Die Kunst erfolgreicher Compliance E-Book

Hinweis: Zur besseren Lesbarkeit wurde bei Personenbezeichnungen u. ä. auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich, divers (m/w/d) verzichtet. Es wurde das generische Maskulinum verwendet. Die verkürzte Sprachform hat lediglich redaktionelle Gründe und beinhaltet keine Wertung.

ISBN 978-3-8005-1793-0

© 2023 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Lektorat: Frau Lötzerich-Bernhard und Frau Orth

Meiner Familie

Danksagung

Viele vergangene und gegenwärtige Weggefährten haben Inspirationen geliefert, neue Perspektiven aufgezeigt und am reflektierten Diskurs über wirksames Compliance-Management teilgenommen. Besonders bedanken möchte ich mich bei Dr. Iyad Nassif und Irina Jäkel, die mich stets ermutigt haben, das Buch zu vollenden.

„Schwimmen zwei junge Fische des Weges und treffen zufällig einen älteren Fisch, der in die Gegenrichtung unterwegs ist. Er nickt ihnen zu und sagt: »Morgen, Jungs. Wie ist das Wasser?« Die zwei jungen Fische schwimmen eine Weile weiter, und schließlich wirft der eine dem anderen einen Blick zu und sagt: »Was zum Teufel ist Wasser?«“

(† D.F. Wallace)

Inhaltsverzeichnis

Danksagung

Teil 1

I. Anstelle eines Vorworts

A. Ein etwas anderer Compliance-Ratgeber

B. Annahmen sind die Mutter aller Schlamassel

II. Was das Buch ist und was es nicht ist

A. Warum Sie sich auch entscheiden könnten, dieses Buch nicht zu lesen

B. Sie suchen vielleicht ein Kontrastmittel? Hier ist es!

C. Sie suchen nach Compliance-Rezepten? Dann sind Sie hier falsch!

D. Sie erhoffen sich mehr Compliance-Wissen? Dann werden Sie enttäuscht werden!

E. Kuh, Huhn oder Gras: Was passt nicht in die Reihe?

F. Wenn Compliance ein Elefant wäre, was sehen Sie dann?

III. Compliance: Eine realistische Bestandsaufnahme

A. „Übertreibt es bitte nicht.“

B. Die unmögliche Tatsache: Vollständige Regel- und Gesetzeskonformität

C. Houston, wir haben ein Problem: Regelabweichungen sind notwendig

D. ... und noch ein zweites Problem: Rechtliche Dominanz

E. ... und noch ein drittes Problem: Ursachenferne

F. ... und noch ein viertes Problem: Kontextarme Individualisierung

G. ... und noch ein fünftes Problem: Halbwahrheiten

H. ... und noch ein sechstes Problem: Unzureichende Empirie

I. ... und noch ein letztes Problem: Institutionalisierte Moralverdrängung

IV. Compliance als Kunst des Problemlösens

A. Sollzustand: Compliance-Management als Problemlösungskompetenz

B. Istzustand: Compliance-Management als Inkompetenzkompensationskompetenz

C. Compliance in den Grenzen der „Betriebswirtschaftsleere“

D. Compliance und die Logik des Misslingens

E. Compliance zwischen Problemlösung und Lösungsproblem

F. Non-Compliance zwischen Problemflucht und Übersehen

Teil 2

I. Das Phänomen Unternehmenskriminalität

A. Unternehmenskriminalität als komplexes Problem

1. Einfache Probleme – Komplexe Probleme

2. Kompliziert ist nicht die kleine Schwester von komplex

3. Unternehmenskriminalität als biestiges Nilpferd

B. Unternehmenskriminalität aus einer kriminologischen Perspektive

1. Unternehmenskriminalität als delicta mala mere prohibita

2. Unternehmenskriminalität als delicta mala per se

3. Organisationen und ihre Mitglieder als lediglich kleine Sünder

C. Unternehmenskriminalität im organisatorischen Kontext

1. Unternehmenskriminalität als Teil funktionaler Devianz

2. Unternehmenskriminalität als systematisches Verhalten

3. Unternehmenskriminalität durch freiwillige Mitgliedschaft

D. Von der kriminogenen zur kriminellen Verbandsattitüde

II. Auf der Suche nach den Ursachen von Unternehmenskriminalität

A. Die Probleme bei der Ursachenbestimmung

1. Der (begrenzte) Nutzen wissenschaftlicher Studien

a) Rivalisierende Erklärungsalternativen

b) Kein naturalistisches Setting

c) Isolierte Umfragen

2. Moralische Wertungen

3. Das Problem der Kausalitätsbestimmung

a) Einseitige, psychologische Erklärungsversuche

b) Wenn fast alles eine Rolle spielt: Mikro-, Meso- und Makrofaktoren

c) Determinantengedrängel und kausale Felder

B. Die Alternative zur Suche nach Ursachen: Das Erkennen von Mustern

1. Die Suche nach Mustern als Gesicht der Wirklichkeit

2. Die Gefahr bei der Suche nach Mustern am Beispiel des Fraud Triangle

3. Auswahl typischer Muster von Unternehmenskriminalität

a) Die Einkapselung beziehungsweise wir gegen die

b) Der Incentivierungstunnel

c) Klima der Angst und unerreichbare Ziele

d) What get’s measured, get’s manipulated

e) Legal Engineering

f) Fake it till you make it

g) Old-Boy-Network und Komplizenschaft

h) Automatismen, Pfadabhängigkeit und eingeschlichene Normalisierung

III. Handreichung zur Bekämpfung von Unternehmenskriminalität

A. Der Kontext zählt

B. Nicht nur das Knurren der Unternehmenskriminalität beseitigen

C. Via negativa bei delicta mala per se

D. Via positiva bei delicta mala mere prohibita

E. Empfehlung zur Suche nach Mustern von Unternehmenskriminalität

IV. Compliance-Management

A. Unbestimmt überdeterminiert

B. Einfach mehr Papier nachstopfen

C. Zwischen Prävention und Dokumentation

D. If you can’t measure it, you can’t manage it

E. What get’s measured get’s managed – even when it’s pointless to measure and manage it

F. Compliance-Reifegradmodelle: Segen und Fluch zugleich

G. Compliance 1.0 bis 4.0 aber Sozialverständnis 0.1 bis 0.2

1. Managementverständnis 0.1: Was heißt managen?

2. Managementverständnis 0.2: Organisieren

3. Organisationsverständnis 0.1: Ansammlung von Menschen

4. Organisationsverständnis 0.2: (Organische) Maschine

5. Menschenbildverständnis 0.1: Rationalität

6. Menschenbildverständnis 0.2: Irrationalität

V. Compliance-Management-Standards

A. Compliance-Standards als allgemeine Problemlöser?

B. Alle Compliance-Standards sind falsch

C. Wie falsch müssen Compliance-Standards sein, um nicht nützlich zu sein

D. Die fragwürde Empirie von Compliance-Standards

E. Wenn Planung lediglich Zufall durch Irrtum ersetzt

F. Compliance-Standards und der Preis des Konsenses

G. Warum Sie sich vor Best-Practice-Standards in der Compliance hüten sollten

H. Warum Compliance-Standards an der Realität scheitern

I. Warum Compliance-Standards trotz Erfolglosigkeit erfolgreich sind

VI. Handreichung in Bezug auf Compliance-Management und dessen Standards

A. Ursachen- statt Symptombekämpfung

B. Organisationskluges Compliance-Management

C. Werkzeug- statt Methodenkompetenz

D. Adaptive Toolbox statt Generalschlüssel

E. Ausprobieren statt Standardisieren

F. Ein situativer Standard als Compliance-Management-Standard

1. Cynefin als Beispiel eines situativen Management-Standards für Compliance

2. Die Prävention vor der Compliance-Prävention

Teil 3

I. Compliance-Ziel

A. Compliance ist wie gutes Shopping

B. To comply with what?

1. Gesetzeskonformität als Ziel?

2. (Auch) Regelkonformität als Ziel?

3. (Auch) Integrität als Ziel?

