Während ein risikoorientiertes Denken im Rahmen von Corporate Governance Systemen eher einer prädikativen Vorgehensweise zugerechnet werden kann, steht das Compliance-Management für eine normative Ausrichtung. Im Rahmen meiner praktischen Tätigkeit als Risikomanager und Interner Revisor war ich häufiger mit der Frage konfrontiert, was Compliance eigentlich an neuen Erkenntnissen mit sich bringt, da Unternehmer und Unternehmen von je her Gesetze einhalten müssen. Heute könnte ich zurückfragen, warum der aktuelle Corporate Governance Kodex1 extra das „Leitbild des Ehrbaren Kaufmanns“ in seine neueste Fassung integriert, wenn dieser doch schon immer Gesetze einhält. In der Tat besteht zum einen eine Lücke bezüglich dieser Vorgabe, die aber noch durch weitere Aspekte Unterstützung erhält. Compliance entspricht nicht nur der Einhaltung von Gesetzen, sondern auch von internen Vorgaben, wie beispielsweise Richtlinien und Arbeitsanweisungen. Diese können, müssen aber nicht einer Übersetzung gesetzlicher Vorgaben in die internen Verhältnisse des Unternehmens entsprechen. Viel wichtiger erscheint aber, dass die Compliance in dieser Leseart systematisch betrieben wird. Der Prüfungsstandard 980 des IdW (Institut der Wirtschaftsprüfer) „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ gibt hierfür die Kategorien Compliance-Kultur, Ziele und Scope, Organisation, Programm, Kommunikation sowie Überwachung und Verbesserung vor2. Diese generischen Kategorien sind bezüglich des spezifischen Sachverhalts (Kartellrecht, Arbeitssicherheit, IT-Sicherheit etc.) inhaltlich noch mit Spezial-Standards zu ergänzen. Diese findet man beispielsweise mit Bezug auf die Informationssicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI)3. Die Standards verweisen wiederum auf die umfassendere Publikation des IT-Grundschutzes mit mehreren tausend Seiten Umsetzungsvorgaben. Die Aufgabe des IT-Compliance-Managers oder IT-Sicherheitsbeauftragten wäre es dann, die Inhalte umzusetzen, sofern sich die Unternehmensleitung vorab dafür entschieden hat.
Natürlich passiert so etwas nicht nur in einem, sondern in vielen unternehmerischen Bereichen. Das gilt auch für das anfangs erwähnte Auto. Der Fahrer erwartet implizit Sicherheit. Den Rahmen dafür definiert das Management und wird dabei vom Aufsichtsrat überwacht. Der Risikomanager schätzt potenzielle Gefahren und Schwachstellen ein. Und das Compliance-Management komplettiert regelkonform das Fahrvergnügen zu einer umfassenden Fahrsicherheit – inklusive der Bremsen.
1 Vgl. Regierungskommission, 2017, S.1
2 Vgl. o.V., 2010, ohne Seitenangabe
3 Vgl. BSI, 2017, ohne Seitenangabe
Literatur
BSI (Hrsg.); IT-Grundschutz/BSI-Standards; URL: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html (letzter Zugriff 13.08.2017); 2017.
O.V.; Elemente eines Compliance Management Systems; URL: http://www.compliance-net.de/node/90 (letzter Zugriff am 13.08.2017); 2010.
Regierungskommission Deutscher Corporate Governance Kodex; Deutscher Corporate Governance Kodex; in der Fassung vom 7. Februar 2017 mit Beschlüssen aus der Plenarsitzung vom 7. Februar 2017; URL: http://www.dcgk.de//files/dcgk/usercontent/de/download/kodex/170424_Kodex.pdf (letzter Zugriff am 13.08.2017); 2017.