Es fällt den Menschen offensichtlich immer schwerer, sich an die Regeln eines geordneten Wirtschaftslebens und an die bestehenden Gesetze für ein zivilisiertes Nebeneinander zu halten. Wie anders will man ansonsten den weltweiten Hype des Themas Compliance erklären? Allem Eindruck nach kann längst nicht mehr als selbstverständlich angenommen werden, dass die Mitarbeiter von Unternehmen bis hin zum Management auf allen Ebenen aus eigenem Antrieb die gewünschte Regeltreue oder Regelkonformität erreichen. Gerade im Zuge der Finanzkrise hat es sich jedenfalls rückblickend als trügerisch erwiesen, allein auf freiwillige Abreden zu setzen. Sowohl bei der Gestaltung sowie dem Vertrieb von Produkten und Dienstleistungen als auch bei der Ausübung von Kontrollfunktionen durch die zuständigen Instanzen gab es ganz offensichtlich Fehlverhalten. Diese Bestandsaufnahme ist sicherlich insofern überspitzt als sie die Mehrzahl der tadellosen und vorbildlichen Mitarbeiter in den Banken wie in der übrigen Wirtschaft einfach ausblendet, aber sie entspricht durchaus der aktuellen Wahrnehmung der Grundstimmung.
Das Spektrum der Compliancerelevanten Sachverhalte betrifft alle Branchen der Wirtschaft gleichermaßen. Die Mängelliste reicht mit abgestuften Verfehlungsgraden von Kartell absprachen über Bestechung, Korruption und Geldwäsche, Verletzung der Aufsichtspflichten bis hin zu vermeintlich harmloseren Sachverhalten wie die besonders aufmerksam beäugten Einladungen im Geschäftsverkehr, etwa zum Fußball-Bundesligaspiel oder zu Presseveranstaltungen mit Journalisten, die mit unterhaltsamen Programmteilen angereichert werden. Überall geht es darum, in geordneten Prozessen sogenannte Compliance-Risiken möglichst von vorherein zu vermeiden und damit rechtliche Sanktionen, Bußgelder, Schadensersatzforderungen oder auch Image- beziehungsweise Reputationsschäden im Idealfall schon präventiv auszuschalten. An all diesen Dingen arbeitet die Wirtschaft, und zwar börsennotierte Unternehmen ebenso wie der Mittelstand (siehe Abbildung).
Ein branchenübergreifendes Instrument zur Güteprüfung der Kernelemente einer zeitgemäßen Compliance-Organisation hat der Hauptausschuss des Instituts der Wirtschaftsprüfer der Wirtschaft an die Hand gegeben. Der Standard IDW PS 980 zu den Grundsätzen ordnungsgemäßer Prüfung von Compliance- Management-Systemen verweist auf eine Reihe von Kernelementen, angefangen von der Formulierung von Zielen und einer Strategie über die Schaffung einer passenden Organisation, die Vermittlung einer unternehmensweiten Compliance-Kultur, den Aufbau entsprechender Kommunikations- und Informationsstrukturen bis hin zu Instrumenten zur Überwachung. Gerade letzteres Element erklärt sicher auch ein wenig den hohen Stellenwert des Themas als der schon 2002 entstandene Deutsche Corporate Governance Kodex (DKGK) in seiner aktuellen Fassung ausdrücklich den Vorstand in die Verantwortung nimmt. "Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)", heißt es mit Blick auf die Aufgaben und Zuständigkeiten des Vorstands.
