Ihr Warenkorb ist leer
Sie sind Gast
Nachgefragt bei: Dr. Pia Montag
15.01.2016
„Compliance ist kein neues Modethema“
ESV-Redaktion COMPLIANCEdigital
Frau Montag: Sind kleine und mittlere Unternehmen, kurz: KMU, gegenüber aktuellen Risiken hinreichend geschützt?
Montag: Eine pauschale Antwort auf diese Frage ist nicht möglich. Risiken können nie vollständig kontrolliert, kalkuliert oder vermieden werden: Ohne sie ist unternehmerisches Handeln nicht möglich. Außerdem sind mittelständische Unternehmen in Deutschland eine äußerst heterogene Gruppe, deren Abgrenzung selbst die Wissenschaft nicht einheitlich vornimmt. Entsprechend steuern einige Unternehmen ihre Risiken sehr effizient, und andere kaum oder nur der Form halber. Die Ergebnisse meiner Studie zeigen leider, dass diese anderen Unternehmen ohne hinreichende Risikosteuerung in der Überzahl sind.
Wie erklären Sie einem gestandenen Unternehmer, warum er in seinem Unternehmen, das er schon in dritter Generation führt, ein Compliance Management System einführen soll?
Montag: Ich nehme Vorurteile und nenne Negativbeispiele.
Ein Compliance Management System fordert in mittelständischen Unternehmen nicht die Einrichtung einer ganzen Abteilung, es muss nicht einmal viel kosten, zeitaufwändig oder übertrieben „bürokratielastig“ sein. Das Bewusstsein über die Konsequenzen von Non-Compliance, Austausch mit Fachleuten und natürlich auch notwendige Dokumentation der geforderten Sorgfalt können den wesentlichen Unterschied ausmachen. Ohne strukturiertes Vorgehen steigt aber die Fehlerwahrscheinlichkeit: Das gilt für alle betrieblichen Tätigkeiten und eben auch die Compliance-Handhabung.
Viel bessere Überzeugungsarbeit als ich können aber Unternehmer leisten, die sich der Notwendigkeit von Compliance durch schmerzhafte, kostenintensive Erfahrungen bewusst geworden sind. Das Risiko einer Insolvenz durch Compliance-Verstöße ist hoch und sollte jedem Kaufmann bewusst sein.
Was antworten Sie dem Unternehmer, wenn er Ihnen entgegnet, dass Compliance nur ein Modethema sei und ganz sicher bald eine „neue Sau durchs Dorf getrieben werde“?
Montag: Das Thema Compliance ist kein neues Modethema: Es ist ein uraltes Thema, das existiert, solange es Normsysteme und Unternehmen gibt. Das Phänomen hat nur einen Namen bekommen und das Bewusstsein in der Gesellschaft hat dessen Wahrnehmung verschärft. Abgesehen davon hat das Hauptthema der Medien, ob Compliance, Industrie 4.0 oder Asylpolitik, keine Bedeutung, wenn Sie als Unternehmer eine Strafe in Millionenhöhe für einen Compliance-Verstoß zahlen müssen.
Die Wissenschaft erfüllt keinen Selbstzweck: Unternehmer sollten froh sein, dass sie auf die Relevanz der Gefahren von Non-Compliance aufmerksam gemacht werden.
In Ihrem Buch sprechen Sie davon, dass es Parallelen zwischen den Fragestellungen des Risikomanagements und der Compliance gibt. Welche sind das? Wo liegen die Unterschiede?
Compliance-Verstöße sind Risiken und Compliance benötigt Risikomanagement. Die operative Umsetzung der beiden Funktionen wird in vielen Bereichen gleichartig realisiert: Organisatorische Maßnahmen wie zum Beispiel das Vier-Augen-Prinzip verringern die Fehlerwahrscheinlichkeit und ermöglichen eine Kontrolle von Missbrauch zugleich. Risiken und Compliance-Verstöße sind jedoch im Grundsatz abweichend zu steuern: Ein Unternehmen muss Risiken eingehen, um Chancen nutzen zu können. Nur existenzbedrohende Risiken sind zu vermeiden, wie im Gegensatz dazu Compliance-Verstöße generell vermieden werden müssen.
Ist es sinnvoll – für KMU – die beiden Funktionen zusammenzulegen?
