Eine erfolgreiche Compliance hängt immer davon ab, wie die Mitarbeiter mitmachen. Genau hier fangen die Herausforderungen an. „Für viele Kollegen ist Compliance eine lästige Zusatzaufgabe, die im Tagesgeschäft erstmal stört“, sagt Bernd Schraeder, Leiter Recht und Compliance bei der Schmitz Cargobull AG. „Um die Wirksamkeit von Compliance zu verbessern, muss man deshalb beim Bewusstsein für das Thema ansetzen. Das ist die Voraussetzung für alles.“ Sein Unternehmen setze auf eine Kultur, die auf Integrität basiere. Die Compliance-Abteilung definiert im Unternehmen den Rahmen und die Ziele. Für die Kontrolle selbst arbeitet Schraeder mit der Innenrevision zusammen. „Das muss man vermitteln und vorleben und den Mitarbeiterinnen und Mitarbeitern die großen Linien aufzeigen.“ Regelkonform und unsanktioniert zu sein, schütze auch Arbeitsplätze. Schmitz Cargobull nimmt an der Initiative „Great place to work“ teil. Dabei wird auch die Wahrnehmung der Compliance bei den Mitarbeitern abgefragt. Es sei wichtig, sich dieses Feedback zu holen, sagt Schraeder. Die Dokumentationspflichten der Mitarbeiterinnen und Mitarbeiter müssten effizient sein und schlank gehalten werden. „Es darf nicht passieren, dass die Mitarbeiter nur noch das Gefühl haben, es käme ausschließlich darauf an, Checkboxen abzuhaken“, betont Schraeder. Lange Zeit richtete sich die Qualität von Compliance-Systemen nach der Dokumentation: Existieren Verhaltenskodizes? Check. Werden Schulungen durchgeführt? Check. Werden Richtlinien regelmäßig aktualisiert? Check. Diese Logik des Outputs stößt aber an ihre Grenzen. Immer wichtiger wird die Frage nach dem Outcome: Tragen Compliance-Maßnahmen tatsächlich dazu bei, Regelverstöße zu verhindern, Risiken frühzeitig zu erkennen und das Verhalten von Mitarbeitenden messbar zu beeinflussen? Für Unternehmensjuristen und Compliance Officer bedeutet dies einen Perspektivwechsel: Formale Vollständigkeit reicht nicht mehr aus. Gefragt ist die belastbare Begründung, warum ein System geeignet ist, Fehlverhalten konkret zu adressieren. Mit Kennzahlen zu arbeiten, ist für die Compliance bei Schmitz Cargobull selbstverständlich. „Wir wissen, wie viele Mitarbeiterinnen und Mitarbeiter an den Schulungen teilnehmen. Wir arbeiten außerdem an Aktualisierungszyklen, dass wir also Richtlinien häufiger überprüfen und auf den neuesten Stand bringen“, sagt Schraeder. Auch die Zeit von der Meldung eines Vorfalls bis zur Klärung sei eine wichtige Kennzahl. Es sei allerdings anspruchsvoll, Kennzahlen zu entwickeln, die tatsächlich die Effektivität tracken. Was ist Menge? Was ist Erfolg? Die Zahlen müsse man gut einordnen. Etwa beim internen Meldesystem. „Wir bieten verschiedene Wege für Meldungen, bis hin zu externen Ombudsleuten, also Rechtsanwälten, an die sich Mitarbeiter wenden können“, sagt Schraeder. Wenn wenige Meldungen eingingen, klinge das erstmal gut. Man müsse aber hinterfragen, ob dies daran liege, dass das System eben gut funktioniere oder ob es Hürden gibt, die dafür sorgen, dass sich Mitarbeiter nicht melden.
Es darf nicht passieren, dass die Mitarbeiter nur noch das Gefühl haben, es käme ausschließlich darauf an, Checkboxen abzuhaken.
