Was ist die Rolle eines Chief Compliance Officers?

Compliance hat ein Imageproblem. Die meisten Menschen verbinden es mit Audits, dichten Richtliniendokumenten und obligatorischen Schulungen, an denen niemand teilnehmen möchte. Aber schauen Sie sich jedes Unternehmen an, das ein schwerwiegendes regulatorisches Versagen oder einen Ethikskandal vermieden hat, und Sie werden in der Regel einen Chief Compliance Officer finden, der dieses Ergebnis ermöglicht hat.

Was beinhaltet diese Rolle eigentlich und warum ist sie zu einer der wichtigsten Positionen in modernen Organisationen geworden?

‍

Kernaufgaben eines Chief Compliance Officers

Bevor wir auf die Nuance eingehen, ist hier, was die Rolle normalerweise abdeckt:

• Aufbau und Pflege des Compliance-Programms: die Richtlinien, Verfahren und Kontrollen, die regeln, wie die Organisation im Rahmen der Gesetze arbeitet
• Überwachung regulatorischer Änderungen: neue Gesetze verfolgen und herausfinden, was sie für das Unternehmen bedeuten, bevor sie zu einem Problem werden
• Überwachung interner Berichtskanäle: sicherzustellen, dass Mitarbeiter eine sichere und zugängliche Möglichkeit haben, Bedenken zu äußern, und dass diese Bedenken tatsächlich umgesetzt werden
• Leitende Untersuchungen: Wenn ein potenzieller Verstoß auftaucht, ist der CCO dafür verantwortlich, herauszufinden, was passiert ist, und zu entscheiden, was dagegen zu tun ist
• Beratung des Vorstands und der Geschäftsleitung: Übersetzung von Compliance-Risiken in eine Sprache, auf die Entscheidungsträger reagieren können
• Verwaltung regulatorischer Beziehungen: dient als Ansprechpartner der Organisation bei Prüfungen, Anfragen oder Durchsetzungsmaßnahmen
• Lauftraining und Sensibilisierungsprogramme: Stellen Sie sicher, dass Mitarbeiter auf allen Ebenen verstehen, was von ihnen erwartet wird
• Erfassung von Kulturkennzahlen: Überwachung des Berichtsvolumens, der Fallkategorien und der Lösungszeiten, um einen Überblick darüber zu erhalten, wo das Unternehmen gesund ist und wo nicht

Das ist die Version der Stellenbeschreibung. Die Realität ist chaotischer und interessanter.

Was ein CCO eigentlich macht

Die formale Definition ist einfach: Ein Chief Compliance Officer stellt sicher, dass die Organisation die Gesetze, Vorschriften und internen Richtlinien einhält, die ihre Geschäftstätigkeit regeln. Was das in der Praxis bedeutet, hängt stark von der Branche, der Größe des Unternehmens und davon ab, wie ernst die Führung die Funktion nimmt.

Im Kern ist der CCO Eigentümer des Compliance-Programms. Das ist die Kombination aus Richtlinien, Schulungen und Kontrollen, die den Mitarbeitern hilft zu verstehen, was sie tun dürfen und was nicht. Sie verfolgen regulatorische Änderungen, ermitteln, wo das Unternehmen gefährdet ist, und arbeiten in den Bereichen Recht, Personal, Finanzen und Betrieb zusammen, um Lücken zu schließen, bevor eine Aufsichtsbehörde dies für sie tut.

Und wenn etwas schief geht (durch einen internen Bericht, eine Auditfeststellung oder eine behördliche Untersuchung), leitet der CCO die Reaktion.

Wo der CCO in der Organisation sitzt

Dies ist eine der umstrittensten Fragen im Bereich Compliance. Einige Organisationen unterstellen den CCO dem General Counsel. Andere lassen sie direkt an den CEO oder den Vorstand berichten.