Montag: Ein gemeinsames System, das die Unterschiede angemessen würdigt, scheint mir ein sinnvolles Steuerungssystem für Risiken und Compliance, da es Redundanzen vermeidet und effizienter ist. Es gibt jedoch keine Musterlösung: Die Geschäftsführung als Initiator sollte ab einer gewissen Unternehmensgröße und -komplexität die Verantwortung von zwei getrennten Mitarbeitern bestimmen und gleichzeitig die Abstimmung der organisatorischen Maßnahmen verlangen. Die vollständige Vereinheitlichung kann den beiden Themengebieten nicht gerecht werden, wie auch eine strikte Trennung ohne Abstimmung nicht wirtschaftlich sein kann.
Ferner argumentieren Sie in Ihrem Buch, dass Erkenntnisse aus den Verhaltenswissenschaften mehr beim Thema Compliance und Risikomanagement berücksichtigt werden müssen. An welche denken Sie da?
Montag: Unser Verhalten ist in hohem Ausmaß von unserem sozialen Umfeld gesteuert. Ich habe viele bestehende Studien zu diesem Thema in meinem Buch aufgegriffen: Die Formulierung von Anweisungen, individuelle Eigenschaften des Anweisenden, die Regelmäßigkeit von Hinweisen und das Verhalten unserer Arbeitskollegen beeinflusst uns. Das Personalwesen und das Marketing zum Beispiel machen von diesen Erkenntnissen in so hohem Umfang Gebrauch, dass sie durch Kritiker schon manipulativ dargestellt werden. Warum sollten also nicht auch Unternehmer zur Geschäftsführung diese Erkenntnisse verantwortungsvoll anwenden? Ein Managementsystem, das nicht in die Unternehmenskultur eingebettet ist, wird nicht funktionsfähig sein, da die Umsetzung seiner Vorgaben sich nicht automatisch im Verhalten der Akteure im Unternehmen widerspiegelt.
In fast allen untersuchten Unternehmen, so das Ergebnis Ihrer Studie, gibt es in Bezug auf das Risikomanagement und Compliance ein gewisses Maß an Steuerung. Wo liegen Ihrer Meinung nach die größten Hürden, die eine Implementierung eines Risikomanagements und/oder eines CMS im Wege stehen?
Montag: Risikomanagement und Compliance-Steuerung werden häufig als komplexe, „bürokratielastige“ und nicht wertschöpfende Tätigkeit wahrgenommen und daher gemieden. Ein typischer Geschäftsführer im Mittelstand vereint mehrere oder sogar sämtliche Managementfunktionen in seiner Person, was wenig Zeitraum für zusätzliche Aufgaben lässt. Obwohl grade diese Konzentration von Aufgaben und Verantwortung die Notwendigkeit von Risikomanagement und Compliance unterstreicht, führt sie in der Praxis eher zur mangelhaften Umsetzung der beiden Systeme. Eigentlich alle Unternehmen haben Instrumente wie Passwörter oder Sicherheitsanweisungen in Geschäftsprozessen implementiert. Die Zusammenführung der bestehenden Instrumente in einem System fehlt jedoch. Meine Studie zielt genau auf die unterschiedlichen Grade von Strukturiertheit ab und erlaubt entsprechend interessante Einblicke in die üblichen Praktiken.
Wie lassen sich Compliance und Risikomanagement am effektivsten in eine gewachsene Unternehmenskultur verankern?
Montag: Die Geschäftsführung selbst muss mit beispielhaftem Verhalten als Vorbild dienen: Das wichtigste Instrument zur Steuerung der Unternehmenskultur ist die Beeinflussung durch das Verhalten ihrer Mitglieder. Da das Verhalten der Mitglieder aber wechselseitig auch von der Unternehmenskultur abhängig ist, ist leicht zu verstehen, dass die Veränderung einer Kultur ein lang andauernder und nicht immer erfolgsversprechender Prozess ist. Muss eine negative Kultur in eine positive Kultur gewandelt werden, kann der Einsatz neuer Schlüsselpersonen im Unternehmen durch deren neue, von der Geschäftsführung gewünschte Werte notwendig sein. Zusätzlich muss ein neues oder verstärktes Risiko- und Compliance-Bewusstsein im Unternehmen auch kommuniziert werden: Regelmäßige Kommunikation sensibilisiert das Bewusstsein aller Akteure und fördert die Übernahme impliziter Verhaltensmuster.
(ESV/ms)
Montag: Eine pauschale Antwort auf diese Frage ist nicht möglich. Risiken können nie vollständig kontrolliert, kalkuliert oder vermieden werden: Ohne sie ist unternehmerisches Handeln nicht möglich. Außerdem sind mittelständische Unternehmen in Deutschland eine äußerst heterogene Gruppe, deren Abgrenzung selbst die Wissenschaft nicht einheitlich vornimmt. Entsprechend steuern einige Unternehmen ihre Risiken sehr effizient, und andere kaum oder nur der Form halber. Die Ergebnisse meiner Studie zeigen leider, dass diese anderen Unternehmen ohne hinreichende Risikosteuerung in der Überzahl sind.