4. Die Bekämpfung von Unternehmens- oder Wirtschaftskriminalität als Ziel?

C. Die Verhinderung von ... oder die Förderung von ... als Compliance-Ziel

D. Dienst nach Vorschrift als Compliance-Ziel?

E. Partielles Nicht-Wissen als Compliance-Ziel!

F. Informalität als Compliance-Ziel!

G. Non-Compliance als Compliance-Ziel!

H. Was ist der Preis einer Compliance-Zielerreichung?

II. Compliance-Risiken

A. Was versteht man unter Compliance-Risiken?

B. Was es zu vermeiden gilt: Best-Practice-Compliance-Risikoanalysen

1. Auf dem ersten Auge blind: Die Vernachlässigung von Ursachenanalysen

2. Auf dem zweiten Auge blind: Der übersehene Compliance-Gorilla

3. Ökonomisches Risikoverständnis: Verlockend, aber die falsche Fährte

4. Rechtliches Risikoverständnis: Nur eine Seite der Medaille

5. Noise zum Ersten: Overfitting, Informationsflut und Data Analytics

6. Noise zum Zweiten: Willkürliche Risikobestimmungen

C. Was es bedarf: Realitätsbezogene Prämissen von Compliance-Risiken

1. Pareto statt Gauß

2. Realität statt Labor

3. Ungewissheit statt Risiko

D. Handreichung für die Praxis

1. Kontinuierliche Compliance-Risikoanalyse in drei Schritten

a) Muster- bzw. Ursachenanalyse

b) Stakeholder- bzw. Rechtsgüteranalyse

c) Geschäftsanalyse

2. Der richtige Umgang mit Risiko-Workshops

a) Workshops als Weisheit oder Dummheit der Vielen

b) Workshops beim Versuch, Tabus zu identifizieren? Eher ungeeignet

c) Workshops beim Versuch, Rechtsrisiken zu identifizieren? Eine gute Methode

3. Der richtige Umgang mit Befragungen und Umfragen bei der Compliance-Risikoermittlung

a) Die Tücke des sozial erwünschten Antwortverhaltens

b) Die Tücke des sogenannten Satisficing

III. Compliance-Programm

A. One size fits all trotz Tailor-made-Anspruch

B. Mehrheitlich personenzentrierter Ansatz

C. Verhaltens- oder Verhältnisprävention?

D. Regelwerke und Verhaltenskodex als Grundpfeiler?

1. Der Ansatz

2. Die Prämisse

3. Die Empirie

E. Kontrollen

1. Prozesskontrollen

2. Sozialkontrolle und Whisteblowing

a) Wie viele Verdachtsmeldungen hat man zu erwarten?

b) Nur 30 % erreicht die Compliance-Abteilung: Das ist aber kein Missstand

c) Machen ist wie wollen, nur krasser: Das gilt auch beim Whistleblowing

d) Die Angst vor Vergeltungsmaßnahmen und der Umgang mit Missständen in der Organisation

e) Organisation ist nicht gleich Organisation und Mitarbeiter nicht gleich Mitarbeiter

f) Landeskulturen als Handlungstunnel

g) Whistleblowing in Bezug auf was?

F. Handreichung für die Praxis

1. A code is nothing, coding is everything

2. Entgiftung von toxischen Organisationsstrukturen (Bad-Barrel-Methode)

3. Entfernung von verfaulten Äpfeln (Bad-Apple-Methode)

4. Whistleblowing als ergänzendes Instrument

5. Gehör, Stimme und Macht

IV. Compliance-Organisation

A. Compliance auf der Speisekarte oder am Tisch?

B. Compliance zwischen den Stühlen

C. Compliance als organisatorische Unsicherheitsreduktion ...

1. ... durch Misstrauensorganisation?

2. ... durch Vertrauensorganisation?

3. ... durch Maß und Mitte

V. Compliance-Kommunikation

A. Vermittlung von Wissen, Wollen und Können

B. Kernelement oder Hauptbeschäftigung wirksamer Compliance?

1. Die Sicht der Mitarbeiter auf Compliance-Trainings

2. Die Sicht der strengsten Strafverfolgungsbehörde auf Compliance-Trainings

3. Die Ausgestaltung von Compliance-Trainings

4. Über Trainingspläne und Schulungskonzepte

5. Die sog. „Morgan-Stanley-Welt“ und das Festhalten an ineffektiven Trainings

6. 15 % Lernquote und 13 % Effektstärke

7. Die Wirkung von Onlinetrainings und E-Learnings

8. Die Aussagekraft von Teilnahmequoten, Feedbacks und anderen Trainings-KPIs

C. Realistischere Prämissen für eine wirksame Compliance-Kommunikation

1. The Attitude-Doing Gap: Die Grenzen der Vermittlung von Einstellungen

2. The Knowing-Doing Gap: Die Grenzen der Vermittlung von Wissen

3. Mitarbeiter lernen vorwiegend informell bei der Arbeit

4. Die informelle Sozialisationskraft und ihr Beharrungsvermögen

D. Handreichung für die Praxis

1. Kommunikation ist Sozialisation – Organisation besteht aus Kommunikation

2. Engelskreise statt Teufelskreise zum Ersten

3. Engelskreise statt Teufelskreise zum Zweiten

4. Streichen Sie Compliance-Schulungen aus ihrem Compliance-Vokabular

5. Compliance-Kommunikation als „Problemlösung an der Arbeit“

6. Das führt uns zu folgenden Schlussfolgerungen

VI. Compliance-Kultur

A. Die unsichtbare Hand erfolgreichen Compliance-Managements

B. Ein Blick hinter die Kulissen

C. 70 % zu 10 %

D. Status quo des praktizierten Compliance-Kulturmanagements

1. Zwischen externen und internen Erwartungen

2. Zwischen Tone from the Top und Tone from the Mouth

3. Zwischen allem und nichts

4. Zwischen Erfolgsfaktor und we faked the data

5. Zwischen Moral und Integrität

6. Zwischen Appellen und ethischer Führung

7. Zwischen Integrity- und Impression-Management

8. Zwischen Haltung und Mindset

9. Zwischen Mensch ist Mittelpunkt und Mensch ist Mittel. Punkt

E. Zwischenfazit: Culture eats Strategy for Breakfast

F. Handreichung für die Praxis: Structure eats Culture for Lunch

1. Es gibt nicht die EINE Compliance-Kultur

2. Informalität statt Kultur

3. Beeinflussbarkeit statt Gestaltbarkeit, weil Kultur wesentlich Nebenprodukt ist

4. Formalität, Informalität und die Schauseite einer Organisation

5. Compliance-Kultur über die formale Seite beeinflussen

6. Der systemkorrumpierende Appell an Führungskräfte: „Arbeitet an den Strukturen!“

7. Der schwierige Zugang zur Informalität

8. Erwartungserwartung als Erwartung

9. Eine Faustformel zur Beeinflussung der Compliance-Kultur

VII. Überwachung, Verbesserung und Wirksamkeit der Compliance

A. Zwischen (Ver-)Messen und Bewerten

B. Wirksamkeitsmethoden: Von naiven Bewertungs- und komplizierten Messkonzepten

C. Wirksamkeitsmaßstab: Wirksam in Bezug auf was?

D. Wirksamkeitsanspruch: Zwischen Sollen und Können

1. Mangelndes Können, weil Organisationen Psychopathen ähneln?

2. Mangelndes Können, weil Organisationen Insekten ähneln?

3. Mangelndes Können aufgrund organisierter Heuchelei?

4. Zwischenfazit: Können, aber nur zum Teil

5. Wie wirksam kann dann wirksam sein?

E. Wirksamkeitsgegenstand: Was soll, wie bewertet werden?

1. Wirksamkeitsnachweis auf Ebene 1 zur Entkräftung des Window-Dressing-Vorwurfs

2. Wirksamkeitsnachweis auf Ebene 2 zur Entkräftung des Vorwurfs, keine Effekte mit dem CMS zu erzielen

F. Praxistipps zur Bewertung der tatsächlichen Wirksamkeit

1. Der richtige Umgang mit dem (vermeintlichen) Präventionsparadoxon

a) Kausalitätsnachweis zwischen Maßnahme und Ergebnis

b) Nachweisbarkeit eines Nichtereignisses über Umwege möglich

2. Der richtige Umgang mit dem (doppelten) Kontrollparadoxon

3. Der richtige Umgang mit Kommunikationslatenzen und das Ausleuchten des Dunkelfeldes

4. Nehmen Sie sich vor der Truthahnillusion in Acht!

5. Haben Sie Mut!

G. Handreichung zur kontinuierlichen Überwachung des CMS und Wirksamkeits-KPIs

1. Ernsthaftigkeit der Compliance

2. Glaubwürdigkeit der Compliance

Teil 4

I. (K)eine Handlungsanleitung, wie man wirksam Compliance managt

A. Wie managt man nun Compliance erfolgreich? – Die falsche Frage!

B. Wie managt man erfolgreiche Compliance nicht? – Die bessere Frage!

C. Kontextkompetenz und Data Literacy

D. Ohne Organisationssoziologie geht es nicht!

E. Werden Sie zum igeligen Compliance-Fuchs

F. Was nun tun? Konkrete Ansätze zum erfolgreicheren Compliance-Management

1. Compliance-Management beherrschbar gestalten

2. Compliance-Strategie reflektieren

II. Anstelle eines Nachworts

A. Zur Praktikabilität und Grenzen dieses Compliance-Management-Ansatzes

B. Der Compliance-Alltag zwischen Realismus und Optimismus

III. Checklisten als Denk- und Handlungsfilter

A. Compliance-Ansatz

B. Compliance-Management

C. Compliance-Management-Standards

D. Compliance-Ziel

E. Compliance-Risiken

F. Compliance-Programm und -Organisation

G. Compliance-Kommunikation

H. Compliance-Kultur

I. Compliance-Wirksamkeitsbewertung

J. Entscheidungs- und Fehlerkultur einer Organisation

K. Compliance-Igel oder -Fuchs: Überprüfung des eigenen Denkstils

Literaturverzeichnis

Teil 11

1

Alle Abbildungen von Sketchplanations in diesem Buch mit freundlicher Genehmigung von Jono Hey.

