Ohne Regeln geht es nicht. Nicht im Sport, nicht in der Schule, nicht in der Gesellschaft. Ohne Gesetze, Regelungen oder andere Vorkehrungen gibt es keine – extern bedingten oder intern definierten – Rahmenbedingungen, denen der Mensch folgen kann und soll. Ohne Regeln herrscht das Chaos – Thomas Hobbes‘ Denkmodell des Naturzustands lässt grüßen. Gerade in der schnelllebigen Ära der Digitalisierung sind regulatorische „Anker“ besonders wichtig. Der Mensch als soziales Wesen sucht für gewöhnlich auch Regelungen in seinem gesellschaftlichen Handeln, Ausnahmen bestätigen die Regel (!).
Und auch bei der Führung eines Unternehmens bzw. einer Organisation geht es nicht ohne Regeln. Zum Teil weil diese gesetzlich bedingt sind, zum Teil als ethische Richtlinien für ein verantwortungsvolles Handeln.
Compliance im Kontext moderner Unternehmensführung
Compliance steht im Organisationsalltag normalerweise nie für sich allein. Kein Wunder, denn betriebswirtschaftlich relevante Entscheidungen bestehen oft aus miteinander verzahnten Einzelbeschlüssen, mit jeweils eigenen Abwägungen von Für und Wider. Meist hat man kurzfristig realisierbare Aspekte wie Kosteneinsparungen im Blick, ist dadurch aber nicht flexibel genug für die Berücksichtigung langfristiger Markttendenzen. Governance, Riskmanagement und Compliance (GRC) bilden einen konzeptionellen Bezugsrahmen für sämtliche betriebliche Handlungs- und Gestaltungsebenen.
Governance bezeichnet die Führung und Steuerung eines Unternehmens oder einer Organisation durch vorab definierte Richtlinien. Sie umfasst die Festlegung, Umsetzung und Überwachung von Zielsetzungen sowie dazu benötigter Ressourcen und erleichtert das Management des Unternehmens.
Riskmanagement hingegen thematisiert den Umgang mit bekannten und unbekannten Risiken aller Art. Neben der Ermittlung und Analyse unmittelbarer Bedrohungen widmet es sich auch der Planung von Strategien zur Minimierung zukünftiger Gefährdungen sowie der Umsetzung von Maßnahmen beim Risikoeintritt.
Compliance schließlich umfasst die Berücksichtigung und Einhaltung sämtlicher Richtlinien zur regelkonformen Führung eines Unternehmens oder einer Organisation. Sie bezieht sich auf das Erfüllen rechtlicher Rahmenbedingungen und schließt auch unternehmensinterne Vorgaben zur Normierung des Umgangs mit Informationen mit ein.
Was ist Compliance?
Beim Thema Compliance muss stets die Frage nach Verantwortlichkeit und Nachweisbarkeit einer Entscheidung berücksichtigt werden: Wer ist verantwortlich für eine Entscheidung und wie lässt sich eine Entscheidung nachweisen? Eine Compliance-Definition wie die obige zeigt: für Organisationen geht es also um Schaffung eines organisatorischen Regelwerks im Sinne einer Corporate Compliance, um die Einhaltung von – externen wie internen – Richtlinien zu gewährleisten. Macht man das nicht, verstößt man man mit großer Wahrscheinlichkeit gegen interne normative Vorgaben zur Regelkonformität oder – meist noch schlimmer – gegen Gesetze. Ein solcher Verstoß wird üblicherweise – und nicht überraschend, sonst käme wieder Hobbes‘ Naturzustand ins Spiel – mit finanziellen oder anderweitigen Sanktionen „quittiert“. Bei schwerwiegenden Verstößen kann eine solche Compliance-Missachtung noch weitere schwere Folgen mit negativen Auswirkungen haben, etwa Reputations- und Image-Schäden.