Wie erklären Sie einem gestandenen Unternehmer, warum er in seinem Unternehmen, das er schon in dritter Generation führt, ein Compliance Management System einführen soll?
Montag: Ich nehme Vorurteile und nenne Negativbeispiele.
Ein Compliance Management System fordert in mittelständischen Unternehmen nicht die Einrichtung einer ganzen Abteilung, es muss nicht einmal viel kosten, zeitaufwändig oder übertrieben „bürokratielastig“ sein. Das Bewusstsein über die Konsequenzen von Non-Compliance, Austausch mit Fachleuten und natürlich auch notwendige Dokumentation der geforderten Sorgfalt können den wesentlichen Unterschied ausmachen. Ohne strukturiertes Vorgehen steigt aber die Fehlerwahrscheinlichkeit: Das gilt für alle betrieblichen Tätigkeiten und eben auch die Compliance-Handhabung.
Viel bessere Überzeugungsarbeit als ich können aber Unternehmer leisten, die sich der Notwendigkeit von Compliance durch schmerzhafte, kostenintensive Erfahrungen bewusst geworden sind. Das Risiko einer Insolvenz durch Compliance-Verstöße ist hoch und sollte jedem Kaufmann bewusst sein.
Was antworten Sie dem Unternehmer, wenn er Ihnen entgegnet, dass Compliance nur ein Modethema sei und ganz sicher bald eine „neue Sau durchs Dorf getrieben werde“?
Montag: Das Thema Compliance ist kein neues Modethema: Es ist ein uraltes Thema, das existiert, solange es Normsysteme und Unternehmen gibt. Das Phänomen hat nur einen Namen bekommen und das Bewusstsein in der Gesellschaft hat dessen Wahrnehmung verschärft. Abgesehen davon hat das Hauptthema der Medien, ob Compliance, Industrie 4.0 oder Asylpolitik, keine Bedeutung, wenn Sie als Unternehmer eine Strafe in Millionenhöhe für einen Compliance-Verstoß zahlen müssen.
Die Wissenschaft erfüllt keinen Selbstzweck: Unternehmer sollten froh sein, dass sie auf die Relevanz der Gefahren von Non-Compliance aufmerksam gemacht werden.
In Ihrem Buch sprechen Sie davon, dass es Parallelen zwischen den Fragestellungen des Risikomanagements und der Compliance gibt. Welche sind das? Wo liegen die Unterschiede?
Compliance-Verstöße sind Risiken und Compliance benötigt Risikomanagement. Die operative Umsetzung der beiden Funktionen wird in vielen Bereichen gleichartig realisiert: Organisatorische Maßnahmen wie zum Beispiel das Vier-Augen-Prinzip verringern die Fehlerwahrscheinlichkeit und ermöglichen eine Kontrolle von Missbrauch zugleich. Risiken und Compliance-Verstöße sind jedoch im Grundsatz abweichend zu steuern: Ein Unternehmen muss Risiken eingehen, um Chancen nutzen zu können. Nur existenzbedrohende Risiken sind zu vermeiden, wie im Gegensatz dazu Compliance-Verstöße generell vermieden werden müssen.
Ist es sinnvoll – für KMU – die beiden Funktionen zusammenzulegen?
Montag: Ein gemeinsames System, das die Unterschiede angemessen würdigt, scheint mir ein sinnvolles Steuerungssystem für Risiken und Compliance, da es Redundanzen vermeidet und effizienter ist. Es gibt jedoch keine Musterlösung: Die Geschäftsführung als Initiator sollte ab einer gewissen Unternehmensgröße und -komplexität die Verantwortung von zwei getrennten Mitarbeitern bestimmen und gleichzeitig die Abstimmung der organisatorischen Maßnahmen verlangen. Die vollständige Vereinheitlichung kann den beiden Themengebieten nicht gerecht werden, wie auch eine strikte Trennung ohne Abstimmung nicht wirtschaftlich sein kann.
Ferner argumentieren Sie in Ihrem Buch, dass Erkenntnisse aus den Verhaltenswissenschaften mehr beim Thema Compliance und Risikomanagement berücksichtigt werden müssen. An welche denken Sie da?