Bernd Schraeder,
Leiter Recht und Compliance,
Schmitz Cargobull AG
Belastbare Wirkungsnachweise
„Das muss man gut analysieren und immer wieder schauen, ob man nachjustieren muss“, sagt Schraeder. Nach Schulungen etwa gebe es immer einen kurzen Anstieg von Meldungen. Das liege aber auch daran, dass die Mitarbeiter dann zusätzlich sensibilisiert seien. Zahlen müssten zudem ins Verhältnis gesetzt werden. Die Herausforderung sei es, die richtigen Vergleichszahlen zu finden, die die Risikoexposition und die Größe berücksichtigten. Der Unterschied zwischen Output und Outcome markiert einen grundlegenden Perspektivwechsel in der Bewertung von Compliance-Systemen. Output beschreibt zunächst das Vorhandensein und den Umfang von Maßnahmen: Richtlinien, Schulungen, Kontrollen oder Meldekanäle. Diese Elemente sind notwendig, sagen für sich genommen jedoch wenig aus. Outcome zielt dagegen auf die erzielte Wirkung ab. Im Mittelpunkt steht die Frage, ob Maßnahmen das Verhalten von Mitarbeitenden beeinflussen, Risiken reduzieren und Regelverstöße verhindern oder zumindest frühzeitig aufdecken. Entscheidend ist nicht die Anzahl der Trainings oder Policies, sondern ob sie verstanden, akzeptiert und im Alltag angewendet werden. Dazu gehört zunächst, dass sich Verhalten in typischen Risikosituationen verändert. Entscheidungen werden vorsichtiger getroffen, kritische Sachverhalte früher adressiert und Compliance- oder Legal-Funktionen rechtzeitig eingebunden. Ein weiterer Indikator ist die Präventionswirkung. Bestimmte Arten von Regelverstößen treten seltener auf oder bleiben aus, obwohl das zugrunde liegende Geschäftsmodell unverändert risikobehaftet ist. Wirkung zeigt sich auch in der Qualität von Hinweisen: Meldungen werden konkreter, beziehen sich häufiger auf Graubereiche und erfolgen in einem früheren Stadium, nicht erst nach Eintritt eines Schadens. Hinzu kommt die Reaktionsfähigkeit des Unternehmens. Auffälligkeiten werden schneller erkannt, untersucht und konsequent bearbeitet. Vergleichbare Sachverhalte führen zu vergleichbaren Konsequenzen, unabhängig von Hierarchiestufe oder Funktion. Schließlich zeigt sich Outcome dort, wo aus Vorfällen gelernt wird. Erkenntnisse fließen nachvollziehbar in die Anpassung von Prozessen, Kontrollen oder Schulungsinhalten ein und verbessern das System fortlaufend. Ungeeignete KPIs können im Outcome-Kontext falsche Anreize setzen und die Aussagekraft von Compliance-Bewertungen verzerren. Wird etwa die Anzahl von Hinweisen, Schulungen oder abgeschlossenen Untersuchungen isoliert als Erfolg gewertet, entsteht der Druck, Zahlen zu optimieren, statt Wirkung zu erzielen. Das kann im schlimmsten Fall dazu führen, dass Mitarbeiter entmutigt werden, Vorfälle zu melden. Das andere Extrem wäre es, dass Bagatellen überbetont werden, um Zielwerte zu erreichen. Speak-up-Systeme eignen sich besonders als Indikator für Outcome. Entscheidend ist aber nicht, ob ein Meldesystem formal vorhanden ist, sondern ob es tatsächlich genutzt wird und Vertrauen genießt. Aussagekräftig sind vor allem Qualität und Zeitpunkt der Hinweise: Gehen Meldungen frühzeitig ein, betreffen sie auch Graubereiche und enthalten sie verwertbare Informationen, spricht dies für eine funktionierende Präventionskultur. Umgekehrt deuten sehr späte oder inhaltlich vage Hinweise darauf hin, dass Hemmschwellen bestehen oder das System als wirkungslos wahrgenommen wird. Auch die Reaktion des Unternehmens ist Teil des Outcomes: Werden Hinweise konsequent verfolgt und führen sie zu nachvollziehbaren Maßnahmen, wird das System selbst zum Verstärker von Compliance-Wirkung. Ein wesentlicher Impuls für die stärkere Wirkungsorientierung kommt derzeit von Strafverfolgungs- und Aufsichtsbehörden aus den USA, insbesondere vom US-Justizministerium. Maßgeblich sind dabei die Leitlinien „Evaluation of Corporate Compliance Programs“. Sie dienen Staatsanwälten als Prüfungsrahmen in Ermittlungen. Die zentrale Frage, die dort gestellt wird, lautet: „Does the program work in practice?“ Zentral ist dabei weniger die formale Ausgestaltung eines Compliance-Systems als dessen tatsächliche Leistungsfähigkeit. Gefragt wird unter anderem, ob Risiken unternehmensspezifisch identifiziert werden, ob Maßnahmen auf diese Risiken zugeschnitten sind und ob das System in der Praxis funktioniert. Behörden prüfen etwa, wie Schulungen angenommen werden, ob Hinweise ernsthaft verfolgt werden und ob Fehlverhalten konkrete Konsequenzen hat. Der Ansatz ist ausdrücklich dynamisch angelegt. Compliance-Programme müssen ständig überprüft, angepasst und weiterentwickelt werden. Der frühere Leiter der US-Gesundheitsaufsicht Richard P. Kusserow, der als Inspector General des Department of Health and Human Services jahrelang selbst Compliance-Programme geprüft und bewertet hat, kritisiert in seinem Fachbeitrag „Compliance Program Effectiveness: Understanding Outputs vs. Outcomes“ die anhaltende Fixierung vieler Unternehmen auf reine Aktivitätskennzahlen. „Während quantitative Output-Kennzahlen zeigen, was im Compliance-Programm geschieht, belegen qualitative Outcome-Nachweise, ob Compliance tatsächlich in der Organisation verankert ist.“ Als belastbare Wirkungsnachweise nennt Kusserow unter anderem geringere Fehler- und Verstoßquoten, nachweisbares Wissen der Mitarbeitenden, aktives Risikomanagement durch Führungskräfte sowie Lernprozesse nach Vorfällen, die über kurzfristige Korrekturen hinausgehen. Erst solche qualitativen Aspekte erlaubten eine glaubhafte Bewertung der Effektivität von Compliance.