I. Anstelle eines Vorworts

A.Ein etwas anderer Compliance-Ratgeber

Die Erwartungen und Anforderungen an die Corporate Compliance nehmen stetig zu, unabhängig davon, ob man diese Entwicklung begrüßt oder bedauert. In ihren Anfängen teilweise als alter Wein in neuen Schläuchen oder als Binsenweisheit belächelt, ist Compliance inzwischen unstreitig eine kritische Managementfunktion. Die Folgen ihres Scheiterns hat enorme negative Konsequenzen, nicht nur für Mitarbeiter und Führungskräfte, sondern auch für Unternehmen, Organisationen und die Gesellschaft.

Umso überraschender ist es, dass Phänomene zu beobachten sind, die der herausragenden Managementfunktion der Compliance nicht gerecht werden und sogar zum Misserfolg dieser Disziplin beitragen können. Zum einen ist es die – oft implizite – Gleichsetzung von vorwiegend juristischen und betriebswirtschaftlichen Fachkenntnissen mit Management-Know-how. Dabei besagt die mitunter ausgezeichnete Fach- und Sachkompetenz nicht zwingend etwas aus, wie Compliance in einer Organisation wirksam zu managen ist. Auch wird teilweise von denjenigen, die Compliance-Standards oder den „Faktor Mensch“ in das Zentrum der Compliance-Bemühungen stellen, übersehen, dass es bei der Corporate Compliance nicht um den Menschen als solchen geht, sondern um Organisationen und um Menschen in Organisationen. Doch damit nicht genug, gibt es inzwischen eine fast unüberschaubare Menge an Empfehlungen, wie Regel- und Gesetzestreue sowie Integrität erfolgreich um- und durchgesetzt werden können. All diese Umstände können somit jemanden, der Compliance zu managen hat, durchaus überfordern:

Welche der empfohlenen Maßnahmen sind nun tatsächlich Erfolg versprechend?

Auf welches der vielen Konzepte ist Verlass?

Warum treten Compliance-Skandale auch in Unternehmen auf, die sogenannte Best-Practice-Compliance-Programme vorweisen konnten?

Warum scheinen auch Compliance-Standards, Compliance-Zertifizierungen und Compliance-Auszeichnungen keine Erfolgsgaranten zu sein?

Ich möchte mit diesem Buch Antworten auf die aufgeworfenen Fragen und anskizzierten Phänomene geben. Dabei ist mein Blickwinkel als Praktiker auf erfolgreiche Compliance im Vergleich zu den anderen – herkömmlich juristischen und betriebswirtschaftlichen – Handlungsempfehlungen in zweifacher Hinsicht ein anderer:

Ich werde Ihnen in diesem Buch weniger Anregungen und Empfehlungen geben, wie man gute Compliance managt, sondern vielmehr, wie man schlechtes Compliance-Management vermeidet; denn es gibt mehr Möglichkeiten, etwas falsch zu machen, als es richtig zu tun. Dieser sogenannte negative Ansatz entspricht dem kritischen Rationalismus Karl Poppers und findet Unterstützung in nichts Geringerem als der Wirklichkeit. Im Leben generell und in der Compliance im Besonderen wird Erfolg zunächst dadurch erreicht, indem man „kein Dummkopf ist“.2 Eine der für die Praxis relevantesten Erkenntnisse ist daher, all das zu entfernen, was grundsätzlich falsch ist.

Zum anderen wird Compliance in diesem Buch als inter- oder besser als transdisziplinäre Kompetenz verstanden, die sich keineswegs nur mit juristischem und betriebswirtschaftlichem Wissen erfolgreich managen ließe. Denn die zunehmende Spezialisierung schafft „ein System aus parallel verlaufenden Gräben [...] Alle buddeln immer tiefer in ihrem eigenen Graben, richten sich aber selten auf, um über ihren aufgeworfenen Erdwall in den Nachbargraben zu blicken, selbst wenn die Lösung zu ihrem Problem dort zu finden ist.“4

So ist die Corporate Compliance, wie bereits der Begriff zum Ausdruck bringt, in ein komplexes unternehmerisches Umfeld eingebettet. Unternehmen sind als Organisationen entscheidungsbasierte soziale Systeme5, „complex adaptive systems“6 bzw. „decision machines“7, das heißt, alles, was sich in Organisationen abspielt, geschieht in Form von Entscheidungen. Ob nun ein neues Produkt entwickelt, ein Markteintritt vorbereitet, ein Projekt gestartet, Personal gesucht wird usw. – es handelt sich immer um Entscheidungen. Insofern wäre auch gesetzes-, regelwidriges oder unethisches Unternehmensverhalten eine Entscheidung der Organisation und ihrer Mitglieder.8 Der Nobelpreisträger Kahnemann stellt dann auch fest: „Whatever else it produces, an organization is a factory that manufactures judgements and decisions.“9 Dieser Umstand impliziert für eine wirksame Coporate Compliance nicht nur Wissen, wie Entscheidungen innerhalb von Organisationen zustande kommen und wie man falsche Entscheidungen von deren Mitarbeitern und Führungskräften erkennt, vermeidet und abstellt. Wichtig ist auch ein Verständnis darüber, dass Unternehmen als Organisationen mehr und etwas anderes sind als die Summe ihrer individuellen Mitglieder. Dazu gehört auch die Erkenntnis, dass deviantes Verhalten von Organisationen nicht des Teufels Zeug ist, sondern eine Organisation am Leben hält.

Das Buch wird also nicht das zusammenfassen, was bereits andernorts in der klassischen Compliance-Landschaft thematisiert wurde, sondern einen anderen Zugang zur Compliance aufzeigen. Dieser negativ-transdisziplinäre Denkansatz führt dann zu einer anderen Qualität des Wissens, des Verstehens und damit letztlich auch zu einer Erfolg versprechenderen Herangehensweise.

B.Annahmen sind die Mutter aller Schlamassel

Corporate Compliance, genauer das, was als Best-Practice- oder Must-have-Compliance-Management-Konzept verkauft wird, beruht insbesondere auf der Überzeugung, dass eine wirksame Compliance und deren effektives Management kein Erkenntnis-, sondern ein Umsetzungsproblem anerkannter Standards sei. Über das Grundprogramm beziehungsweise die sogenannten Tools des Compliance-Managements bestünden mit einer Risikoanalyse, einem klaren Bekenntnis der Organe, Regelwerken, Kommunikations- und Schulungsmaßnahmen, hinreichenden Kontrollen sowie Dokumentationsprozessen weitgehend Einigkeit.11 Schließlich sei der häufigste Grund, aus dem Mitarbeiter von Unternehmen in Konflikt mit (Straf-)Gesetzen kommen, Unwissenheit.12 Wenn trotz allem Compliance-Methodismus und dem überbordenden Training and Education der erhoffte Erfolg nicht eintritt, muss eine falsche Unternehmens- und Compliance-Kultur als Catch-all-Ursache herhalten, die dann im Rahmen von Mitarbeiterappellen, neuen Leitwerten oder Cultural Change Workshops umzugestalten wäre.

Die Ursachen für diese Form des kulturellen Sammelbeckens einerseits und des Methodismus andererseits sind vielfältig. Ein Umstand ragt aber heraus:

Die eher zaghafte Auseinandersetzung mit den Grundannahmen wirksamer Compliance, obwohl gerade die Ausgangsprämissen für ein wirksames Management – auch und insbesondere der von Compliance – mitentscheidend sind:

Ellis weist in seinem Aufsatz also darauf hin, dass es häufig an den fehlerhaften Grundannahmen, das heißt Prämissen liegt, woran erfolgreiches Management scheitert. In diesem Sinne möchte ich Sie mit auf eine Reise nehmen, die die vorherrschenden Grundannahmen mit einem kritischen Blick hinterfragt und alternative Wege für ein wirksames Compliance-Management aufzeigt.

2

Munger 1989, 69. Übersetzung des Autors.

3

Taleb 2014, 412.

4

Epstein 2022, 37.

5

Luhmann 1988, 165.

6

Snowden 2011, 227.

7

Nassehi 2005, 185.

8

So auch Jung/Friedrichs/Armbruster 2018, 9.

9

Kahnemann 2011, 418.

10

Haugh 2022, 71 & 77. Übersetzung des Autors.

11

Schulz, 2018, 1283.

12

Gilch/Weist 2020, 177.

13

Malik 2017, 45.

14

Ellis 1975, 95. Übersetzung des Autors.

II. Was das Buch ist und was es nicht ist

Ein Buch, das wirksame Compliance als Kunst bezeichnet, viele propagierte Compliance-Maßnahmen kritisch hinterfragt und eine andere Perspektive auf Compliance verspricht, sollte zu Beginn vielleicht die Prämissen und Motivation aufzeigen, aus der Compliance und Unternehmenskriminalität betrachtet werden.

