Unter dem Begriff „Compliance“ ist bei Wikipedia zu lesen: „Compliance bzw. Regeltreue ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien in Unternehmen, aber auch von freiwilligen Kodizes.“ Insbesondere in Krisensituationen – so beispielsweise bei der letzten Finanzkrise 2008 – wächst die Bedeutung dieses Aufgabenbereichs im Unternehmen. Accenture schreibt hierzu in einer jüngst veröffentlichten Studie: „Having gained a “seat at the table” after the global financial crisis, Compliance organizations had been given a mandate for “disruption” and to deliver on their role as an “ethical monitor” for their institutions.“

Die Fragen aber sind, welche Rolle spielt Compliance heute und wird die Compliance-Organisation zukünftig am gemeinsamen „Management-Tisch“ sitzen bleiben. Denn trotz stark ansteigender Anforderungen an Compliance durch unterschiedlichste Stakeholder sowie immer umfangreicherer und komplexer werdender Aufgabenstellungen sind die Ressourcen sehr eingeschränkt. Es ist immer schwierig, Gelder für „Kontroll- und Verhinderungsaufgaben“ loszueisen. Einfacher ist es da schon, Investitionen zu rechnen, die auf der Einzahlungsseite für die gewünschte Rendite sorgen.

Gerade vor dem Hintergrund der Digitalisierung, immer vernetzterer Leistungsbeziehungen und – wie Anne M. Schüller es in ihrem Buch schreibt – anderer Organisationen und vieler neuer Touch Points werden Unternehmen anfälliger. Wir müssen uns schützen vor jeglicher Form von gewolltem und ungewolltem Angriff, vor Störfaktoren, die intern und extern bedingt die Business-Kontinuität gefährden oder aber auch ganz einfach nur das Management vor Unterlassungstatbeständen bewahren. Und wir müssen verstehen, dass es ein gewisses Regelwerk geben muss – auch wenn an anderer Stelle der moderne Berater gerade versucht, aus Kreativitätsgründen alle Regelungen abzubauen. Entscheidend ist hier, in welcher Phase oder in welchem Modus sich ein Unternehmen, ein Service und Prozess oder die Organisation gerade befindet.

Es steht außer Frage, dass es „im Change“ planende und transformierende Aufgabenstellungen gibt, die möglichst regelbefreit und kreativ zu organisieren sind. Dagegen sollte es dann in der operativen Phase oder „im Run“ wohl durchdachte Prozeduren und Regelungen geben, die den Betrieb nicht gefährden. Kein Mensch wird ernsthaft verlangen, dass im OP-Bereich des Krankenhauses die einzelnen Ärzte und Hilfskräfte kreativ, empowered und eigenverantwortlich entscheiden können. Da muss jeder Handgriff sitzen. Auch bei Feuerwehr- und Polizeieinsätzen, bei Bus- und Bahn oder auch im ganz normalen Business müssen zuvor wohldurchdachte Prozesse abgearbeitet werden, damit das große Chaos ausbleibt.

Das Gleiche gilt schließlich auch für die Compliance-Organisation. Erschwerend dabei wirkt allerdings der oft andere Denkansatz. Denn es ist immer einfacher sich über das Gedanken zu machen was passiert, als darüber nachzudenken was nicht passieren sollte. Der Versicherungsansatz, also Geld auszugeben, von dem man nicht unmittelbar etwas hat, fordert uns viel mehr als der direkte Return. Aber davon müssen wir uns frei machen. Gerade in diesem Bereich werden wir zukünftig sehr kreativ sein müssen – zumindest planerisch, simulativ und antizipativ, um nachhaltig den Unternehmenserfolg sicherzustellen. Wichtig ist, den Gesamtzusammenhang von Governance, Risk und Compliance (GRC) zu verstehen und diese Funktionen aktiv in die Gesamtsteuerung des Unternehmens angemessen zu integrieren.

Ihr Horst Tisson