Nachhaltige Compliance: Was ein System leisten muss, wenn es auf die Probe gestellt wird 

Jedes Compliance-Programm sieht an normalen Tagen gut aus. Die wahre Bewährungsprobe kommt erst, wenn eine Aufsichtsbehörde eine Akte anlegt, ein Journalist einen Artikel veröffentlicht, ein Kunde eine Frage zur Sorgfaltspflicht eskaliert oder der Vorstand fragt, wie ein Problem übersehen werden konnte. Der Unterschied zwischen einem Unternehmen, das seine Glaubwürdigkeit bewahrt, und einem, das dies nicht schafft, liegt selten in dem Vorfall selbst – vielmehr darin, was das Compliance-System an dem Tag, an dem es auf die Probe gestellt wird, schriftlich vorweisen kann. 

Compliance ist den größten Teil des Jahres über eine unsichtbare Funktion. Richtlinien werden überprüft, Schulungen durchgeführt, Audits abgeschlossen und Berichte an den Vorstand übermittelt. All dies findet kaum Beachtung. Dann passiert etwas – eine sanktionierte Gegenpartei wird in der Lieferkette entdeckt, eine Zahlung an einen Vertreter gerät unter die Lupe, ein Datenleck wird gemeldet, ein Whistleblower wendet sich an eine Aufsichtsbehörde – und plötzlich muss die Funktion innerhalb von Tagen oder Wochen nachweisen, dass die jahrelange Arbeit zu einer vertretbaren Position geführt hat. 

Dies ist der entscheidende Unterschied zwischen einem Compliance-Programm und einem Compliance-System. Ein Programm ist eine Reihe von Maßnahmen, die das Unternehmen durchführt. Ein System ist etwas, das das Unternehmen vorweisen, belegen und verteidigen kann, wenn eine externe Stelle Antworten verlangt. Die meisten Programme halten einer internen Überprüfung recht gut stand. Weitaus weniger bestehen einer Überprüfung von außen. 

Wer stellt die Herausforderung 

Es lohnt sich, genau zu definieren, wer diese Herausforderer eigentlich sind, denn jeder von ihnen hat andere Erwartungen, und das System muss sie alle erfüllen. Die Aufsichtsbehörden suchen nach Belegen dafür, dass die Organisation ihre Verpflichtungen vor dem Vorfall ernst genommen hat – Risikobewertungen, Kontrollmaßnahmen, Überwachung, Schulungen, Eskalationsverfahren. Ihre Frage lautet, ob es sich bei dem Versagen um einen einzelnen Ausfallpunkt in einem gut geführten System handelte oder ob es auf ein System hindeutet, das nie wirklich vorhanden war. 

Kunden und Geschäftspartner suchen nach der Gewissheit, dass es sicher ist, auch in Zukunft mit dem Unternehmen Geschäfte zu machen. Ihre Sorge ist zukunftsorientiert: Wird sich so etwas wiederholen, und was hat sich geändert? Investoren und Ratingagenturen prüfen die Reife der Unternehmensführung – ob der Vorstand informiert wurde, ob die Aufsicht angemessen war und ob die Offenlegungen rechtzeitig erfolgten. Journalisten und die Öffentlichkeit betrachten die Unternehmenskultur und die Absichten. Interne Revisoren und Vorstände prüfen all diese Aspekte und noch einiges mehr. 

Keine dieser Zielgruppen wird sich mit der Aussage zufrieden geben, dass die Organisation über ein Compliance-Programm verfügt. Sie wollen sehen, wie es funktioniert. 

Was „vertretbar“ eigentlich bedeutet 

Der Begriff „Nachweisbarkeit“ wird oft sehr weit gefasst verwendet. In der Praxis hat er jedoch eine eng gefasste Bedeutung: Die Organisation muss auf Verlangen nachweisen können, dass ihr Compliance-System angemessen auf die bestehenden Risiken zugeschnitten war, wie vorgesehen funktionierte, überwacht wurde und kontinuierlich verbessert wurde. Jedes dieser vier Elemente ist von Bedeutung. 

Passend konzipiert. Das System muss die tatsächlichen Risiken der Organisation widerspiegeln – es darf sich nicht um ein generisches Programm handeln, das von anderswo übernommen wurde. Eine Aufsichtsbehörde, die einen Verstoß gegen Sanktionsvorschriften untersucht, wird eine Sanktionsrisikobewertung mit dokumentierter Logik erwarten wollen, die die Risiken der Organisation mit den bestehenden Kontrollmaßnahmen in Verbindung bringt. Eine aus einem anderen Sektor kopierte Richtlinie wird dieser Prüfung nicht standhalten. 