Relevante Kennzahlen sind für uns in erster Linie solche, die Rückschlüsse auf das Verhalten unserer Mitarbeitenden oder spezielle Risikotrends zulassen.
Kerstin Maas,
Bereichsleiterin Legal,
Compliance und Licences,
Cornelsen Verlag
Verhalten messbar ändern
„Wirkungsorientierte Compliance setzt nicht bei Maßnahmen, sondern bei den gewünschten Verhaltensänderungen und damit einhergehend bei der tatsächlichen Risikoreduzierung an“, sagt Kerstin Maas, Bereichsleiterin Legal, Compliance und Licences beim Cornelsen Verlag. Entscheidend sei die klare Definition von Compliance-Zielen – abgeleitet aus der Unternehmensstrategie – entlang realer Unternehmensrisiken sowie eine konsequente Integration von Compliance in Entscheidungs- und Geschäftsprozessen. „Eine enge Verzahnung von Compliance und den Fachbereichen ist wichtig, denn Compliance steuert nur dann wirksam, wenn sie gelebt wird und das tatsächliche Handeln beeinflusst – die Dokumentation allein hilft nicht“, sagt Maas. Dabei sei das Thema Compliance-Kultur ebenfalls relevant. Alle Mitarbeitenden sollten Compliance als zentralen Bestandteil ihrer täglichen Arbeit verstehen. Um dieses Verständnis zu etablieren und zu verfestigen hat das Unternehmen unter dem Motto „Compliance für alle“ gemeinsam mit den Fachbereichen ein umfassendes Programm aufgebaut. Dieses besteht aus Schulungen, Merkblättern, Richtlinien, Workshops und Self-Learning. Mitarbeitende werden gezielt dabei unterstützt, Arbeitsabläufe, Produkte und Marketingstrategien compliant zu gestalten. Die Wirksamkeit von Compliance lasse sich nicht allein über Teilnahmequoten oder Regelwerke messen. „Sie zeigt sich insbesondere, wenn Risiken früher adressiert und damit reduziert werden und wir als Compliance-Verantwortliche rechtzeitiger und umfassender in Entscheidungsprozesse eingebunden sind“, sagt Maas. „Also immer dann, wenn sich das Verhalten der Mitarbeitenden messbar geändert und damit das Risiko für Verstöße reduziert hat.“ Die Messung der Verhaltensänderungen habe dabei stets anhand konkreter Maßnahmen und deren erwarteter Wirkung zu erfolgen, wobei ein Vorher-Nachher-Vergleich angestellt werden muss. „Relevante Kennzahlen sind für uns in erster Linie solche, die Rückschlüsse auf das Verhalten unserer Mitarbeitenden oder spezielle Risikotrends zulassen“, sagt Maas. Dazu gehören beispielsweise Indikatoren zur Meldebereitschaft von Verstößen, zur frühzeitigen Einbindung von Compliance in risikobehaftete Entscheidungen sowie zur Umsetzung von Compliance-Empfehlungen und der Einhaltung von Prozessen oder Vorgaben. „Hilfreich für uns ist in dem Zusammenhang unser Compliance Continuous Monitoring Dashboard“, sagt Maas. Mit dem Dashboard gibt es einen Überblick über Schulungsquoten, die Anzahl durchgeführter Kontrollen aber auch – und das sei für die Messung der Wirksamkeit der Maßnahmen relevant – die Einhaltung bestimmter vorgegebener Prozesse. „Eine ganz zentrale Herausforderung besteht darin, dass die Verhaltensänderungen und tatsächliche Risikoreduzierung nur begrenzt kausal nachweisbar sind, denn die Wirksamkeit zeigt sich ja insbesondere daran, dass gerade nichts passiert“, sagt Maas. Dennoch seien gute und aussagefähige Daten die Basis für Anhaltspunkte wirksamer Compliance. Allerdings bestehe auch die Gefahr, dass falsche Rückschlüsse gezogen werden, wenn eine Messung des Outcomes rein datengetriebenen erfolgt. „Ein wirkungsorientierter Ansatz erfordert zusätzlich Kontext, entsprechende Einordnung und eine realistische Interpretation der Kennzahlen“, sagt Maas. Es sei wichtig, immer wieder die Herausforderungen der Mitarbeitenden und die individuellen Use-Cases der Fachbereiche zu monitoren und Prozesse und Vorgaben gegebenenfalls an die realen und rechtlichen Gegebenheiten anzupassen.
■ Henning Zander
