Sicherlich stellt ein derartiger Selbsttest keinen Ersatz für eine eingehende Analyse des eigenen Unternehmens dar. Dennoch kann sie vor allem für die erste Beschäftigung mit IT-Compliance einen wichtigen Ansatzpunkt bieten.

Neben dieser auf IT-Compliance bezogenen Checkliste gibt es im Internet eine Reihe weiterer, meist ebenfalls kostenlosen, Richtlinien, Checklisten oder Selbsttests. Klicken Sie hier für eine Übersicht von elf derartigen Tools zum Thema Anti-Korruption und klicken Sie hier für eine Übersicht von drei weiteren Tools zum Thema Compliance.

Rainer Hampp Verlag: 2008
ISBN: 978-3-86618-244-8
205 Seiten, 24,80 Euro

Zu beziehen z.B. über Amazon

Mit diesem Buch legt Jürgen Stierle eine Ausarbeitung zu einem der derzeit spannendsten Themen der betriebswirtschaftlichen Korruptionsforschung vor. Wenn auch in dem vorliegenden Werk die Anordnung der Themen nicht immer einer klaren Logik folgt, so vermag es Unternehmensberater Stierle dennoch, mit seinem eingängigen Stil die organisatorischen Gründe von Korruption in Unternehmen und mögliche Strategien zu deren Bekämpfung prägnant zu vermitteln.

Vor allem die ausführliche Definition von Korruption und deren Erscheinungsformen bietet allen, die sich mit dem Themenbereich das erste Mal beschäftigen, eine gute Einführung. Im Weiteren werden externe und interne Stellhebel des Korruptionscontrollings sowie mögliche Instrumente knapp und präzise dargestellt. Die zahlreichen Quellenangaben weisen auf eine sorgfältige Recherche des Autors hin. Nur auf die naheliegenden Fragen nach branchen- und unternehmensspezifischen Besonderheiten solcher Instrumente bleibt Stierle leider eine Antwort schuldig. Grundsätzlich ist anzumerken, dass die vom Autor als „innovative Ergebnisse” (S.187) angepriesenen Erkenntnisse für Einsteiger sicherlich interessant sind, für Experten allerdings wenig Neuigkeitswert besitzen dürften. Auch erscheinen die das Ende von Stierles Ausführung bildenden Praxisbeispiele etwas zufällig gewählt. Während der Umschlagtext noch VW und Siemens als Beispiele für Bestechungsfälle anführt, erläutern die Fallstudien das Korruptionscontrolling der „Emschergenossenschaft / Lippeverband” sowie der Stadt Osnabrück. Während den öffentlichen Unternehmen mit diesen (durchaus instruktiven) Fallstudien ein ganzes Kapitel gewidmet ist, ist von den im Titel erwähnten privaten Unternehmen hier leider überhaupt nicht die Rede.

Im Ganzen erscheinen die Erkenntnisse von größerer Relevanz für öffentliche Unternehmen und nur wenig auf die Privatwirtschaft zugeschnitten. Hervorzuheben ist noch ein umfassendes Literaturverzeichnis, welches dem geneigten Leser viele Anknüpfungspunkte bietet, sich allerdings auf Publikationen aus dem deutschen Sprachraum beschränkt. Zudem: Bis auf eine Ausnahme sind die Quellen und Beispiele mindestens fünf Jahre alt.

Zusammenfassend kann das Buch vor allem interessierten „Einsteigern” in die Thematik ohne weiteres empfohlen werden. Alle, die an aktuellen, auch für die Privatwirtschaft relevanten Erkenntnissen interessiert sind und sich bereits vorher mit der Thematik auseinander gesetzt haben, werden in Stierles Ausführungen dagegen wenig Neues finden können.

Wie das Hamburger Abendblatt nun berichtet, bergen diese vom Empfänger oft unversehens gelöschten E-Mails aber erhebliche Gefahren in sich. Ein Manager haftet dann nämlich mit, wenn er von einer Straftat Kenntnis erlangt und nichts dagegen unternommen hat. Dies kann möglicherweise bereits dadurch belegt werden, dass er eine Mail in CC erhalten hat und eine (oft automatisch voreingestellte) Lesebestätigung zurück gesendet hat. Die Rechtsprechung ist noch nicht eindeutig, eine Gefahr besteht aber ohne Zweifel bereits heute.

