Compliance Management System: Nutzen messen

Wie Unternehmen ihre Regeltreue transparent erfassen können

Keyfacts

  • Wichtig ist, zu lernen, die richtigen Fragen zu stellen
  • Definierte Ziele bringen Transparenz
  • KPIs zur Zielerfassung nutzen
Verena Brandt
  • Partnerin, Audit, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Ist ein Compliance Management System wirksam, wenn nichts passiert? Was will man eigentlich messen und wofür möchte man Leistungskennzahlen verwenden? Wer nur die Kennzahlen kennt, kennt eigentlich gar nichts, könnte man sagen. Solange er oder sie nicht weiß, welchen Zusammenhang erhobene Messdaten ergeben können und man die richtigen Schlüsse zieht und Fragen stellt. Zum Beispiel die, die der Compliance-Beauftragter eines großen Mittelständlers an diesem Tag auf der Berliner Konferenz zu Corporate Governance Compliance Strategien stellt.

„Nehmen wir mal an“, sagt der Mann, „wir haben einen Mitarbeiter, der seit sechs Jahren im Unternehmen und zwischen 30 und 50 Jahren alt ist. Er ist hoch angesehen und nimmt fast nie Urlaub. Ist das ein guter Kollege?“ Wahrscheinlich schon, könnte man meinen. Oder aber auch nicht. Ausgehend von den Kennzahlen sind genau das die Parameter eines typischen Betrügers, sagt der Compliance-Beauftragte, und dann nicken sie wissend an ihrem Tisch im Konferenzhotel, wo die KPMG-Partnerin Verena Brandt die Diskussion leitet.

Wie lassen sich Nutzen und Wirksamkeit von Compliance Management Systemen messen, lautet die Frage. Also die Frage, wie sich Kennzahlen des betriebswirtschaftlichen Unternehmensmanagements in einem Bereich anwenden lassen, der sich mit der Einhaltung von Gesetzen und Richtlinien beschäftigt. „Was möchte ich wissen und warum möchte ich das wissen“, sagt Brandt, „Zahlen als solche nutzen gar nichts, wenn sie nicht sinnvoll interpretiert werden können.“

Über die Einhaltung der Regeln wachen in den Unternehmen die Compliance-Beauftragten, von denen jetzt einige am Tisch sitzen. World-Café nennt sich das Gesprächsformat – schnelle Diskussionsrunden für den Austausch auf Augenhöhe unter Experten. Alle zwanzig Minuten läutet eine Glocke, dann ziehen die Diskutanten weiter zum nächsten Tisch, zum nächsten Thema. Brandt aber bleibt, empfängt die nächste Gruppe und bald schon wird deutlich, dass die Messung des Erfolges von Compliance Programmen in vielen Unternehmen kritisch gesehen wird und viele praktische Herausforderungen birgt.

„Gutes Compliance? Wenn nichts passiert“

„Funktionierendes Compliance zeichnet sich dadurch aus, dass am Ende eines Geschäftsjahres nichts passiert ist“, sagt ein Teilnehmer. Wenn aber nichts passiere, dann könne man auch nichts messen, so der Diskutant. Also alles gut am Jahresende? Wie man es nimmt. Solange nichts passiert, vielleicht schon. Aber was, wenn doch? „Ohne KPIs und definierte Ziele fehlt die Transparenz im Unternehmen“, gibt Malcolm Gammisch zu bedenken, der Verena Brandt als Senior Manager bei KPMG an diesem Tag begleitet.

Klar umrissene Ziele und Transparenz hinsichtlich der Performance von CMS hingegen verbessern – das wird an diesem Tag deutlich – auch die Verhandlungsposition für anstehende Diskussionen zur Budgetplanung. „Wir wollen nicht die Geschäftsverhinderer und Feuerwehr sein, die man erst ruft, wenn die Flammen schon hochschlagen“ berichtet eine Teilnehmerin. Zwar habe es in vielen Firmen in den letzten Jahren Fortschritte gegeben, die Compliance-Abteilung als hausinternen Geschäftspartner zu begreifen.

Dennoch zeigt die praktische Erfahrung, dass viele Compliance-Abteilungen ihre Kosten mitunter intensiver rechtfertigen müssen als andere Unternehmensabteilungen. Nun sei eine einfache Gegenrechnung mit dem worst-case-Szenario zwar nicht ohne weiteres möglich, sagt ein Teilnehmer. Was wäre denn der worst-case? Ein Geschäftsführer, der wegen Compliance-Verstößen ins Gefängnis wandert und der daraus folgende Reputationsschaden beispielsweise, sagt er. Da wird es schwierig mit der exakten Kostenaufstellung. Anders hingegen bei der Auflistung, was typischerweise an externen Kosten für Rechtsanwälte anfiele, die ein Unternehmen bei der anschließenden Gerichtsverhandlung vertreten würden. Da könne man schon recht genau kalkulieren und den Wert der eigenen Arbeit offensiv vertreten.

Durchlaufgeschwindigkeit messen

Was also wären KPIs, die die Wirksamkeit eines Compliance Systems messbar machen würden? „beispielsweise böte sich an, die Durchlaufgeschwindigkeit von Bearbeitungsprozessen zu messen. Wie viel Zeit vergeht, bis ein interner oder externer Hinweis auf einen Compliance-Verstoß abschließend bearbeitet wurde?“, sagt Brandt. Dasselbe gilt für Vergleiche zwischen Unternehmensbereichen oder auch die planmäßige Auswertung aller bei der Compliance-Abteilung eingehenden Meldungen. Zeigen sich Tendenzen, sind beispielsweise bestimmte Unternehmensabteilungen auffälliger als andere? Empirisch basierte Untersuchungen also, die belastbare Werte ergeben, in welchen Unternehmensteilen die Einhaltung von Regeln besonders zu beachten ist.

Gleichzeitig aber könne auch ein Scoringmodell Hinweise darauf geben, wo die Compliance Ressourcen sinnvoll hinzuleiten sind, um Risiken im Voraus zu minimieren, sagt Brandt. „Welche Lieferantenländer sind besonders zu berücksichtigen? Wie verhält es sich bei dem Fall, dass man zur Geschäftsanbahnung im Ausland auf externe Vermittler zurückgreifen muss? Was sind Frühindikatoren bei Buchungen auf ausländische Konten?“ Kurz gesagt: Was sind die Einzelrisiken? Und wie wahrscheinlich ist es, dass sie im Verlauf eines Geschäftes auftreten?

Eine Menge Variablen also. Sie zu kennen ist der zweite Schritt. Sie zu verstehen der dritte. Der erste aber ist – wie immer – der entscheidende: Zu wissen, was man überhaupt wissen will, sagt Brandt. Dann läutet die Glocke.

Verena Brandt
  • Partnerin, Audit, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.