Funktioniert wie vorgesehen. Die Konzeption von Kontrollmechanismen ist nicht dasselbe wie deren Umsetzung. Der Nachweis der Funktionsweise – Protokolle, Überprüfungsaufzeichnungen, Eskalationen, an die jeweiligen Aufgabenbereiche geknüpfte Schulungsnachweise sowie bearbeitete und dokumentierte Ausnahmen – ist das, was ein System von einem bloßen Dokument unterscheidet. Organisationen, die diese Nachweise nicht umgehend vorlegen können, stellen oft fest, dass sie sich auf Annahmen statt auf Kontrollmechanismen verlassen haben. 

Überwacht. Es muss jemand anderes als die für die Steuerung Verantwortlichen überprüfen, ob die Steuerungsmechanismen funktionieren. Interne Revision, Überwachung durch die zweite Kontrollinstanz, Managementbewertung – verschiedene Organisationen gestalten dies unterschiedlich, doch das Prinzip bleibt dasselbe. Ohne diese Maßnahmen verfügt das System über keine Rückkopplungsschleife und keine Möglichkeit, Probleme zu erkennen, bevor sie zu Vorfällen werden. 

Verbessert. Probleme , die durch Überwachung, Audits, Hinweisgebermeldungen oder externe Ereignisse zutage treten, müssen dokumentiert nachverfolgt, behoben und abgeschlossen werden. Wenn eine Aufsichtsbehörde dieselbe Kontrollschwäche zweimal feststellt, ohne dass zwischen den beiden Feststellungen Maßnahmen ergriffen wurden, ist dies das schädlichste Muster, das es gibt. Kontinuierliche Verbesserung ist kein bloßer Slogan – sie ist der Beweis dafür, dass die Organisation aus ihren Erfahrungen lernt. 

Warum Zertifizierungen die Diskussion verändern 

Die unabhängige Zertifizierung eines Compliance-Managementsystems – nach der internationalen Norm ISO 37301 – macht interne Bemühungen zu einem nach außen sichtbaren Nachweis. Sie verschiebt den Schwerpunkt der Diskussion auf eine Weise, die im Ernstfall entscheidend ist. 

Ohne Zertifizierung muss die Organisation von Grund auf nachweisen, dass ihr System einem glaubwürdigen Standard entspricht. Die Aufsichtsbehörde oder der Partner hat allen Grund, skeptisch zu sein. Interne Dokumente werden von Personen geprüft, die keinen Grund haben, im Zweifelsfall zugunsten der Organisation zu entscheiden. Jede Aussage zum System muss von Grund auf belegt werden – unter Druck und unter Zeitdruck. 

Mit einer Zertifizierung hat eine unabhängige dritte Partei das System bereits anhand eines internationalen Maßstabs bewertet und festgestellt, dass es die Anforderungen erfüllt. Die Organisation bittet nicht um Vertrauen – sie verweist auf eine externe Überprüfung, die bereits stattgefunden hat. Die Aufsichtsbehörden erkennen dies an. Partner finden darin Sicherheit. Vorstände verlassen sich darauf. Der Fokus verlagert sich von „Beweisen Sie, dass Ihr System glaubwürdig ist“ hin zu „Erklären Sie, wie dies an einem glaubwürdigen System vorbeigegangen ist“. Das ist eine andere Diskussion – und es ist die Diskussion, die Organisationen an dem Tag führen wollen, an dem sie in Frage gestellt werden. 

Was das System an diesem Tag leisten können muss 

Es gibt eine nützliche Übung, die jeder Compliance-Verantwortliche durchführen kann, ohne externe Parteien hinzuzuziehen: Stellen Sie sich vor, eine Aufsichtsbehörde hat gerade ein Verfahren eingeleitet. Es sind 48 Stunden an Besprechungen angesetzt. Was muss das Unternehmen vorlegen können? 