Es gibt allerdings einfache Möglichkeiten, dieses Risiko zu minimieren.

Eine weitere Möglichkeit ist die Veränderung der “Mailkultur” des Unternehmens. CC sollte nur Kollegen gesetzt werden, die tatsächlich direkt mit dem Thema etwas zu tun haben. Dies sollte auf einen kleinen Kreis beschränkt bleiben, große Verteiler zur Absicherung nach allen Seiten sollten der Vergangenheit angehören. Sie verstopfen nicht nur die Mailboxen vieler Unbeteiligten, sie führen noch dazu wie oben beschrieben zu einem Haftungsrisiko.

JJE2WFE7WPUF

• Entsprechungserklärung zum Deutschen Corporate Governance Kodex (DCGK): Mit Einführung des Gesetzes müssen Vorstand und Aufsichtsrat nun nicht zur mitteilen, sondern genau begründen, warum sie einzelne Empfehlungen des DCGK nicht einhalten. Da es keine Übergangsregelung gibt, müssen Entsprechungserklärungen um diese Begründung aktualisiert werden. Dies muss umgehend geschehen, nicht erst mit Erstellung des nächsten Berichts. (Siehe z.B. auch hier)
• Weitere Berichterstattung im Lagebericht: Es besteht nun eine ausdrückliche Pflicht, eine Erklärung zu Unternehmensführung sowie zum  internem Kontroll- und Risikomanagementsystem abzugeben. Compliance-Maßnahmen verstehen sich als Teil dieses Systems, müssen daher in Zukunft auch berichtet und im Rahmen der Abschlussprüfung geprüft werden.
• Prüfungsausschuss: Hier muss neuerdings mindestens ein Mitglied unabhängig sein und über Sachverstand in Rechnungslegung oder Abschlussprüfung verfügen. Der Prüfungsausschuss ist auch für die Überwachung der Internen Kontrollen, des Risikomanagements und damit auch der Compliance-Organisation zuständig (auf regelmäßige Berichte des Vorstandes).

Während das BilMoG für andere Bereiche teilweise aufwändige Änderungen bedeutet, dürften bei den meisten Unternehmen dadurch für den Compliance-Bereich keine erheblichen Modifizierungen notwendig werden. Dies unterscheidet sich aber natürlich erheblich je nach Ausrichtung und Aufgabenumfang der jeweiligen Compliance-Abteilung. In jedem Fall sollten die bestehenden Compliance-Systeme und deren Berichterstattung kritisch hinsichtlich der Übereinstimmung mit dem BilMoG geprüft werden.

Zum Text des Gesetzes zur Modernisierung des Bilanzrechts (BilMoG)
Zur Pressemitteilung des Bundesministeriums der Justiz zum BilMog

Eines der einflussreichsten und sehr empfehlenswerten Bücher zu diesem Thema ist   ”Essentials of Corporate Fraud” (auf englisch, ab 18,75 Euro), welches von der US-Expertin Tracy Coenen verfasst wurde. Ihrer Ansicht nach sind unter anderem ein Zusammentreffen mehrerer der folgenden Merkmale in Arbeitsverhalten, Einstellung und Lebensstil mögliche Anzeichen für eine erhöhte Betrugsneigung des Mitarbeiters:

Arbeitsverhalten
1. Widerstand gegen die Abgabe von eigenen Aufgaben an Kollegen, kurzfristig (z.B. während Urlaub) und langfristig (z.B. Job Rotation)

2. Lange Arbeitsstunden, vor allem auch mit Zeiten alleine ohne Kollegen am Arbeitsplatz, frühmorgen, spätabends oder am Wochenende (=ohne Beobachtung).