Montag: Unser Verhalten ist in hohem Ausmaß von unserem sozialen Umfeld gesteuert. Ich habe viele bestehende Studien zu diesem Thema in meinem Buch aufgegriffen: Die Formulierung von Anweisungen, individuelle Eigenschaften des Anweisenden, die Regelmäßigkeit von Hinweisen und das Verhalten unserer Arbeitskollegen beeinflusst uns. Das Personalwesen und das Marketing zum Beispiel machen von diesen Erkenntnissen in so hohem Umfang Gebrauch, dass sie durch Kritiker schon manipulativ dargestellt werden. Warum sollten also nicht auch Unternehmer zur Geschäftsführung diese Erkenntnisse verantwortungsvoll anwenden? Ein Managementsystem, das nicht in die Unternehmenskultur eingebettet ist, wird nicht funktionsfähig sein, da die Umsetzung seiner Vorgaben sich nicht automatisch im Verhalten der Akteure im Unternehmen widerspiegelt.
In fast allen untersuchten Unternehmen, so das Ergebnis Ihrer Studie, gibt es in Bezug auf das Risikomanagement und Compliance ein gewisses Maß an Steuerung. Wo liegen Ihrer Meinung nach die größten Hürden, die eine Implementierung eines Risikomanagements und/oder eines CMS im Wege stehen?
Montag: Risikomanagement und Compliance-Steuerung werden häufig als komplexe, „bürokratielastige“ und nicht wertschöpfende Tätigkeit wahrgenommen und daher gemieden. Ein typischer Geschäftsführer im Mittelstand vereint mehrere oder sogar sämtliche Managementfunktionen in seiner Person, was wenig Zeitraum für zusätzliche Aufgaben lässt. Obwohl grade diese Konzentration von Aufgaben und Verantwortung die Notwendigkeit von Risikomanagement und Compliance unterstreicht, führt sie in der Praxis eher zur mangelhaften Umsetzung der beiden Systeme. Eigentlich alle Unternehmen haben Instrumente wie Passwörter oder Sicherheitsanweisungen in Geschäftsprozessen implementiert. Die Zusammenführung der bestehenden Instrumente in einem System fehlt jedoch. Meine Studie zielt genau auf die unterschiedlichen Grade von Strukturiertheit ab und erlaubt entsprechend interessante Einblicke in die üblichen Praktiken.
Wie lassen sich Compliance und Risikomanagement am effektivsten in eine gewachsene Unternehmenskultur verankern?
Montag: Die Geschäftsführung selbst muss mit beispielhaftem Verhalten als Vorbild dienen: Das wichtigste Instrument zur Steuerung der Unternehmenskultur ist die Beeinflussung durch das Verhalten ihrer Mitglieder. Da das Verhalten der Mitglieder aber wechselseitig auch von der Unternehmenskultur abhängig ist, ist leicht zu verstehen, dass die Veränderung einer Kultur ein lang andauernder und nicht immer erfolgsversprechender Prozess ist. Muss eine negative Kultur in eine positive Kultur gewandelt werden, kann der Einsatz neuer Schlüsselpersonen im Unternehmen durch deren neue, von der Geschäftsführung gewünschte Werte notwendig sein. Zusätzlich muss ein neues oder verstärktes Risiko- und Compliance-Bewusstsein im Unternehmen auch kommuniziert werden: Regelmäßige Kommunikation sensibilisiert das Bewusstsein aller Akteure und fördert die Übernahme impliziter Verhaltensmuster.
(ESV/ms)
| Zur Person |
| Dr. Pia Montag studierte Betriebswirtschaftslehre und Maschinenbau an der Technischen Universität München, wo sie 2015 zum Thema „Risikomanagementsysteme und Compliance-Strukturen im Mittelstand“ promoviert wurde. Bereits seit Studienabschluss 2008 ist sie deutschlandweit im Bereich der Wirtschaftsprüfung und Beratung tätig und arbeitete insbesondere mit mittelständischen Unternehmen zusammen. Heute lehrt sie an der FOM Hochschule für Ökonomie und Management, nachdem sie von 2011 bis 2014 an der Technischen Universität Dresden als wissenschaftliche Mitarbeiterin am Lehrstuhl für Betriebswirtschaftslehre, insbesondere Wirtschaftsprüfung und Steuerlehre tätig war. Soeben ist das Buch „Risikomanagement und Compliance im Mittelstand“ von Pia Montag erschienen. Das Werk verbindet betriebswirtschaftliche Analyse mit verhaltenswissenschaftlichen Erkenntnissen, deren Berücksichtigung gerade in kleinen Organisationseinheiten großes Potenzial entfaltet. Das eBook steht Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung. Noch kein Abonnent? Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier. |