Nadine Jacobi

Vertrauen ist gut, Compliance ist besser

„Jetzt lassen Sie mal die Kirche im Dorf“, „Machen Sie mal ‘n Punkt“ und „Sie müssen das pragmatisch sehen“. Sprüche wie diese hören Compliance Officer öfter als alle anderen. Sie sind ärgerlich, nervig und sollen die sachliche Diskussion abwürgen – ich nenne sie „pragmatisch gepunktete Kirchen“ – oder kurz „pgK“.

„Vertrauen ist gut, Kontrolle ist besser.“ Wer dieses Zitat Wladimir Iljitsch Uljanow, aka Lenin, zuordnet, sollte die Redewendung wörtlich nehmen.Eine Kontrolle zeigt nämlich sofort, dass Lenin diesen Satz nie gesagt hat. Womit auch hier bewiesen wäre, dass es sich lohnt, genau hinzusehen.

Es ist immer wieder erstaunlich, wie oft dem Compliance Officer nicht mit Sachargumenten begegnet wird, sondern stattdessen pauschal auf Vertrauen verwiesen wird. Dabei gehört es gar nicht zur Stellenbeschreibung des Compliance Officers, „Vertrauen zu haben“. Das habe ich zumindest noch nie bei einer der vielen Stellenanzeigen zur Suche nach einem Compliance Officer gesehen.

Meist fällt der Begriff „Vertrauen“ völlig unerwartet, aus dem Zusammenhang gerissen, quasi aus dem Nichts. Es wird auch nicht weiter begründet, warum der Compliance Officer dem pauschalen Vertrauen den Vorrang geben sollte, also noch vor den Maßnahmen einer objektiven Prüfung. Ein Beispiel für eine „pgK“ zum Thema „Vertrauen im eigenen Unternehmen“:

„Sie können uns schon zutrauen, dass wir compliant handeln.“

Haben Sie diesen Satz auch schon gehört? Wie haben Sie reagiert? Mein Antwortvorschlag sieht so aus:

„Ein grundsätzlich integres Verhalten ist keine Garantie: weder dafür, dass alle Mitarbeiterinnen und Mitarbeitern sämtliche relevanten Gesetze und Richtlinien einhalten noch dafür, dass ein unbeabsichtigtes Fehlverhalten ausgeschlossen werden kann.“

Ebenfalls um das Vertrauen innerhalb des Unternehmens geht es bei der folgenden „pgK“:

„Aber es gilt doch die Unschuldsvermutung!“

Ich weiß nicht, was mir mehr Sorge bereiten sollte: Die Verwendung des Begriffs der „Unschuldsvermutung“ aus der Terminologie der Strafgerichtsbarkeit oder die Duldung von Risiken aufgrund einer Vermutung. Letzteres wäre in jedem Fall fahrlässig, denn im Unternehmen sind wir weder vor Gericht noch auf hoher See, so dass Grundsätze der Strafgerichtsbarkeit nicht anwendbar sind. Mein Antwortvorschlag wäre daher:

 „Versuchen Sie doch mal einem Richter zu erläutern, Sie hätten zwar mitbekommen, dass es sich um eine Briefkastenfirma unter Hunderten von anderen Firmen an derselben Adresse handelt. Sie hätten jedoch zur Klärung nichts weiter unternommen… schließlich müsse die Unschuldsvermutung gelten.“

 Oder ernsthafter:

„Im Geschäftsleben sind grundsätzlich alle Vorgänge auf Basis einer angemessenen Informationslage auf mögliche Risiken zu analysieren und zu bewerten. Dies erfolgt bei jeder Strategie-Entscheidung im Business und muss genauso für Compliance-Bewertungen gelten. Wir stehen nicht vor Gericht, es geht um Risikomanagement.“

Blauäugig geben sich  manche Mitarbeiter zuweilen auch dann, wenn es um die Beziehung zu Kooperationspartnern, Lieferanten oder Vertriebsmittlern geht. Nachfragen oder vorzunehmende Prüfungen seitens des Compliance Officers beantwortet der Kollege dann gerne mit dieser pgK:

„Wir stellen unsere Geschäftspartner nicht unter Generalverdacht.“

Seufz. Hierauf ließe sich folgendes antworten:

Ein ‚Verdacht‘ ist gemäß Duden eine ‚argwöhnische Vermutung einer bei jemandem liegenden Schuld, einer jemanden betreffenden schuldhaften Tat oder Absicht‘. Compliance ist jedoch Bestandteil des Risikomanagements. Ziel ist es, Risiken einzuschätzen – und zwar ergebnisoffen. Eine argwöhnische Vermutung in Form eines Generalverdachts wäre deplatziert.“

Bei unreflektierten Aussagen zum Vertrauensbegriff kann es auch hilfreich sein, weiter auszuholen und Ihrem Gegenüber den Hintergrund der „Know-your-Customer“- oder „Know-your-Business-Partner“-Prüfungen zu erläutern. Während das KYC-Prinzip im regulierten Finanzdienstleistungsbereich nicht mehr hinterfragt wird, sind die sogenannte 3rd-Party-Due-Diligence-Prüfungen und die dazugehörige Prüftiefe im Bereich der nicht regulierten Branchen immer wieder Anlass für Diskussionen.

Der Vertriebspartner als Sündenbock ist Vergangenheit

In der Vergangenheit setzten viele Unternehmen in Ländern mit schwierigen Marktbedingungen und hohem Korruptionsindex gerne eine Vertriebsstruktur mit sogenannten Vertriebsmittlern auf, also lokalen Agenten, Beratern, Distributoren oder Resellern. Einer der Gründe: Man wollte gar nicht so genau wissen, unter welchen Umständen ein Auftrag gewonnen wurde. Dies war dann deren Problem und nicht das Problem des beauftragenden Unternehmens. Dem ist heute nicht mehr so. Bei zahlreichen bekannt gewordenen Korruptionsfällen waren es just jene Vertriebsmittler, die zur zur Verschleierung von Transaktionen und Weiterleitung von Schmiergeldzahlungen genutzt wurden.

Entsprechend ist es heute für Unternehmen mit internationalen Geschäft und regelmäßigem Einsatz von 3rd Parties „state of the art“, Due-Diligence-Prüfungen vor der Beauftragung durchzuführen und sie spätestens alle zwei Jahre zu aktualisieren. Denn Unternehmen haften für die mit der Beauftragung solcher Vertriebsmittler einhergehenden Risiken, materielle wie immaterielle.

Anforderungen werden voraussichtlich noch höher

Hilfreiche Anregungen, welche Anforderungen an 3rd Party Due-Diligence-Prüfungen gestellt werden, gibt die gerade wieder aktualisierte Guideline der US-amerikanischen Justizbehörde (DOJ) zur Bewertung von Compliance-Management-Systemen. Gefordert wird kein „tick-in-the-box“-Verfahren, sondern dass Unternehmen mit Unterstützung ihrer Compliance Abteilung u.a. eine Plausibilitätsprüfung zum tatsächlichem Einsatz und einer angemessenen Vergütung der 3rd Party inklusive Leistungsnachweise durchführt. Die in der Guideline formulierten Erwartungen gehen noch über das hinaus, was zur Zeit in Deutschland von Rechtssprechung und Literatur gefordert wird. Aber ich bin mir sicher: So wie bisher schon viele Grundsätze und Anforderungen aus den USA auch in Deutschland übernommen wurden, werden auch die Bewertungsmaßstäbe des DOJ zu Compliance-Management-Systemen in Zukunft hierzulande Standard werden.

Welche Repliken haben Sie schon einmal erfolgreich auf die heutigen pgK-Wünsche eines Managers verwendet? Schreiben, kommentieren, kritisieren Sie! Teilen Sie die dümmsten, frechsten, unglaublichsten pgK‘s- aus Ihrem Arbeitsalltag.

Ich freue mich über Ihre Anregungen und greife Sie gerne in meinem nächsten Blog auf, anonymisiert oder mit Namensnennung, ganz wie Sie möchten.

Bis nächste Woche. Bleiben Sie bis dahin gesund und compliant!