3. Bereits längere tendenziell unveränderte Tätigkeit im Unternehmen (zur genauen Kenntnisse der Abläufe und deren Lücken)

Persönliche Einstellung

4. Allgemeiner niedriger ethischer Standard, kein starkes Werteempfinden

5. Unzufriedenheit mit dem Job bezüglich hohem Selbstbild und nicht entsprechender Fremdwahrnehmung

7. Persönliche finanzielle Schwierigkeiten durch Lebensstil oberhalb der eigentlichen Möglichkeiten

8. Abhängigkeiten (Drogen, Spielsucht, Alkohol,…)

9. Instabilität der persönlichen Lebensumstände

Einen aktuellen Fall eines der Untreue verdächtigten Mitarbeiters berichtet die Augsburger Allgemeine. Bei dem dort geschilderten Verhalten des Mitarbeiters lassen sich gleich mehrere der oben beschriebenen “Red Flags” beobachten: Nach den Informationen der Zeitung arbeitet er bereits seit 13 Jahren in dem Unternehmen (3). Er soll sich in seinem Privatleben “großspurig (5) und spendabel (7)” verhalten haben. So soll er z.B. in einem Ulmer “Animierschuppen” einem ausschweifendem Lebensstil gefrönt und regelmäßig mehr als 5.000,- Euro ausgegeben haben (7). Er hatte zudem einem anderen Mann gerade dessen Frau ausgespannt, worauf dieser “sehr sauer” reagiert habe (9).

Für die anderen oben beschriebenen Merkmale lassen die Informationen der Augsburger Allgemeinen kein Urteil zu. Es würde aber nicht überraschen, wenn mehrere auch auf den Mitarbeiter zuträfen. Selbstverständlich lassen sich aus mehreren dieser Red Flags bei einem Mitarbeiter nicht mit Sicherheit dessen Hang zu Betrug und Untreue ableiten. Dennoch zeigen sie klare Risikomerkmale auf, für die Führungskräfte sensibilisiert und denen im Tagesgeschäft erhöhte Aufmerksamkeit geschenkt werden kann. 

Klicken Sie hier für ein interessantes Interview (Podcast) mit Tracy Coenen über die oben beschriebenen Red Flags (auf englisch).

Darin spielt Oscarpreisträger Matt Damon den Biotechniker Marc Whitacre, Führungskraft bei einem Landwirtschaftsunternehmen in den USA. Als dieser von illegalen Preisabsprachen seines Unternehmens erfährt, wird er zum Whistleblower und schaltet die Behörden ein. Da seine Aussage alleine nicht zu einer Verurteilung des Unternehmens reicht, stellt sich Whitacre für das FBI für verdeckte Ermittlungen zur Verfügung. Im Laufe dieser findet er  an seiner Rolle als “Geheimagent” zunehmend Gefallen.

Der Einzelkämpfer für Recht und Ordnung hat jedoch selbst keineswegs eine weiße Weste. Das aber versucht er natürlich gegenüber den Behörden zu vertuschen. Seine Geschichten und Intrigen laufen jedoch völlig außer Kontrolle, am Ende hat er selbst zwei Millionen Dollar aus der Firmenkasse entwendet und landet im Gefängnis. Ein spannender und sehr unterhaltsamer Film, bei dem viele Eigenschaften von Wirtschaftskriminalität und deren Akteure in Unternehmen überzeichnet dargestellt und dadurch sehr deutlich werden. Ein Kinobesuch eignet sich daher auch besonders für alle, die sich sonst täglich mit Wirtschaftskriminalität, Untreue, Betrug und sonstigen Verfehlungen in Unternehmen befassen…

Es besteht also die Gefahr, dass Compliance-Officer persönlich unversehens in den Fokus strafrechtlicher Ermittlungen geraten. Diese schadlos zu überstehen, erfordert nicht nur eine saubere Weste, sondern auch die besten Anwälte. Oft verlangen diese aber Stundensätze im hohen dreistelligen Bereich. Dazu kommen in den zu erwartenden langwierigen Ermittlungen weitere Kosten für Reisen oder Honorare für Sachverständige und Gutachten. Kommt es zu einer Einstellung des Ermittlungsverfahrens, bleibt der Betroffene oft auf vielen dieser Ausgaben sitzen. 

Derartige Kosten können durch eine Strafrechtsschutzversicherung abgefangen werden. Diese werden von allen größeren Versicherungsunternehmen angeboten und tragen in der Regel Anwaltshonorare, Reisekosten, Gerichtskosten und weitere Auslagen wie für die oben genannten Gutachten. Die Beiträge sind als Betriebskosten absetzbar.

