Sonja Geiß ist Syndikusrechtsanwältin und leitet bei der DFS Deutsche Flugsicherung GmbH im hessischen Langen das Compliance- und Risikomanagement. Sie trägt eine hohe Verantwortung: gemeinsam mit dem Compliance-Beauftragten und drei weiteren Kolleginnen und Kollegen im Compliance- Office hat sie ein Compliance-Management-System eingerichtet. Es soll sicherstellen, dass ihr Unternehmen und die rund 5.500 Mitarbeitenden nicht gegen rechtliche Regelungen verstoßen. Als Unternehmen in Bundeshand besteht eine besondere Verantwortung, keine Regelverstöße zu begehen. Das Compliance Management hat gegenüber Geschäftsführung und Aufsichtsrat eine Berichtspflicht. Es ist aber bei weitem nicht die einzige berichtende Organisationseinheit – auch aus anderen Abteilungen prasselt eine Fülle von Informationen auf die Führungsetage ein. Unwichtige Erkenntnisse über die Entwicklungen in den verschiedenen Segmenten gibt es im Grunde genommen nicht, selbst eine Priorisierung fällt da schwer. Anders als beispielsweise im Finanzwesen, wo es klare Zahlen gibt, deutlich erkennbar ist, wo ein Unternehmen steht – und daraus abgleitet ersichtlich ist, welche Maßnahmen erforderlich sind, um mögliche Gaps zwischen Realität und Zielvorgabe zu schließen, ist es mit der Transparenz in der Compliance diffiziler. „Eine sehr große Herausforderung liegt darin, unseren Zielgruppen im eigenen Haus exakt die Informationen zu liefern, die sie benötigen und diese dergestalt aufzubereiten, dass quasi auf einen Blick erkennbar ist, an welchen Stellen wir Justierungen vornehmen müssen“, sagt Sonja Geiß. Dafür muss das Compliance-Board eine Menge an Vorarbeit leisten. Die Deutsche Flugsicherung ist schon lange auf die Vorgaben vorbereitet, die aus der EUWhistleblowerrichtlinie und dem noch folgenden Hinweisgeberschutzgesetz auf nationaler Ebene resultieren. Neben dem internen, vertraulichen Meldewesen gibt es auch die Möglichkeit, sich an externe Ombudspersonen zu wenden. „Über die unterschiedlichen Kanäle bekommen wir Hinweise zu tatsächlichen und angeblichen Regelverstößen“, berichtet die Compliance-Leiterin. „Jeder Hinweis wird ernst genommen, der geschilderte Verdacht und die Angaben werden validiert, der Sachverhalt wird untersucht und einer rechtlichen Prüfung unterzogen.“
„Das Compliance-Management agiert gleichsam wie eine Spinne, hält die Fäden zusammen und vernetzt alle miteinander.“
Sonja Geiß, DFS Deutsche Flugsicherung GmbH
DIE SENSIBILISIERUNG DER MITARBEITENDEN STEHT ÜBER ALLEM
Was Darstellung und Weitergabe angeht, standen Mitte 2021 neue Überlegungen im Raum. Ausgehend von der Maxime der Unternehmensleitung, die Effizienz im Berichtswesen zu steigern, mussten die Kolleginnen und Kollegen die maßgeblichen Key Performance Indikatoren identifizieren. Optionen gab es reichlich. Sonja Geiß nennt als Beispiele die Anzahl der Schulungen und die Anzahl der eingegangenen Hinweise. „Wobei die allein keine große Aussagekraft dahingehend haben, ob ein Unternehmen gut oder schlecht aufgestellt ist. Mir sind zwei qualitativ hochwertige Hinweise lieber als zehn, mit denen niemand etwas anfangen kann.