Das Thema Compliance gewinnt auch in der deutschen Unternehmenslandschaft immer stärker an Bedeutung. Dafür sorgen nicht nur die diversen Skandale in der Vergangenheit, die die Unternehmen neben einer Rufschädigung auch entsprechende Kompensationssummen und Marktanteile gekostet haben.
In den meisten Fällen sind Bestechung und Korruption für das “Non-Compliance” der Organisationen verantwortlich. Aber auch Datenschutz als Compliance-Risiko gewinnt immer stärker an Bedeutung. Dabei steht für viele der Wunsch nach einer integrativen Lösung von Compliancemanagement, Risikomanagement und ggf. noch IKS im Vordergrund. Allerdings wird bei einem integrativen Ansatz sehr schnell deutlich, dass die Risiken aus den einzelnen Bereichen Compliance, operatives Risikomanagement und IKS nur mit unterschiedlichen Bewertungsmethoden bewertet werden können und sich insbesondere die Compliance-Risiken einer quantitativen Bewertung meist entziehen. Es ist daher in jedem Fall einzeln zu prüfen, inwieweit Compliancemanagement und Risikomanagement in einer Organisation integriert werden können. Eine enge Zusammenarbeit der beiden Stellen ist in jedem Fall mehr als wünschenswert.
Betrachtet man sich die lt. Forbesliste 10 größten Unternehmen Deutschlands, so erhält man ein recht einheitliches Bild: lediglich bei VW sind Risikomanagement und Compliancemanagement organisatorisch fest in einer Hand. BASF und Bayer beschreiben eine sehr enge Zusammenarbeit der Abteilungen bzw. erfassen die Compliance-Risiken innerhalb des Risikomanagement-Prozesses.
In 9 der 10 Unternehmen sind sogenannte Chief Compliance Officer oder Group Compliance Officer für das Compliancemanagement zuständig. Insgesamt 7 Positionen sind mit Juristen besetzt. BMW arbeitet mit einem “Group Compliance Committee”, dem Führungskräfte aus verschiedenen Unternehmensbereichen angehören.
Berichtet wird in der Regel an den zuständigen Vorstand Recht (Compliance) oder Finanzen (Risikomanagement), teilweise auch direkt an den CEO des Unternehmens. Zudem verweisen E.ON und Deutsche Telekom auf ihren Internetseiten explizit auf eine Zertifizierung nach IDW Prüfungsstandard PS 980 hin. VW, Siemens und BASF weisen darauf hin, dass ihr Risikomanagementsystem auf COSO II basiert.
Und noch eine Information anlässlich der aktuellen Debatte um die Frauenquote:
von den 9 Chief bzw. Group Compliance Officer ist einzig bei der Telekom eine Frau an der Spitze des Compliancemanagements zu finden. Allen gemeinsam ist jedoch: ein häufiger Wechsel auf diesen Positionen wird möglichst vermieden, denn Konstanz schafft Vertrauen und davon profitiert auch das Compliancemanagement.
Informationen wie Organisationsstruktur des Compliancemanagement oder Risikomanagements, Berichtswege und die Antwort auf die Frage: “Wer ist Chief Compliance / Chief Risk Officer?” werden von den Unternehmen unterschiedlich “bereitwillig” zur Verfügung gestellt. Auch hier können die Top 10 Unternehmen noch durchaus voneinander lernen, denn Transparenz in der Informations-Offenlegung schafft Vertrauen.