Bei einer derartigen Versicherung sind jedoch einige Punkte zu beachten:

• Bei einer Verurteilung wegen Vorsatz fällt der Versicherungsschutz meist weg, die Versicherung fordert dann die gezahlten Vorschüsse zurück.
• Bußgelder und Geldstrafen werden von der Versicherung meist nicht übernommen.
• Unterschiede gibt es in dem zeitlichen Versicherungsschutz. Teilweise sind darin Handlungen vor Vertragsabschluss enthalten, teilweise nicht.
• Einige Versicherer bieten Sonderdienstleistungen wie 24-Stunden-Hotlines an.

Allgemein kann eine derartige Versicherung ein guter Schutz für den “Notfall” strafrechtlicher Ermittlungen darstellen. Keineswegs sind sie allerdings ein Ersatz für effektive Compliance-Maßnahmen. Stellen sich nämlich in einem Verfahren die vorgebrachten Vorwürfe als berechtigt heraus und es kommt zu einer Verurteilung des Compliance-Officers, hilft eine Versicherung meist auch nicht viel weiter. Selbst wenn die Auslagen für das Verfahren ersetzen werden sollten, besteht im Verurteilungsfall kein Schutz gegen die Strafe und damit verbundene negative Folgen, z.B. für die Reputation des Betroffenen.

Allgemein wird meist die Pflicht zur Befolgung der „relevanten Regeln“ im Unternehmen unter „Compliance“ verstanden. Neben dieser Pflicht umschreibt der Begriff Compliance aber auch die organisatorische Sicherstellung der Übereinstimmung des Handelns der Mitarbeiter mit relevanten Vorschriften.

Diese “relevanten Vorschriften” können drei verschiedene Dimensionen umfassen. Ohne Zweifel sind die für das Unternehmen geltenden Gesetze relevant. Oft ist die rein rechtliche Dimension einer Legal Compliance dabei allerdings nur ein, wenn auch wichtiger, Ausgangspunkt für den Compliance-Begriff. Weitere Normen, mit welchen die Übereinstimmung innerhalb des Unternehmens sichergestellt werden sollen, sind gesellschaftliche Regeln und allgemeine ethische Wertvorstellungen als (Societal) Compliance sowie interne Grundsätze, Vorgaben und Richtlinien der Zentrale als Richtlinien-Compliance. Legal Compliance ist unumstrittenerweise in einem demokratischen Rechtsstaat Pflicht des Unternehmens und seiner Mitarbeiter, Verfehlungen werden durch den Staat verfolgt und geahndet. Weniger verbindlich ist die Societal Compliance als moralische Wertvorstellung. Die Richtlinien-Compliance schließlich ist jedem Unternehmen selbst überlassen.

Nicht immer sind jedoch alle drei Dimensionen auch im Compliance-Begriff in Unternehmen enthalten bzw. in einer Compliance-Abteilung zusammengefasst. Die Deutsche Bahn versteht z.B. alle drei Dimensionen unter Compliance:  „Compliance beinhaltet die Befolgung und Einhaltung aller Vorschriften, die Grundlage für Integrität im Geschäftsverkehr sind: Rechtsnormen, interne Anweisungen und Richtlinien, aber auch ethische Grundregeln“. Andere Unternehmen sehen Compliance nur als Legal Compliance und ordnen die beiden anderen Dimensionen auch organisatorisch anderen Abteilungen zu. Während Societal Compliance oft dem Bereich Corporate Social Responsibility zugerechnet wird, gehört die Einhaltung der internen Richtlinien oft in den Bereich Organisation. 

Compliance-Instrumente“ oder “Compliance-Maßnahmen“ sind alle betrieblichen Vorkehrungen mit dem Ziel, die volle Compliance (in der jeweiligen Definition) des Unternehmens zu erreichen. “Compliance-Programme” sind in diesem Sinne eine Ansammlung von verschiedenen Einzelmaßnahmen, die in ihrer Gesamtheit “Compliance” erreichen sollen. Eine gesetzliche Vorschrift, nach der ein Unternehmen zur Einführung von bestimmten Compliance-Instrumenten ausdrücklich angehalten wäre, besteht in Deutschland allerdings nicht. Mitunter wird versucht, eine derartige Pflicht aus verschiedenen weiteren Regelungen abzuleiten (Z.B. für Aktiengesellschaften aus §§ 93 Abs. 1 AktG).