Eine aktuelle Bewertung der Compliance-Risiken mit dokumentierter Begründung. Eine Liste der Compliance-Verpflichtungen mit namentlich genannten Verantwortlichen. Die diesen Verpflichtungen zugeordneten Kontrollmaßnahmen mit Nachweisen über deren Umsetzung. Schulungsunterlagen, die den jeweiligen Aufgabenbereichen zugeordnet sind. Überwachungsberichte der letzten 24 Monate mit eindeutigen Nachweisen über festgestellte Probleme und ergriffene Maßnahmen. Berichte der internen Revision und Stellungnahmen der Geschäftsleitung. Aufzeichnungen über die Einbindung des Vorstands – keine Protokolle, in denen lediglich steht, dass „Compliance erörtert wurde“, sondern konkrete Inhalte. Aufzeichnungen über Vorfälle, Beinahevorfälle und die darauf ergriffenen Maßnahmen. Nachweise für kontinuierliche Verbesserung – nicht als bloße Behauptung, sondern als dokumentierter Nachweis. 

Unternehmen, die ihr System auf einem internationalen Standard aufgebaut haben, sind in der Regel in der Lage, den Großteil dieser Unterlagen innerhalb weniger Stunden vorzulegen. Unternehmen, die ihre Compliance-Arbeit eher als Einzelmaßnahme denn als System betrieben haben, benötigen oft Wochen, um die erforderlichen Nachweise zusammenzustellen – und stellen dabei häufig fest, dass diese Nachweise gar nicht vorhanden sind. 

Der Preis dafür, es unter Druck herauszufinden 

Die schwierigste Variante dieses Gesprächs ist die, die entsteht, wenn ein Unternehmen mitten in einem Vorfall feststellt, dass sein Compliance-System nicht so stichhaltig ist, wie es angenommen hatte. Dabei geht es selten um eine fehlende Richtlinie. Meistens geht es um fehlende Nachweise – nicht durchgeführte Überwachungen, nicht dokumentierte Ausnahmen, Schulungen, die zwar absolviert, aber nicht den jeweiligen Rollen zugeordnet wurden, sowie Audits, bei denen Probleme festgestellt wurden, die nie behoben wurden. 

Wenn dies erst einmal entdeckt wird, sind die Optionen begrenzt. Die Organisation kann die Lücken offenlegen und die Konsequenzen tragen, oder sie kann versuchen, unter Druck Abhilfe zu schaffen und dabei den Anschein zu erwecken, als würde sie ein System nachträglich zusammenbasteln. Beides ist keine gute Situation. Die Alternative – das System aufzubauen, es zu dokumentieren und unabhängig überprüfen zu lassen, bevor es zu Problemen kommt – ist deutlich kostengünstiger und mit wesentlich weniger Stress verbunden als die reaktive Variante. 

Was dies in der Praxis bedeutet 

Für Organisationen, die bereits über ein strukturiertes Compliance-Managementsystem verfügen, liegt der Wert einer Zertifizierung darin, dass sie interne Anstrengungen in einen nach außen sichtbaren Nachweis umwandelt. Die Arbeit wurde bereits geleistet; die Zertifizierung macht sie für diejenigen sichtbar, die sie sehen müssen. 

Für Organisationen, deren Compliance-Funktion noch immer eher nach Aktivitäten als nach einem System strukturiert ist, liegt der Wert der Ausrichtung auf einen anerkannten Standard darin, dass er eine Blaupause liefert. Die ISO 37301 schreibt Organisationen nicht vor, welche Gesetze für sie gelten, und sie beseitigt auch keine Compliance-Risiken. Vielmehr zwingt sie dazu, Kontrollen für Risiken zu konzipieren, deren Funktionsweise nachzuweisen, sie unabhängig zu überwachen und zu verbessern – die vier Elemente, die darüber entscheiden, ob das System im Ernstfall standhält. 

Bei dieser Entscheidung geht es nicht wirklich um eine Norm, ein Zertifikat oder ein Audit. Es geht darum, was die Organisation vorweisen können möchte und in welchem Zeitrahmen, wenn das nächste Mal jemand von außerhalb der Organisation danach fragt. 

Ein Compliance-System aufbauen, das sich bewährt 

Möchten Sie sicherstellen, dass Ihr Compliance-Managementsystem stichhaltig ist? Speeki zertifiziert Organisationen nach ISO 37301 und bietet Schulungen für interne Auditoren und leitende Auditoren über Speeki Executive Educationan.  

Kontaktieren Sie uns , um über Zertifizierung oder Schulungen zu sprechen.