Auch wenn die Verantwortung für die Umsetzung und Überwachung der Compliance mit solchen Vorgaben eindeutig auf die Ebene der Unternehmensleitung gehoben wird, stellt der DKGK keine gesetzliche Regelung dar. Eine explizite Pflicht zur dauerhaften und wirksamen Einrichtung einer Compliance-Funktion wird in der deutschen Wirtschaft allerdings über die bankrechtliche Norm des § 33 Abs. 1 Nr. 1 Wertpapierhandelsgesetz formuliert, die in der rechtlichen Wertung oft in Verbindung mit § 25a KWG gesehen wird. Darüber hinaus gibt es seit Mitte 2010 eine Verwaltungsvorschrift in Form eines Rundschreibens der Bundesanstalt für Finanzmarktaufsicht zu den Mindestanforderungen an die Compliance- Funktion (MaComp), deren dargelegte Auslegungshinweise zuletzt im Dezember 2012 noch einmal angepasst wurden (siehe Beiträge Lindner/Schroeren und Birnbaum). Zusammen mit den umfangreichen Anforderungen an die technische Umsetzung und die Dokumentationspflichten (siehe Beiträge Abel und Pulwey) ist damit eine Regelungsdichte aus Gesetzen, Vorschriften und Wohlverhaltensregeln erreicht, die angesichts ihrer Komplexität für das ganz normale Bankgeschäft schon wieder als kontraproduktiv angesehen wird. Was vonseiten der Regulatoren als Aufwertung der Compliance gewertet wird, empfindet die Kreditwirtschaft oft als eine zusätzliche personelle und organisatorische Belastung und damit letztlich als erhöhten Kostenblock. Insbesondere viele kleinere Institute mit ihren klassischen Bankgeschäften klagen zunehmend lauter darüber, welche Kostendimensionen das Thema Compliance mittlerweile angenommen hat.
Mehr oder weniger sanfte unternehmensinterne Widerstände beschert der wirksamen Umsetzung eines Compliance-Systems auch die Infragestellung gewohnter Geschäftspraktiken. Denn in einem gut funktionierenden Institut unterliegen inzwischen alle Transaktionen einer (kapitalmarkt-)rechtlichen Über prüfung durch die möglichst unabhängig anzusiedelnde Compliance-Abteilung. Bevor an ein Roll Out am Markt zu denken ist, verlangt auch die Gestaltung von Produkten- und Dienstleistungen nach deren positivem Votum. Insbesondere die stark von Flexibilität und schneller Marktreife lebenden Investmentbanker dürften demnach nicht gerade zu den natürlichen Freunden der Compliance-Verantwortlichen zählen.
In diesem Sinne lebt der Erfolg der Compliance wesentlich von dem Grundverständnis für die getroffenen Regelungen bei allen Mitarbeitern. Und die offensive Förderung der Akzeptanz, wie sie im Beitrag Weber/Schlegel gefordert und im Beitrag Barth/Künstler/Walter in der Umsetzung beschrieben wird, kann nur durch eine Vorbildfunktion auf oberer Führungsebene bis hin zum Vorstand erreicht werden. Auch die Praxis von institutionalisierten Untersuchungen durch externe Instanzen, wie sie der Beitrag Behrends/Müller-Tronnier/Zeidler als Beispiel aus den USA schildert, kann durchaus zur Vertrauensbildung beitragen.
Eine wichtige Frage bleibt jedoch: Gibt es nicht eine unheilvolle Wechselwirkung zwischen fehlendem Vertrauen in die (Kredit-)Wirtschaft und den unendlich vielen Compliance-Vorschriften? Momentan kann man sich des Eindrucks nicht erwehren, dass beide Dinge sich gegenseitig kräftig aufschaukeln. Wie bei allen Regulierungsfragen gilt es auch bei der Compliance das Optimum zwischen vertretbarer Regelungsdichte und einer gelebten Wertekultur der Mitarbeiter zu finden. Und letztere lässt sich nur erreichen, wenn glaubwürdig eine auf allen Ebenen wirklich verinnerlichte Compliance-Kultur entwickelt wird. Das mag in einer stark auf Arbeitsteilung basierenden und über viele ganz unterschiedliche Länder und Kulturkreise vernetzten (Finanz-)Wirtschaft schwieriger sein als früher und deshalb in der Tat allgemein konsensfähiger Leitlinien bedürfen. Aber eine allein durch immer mehr Regeln erzwungene Vertrauensbildung wird nicht funktionieren. (Vor-)Gelebte Werte fördern das Miteinander der Mitarbeiter untereinander wie das Außenverhältnis zu den Kunden.