Vor allem in der Praxis wird Korruption oft als einer der entscheidenden Auslöser für die Notwendigkeit von Compliance bezeichnet. Als Beispiel kann wieder eine Aussage der Deutsche Bahn angeführt werden: „Korruption fügt erheblichen Schaden zu. So kommt Compliance eine immer größere Bedeutung zu.“ Tatsächlich definiert sich Korruption meist auch als abweichendes Verhalten innerhalb eines organisatorischen Kontextes, wobei oft noch weitere einschränkende Bedingungen hinzu kommen, so dass Korruptionsbekämpfung in Unternehmen als eine Untergruppe von Compliance bezeichnet werden kann. Compliance selbst wird hingegen oft als eine Untergruppe von Corporate Governance verstanden.  Ein weiterer verwandter Begriff ist Wirtschaftskriminalität, was alle Verstöße gegen die Wirtschaftsordnung und damit viele der als non-compliant aufgefassten Sachverhalte umfasst. Im allgemeinen Verständnis bildet Wirtschaftskriminalität allerdings meist nur die rechtliche Legal Compliance Dimension ab. Selten wird als Synonym für Compliance auch noch der deutsche Begriff “Komplianz” verwendet.

Weitere Einführungen in die Begrifflichkeiten “Compliance” und “Compliance-Management” finden sich in allen der hier angeführten Bücher.

Neben dieser betriebswirtschaftlichen Definition von Compliance gibt es auch noch weitere Bereiche, in denen der Begriff mit teilweise völlig unterschiedlicher Bedeutung verwendet wird. Sehen Sie dazu die Hinweise zu Compliance in der Medizin, Compliance in der Physiologie, Compliance in der Mechanik und Cross Compliance.

Fritz Heimann und François Vincke: 
Fighting Corruption – International Corporate Integrity Handbook

International Chamber of Commerce 2008
ISBN 978-92-842-0013-9; 310 Seiten; 74,99 Euro

Zu beziehen z.B. über Amazon

Die große Leistung dieses bei der Internationalen Handelskammer in englischer Sprache erschienen Buches ist es, einen hervorragenden Überblick über internationale Anstrengungen zur Bekämpfung von Korruption in der Wirtschaft zu bieten. Dabei wird der Themenbereich durchgängig in einem leicht verständlichen Ton und mithilfe zahlreicher teils hochaktueller Zitate und Beispiele präsentiert. Dies geschieht jeweils unter Bezug auf die gängigen internationalen Konventionen (OECD, UN) mit einer Reihe von Checklisten, einer ausgewogenen Mischung aus Theorie und konkreten Maßnahmen sowie guten Kurz-Zusammenfassungen am Ende jedes Abschnittes. Den Schluss bildet ein etwa 100-seitiger Anhang, welcher die ICC-Richtlinien sowie die Anti-Korruptions-Konventionen von OECD, UN und Europarat im Wortlaut abdruckt.

Die internationale Ausrichtung des Buches ist dabei Stärke und Schwäche zugleich. Auf der einen Seite erhält man einen guten Einblick in die globalen Strategien der Korruptionsbekämpfung in der Wirtschaft, von der Gesetzgebung in Neuseeland über Regeln zu Unternehmensspenden an Parteien in Frankreich bis zu den Whistleblowing-Richtlinien von Honeywell. Als konkrete Handlungsmodelle für ein lokales Unternehmen im spezifisch nationalen Kontext sind solche Beispiele andererseits natürlich nur bedingt geeignet.

