Siemens, Ferrostaal, Daimler, Deutsche Bank, Petrobras, Thyssen-Krupp, Bilfinger, GM, Toyota, ADAC, FIFA, VW, DFB und viele andere werden wohl noch für einige Zeit als Organisationen in unserem Gedächtnis bleiben, die neben großartigen Leistungen leider auch compliance-technisch versagt haben.
Alle haben in der Folge öffentlich gewordener Compliance-Vorfälle zum Teil drastische organisatorische Veränderungen vorgenommen. Regelmäßig wurde eine Compliance Organisation eingezogen bzw. die bestehende gestärkt und häufig durch Bestellung oder Austausch eines Chief Compliance Officer das gewünschte zentrale und öffentlich wirksame Signal gesetzt.
Man darf sich fragen, ob diese Maßnahmen nachhaltig die bestehende Unternehmenskultur insbesondere im Hinblick auf Regeltreue positiv beeinflussen werden bzw. beeinflusst haben. Die Erfahrung lehrt, dass die Mammutaufgabe, Compliance im Sinne von Regeltreue im Unternehmen fest und dennoch veränderungsfähig zu implementieren, nicht von einer zentralen Funktion und schon gar nicht von einer Person alleine geschultert werden kann, auch wenn an der Organisationsspitze die richtige Haltung vorgelebt wird.
Es gilt die Organisation dezentral-funktional auf positive Regeltreue zu konditionieren. Hierbei macht es Sinn, sich am Immunsystem des menschlichen Körpers zu orientieren. Dieses hat zentrale Komponenten, kann aber nur aufgrund der dezentralen „Helfer“ wirklich funktionieren, wobei die gleichgesinnte Kommunikation innerhalb des Systems und nach außen von wesentlicher Bedeutung ist. Das Compliance Management System einer Organisation bildet idealerweise das funktionierende Immunsystem des menschlichen Körpers nach. Konkret heißt dies, neben zentralen Komponenten im Top-Management wie der des Chief Compliance Officer oder eines Compliance Council, eben auch dezentrale Komponenten funktions- und risikofokussiert insbesondere auf der zweiten und dritten Managementebene mit Compliance zu befassen.
Idealerweise geschieht dies dadurch, dass den handelnden Personen mehr Selbstwirksamkeit und Eigenverantwortung in Sachen Compliance gegeben wird. Es müssen klare Compliance-Aufgaben, Kompetenzen und Verantwortlichkeiten („AKV“) definiert werden, die von den verantwortlichen Personen verinnerlicht und gelebt werden. Management-Entwicklungsprogramme müssen auch Elemente beinhalten, die die gewünschte Haltung im Hinblick auf positive Regelkultur fördern und einfordern. Die zentrale Compliance-Funktion wird sich in diesem Umfeld auf übergeordnete Aufgaben wie Beratung, Schulung, Kontrolle, Krisenmanagement und der Weiterentwicklung des Compliance Management Systems fokussieren. Die in der Organisation wahrgenommene Verantwortung für Compliance wird so von vielen Schultern getragen. Positive Regelkultur ist dann kein Fremdkörper – im Sinne von „die einen machen Compliance, die anderen machen das Geschäft“ – sondern natürlicher Bestandteil der Unternehmenskultur. Das Immunsystem funktioniert.