantwortung ist jedoch nicht die allgemeingültige, genauso wenig wie die amerikanische Praxis des Rechtsvollzugs (Stichwort: Prozesssucht / Litigation Society) sich zu Nachahmung anbietet.
Plädoyer für Compliance mit Augenmaß
Vorangestellt sei der Kernsatz von Tacitus, dem großen römischen Geschichtsschreiber: „Der korrupteste Staat hat die meisten Gesetze." (Corruptissima res publica plurimae leges, Annales 3.27.3. An einen solchen Satz ließen sich Abhandlungen anschließen!
Auch heute stehen Regelwut und Gesetzeswust in enger Verbindung zu einem tiefen Misstrauen und einem folgenlosen Fehlverhalten. Am Anfang stehen muss ein System weniger, einfacher, klarer Regeln, die bei Nichteinhaltung persönliche Konsequenzen nach sich ziehen. Damit ist auch gesagt, dass nicht das Unternehmen als juristische Person belangt wird, sondern die Führungskräfte als natürliche Personen haftbar sind. Darüber hinaus sind einfache, transparente Strukturen vorzusehen. Wo byzantinische Verhältnisse, wo verworrene Verantwortungen vorherrschen, hat Compliance keinen richtigen Adressaten.
Die Befolgung von Regeln und Gesetzen durchzusetzen, ist eine Führungssaufgabe, die – was bis zum Überdruss gesagt gehört – von der Unternehmensleitung und dem sie überwachenden Aufsichtsorgan ausgehen muss. Und hier hat das Übel meist seinen Sitz. Wenn das Geschäft hinter den selbst gesetzten, den proklamierten oder von der Investorenseite erwarteten Ergebniszielen bleibt, muss sich die Unternehmensleitung unmissverständlich entscheiden: Stehen wir dazu oder bedienen wir uns unerlaubter Machenschaften, die Situation zu kaschieren? Hier entscheidet es sich, wie die Organisation reagiert, und diese Entscheidungssituation setzt sich nach unten fort. Ein Unternehmen mit einem überlegenen Produkt- und Leistungsportfolio gerät kaum in diese Bredouille. Unternehmen mit einer gut funktionierenden Corporate Governance sind resistent. Wenn an der Spitze eines Unternehmens ein lauterer Charakter steht, ist das Unternehmen im Allgemeinen immun. Eine stimmige Unternehmenskultur nach der Art: „Das machen wir nicht", ist ein weiterer Garant für eine gute Compliance. Wenn dann in einer Branche Einvernehmen im Sinne einer „Collective Action" besteht, gewisse Standards des Geschäftsgebarens strikt einzuhalten, ist Compliance eine Selbstverständlichkeit und kein besonderer Überwachungszustand.
So hat in der Medizintechnik der Branchenverband Nema 2004 sich ein Regelwerk für die Akquisition und Kundenpflege gegeben, dem sich die namhaften Anbieter unterwerfen. Das sollte Schule machen, angefangen in den als besonders anfällig geltenden Branchen: Bau, Pharmabereich, Infrastruktur wie Energie und Kommunikationstechnik. Auch in diesem Falle sind freiwillige und mit Nachhilfe öffentlichen Druckes zustande gekommene Lösungen gegenüber verordneten vorzuziehen.
Kosten-/Nutzenbetrachtung auch bei Compliance
Aufsichtsaufgaben haben es an sich, sich in Dauer-Jobs zu verwandeln und bürokratische Formen anzunehmen. Deshalb darf die Aufgabe des Compliance-Verantwortlichen immer nur auf Zeit übertragen werden. Das Beharrungsvermögen bürokratischer Einrichtungen ist sprichwörtlich nicht nur im öffentlichen Bereich. Der Anspruch auf stets und überall saubere Geschäfte ist eine Verpflichtung, die nicht über detaillierte Kontrollapparate und -prozeduren eingelöst werden kann. Gefragt sind unternehmensadäquate Lösungen ohne Compliance-Parallelwelten. Unabdingbar sind Integrität an der Spitze und eine entsprechende Unternehmenskultur, die alle Führungskräfte mit ins Boot nimmt.
Zusammenfassend
• Eine gute Corporate Governance ist die Grundvoraussetzung für eine funktionierende Compliance.
• Integrität der Führungsspitze und ein kompromissloser „tone from the top" sind die Leitplanken für das Verhalten aller Mitarbeiter.
• Ein dem Wettbewerb überlegenes Produkt-/Leistungsportfolio ist der wirksamste Schutz vor Korruption.
• „Collective Action" mit Wettbewerbern sind wirksame Ergänzungen zu gesetzlichen Maßnahmen.
• Der Aufwand für Compliance ist maßvoll zu halten, weil es sich um keinen wertschöpfenden Beitrag handelt.
• Gelebte individuelle Verantwortungskultur ist unverzichtbar.
Armin Sorg, bis 2008 Leiter der Abteilung Wirtschaftspolitik der Siemens AG
22. November 2009
* Die Sicherstellung von Compliance/Regelüberwachung in Unternehmen können organisatorische Maßnahmen stützen. Hierzu richten vor allem Kreditinstitute und Finanzdienstleister Compliance/Überwachungs-Abteilungen ein. Sie wachen beispielsweise darüber, dass die nationalen und internationalen Gesetze und Richtlinien gegen kriminelle Handlungen (z. B. Betrug), Finanzsanktionen, Marktmissbrauch, Interessenkonflikte, Insiderhandel, Geldwäsche oder zum Datenschutz eingehalten werden. In Steuerberatungsgesellschaften kümmern sich Compliance/Überwachungs-Abteilungen um die Erfüllung steuerlicher Deklarationsvorschriften (vor allem die Abgabe von Steuererklärungen) und übernehmen in der Regel keine weiteren Beratungsaufgaben. Daneben gilt Compliance/Überwachung als ein bedeutendes Element der Ordnungsgemäßen Unternehmensführung (Corporate Governance).