A.Warum Sie sich auch entscheiden könnten, dieses Buch nicht zu lesen

Sie sind im Besitz dieses Buches, haben vom Autor vielleicht schon etwas gehört, das Inhaltsverzeichnis überflogen oder den Buchrücken studiert. Sie zögern vielleicht, das Buch zu lesen, denn das, was Sie hier vermuten, kann eventuell Ihrer Vorstellung wirksamer Compliance widersprechen. Das wäre nur allzu menschlich, denn „viele Menschen machen den Fehler, dass sie Informationen nicht problemgerichtet, sondern hypothesenbestätigend sammeln und dabei vereinfachende Heurisitiken verwenden (Gigerenzer & Selten, 2001). Sie wollen nicht wissen, was der Fall ist, sondern sich bestätigen, dass sie eigentlich alles schon wissen. Sammlung von Information dient häufig nicht der Wissenserweiterung oder – überprüfung, sondern der Bestätigung dessen, was man zu wissen glaubt. Widersprechende Information wird dann entweder einfach nicht wahrgenommen oder aber um- oder weginterpretiert. Aus einer solchen Art der Informationssammlung kann sich nur ein verzerrtes Abbild der Realität ergeben (Gigerenzer, 2000; Kahneman & Tversky, 1982).“15

Ich ermutige Sie daher trotzdem zur Lektüre der folgenden Kapitel. Vielleicht sehen Sie danach das eine oder andere Compliance-Phänomen in einem anderen Licht.

B.Sie suchen vielleicht ein Kontrastmittel? Hier ist es!

Im Vorwort wurde bereits dargelegt, dass die Ausführungen in dem Buch größtenteils „negativer“ Natur sind. Mit anderen Worten wird viel Raum für Ausführungen gegeben, die aufzeigen, was vielleicht nicht ganz angemessen, weniger Erfolg versprechend, nicht berücksichtigt, irrig und implizit vorausgesetzt wird, bewusst ignoriert wird usw. Es werden zwar auch immer wieder Wege und Heuristiken aufgezeigt, wie eine effektivere Compliance zur Bekämpfung von Unternehmenskriminalität alternativ aussehen kann, aber der Schwerpunkt ist der sogenannte Via-negativa-Ansatz. Er hat den entscheidenden Vorteil, Ihnen als Leser und Compliance-Interessierten, ein Kontrastmittel ganz im Sinne des Kritischen Rationalismus an die Hand zu geben:

Der so verstandene kritische und teilweise gar unsolidarische Blick auf Compliance und dessen Mainstream ist ein wichtiger erster und nicht zu überspringender Schritt, neu über Compliance zu denken. Erst durch eine Kritik an etwas erschließt sich der möglicherweise neue, problemlösende Zugang. Ohne Kritik an Newton kein Einstein. Ohne Kritik an der sogenannten Viersaftlehre keine moderne Medizin. Ohne Kritik an Religionen keine Aufklärung usw. Mit einer Alternativlösung gleich thesenhaft voranzupreschen ist vielleicht der Wunsch vieler Praktiker, aber dies schult nicht das eigene Denken. Es stellt dann eigentlich genau das wieder her, woran es in der Compliance öfter mangelt: an Innovation, Experimentierfreude und einer Kontextkompetenz.

C.Sie suchen nach Compliance-Rezepten? Dann sind Sie hier falsch!

Nicht nur am Backen und Kochen interessierte Laien benutzen gern Rezepte. Auch in der Managementwelt ist die gierige Suche nach Rezepten, vor allem nach solchen, die den Erfolg des Organisierens und einer Organisation versprechen, allgegenwärtig. Die Compliance-Welt macht da keine Ausnahme. Compliance-Standards mit ihren Elementen und Abfolgemechanismen wären beispielsweise derartige Rezepte zum vermeintlich effektiven Management regelkonformen Verhaltens. Nun ist das mit Rezepten so eine Sache:

Sie wollen Kekse backen, haben aber nur ein Suppenrezept vorliegen. Und nun? Was ist, wenn Sie statt des üblicherweise zu verwendenden Zuckers ausschließlich Honig zur Hand haben? Was passiert, wenn Sie den Kuchen nicht in einem – wie angeraten – Umluftofen backen? Und wie bereiten Sie sich eine warme Mahlzeit zu, wenn Sie weder ein Fertiggericht noch ein Rezept vorliegen haben, aber einen Kühlschrank voller Lebensmittel? Es ist gerade das Problem von Rezepten, dass sie ohne Verständnis der Zusammenhänge entweder auf neue, unsichere Situationen nicht passen oder fälschlicherweise auf unpassende Situationen gleichwohl angewendet werden. Infolge lösen sie dann weder das eine noch das andere Problem, sondern verschlimmern es sogar noch.

Dieses Buch wird Sie daher in der Hinsicht enttäuschen, dass es keine Rezepte erfolgreicher Compliance liefert. Stattdessen lernen Sie, in der Metapher bleibend, mit diesem Buch zu kochen, weil Sie ein zusätzliches Verständnis über Compliance erlangen können, das Sie befähigt, reale und komplexe Compliance-Probleme jenseits starrer Rezepturen zu lösen.

D.Sie erhoffen sich mehr Compliance-Wissen? Dann werden Sie enttäuscht werden!

Vielleicht greifen Sie zu diesem Buch, um mehr Wissen über Compliance zu erlangen, das heißt Know-how darüber, wie Compliance gemanagt wird. Auch in dieser Hinsicht wird das Buch nicht den Erwartungen gerecht werden, zumindest nicht in Gänze. Das Buch verfolgt bewusst eine andere Zielrichtung, indem es stattdessen ein Verständnis über Compliance beziehungsweise Non-Compliance vermitteln möchte. Die Unterscheidung zwischen Wissen und Verständnis leuchtet vielleicht intuitiv nicht gleich ein, geht aber im Prinzip in dieselbe Richtung wie die Unterscheidung zwischen Rezeptenutzer und Koch. Letzterer hat nicht nur Wissen in der Ausbildung und während seiner Berufsausübung erworben, er hat darüberhinaus auch erlernt, Zusammenhänge zu verstehen und kann dieses Verständnis immer wieder neu anwenden und erweitern. Ersterer erlangt durch das reine Abarbeiten von Rezepten im besten Fall (nur) ein gewisses Maß an Wissen – wie Grundschüler im Mathematikunterricht, was folgendes Beispiel verdeutlichen soll.

So stellte Epstein19 fest, dass Grundschüler anfangs hauptsächlich nur anhand von sogenannten Verfahrensfragen und weniger im Sinne sogenannter Verknüpfungsfragen rechnen. Gerade letztere Fragen sind es aber, bei denen Schüler lernen, nicht einfach ein Verfahren repitativ anzuwenden, sondern Verknüpfungen herzustellen. Nur mit dieser Technik kann man in neuen, dynamischen und unbekannten Situationen bestehen. Hier offenbart sich also die Unterscheidung zwischen Wissen einerseits und Verständnis andererseits, die nicht jedem Manager geläufig zu sein scheint, wie Ackoff ausführt:

Für eine wirksame Corporate Compliance ist beides erforderlich; allerdings sind Bücher, Leitfäden etc., die ein Verständnis der Compliance-Zusammenhänge vermitteln und gezielt Verknüpfungsfragen behandeln, kaum vorhanden. Insoweit ist meine Hoffnung, dass dieses Buch daran etwas ändert.

E.Kuh, Huhn oder Gras: Was passt nicht in die Reihe?

Bei diesem nicht ganz unbekannten Test aus der Psychologie gibt es kein Richtig oder Falsch. Für einen Deutschen, der gern klassifiziert und analytisch vorgeht, ist es sicherlich das Gras, was nicht in die Reihe passt, für einen Rumänen oder Thailänder, der die Welt eher in Beziehungen sieht und holistisch denkt, ist es sicherlich das Huhn. Es gibt noch etliche andere Beispiele, mit denen unter anderem der Neuropsychologe Lurija21 herausgefunden hat, dass die Verhältnisse, mit denen Menschen konfrontiert sind oder das (Arbeits-)Umfeld, in dem sie arbeiten, das Denken prägen. Die Anekdote von Kuh, Huhn oder Gras soll also nur verdeutlichen, dass die Sicht auf die Welt wiederum vom konkreten Umfeld abhängt. Die Ausbildung, die Sozialisierung, der Austausch mit seinesgleichen etc., all das trägt dazu bei, wie wir Dinge sehen und die Welt einsortieren. Henrich unterscheidet sodann auch zwischen analytischen, individualistischen Sichtweisen einerseits und holistischen, beziehungsorientierten andererseits.22 Dabei fällt es uns Menschen offenbar schwer, so Taleb, Sachverhalte außerhalb der Kontexte, in denen wir sie kennengelernt haben, zu adaptieren. „Dieser Mangel an Transfervermögen ist eine mentale Behinderung, die mit unserem Menschsein zu tun hat, und wir erlangen nur dann Weisheit oder Vernunft, wenn wir uns bemühen, diese Behinderung zu überwinden.“23

So ist das vorherrschende Compliance-Verständnis stark juristisch-betriebswirtschaftlich geprägt, und es herrscht ein lineares, maschinenartiges Compliance-Management-Verständnis vor. Allerdings kann und sollte die Sicht auf eine wirksame Compliance noch eine ganz andere sein, wie dieses Buch darstellt.

