Es gibt so viele Compliance-Organisationstypen, wie es Unternehmen gibt. Dennoch lassen sich auch feste Grundsätze ausmachen.

Wo gehört Compliance in einer Unternehmensorganisation hin? Es ist eine Frage, an der sich die Compliance-Gemüter immer noch erhitzen. Gehört Compliance in die Rechtsabteilung? Zum Risikomanagement? In die interne Revision? Oder sollte sie gar eine eigenständige Abteilung bilden? Die Beantwortung der Frage nach der richtigen Compliance-Organisation ist in der Tat nicht einfach und wird sich nie allgemeingültig festlegen lassen. Dennoch gibt es Vorgehensmodelle: „Moderne Compliance- Management-Ansätze integrieren neben den vielfältigen juristischen Vorgaben ebenso ökonomische Grundsätze und ethische Aspekte in ein interdisziplinäres Organisationsmodell zur zielgerichteten Unternehmenssteuerung“, sagt Prof. Dr. Henning Herzog, Inhaber des Lehrstuhls für BWL und Governance, Risk & Compliance an der Steinbeis-Hochschule Berlin.

„Compliance ist im Vorstands-beziehungsweise Topmanagement einer jeden Unternehmung anzusiedeln.” Grundsätzlich muss ein Compliance-Verantwortlicher die Geschäftsprozesse in einem Unternehmen gut verstehen, um seinerseits Compliance-Prozesse zu etablieren. Interne Revisoren sehen dies oft als Argument, warum sie die Compliance-Funktion im Unternehmen übernehmen sollten. Andererseits: Ist es wirklich sinnvoll, dass die Revision das von ihr selbst entworfene Compliance-System prüft? Geht dies nicht auf Kosten der Unabhängigkeit? Doch auch gegen eine Einbindung in die Rechtsabteilung sprechen gute Gründe: So wehrt sich Heiko Wendel, General Counsel der Leoni AG, vehement gegen die Übertragung der Compliance-Funktion auf die Corporate Lawyer: „Nichts gegen Juristen als Compliance-Officer, aber ein Jurist hat in seiner Funktion als Rechtsberater nicht wirklich genügend Kapazitäten dafür frei, aus der Compliance-Brille zugleich die Strukturen des Geschäfts zu hinterfragen. Form und Inhalt müssen auch beim Thema Compliance zusammenpassen. Entweder man macht Rechtsberatung oder hat Compliance-Verantwortung, aber nicht beides.“ Daher wurden bei Leoni die Compliance- und die Risikoabteilung zusammengelegt. Da beide risikoorientiert arbeiten und beim Risikomanagement bereits konzernübergreifend ausgereifte Kommunikationsstrukturen vorhanden sind, spare man an Doppelaufwand. „Hier passen Kosten- und Effizienzgründe zusammen“, sagt Wendel.

Auch der PwC-Experte für Compliance und Risikomanagement, Jörg Tüllner, empfiehlt den risikobasierten Ansatz: „Compliance muss nah am Operativen agieren. Mittlerweile hat man erkannt, dass nachhaltige Strukturen eine integrierte Betrachtung von Compliance und Risikomanagement notwendig machen. Man spart an Aufwand und schafft gleichzeitig eine Akzeptanz im Unternehmen, weil es nah am operativen Geschäft agiert.“

Nicht aus dem Elfenbeinturm
Trotzdem haben viele Unternehmen Compliance bei Recht angesiedelt. Ein Beispiel ist das Rohstoffunternehmen K+S. „Ich habe eine koordinierende und organisierende Funktion und leite einen Compliance-Ausschuss, der als Informations- und Koordinationsplattform dient. Ihm gehören die Compliance-Beauftragten der Holding und der Geschäftsbereiche sowie u.a. die Leiter der Konzernrevision, des zentralen Personalbereichs und der Bereiche Risikomanagement sowie Umweltschutz und Arbeitssicherheit an“, erzählt Andreas Goebel, Leiter Recht und Compliance bei K+S. Damit hat sich das Unternehmen gegen eine gesonderte Compliance-Abteilung entschieden. „Wir wollten keine Compliance aus dem Elfenbeinturm, es wäre außerhalb der Organisation“, erklärt Goebel. „Die Compliance-Verantwortung liegt zu 100 Prozent bei den operativ Verantwortlichen in den Holdingeinheiten und Geschäftsbereichen. Sie werden beratend und koordinierend unterstützt durch die Compliance-Beauftragten, das sind fast durchgängig Controller, die über vorhandene unternehmensinterne Strukturen verfügen.“

Auch beim Versicherungsmakler Marsh wurde unlängst Recht und Compliance zusammengelegt (siehe Compliance September 2010): „Wir sind in der Rechtsabteilung nicht isoliert mit der reinen Rechtsberatung beschäftigt, sondern sind schon immer sehr stark ins Risikomanagement und in Geschäftsprozesse involviert“, erzählt Karolin Schwarz, Leiterin Recht sowie Chief Riskund Compliance Officer. „Auch haben wir Unterstützung beispielsweise aus der Controlling-Abteilung. Aber es ist klar, dass die inhaltliche Compliance-Verantwortung bei uns in der Rechtsabteilung liegt.“ Klar ist, dass jedes Unternehmen seine Compliance-Organisation auf seine eigene Unternehmensstruktur, -größe und seinen Geschäftszweck anpasst. „Wichtig ist auch, dass für eine effektive Compliance- und Risikomanagement- Organisation angemessene Kapazitäten vorhanden sind, sonst verliert man an Glaubwürdigkeit als Dienstleister im Unternehmen“, sagt Tüllner. Die Suche nach einem Patentrezept wird allerdings immer ins Leere laufen.

Quelle: irina.jaekel@finance-magazin.de