Für alle, die aufgrund des doch recht stolzen Preises einer Anschaffung zögerlich gegenüber stehen, sei auch auf die im Internet kostenlos erhältliche Kurzfassung „Combating Extortion and Bribery: ICC Rules of Conduct and Recommendation“ verwiesen. Diese stand auch Pate für die ebenfalls kostenfrei im Internet erhältliche deutschsprachige Broschüre „Korruption bekämpfen: Ein ICC-Verhaltenskodex für die Wirtschaft“, welche von der Internationalen Handelskammer Deutschland gemeinsam mit dem Deutschen Industrie- und Handelskammertag veröffentlicht wurde (den Link zum kostenlosten Download des Verhaltenskodex finden sie hier).

Weitere interessante Bücher zum Thema Compliance finden Sie hier.

Dass diese Gleichung nicht immer aufgehen muss, zeigen aktuelle Forschungsergebnisse der letzten Jahre. Demnach kann mehr Kontrolle genau zu dem Gegenteil der erwünschten Wirkung führen. Dieses in der Wissenschaft als “crowding out” bezeichnete Phänomen lässt sich an einem einfachen Beispiel deutlich machen:

“Crowding Out” von ehrlichem Verhalten

Denken Sie an die unterschiedlichen Verfahren, Kaffe im Büro zu verkaufen. Eine Möglichkeit ist es, eine Kaffeekasse aufzustellen und nach dem Vertrauensprinzip die Kaffee-Trinker zu bitten, den Betrag x für eine selbst entnommene Tasse zu entrichten. Eine andere Möglichkeit ist ein Kaffeeautomat, welcher nur gegen Bezahlung Kaffee ausgibt. Besteht eine ausreichende Ehrlichkeit der Mitarbeiter, werden beide Methoden zu dem gleichen Ziel einer Bezahlung führen - einmal ohne (Kaffeekasse) und einmal mit (Automat) Kontrolle.  Das gleiche gilt für Compliance-Maßnahmen: Diese können auf die Ehrlichkeit der Mitarbeiter vertrauen oder die Einhaltung der Regeln durch Kontrollen sicherstellen. 

Interessant wird das ganze jedoch für den Fall einer Fehlfunktion des Kaffeeautomatens. Gibt dieser versehentlich das eingezahlte Geld und den Kaffee zurück, wird sich jeder über den kostenlosen Kaffee freuen. Auf die Idee, diesen trotzdem noch zu bezahlen, kommt dagegen niemand. Der Automat hat versagt, die Folgen davon werden von den Mitarbeitern nicht mehr als die eigene Verantwortung angesehen. Bei einem Versagen der Kontrolle fallen die Mitarbeiter also nicht auf das Prinzip Ehrlichkeit zurück. Ganz im Gegenteil haben sie nun überhaupt keine Skrupel mehr, einen eigenen Vorteil zu realisieren. Auch dies kann wieder auf Compliance-Maßnahmen übertragen werden: Sind die Kontrollen unvollständig oder lückenhaft, werden Mitarbeiter diese Mängel ohne Skrupel ausnutzen. Vorher möglicherweise existierende innere Verpflichtungen bestehen in einem strikten Kontrollumfeld nicht weiter fort. Dieser Verlust an Ehrlichkeit bei Einführung von Kontrollen wird als “crowding out” bezeichnet.

Konsequenzen für Compliance-Maßnahmen

Für Compliance-Maßnahmen bedeutet dieses Argument, dass Unternehmen entweder ganz auf intrinsische Anreize (also die Motivation und Ehrlichkeit der Mitarbeiter) oder ganz auf extrinsische Anreize (Kontrollen) setzen sollten. Zwischenlösungen mit unvollständigen Kontrollen scheinen durch den “crowding out” Effekt weniger optimal zu sein. Da völlige Kontrolle schwierig und teuer ist, bieten sich Maßnahmen zur Festigung der intrinsischen Anreize (z.B. Schulungen) an. Deren Wirkung wird aber meist nur langfristig sein. Zudem wird ein Compliance-Management ohne Kontrollen für einigen Erklärungsbedarf sorgen. Das ”crowding out”-Argument könnte für derartige Erklärungen aber einen Ansatzpunkt darstellen.

Zu der oben genannten Argumentation gibt es eine Vielzahl von akademischen Veröffentlichungen. Sollten Sie daran interessiert sein, zögern Sie nicht Informationen dazu unter info@compliancer.de abzufragen.