F.Wenn Compliance ein Elefant wäre, was sehen Sie dann?

Mit einer etwas anderen Sichtweise an Compliance heranzutreten, beinhaltet die Hypothese, dass man bestimmte Phänomene und Probleme nicht nur aus unterschiedlichen Perspektiven betrachten kann, sondern auch sollte. Denn jeder Blickwinkel kann zu einem differenzierten, besseren Problemverständnis beitragen. Diese Empfehlung verdeutlicht die Parabel vom Elefanten und den Blinden:

Das große Ganze zu sehen fällt also schwer, wenn nur Teile oder Ausschnitte betrachtet werden. Letztere Sichtweise wird zu häufig und Ersteres zu selten in der Compliance getätigt. Man fokussiert sich entweder stark auf den Faktor Mensch, betrachtet Compliance ausschließlich von einem juristischen Blickwinkel oder aus einer betriebswirtschaftlichen Prozess- oder forensischen Täterperspektive. Dabei ist die Fähigkeit des Perspektivwechsels eine wichtige Managementkompetenz, auch und gerade in der Corporate Compliance.

15

Schaub 2006, 453.

16

https://de.wikipedia.org/wiki/Kritischer_Rationalismus; zuletzt abgerufen 06.11.2022.

17

Snowden 2009.

18

Mayer 2006, 75.

19

Epstein 2022, 142ff.

20

Ackoff 2006, 113.

21

Siehe Epstein 2022, 76ff mit weiteren Beispielen aus Lurijas Forschung.

22

Henrich 2020, 52ff.

23

Taleb 2014, 69.

24

Hofmann/Grimm 2021.

III. Compliance: Eine realistische Bestandsaufnahme

A.„Übertreibt es bitte nicht.“

„Übertreibt es bitte mit der Compliance nicht.“ Diese Aussage hört man von operativ tätigen Managern, die offen und ehrlich mit Compliance-Mitarbeitern kommunizieren, was nicht immer der Fall ist. Dieses Zitat beinhaltet auf den ersten Blick einen paradoxen Auftrag an die Compliance-Abteilung und ihre Mitarbeiter: „Sie sollen zwar die Regeleinhaltung sicherstellen – aber bitte nicht um jeden Preis. Damit wird die ganze Last des Dilemmas, Regelkonformität und Flexibilität zugleich zu steigern, auf das Personal des Compliance-Managements verschoben.“25 Die Sorge der Belegschaft ist, dass durch ein übertriebenes Compliance-Management der Betrieb lahmgelegt, andere wesentliche Ziele beziehungsweise Zwecke der Organisation nicht erreicht werden und sogar ein sog. Blame Game („Jemandem die Schuld in die Schuhe schieben“) initiiert wird. So müsse nach Kette

Unabhängig wie man zu diesem Zitat und der Aussage des „übertreibt es bitte nicht“ steht, ist ihnen ein Realitätsbezug nicht abzusprechen. Beheben ließen sich beide berechtigte Anliegen nur durch ein Management des Compliance-Managements. Dies setzt von Compliance-Experten ein aufgeklärtes Verständnis von Organisationen und deren Regelkonformität voraus. Die Kunst erfolgreicher Compliance liegt dann insbesondere darin, sie in quantitativer Hinsicht nicht zu überstrapazieren und in qualitativer Hinsicht umsichtig zu managen.27

B.Die unmögliche Tatsache: Vollständige Regel- und Gesetzeskonformität

Der vorbenannte Ausspruch beruht auf der Sorge, durch eine absolute, umfassende Gesetzes- und Regelkonformität den Betrieb stillzulegen. Dieser Gedanke ist naheliegend, denn wer strikte Regelkonformität durchzusetzen versucht, landet in organisatorischer Hinsicht in der Streikform Dienst nach Vorschrift. Vielfältige Untersuchungen zu deviantem beziehungsweise zu konformem Verhalten zeigen, dass der Mensch als Individuum und seine Organisationen kleine Sünder sind. Doch nicht nur das: Betrachtet man den Kern der Compliance, das heißt das Phänomen brauchbarer Illegalität respektive Corporate Misconduct, so gehört diese Form der Non-Compliance zum Alltag und zum Überleben einer Organisation, wie unter anderem Ortman feststellt:

Diesen Umstand anzuerkennen und nicht aus juristischen oder moralischen Erwägungen einfach zu negieren, führt zu einem wirksameren Compliance-Verständnis. Ein realitätskonformer Compliance-Management-Ansatz jenseits standardisierter Compliance-Management-Systeme und moralisierendem Integrity-Management wäre dann auch einer, der Compliance-Management nicht als Management gegen, sondern von Regelabweichungen begreift.29 Für denjenigen oder diejenige, die diese These zum ersten Mal vernehmen, mag dies vielleicht zu einem heftigen Kopfschütteln führen: „Compliance als Management von Regelabweichungen? – Geht’s noch? Wo kommen wir denn da hin!“ Ich erhoffe mir, dass dieser Reflex sich nach dem Studium des Buches legt und das anfängliche Kopfschütteln einem selbstreflektierten Nicken weicht.

C.Houston, wir haben ein Problem: Regelabweichungen sind notwendig

Verschließt man sich dem skizzierten organisationssoziologischen, kriminologischen Blickwinkel nicht und berücksichtigt die Tatsache, dass Regelabweichungen nicht nur für jeden einzelnen Menschen normal, sondern für Organisationen auch nützlich sind, stellt sich die praxisrelevante Frage, wie man Compliance tatsächlich erfolgreicher in Unternehmen managen kann. Doch damit

Die herkömmlichen Compliance-Management-Ansätze beschäftigen sich in der Regel nicht mit diesen organisationsklugen und für die Praxis relevanten Fragen. Im Gegenteil, entweder wird weiterhin fest an einem lineartechnisch-funktionalen Managementbild festgehalten oder es wird, ähnlich anderen Managementmoden, mit phrasenhaft anmutenden, idealistischen Musterlösungen, Allheilmitteln und Zielbildern gearbeitet, wie beispielsweise „Compliance ist Vertrauen“, „Compliance ist Integrität“ oder von der „gelebten Compliance-Kultur“ gesprochen, die „Bestandteil der Unternehmens-DNA“ zu sein habe. Es dürfte also niemanden verwundern, wenn eine tatsächlich wirksame, erfolgreiche Compliance für viele bis jetzt ein nebulöses Konzept geblieben ist.

D.... und noch ein zweites Problem: Rechtliche Dominanz

Die von Pohlmann aufgeworfenen Fragestellungen stellen sich nur, wenn Compliance gesetzeswidriges Verhalten tatsächlich verhindern soll (verhaltensorientiert-präventiver Ansatz). Diejenigen, die Compliance-Systeme mit der ausschließlichen Intention installieren, eine rechtliche Haftung zu verhindern, werden der tatsächlichen Verhaltensregulation und -steuerung keinen oder nur sehr geringen Stellenwert einräumen (juristisch-repressiver Ansatz), wie auch Chen, ehemalige Compliance-Expertin des US-Justizministeriums, ausführt:

Verfechter des juristisch-repressiven Compliance-Ansatzes werden sicherlich entgegnen, dass beide Ansätze – die Verhinderung von Haftung und die Verhinderung von Fehlverhalten – nicht zwingend divergieren müssen, mit der Folge, dass auch ein konsequentes Abarbeiten regulatorischer Compliance-Management-Vorgaben dann zu einer tatsächlichen Compliance führe. Aber nicht nur die weiterhin auftretenden Compliance-Skandale, trotz implementierter legal- oder anderweitig normierter Compliance Systeme, sondern auch viele Studien und Beobachtungen von Gelehrten und Experten lassen an dieser Hypothese Zweifel aufkommen. Grüninger führt beispielsweise aus:

Der juristisch-repressive Managementansatz konzentriert sich auf eine Compliance der gesetzlichen CMS-Vorgaben, was ich als Compliance in the Books bezeichnen würde. Den verhaltensorientiert-präventiven Ansatz würde ich infolgedessen konsequenterweise mit Compliance in Action umschreiben. Diese Unterscheidung könnte Compliance-Verantwortlichen und Organisationen (eigentlich) egal sein, wenn nicht Behörden und Gerichte allmählich beginnen würden, an dem tradierten Compliance-in-the-Books-Ansatz zu zweifeln, wie das folgende Zitat des US-Justizministeriums deutlich macht:

Die Kernfrage des US-Justizministeriums („DoJ“) bei der Bewertung von Compliance-Programmen ist demnach die, ob ein Compliance-Programm mit dem Ziel konzipiert wurde, eine maximale Wirksamkeit bei der Verhinderung und Aufdeckung von Fehlverhalten zu erreichen und nicht, um (lediglich) eine unternehmerische Haftung im Nachgang zu reduzieren.34