“ Für sie und ihr Team hat sich herauskristallisiert, dass im Wesentlichen für die Compliance-Organisation drei Arten von Key Performance Indikatoren benötigt werden: diejenigen, die den Fortschritt der Umsetzung messen, solche, die die Wirkung des Compliance Management Systems (CMS) erfassen und diejenigen zur Messung des Ressourceneinsatzes. Was die Darstellung angeht, sind mehrseitige Berichte geblieben, allerdings mit einer Ergänzung: Der visuellen Darstellung der Daten dient ein Dashboard. Das CMS wurde entlang des Wirtschaftsprüfungsstandards IDW PS 980 aufgebaut. Aktivitäten zur fortlaufenden Weiterentwicklung und Anpassung des CMS werden den sieben Elementen des IDW zugeordnet und der Status des Systems transparent gemacht. Auf einen Blick erkennen Empfänger anhand der graphischen Darstellung und des Ampelsystems, wo Nachbesserungsbedarf besteht. „Berichterstattung hat immer auch mit Entlastung zu tun“, sagt Sonja Geiß. „Das ist ein schmaler Grat, einerseits möchte ich möglichst vollständig dokumentieren, andererseits aber auch keinen Overload verursachen. Und ich möchte für zu ergreifende Maßnahmen die notwendige Rückendeckung bekommen.“ Essenziel für das Compliance-Department ist die Kommunikation. Damit ist nicht nur diejenige gegenüber den Führungskräften gemeint, sondern gerade auch die gegenüber den Mitarbeitenden. Bei der Deutschen Flugsicherung unterscheiden sich von den einfacher zu erreichenden Verwaltungsmitarbeitern die operativ Tätigen, also in erster Linie Lotsen und Flugsicherungstechniker. „Diese sind hochqualifizierte, sehr selbstständige Menschen, die sehr schnell Entscheidungen treffen müssen“, so Geiß. „Da müssen wir sehr intensiv darüber nachdenken, welche Compliance-Themen für sie wichtig sind und wie wir die am besten ansprechen.“ Eine Idee ist, unterschiedliche Formate zu etablieren, die einen erhalten gängige Schulungen, andere eher Briefings. Bereits bewährt hat sich eine Serie von Video-Interviews mit einer Länge von jeweils maximal drei Minuten. „Es kommt uns entscheidend darauf an, die Mitarbeitenden zu sensibilisieren. Das ist wichtiger als permanente Kontrollen. Letztere werden automatisch weniger, wenn die Compliance-Awareness hoch ist.“ Was kommt als nächstes? „Compliance ist ein lebendiger Bereich, der ständig im Wandel ist. Daher kommen auch die KPI und deren Dokumentation spätestens bei Abschluss des nächsten Berichtszyklus auf den Prüfstein.“ Weiter ausdehnen wird das Compliance Office die enge Zusammenarbeit mit anderen Themenverantwortlichen aus den Bereichen Korruptionsprävention, Exportkontrolle und Zoll, Kartellrecht oder Datenschutz. Insofern soll der operative Part der Compliance- Arbeit auf viele Schultern verteilt bleiben.
Die drei KPI-Arten in der Compliance
(keine abgeschlossene Aufzählung, beispielhaft)
A. Fortschritt der Umsetzung – Output des CMS
• Teilnahmequote Schulungen
• Anzahl von Beratungsfällen pro Zeitraum
• Anzahl von Hinweisen pro Zeitraum
B. Wirkung des CMS
• Fallzahlentwicklung von Compliance-Verstößen
• Meldungen im Hinweisgebersystem
• Ergebnisse von Mitarbeitendenbefragungen
• Feststellungen der Internen Revision zur Integrität der Organisation
C. Ressourceneinsatz im Verhältnis zu erzeugten Dienstleistungen oder prozessleistungsbezogene Kennzahlen
• Compliance Full Time Equivalent pro 1.000 Mitarbeitende
• Durchschnittliche Genehmigungsdauer
• Anteil abgeschlossener Ermittlungen bezogen auf plausible Hinweise
Ideen für ein Compliance-Dashboard
Es bietet einen konsistenten Überblick über jeweils relevante Kennzahlen. Die Zielgruppenorientierung mündet in der Visualisierung von Daten, die für die Beantwortung spezifischer Fragestellungen relevant sind.
• Anzahl erhaltener Hinweise
• Status des Hinweises: Vorfall bestätigt? Verstoß festgestellt?
• Adressaten der Vorfallmeldungen
• Schulungsmaßnahmen (Teilnehmerzahlen; erfolgreich absolviert?)
• Art und Anzahl der Compliance-Anfragen (z.B. zum Umgang mit Geschenken)
• CMS-Maßnahmenstatus (zur Weiterentwicklung des CMS)
Alexander Pradka