Compliance umfasst die Berücksichtigung und Einhaltung sämtlicher Richtlinien zur regelkonformen Führung eines Unternehmens oder einer Organisation. Sie bezieht sich auf das Erfüllen rechtlicher Rahmenbedingungen und schließt auch unternehmensinterne Vorgaben zur Normierung des Umgangs mit Informationen mit ein.
Die Gesamtheit der Strategie zur Einhaltung gesetzlicher Vorgaben und interner Richtlinien wird für gewöhnlich in einem Compliance Management System festgehalten. Compliance Management kommt ins Spiel, wenn man Verstößen gegen das eigene Regelwerk und gesetzlichen Vorgaben kurz-, mittel- und langfristig aus dem Weg gehen möchte. Ein solches strategisches Vorgehen – oft auch „personifiziert“ in der Rolle eines Compliance Managers oder Compliance Officers – ist häufig präemptiv und/oder präsentiv konzipiert. Es geht dabei nicht nur um das Aufstellen und Befolgen von internen Richtlinien und die Konformität mit der Gesetzgebung, sondern auch darum, die eigenen Mitarbeiter entsprechend zu informieren und zu schulen, damit Verstöße und Haftungsrisiken proaktiv vermieden werden können.
Compliance und Informationsmanagement
Um den regelkonformen Umgang (hier spricht man häufig auch davon, dass etwas „compliant“ ist) mit Informationen in Organisationen zu gewährleisten, hat sich insbesondere das sogenannte Records Management als Teil einer Informationsmanagement-Technologie etabliert. Darunter versteht man in der Regel:
Records Management ist die effiziente und systematische Kontrolle der Erstellung, Entgegennahme, Verwaltung, Verwendung und Verbleib von Aufzeichnungen, einschließlich der Prozesse zur Erfassung und Aufbewahrung von Nachweisen und Informationen über geschäftliche Aktivitäten und Transaktionen in Form von Aufzeichnungen.
Record-Management-Technologie – in Kombination mit der digitalen Archivierung – gewährleistet die nachhaltige Sicherung von Informationen, sodass diese verfügbar, interpretierbar, authentisch und vollständig sind. Records Management macht Informationsflüsse transparent und zeichnet Ereignisse auf, um die für das Compliance Management nutzen und belegen zu können.
Verantwortlichkeit & Nachweisbarkeit im digitalen Wandel
Das Problem des deutschsprachigen Verständnisses von Records Management ist: Ein Record wird sehr oft mit einem Dokument gleichgestellt. Kein Wunder, denn in der Vergangenheit fanden beim Compliance-konformen Umgang mit einem solchen Record in der Regel dokumentorientierte Technologien Anwendung. Und auch die geltende Gesetzgebung bezieht sich bei der Aufzeichnung einer geschäftlichen Transaktion größtenteils auf die Archivierung von Dokumenten.
Doch reicht dieses Verständnis heute alleine und ohne „lebendigen“ Kontext wirklich noch aus? Denn: Bei jeder relevanten Entscheidung müssen aus Compliance-Sicht stets zwei zentrale Fragen beantwortet werden: Wer ist für den Beschluss verantwortlich und wie lässt sich eine Entscheidung langfristig nachweisen? Um diese Fragen zu beantworten und nachweisen zu können, dass die anwendbaren Gesetze und Vorschriften befolgt wurden, muss eine Organisation immer in der Lage sein, den Status eines Informationsobjekts in einer bestimmten Transaktion zu einem bestimmenden Zeitpunkt darzustellen.
Wir leben jedoch in einem hochdynamischen Zeitalter; die fortschreitende Digitalisierung hat demnach auch Einfluss auf Compliance-Konformität einer Organisation. Welche Rolle spielen die Faktoren Gesellschaft, Technologie, Business und Recht aus Sicht der Compliance? Und benötigen wir nicht viel eher ein neues Verständnis von Compliance, das nicht ausschließlich dokumentenorientiert, sondern kontinuierlicher ist?