E.... und noch ein drittes Problem: Ursachenferne

Die standardisierten (legalen) Compliance-Management-Systeme beziehungsweise -Programme werden von vielen als Managementrezepte für eine erfolgreiche Compliance empfohlen. Dabei ist deren Nutzen in mehrfacher Hinsicht zweifelhaft. Ein Punkt ist einleitend besonders hervorzuheben. Nicht nur aufgrund ihrer intendierten Breitenwirkung, das heißt auf möglichst viele Arten devianten Verhaltens gleichsam anwendbar zu sein, sondern auch aufgrund ihres kompromissgeprägten Charakters, sind CMS-Standards in der Regel weniger ursachenorientiert aufgebaut. Singelnstein stellt fest:

Dass der zweite vor dem ersten Schritt in der Corporate Compliance getätigt wird, ist weit verbreitet. Weder auf Compliance-Konferenzen noch in Compliance-Ratgebern wird diesem wichtigen Gesichtspunkt angemessen Raum gegeben und wenn, dann sehr oberflächlich („Druck oder Gier“) oder sehr unspezifisch („Wirtschaftskriminalität oder Fehlverhalten“). Allerdings „sollte angesichts der zunehmenden Ausweitung der organisatorischen Vorgaben die rechtstatsächliche Forschung nicht vernachlässigt werden, um nicht der Gefahr zu unterliegen, einem sich selbst verstärkenden Hype und einer rechtlichen „Modewelle“ hinterherzujagen.“36

F.... und noch ein viertes Problem: Kontextarme Individualisierung

Sowohl die Compliance-Management-Standards wie auch der Ansatz, der den „Faktor Mensch“ in den Mittelpunkt der Compliance-Bemühungen stellt, sind in der Regel kontextarm beziehungsweise organisationsfern. So heißt es beispielsweise, „dass es bei Compliance oder Non-Compliance letztlich um ein individuelles Verhalten geht, über welches in den Köpfen der Mitarbeiter entschieden wird.“37 Diese Sichtweise greift dann zu kurz, wenn sie eine Auseinandersetzung mit dem spezifischen Kontext der Entscheidungsfindung, der situativen Handlung, dem Wesen einer Organisation mit den jeweiligen Entscheidungsprämissen usw. vermissen läßt. So zeigen nicht nur die Versuche von Liberman und Kollegen38 zum sog. „Wallstreet-Game“, dass die konkrete Situation einen weitaus stärkeren Einfluss auf menschliches Verhalten hat als der Charakter, die individuelle Einstellung oder die Persönlichkeit.39

Wenn bereits ein Wort ausreicht, verschiedene Verhaltensweisen hervorzurufen, läge es im Prinzip nahe, dass die Corporate Compliance sich auch im Schwerpunkt mit den spezifischen organisationsinternen wie -externen, formalen und informellen Kontexten, Verhältnissen und Strukturen auseinandersetzt, um wirksam Unternehmenskriminalität zu verhindern. Derartige organisationspsychologische und vor allem -soziologische und kriminologische Beiträge mit praktischen Compliance-Bezug sind rar gesät und noch weniger in der Praxis umgesetzt.41 Stattdessen sind vor allem die Mechanismen der Psychologisierung, Moralisierung und Heroisierung anzutreffen, mit denen organisationale Probleme plakativ auf das Individuum verschoben werden.42

Diese Vorgehensweise sollte uns zum Nachdenken anregen: „Tun wir überhaupt das Richtige? Und tun wir das Richtige richtig? Und da kommen Zweifel. Vielleicht ist es nicht der Einzelne, auf den wir primär achten müssen, sondern das Ganze, nicht der Mitarbeiter, sondern die Organisation? Ist unethisches Verhalten viel eher eine Funktion der Institution, ein Resultat organisatorischer Fehlgriffe?“43

G.... und noch ein fünftes Problem: Halbwahrheiten

Auf dem Compliance-Marktplatz ist die Auswahl an gut gemeinten Ratschlägen erfolgreicher Compliance sehr groß. So trifft man auf Aussagen wie etwa „Compliance braucht Big Data“, „Vertrauen ist Compliance“, „Compliance ist Kontrolle“, „Compliance ist eine Führungsaufgabe“, „Compliance ist Kommunikation“, „Compliance ist eine Frage der Haltung“, „Compliance ist eine Frage der Haftung“, „Compliance ist Kultur“ usw. Hier das geeignete Mittel auszuwählen oder die richtige Mischung zu finden, kann daher durchaus schwerfallen. Hinzu kommt, dass viele Ratschläge inkonsistent und auch widersprüchlich sind, mit der leidlichen Folge, dass es zunehmend verwirrender wird, je tiefer man bohrt. Ist beispielsweise Kontrolle wichtiger oder Vertrauen? Ist Vertrauen ein Feigenblattargument einer Compliance 1.0 oder die Krone eines wertebezogenen Integritätsmanagements?

Das Phänomen hat im Wesentlichen zwei Ursachen. Zum einen hat man es mit sogenannten Halbwahrheiten zu tun, was die Sache nicht einfacher, sondern schwerer macht. Denn absoluten Unsinn zu entlarven fällt leichter, als solche Aussagen, Hypothesen und Konzepte, die nur teilweise falsch sind.44 Der Umstand, dass auch in der Compliance viele Halbwahrheiten verbreitet sind, beruht nicht immer auf bösem Willen; es ist insbesondere auch dem Umstand geschuldet, dass die Urheber dieser Ratschläge häufig aus einer Fachrichtung stammen. Insoweit entsteht ein „reines Klassifizierungsuniversum“45 und „der Blick reicht immer nur bis zur nächsten Hecke – wie in einer Schrebergartenanlage“.46 Viele neigen also dazu, ihr präferiertes Modell in Studien isoliert zu untersuchen und auf Konferenzen dann als Erfolgsrezept anzupreisen.

Vor diesem Hintergrund möchte ich Ihnen mit diesem Buch auch zeigen, wie man die angepriesenen Halbwahrheiten und einseitigen Erklärungsmuster sowie Studien kritisch hinterfragen kann.

H.... und noch ein sechstes Problem: Unzureichende Empirie

Der Corporate Compliance, insbesondere einer Compliance zur Bekämpfung von Unternehmenskriminalität, mangelt es an empirischen Kausalitäts- und Korrelationsnachweisen in zweierlei Hinsicht: Zum einen ist, wie bereits skizziert, der Compliance-Diskurs ursachenarm. Compliance-Programme und Compliance-Management-Systeme werden flächendeckend implementiert, ohne die Ursache(n) für das jeweils zu bekämpfende Fehlverhaltensphänomen ausreichend oder widerspruchsfrei eruiert zu haben. Auf der anderen Seite werden Compliance-Maßnahmen als Erfolg versprechende Maßnahmen beworben, ohne dass ein Nachweis ihrer Wirksamkeit empirisch erbracht wurde. „Trotz des hohen Umsetzungsgrades formaler Compliance-Programme gibt es jedoch nur wenig empirisch belegte Nachweise darüber.“48 Stattdessen wird vielfach ein empirischer Zusammenhang zwischen einer bestimmten Maßnahme und dem (Compliance-)Erfolg behauptet. Allerdings definieren die Autoren Barabba/Pourdehnad/Ackoff49 folgende Mindestbedingungen, die ein solcher Zusammenhang aufweisen muss, damit er einen Managementratschlag rechtfertigt:

–„Die Gruppe der Unternehmen muss zufällig ausgewählt sein.

–In der Gruppe müssen sowohl erfolgreiche als auch erfolglose Unternehmen zu finden sein.

–Der Anteil der erfolgreichen Unternehmen mit dem entsprechenden Erfolgsfaktor muss signifikant höher sein als der Anteil der erfolgreichen Unternehmen ohne den Faktor.

–Der Anteil der erfolglosen Unternehmen ohne den Erfolgsfaktor muss signifikant höher sein als der der Erfolglosen mit dem entsprechenden Faktor.“50

Das wäre im Übrigen auch nur der Anfang der Fragen, die sich ein Compliance-Manager stellen sollte. Der entscheidende nächste Schritt bestünde nach Barabba et al. darin, festzustellen, ob es einen kausalen Zusammenhang zwischen Maßnahme und Erfolg gäbe.51 Kennen Sie aber CMS-Elemente, -Maßnahmen, -Standards usw., die diese Korrelations- und Kausalitätsbedingungen erfüllen? Ich (noch) nicht.52 Vor diesem Hintergrund sind die – im Zweifel auch gut gemeinten – Ratschläge, nur mit einem CMS der Güteklasse x, nur mit der Compliance-Maßnahme y usw. Rechtskonformität tatsächlich sicherzustellen, durchaus mit einer gewissen Skepsis zu begegnen.

I.... und noch ein letztes Problem: Institutionalisierte Moralverdrängung

Wer kennt sie nicht, die inzwischen mehrfach wiederholten organisationspsychologischen Experimente um Milgram,53 von Zimbardo54 und Frank55; diese beinhalten (mindestens) zwei auch für die Corporate Compliance sehr wesentliche, aber weiterhin verkannte Erkenntnisse.

Einerseits zeigen die Versuche, wie wirkmächtig die konkrete Situation, das heißt der Kontext, ist. Ursprüngliche Handlungsabsichten der Versuchsteilnehmer, etwa keine Stromstöße zu verabreichen, finden keinen Widerhall in der tatsächlich späteren Handlung, dann doch Stromstöße zu initiieren. Die Moralverdrängung in der konkreten Situation mag man überraschend und erschreckend finden, ist aber (leider) ein Fakt, der zunimmt, je stärker die sogenannten Systemzwänge sind. Der Systemzwang ist innerhalb von Organisationen weniger durch Druck geprägt, als vielmehr durch einen Nachahmungseffekt. Zudem drängt sich die Frage auf, wenn gewisse organisierte Umstände zu menschenverachtendem, brutalem Verhalten führen, wie es um weniger moralisch verwerfliche Handlungen bestellt ist, die ein Compliance-Management in einer Organisation eigentlich zu bekämpfen hat.

Diese organisationssoziologischen und -psychologischen Erkenntnisse innerhalb der Compliance nutzbar zu machen, wäre sicherlich eine Bereicherung für die Praxis. Im Kapitel zur Unternehmenskriminalität gehe ich näher auf die Experimente und die Auswirkungen auf die Compliance ein.

25

Kette/Barnutz 2019, 40.

26

Kette 2018, 4.

27

Kette/Barnutz 2019, 55.

28

Ortmann 2015, 141.

29

Schütz/Beckmann/Röbken 2018, 166ff; Kühl 2015; Kette/Barnutz 2019.

30

Pohlmann 2020 „Selbstorganisation“, 30.

31

Chen 2018, 17.

32

Grüninger 2020, 9.

33

DoJ 2020, Ziff. I.

34

Aber auch in Deutschland ist spätestens mit dem Lieferkettensorgfaltspflichtengesetz die tatsächliche Wirksamkeit rechtlicher Compliance-Maßstab, vgl. eingehender hierzu im Kapitel zur Wirksamkeit.

35

Singelnstein 2012, 53.

36

Spindler 2013, 324.

37

Haak/Reimann 2012, 1.

38

Liberman et al. 2004.

39

Kroneberg 2009, 55ff.

40

Palazzo 2022, 69.

41

Taylor 2022 führt gar aus: „The vast majority of corporation completely ignore this reseach and just do a mix what the regulator says and what everybody else is doing.“.

42

Teilweise in Anlehnung an Matthiesen/Muster/Laudenbach 2022, 37ff. sowie in Anlehnung an Jung 2018, 43ff.: Erstere sprechen von Psychologisierung, Moralisierung und einer Überdehnung formaler Pflichten; Letzterer fordert eine Antikorruption durch Ent-Moralisierung und Ent-Heroisierung.

43

Noll 2014, 9.

44

Pfeffer/Sutton 2007, 47.

45

Vester 2019, 40.

46

Gloger 2019, 60.

47

Rosenzweig 2012, 108.

48

Rick 2018, 2.

49

Barabba/Pourdehnad/Ackoff 2002, 6.

50

Nicolai 2003, 7.

51

Barabba/Pourdehnad/Ackoff 2002, 6: „But this is only the beginning of the questions that should be raised by a manager. The crucial next step is to determine if there is a causal relationship between properties and actions and success. An example taken from medical history shows the importance of establishing a causal relationship and not just relying on anecdotal evidence.“.

52

Ähnlich Coglianese/Nash 2021, 581: „We know of no systematic empirical research comparing firms that have implemented systems meeting the ISO 19600 standard with firms that have not.“.

53

Experiment, bei dem Versuchspersonen vermeintliche Stromstöße für falsche Antworten initiierten („Milgram-Experiment“). Hierzu eingehender im Kapitel zur Unternehmenskriminalität.

54

Experiment, das eine Gefängnissituation nachstellte, die zu sadistischen Praktiken führte („Stanford-Prison-Experiment“).

55

Experiment, in dem geschmacklose Soda-Cracker auf Anweisung zu essen waren („Soda-Cracker-Experiment“).

56

Ortmann 2015, 129.

IV. Compliance als Kunst des Problemlösens57

Der Titel dieses Buches bezeichnet erfolgreiche Compliance als Kunst, und der Untertitel verspricht eine etwas andere Sicht auf wirksames Compliance-Management. Diese soll insbesondere im Hinblick auf die Bekämpfung von Unternehmenskriminalität gelten. Eine für viele Compliance-Experten ungewöhnliche Perspektive wäre sicherlich die, Unternehmenskriminalität als nützliches, aber komplexes Problem und Compliance dann folgerichtig als die Kunst, dieses Problem (auf-)zulösen, anzusehen.

A.Sollzustand: Compliance-Management als Problemlösungskompetenz

Die Corporate Compliance in seiner gegenwärtigen Ausprägung ist aus einem Problem heraus entstanden, und zwar aus dem „facettenreichen Phänomen“58, dass an sich legale Unternehmen beziehungsweise Organisationen immer wieder auf kriminelle, illegale oder gravierend unethische Weise ihre Ziele verfolgten und verfolgen. Die bekannten Skandale von Wirtschaftsunternehmen, aber auch von Non-Profit-Organisationen oder gar der Kirche, verdeutlichen, dass dieses Problem nicht theoretischer Natur ist, es hat eine höchst praktische und gesellschaftliche Relevanz. Auch wenn dieses Non-Compliance-Phänomen von Organisationen kein omnipräsentes, flächendeckendes Problem zu sein scheint, trotz einer etwaigen Dunkelziffer, weisen die aufgedeckten Fälle zumindest eine sehr hohe qualitative Intensität auf.

Insoweit geht es in der Regel auch nicht um die vereinzelt rechts-, regelwidrige oder unethische Handlung eines Mitarbeiters oder eines Organisationsmitglieds, sondern um systematische, das heißt andauernde, sich wiederholende Handlungen zum vermeintlichen Nutzen des Unternehmens oder zumindest unter Duldung der Organisation. Entweder werden die Unternehmensziele direkt durch illegale Methoden erwirtschaftet, beispielsweise durch Bestechung, Kartellabsprachen, Steuerhinterziehung, Betrug der Marktgegenseite, einem „fake it till you make it“ usw. Oder aber bei der organisatorischen Zusammenarbeit werden systematische Verhaltensweisen wie Mobbing, sexuelle Diskriminierungen, Nötigungen, laxe Arbeitssicherheitsvorkehrungen usw. geduldet beziehungsweise „gehören halt dazu“, „schleifen sich so ein“.

Die Idee der Corporate Compliance ist, dieses angesprochene Problem kompetent aufzulösen. Die Kernaufgabe der Compliance ist dann auch, die beschriebenen gravierenden, systematisch auftretenden Missstände durch effektives Management einzudämmen beziehungsweise zu bekämpfen. Der vorherrschende und nachvollziehbare Managementdreiklang lautet daher auch: Prevent – Detect – Respond. Das heißt, Organisationen haben mit eigenen Vorkehrungen, zumindest bußgeld- oder gar strafbewehrtes organisationelles deviantes Verhalten, mithin Unternehmenskriminalität, selbst zu verhindern, aufzudecken und abzustellen.

Erfolgreiches Compliance-Management beinhaltet daher nichts anderes als die Kompetenz, das Problem der Unternehmenskriminalität wirksam (auf-) zulösen. Mit anderen Worten, es wird von Organisationen, den dafür verantwortlichen Personen und von den internen sowie externen Überwachungsorganen und -institutionen eine Problemlösungskompetenz erwartet. Diese zu erwerben und aufrechtzuerhalten ist zwar kein leichtes Unterfangen, aber möglich, auch wenn es Stimmen gibt, die an der Selbstregulierung der Wirtschaft durch Compliance mit nicht ganz abwegigen Argumenten zweifeln.59

B.Istzustand: Compliance-Management als Inkompetenzkompensationskompetenz

Die einleitend erwähnten Probleme gegenwärtiger Compliance sind nur die Spitze eines Eisbergs. Es gibt weitere zweifelhafte Ansätze, Prämissen und Methoden des Compliance-Managements auf dem Markt, die mehr oder minder geschickt eine Inkompetenz verschleiern, was man in Anlehnung an Marquard und Ortmann mit Inkompetenzkompensationskompetenz umschreiben kann.

Ersterer hielt 1973 einen Vortrag mit dem Titel „Inkompetenzkompensationskompetenz? Über Kompetenz und Inkompetenz der Philosophie“.60 Für ihn hat Kompetenz „irgendwie zu tun mit Zuständigkeit und mit Fähigkeit und mit Bereitschaft und damit, dass Zuständigkeit, Fähigkeit und Bereitschaft sich in Deckung befinden“. In seinem Vortrag brachte er zum Ausdruck, dass die Philosophie ihre Kompetenz inzwischen verloren habe und die Philosophen wohlwissend darüber eine Inkompetenzkompensation betreiben, unter anderem mit der Folge eines Dogmatismus. Glücklicherweise transferierte Ortmann61 diese Wortschöpfung auf die Betriebswirtschaft und das Management. Bei der Überlegung, diesen zwar spitzfindigen und zugleich klugen Gedanken auch auf das Compliance-Management anzuwenden, fällt auf, dass eine Inkompetenzkompensationskompetenz durchaus in der gegenwärtigen Compliance anzutreffen ist. Denn die Compliance-Community beschleicht das unbestimmte Gefühl, dass die vielfach angepriesenen Maßnahmen zwar nicht gänzlich falsch zu sein scheinen, aber auch letztlich nicht den Kern treffen:

– Bewusst oder unbewusst wird das zu lösende Problem der Non-Compliance beziehungsweise von Fehlverhalten im Unspezifischen, also im Allgemeinen, gelassen. Insoweit bliebe Compliance eine schlichte Worthülse.

– Kaum Eingang in die Diskussion findet die grundsätzliche Frage, ob eine Selbstregulierung von Organisationen beziehungsweise der Wirtschaft durch Compliance-Management-Systeme überhaupt zur Stärkung der straf-/bußgeldrechtlichen Normgeltung beiträgt. Man könnte nämlich die Meinung vertreten, dass Unternehmen amoralische Kalkulatoren, Psychopathen, Insekten oder Heuchler sind.62 Wenn dem so wäre, dann ist die Unwirksamkeit von Compliance-Programmen bzw. deren Window-Dressing von Organisationen zwingender Bestandteil organisatorischer Entscheidungsfindung.

– Häufig werden monokausale Erklärungen für Fehlverhalten herangezogen; sei es der schlechte Charakter, die Gelegenheit, mangelndes Wissen usw. Man macht sich ein Bild von Non-Compliance, in dem nur wenige oder gar nur ein einziger Faktor eine zentrale Rolle spielen. Funke63 nennt dies Reduktionismus bzw. dogmatische Verschanzung. Das verwundert nicht, wenn man bedenkt, dass jede Fachrichtung und jede Wissenschaftsdisziplin ein auftauchendes Problem von ihren isolierten Warten aus betrachten, bewerten und zu lösen versuchen. Es ist zwar nur allzu verständlich, dass Compliance-Manager und Führungskräfte unter dem Erwartungsdruck und der Zeitknappheit nach dem einen ultimativen Erfolgsrezept suchen. Aber es gibt nun einmal (auch) in der Compliance nicht die eine magische Erfolgsformel, das eine – am besten standardisierte – Compliance-Management-System.

– In der Regel geht das mit einer sogenannten Einkapselung64 einher. Damit sind Praktiken verbunden, die Kritik an den vorherrschenden Methoden abwehren oder verhindern. Die Compliance-Branche umgibt sich gern mit Gleichgesinnten. Ganz nach dem Motto: „Wenn alle das Gleiche denken, dann muss das ja wohl richtig sein.“ Studien, Meinungen, die vielleicht einen anderen Ansatz verfolgen, die ein oder andere Compliance-Maßnahme kritisch betrachten, sind im Compliance-Mainstream nur wenig vertreten. Auch werden des Öfteren nach Compliance-Skandalen ganz viele Compliance-Maßnahmen auf einmal implementiert, ohne deren Effekte zu überprüfen oder auch ohne an den spezifischen Ursachen anzusetzen; diese gelten dann aber später als Best Practices mit entsprechenden Nachahmungseffekten.

– Es ist ein gewisser Methodismus65 in der Compliance-Praxis zu beobachten, der das Problem regel- oder gesetzeswidrigen Verhaltens mithilfe eines (standardisierten) Compliance-Management-Systems zu beheben versucht. Nach dieser Vorstellung läge ein Erkenntnisproblem nur in der mangelnden Methodenkompetenz bei der professionellen Anwendung der verbreiteten CMS. Im Übrigen läge dann die Ursache eines nicht verhinderten, entdeckten Fehlverhaltens in der mangelnden Umsetzung der etablierten und grundsätzlich geeigneten Maßnahmen.

– Häufig wird Compliance-Management mit „muss man nur richtig, planerisch und systematisch organisieren“ gleichgesetzt. Management heißt dann Organisation im instrumentalen Sinne. Die Organisation als Institution wird ausgeblendet. Wenn man sich überhaupt ein Bild von einer Organisation macht, dann entweder als Zusammenkunft von Menschen oder allenfalls als (organische) Maschine, mit einem Organ als Kopf des Unternehmens. Compliance ist danach eine Frage der richtigen Programmierung und des richtigen Designs, „that have to be built and engineered“, wie viele Folien zu Compliance-Programmen mit Kreisen und Zahnräder zeigen – trotz aller Organisationsforschung: „Finally, it is widely acknowledged that engineering approaches poorly address and even divert from addressing human and organisational factors and the sociotechnical interactions and complexity (Rasmussen, 1997, Wilpert and Fahlbruch, 1998; Thellier, 2017; Vautier et al., 2018, Llory et al., 2018).“66

– Compliance-Management erleidet ferner zunehmend das Schicksal anderer Managementmethoden. Es unterliegt Modewellen mit fragwürdigen neuen Trends, wie der Big-Data-Bewegung, dem Purpose-Konzept, der Kulturgestaltungseuphorie, vielleicht gar dem Integritätsmanagement usw. Nun haben Managementmoden auch etwas Gutes an sich, indem sie „vorübergehend (!) Bestehendes anfragen, um Einseitigkeiten zu korrigieren oder Antworten auf veränderte Umweltverhältnisse zu entwickeln.“67 Allerdings sind „schädliche Nebenwirkungen vorprogrammiert, wenn die Mode, wie im klassischen Beratungsgeschäft üblich, nicht als Möglichkeit vorgestellt, sondern als einzig gültige ‚Wahrheit‘, quasi als Religion gepriesen wird, Heilversprechen inklusive.“68

– Ferner ist vielerorts ein „Ausweichen ins Machbare“69 in der Compliance zu beobachten. Man tut das, was man machen kann und nicht das, was man machen soll. Es wird trotz Fragwürdigkeit einzelner verhaltenspräventiver Maßnahmen (Richtlinien, Schulungen, Appelle) an diesen stringent festgehalten. Und das zum Nachteil anderer wirkmächtiger verhältnispräventiver Maßnahmen.

– Schließlich ist eine Moralisierung der Compliance zu beobachten. Vielleicht auch aufgrund der schleichenden Erkenntnis, dass die bislang eingesetzten Mittel nicht den erhofften Erfolg bringen. Nassehi spricht in seinem Buch „Unbehagen“ von einer „Übermoralisierung gesellschaftlicher Debatten“.70 Dies trifft auch auf den Compliance-Diskurs zu, denn wer moralisch argumentiert, ersetzt – zumindest teilweise – Meinung mit Wissen. Dieser moralisch aufgeladene Diskurs erschwert dann den kritischen Blick und die erforderliche sachliche Auseinandersetzung über die vorherrschenden Compliance-Mittel.

C.Compliance in den Grenzen der „Betriebswirtschaftsleere“

Erfolgreiches Compliance-Management wird auch mit betriebswirtschaftlichem Sachverstand in Verbindung gebracht. Nur wer auch Grundzüge dieser Fachrichtung beherrsche und anwende, könne Compliance wirksam in einem Betrieb managen. Ein planerisches, systematisches, formales betriebswirtschaftliches Management mit messbaren (quantitativen) KPIs (Key Performance Indicators) gilt als Vorbild effektiver Compliance. Münden soll dies im Idealfall in einem allumfassenden Compliance Dashboard, das zu jeder Zeit dank Data Analytics oder Big Data Auskunft über den regelkonformen oder regelwidrigen Zustand der Organisation geben kann. Der Wunsch und der Ansatz sind durchaus nachvollziehbar, allerdings spiegeln sie die Realität der Entscheidungsfindung in Organisationen, einschließlich des organisationalen Devianzphänomens, nicht korrekt wider. Man sollte sich daher der Grenzen und der blinden Flecken der traditionellen betriebswirtschaftlichen, transparenten Wenn-Dann-Methodik bewusst sein.

So kommen auch in den konservativen Organisationen informelle, innovative Lösungen zum Einsatz, um die jeweiligen Ziele zu erreichen und im Wettbewerb mithalten zu können. Die oft versteckten Praktiken, die sogenannten Workarounds, halten Organisationen vielfach erst am Leben,

Ein wirksames Compliance-Management ähnelt aufgrund dieses Aspekts und seiner sozialen Einbettung eher einem Handwerk, einer Bricolage, das heißt Bastelei.72 Danach wäre erfolgreiches (Compliance-)Management eher Kunst als künstlich.73 Der erfolgreiche Compliance-Manager ist somit weniger Architekt eines statischen Bauwerks, weniger Ingenieur einer (komplizierten) Maschine, er ist vielmehr Gärtner eines lebenden Gartens beziehungsweise Bastler. „Wenn zum Basteln Geduld, Versuch und Irrtum, aber auch Pragmatismus und implizites Wissen gehören, dann sind das wichtige Faktoren von Entscheidungen, auch wenn der Mythos vom sachlich und rational entscheidenden Manager ein anderes Bild glauben machen will.“74