Es ist wichtiger als es scheint. Ein CCO, der dem General Counsel unterstellt ist, kann in eine unangenehme Lage geraten: Die Aufgabe der Rechtsabteilung besteht darin, das Unternehmen zu schützen, während die Compliance-Abteilung darin besteht, sicherzustellen, dass es sich rechtmäßig und ethisch verhält. Diese Ziele weisen in der Regel in dieselbe Richtung. Nicht immer.

In den letzten zehn Jahren ging der Trend hin zum direkten Zugang zum Vorstand. Die Aufsichtsbehörden erwarten zunehmend, dass CCOs wirklich unabhängig sind. Ein CCO, der Bedenken an jemanden weiterleiten muss, der am Ergebnis beteiligt ist, ist nicht wirklich unabhängig, was auch immer das Organigramm sagt.

Die CCO- und Speakup-Kultur

Die Schaffung der Bedingungen, unter denen Menschen Bedenken tatsächlich melden können, ist einer der schwierigsten Teile der Arbeit. Und einer der wichtigsten.

Menschen melden kein Fehlverhalten aus vorhersehbaren Gründen: Angst vor Vergeltungsmaßnahmen, Zweifel, dass etwas passieren wird, oder einfach nicht wissen, wohin sie gehen sollen. Die Einrichtung einer Meldehotline löst das nicht. Was die Gleichung verändert, ist echte psychologische Sicherheit, der Glaube (gestützt durch Erfahrung), dass es sicher ist und irgendwohin führt, wenn man Bedenken vorbringt.

Das stellt die Arbeit des CCO in den Mittelpunkt der Organisationskultur. Das technisch anspruchsvollste Compliance-Framework der Welt fällt auseinander, wenn die Mitarbeiter dem Prozess nicht vertrauen. Fehlverhalten, das nicht gemeldet wird, bleibt unsichtbar, bis es zu einem öffentlichen Problem wird.

Deshalb arbeitet der CCO mit der Personalabteilung, den Vorgesetzten und der Geschäftsleitung zusammen, um die Berichtskanäle zugänglich, vertraulich und wirklich genutzt zu machen. Sie beobachten die Zahlen: wie viele Berichte eingehen, worum es in ihnen geht, wie lange es dauert, bis Fälle abgeschlossen sind. Diese Daten verraten Ihnen Dinge über die Unternehmenskultur, die in Umfragen oft übersehen werden.

Der regulatorische Druck lässt nicht nach

Die Rolle des CCO hat in den letzten zwei Jahrzehnten aus einem einfachen Grund an Bedeutung gewonnen: Die Kosten für eine falsche Einhaltung der Vorschriften sind gestiegen.

Die Aufsichtsbehörden in den Bereichen Finanzdienstleistungen, Gesundheitswesen, Datenschutz und Bestechungsbekämpfung sind aktiver als noch vor einer Generation. Die Bußgelder sind höher. Durchsetzungsmaßnahmen sind öffentlich. Führungskräfte können persönlich haftbar gemacht werden. Der Reputationsschaden eines Compliance-Verstoßes übersteigt oft die finanzielle Sanktion.

Die EU-Whistleblowing-Richtlinie schreibt nun vor, dass Unternehmen mit 50 oder mehr Mitarbeitern über formelle interne Meldekanäle verfügen müssen. Das ist eine Compliance-Verpflichtung, die in der Regel dem CCO obliegt, und dafür ist eine echte Infrastruktur erforderlich. Ein irgendwo hinterlegtes Policy-Dokument zählt nicht.

Was unterscheidet einen guten CCO von einem, der ein Kästchen ankreuzt

Der CCO, der wirklich einen Mehrwert bietet, ist nicht derjenige mit den meisten Richtlinien oder der höchsten Abschlussquote an Schulungen. Er ist derjenige, der dafür sorgt, dass sich die Einhaltung der Vorschriften für die Mitarbeiter, die tatsächlich arbeiten, relevant anfühlt.

Das bedeutet, Vorschriften ins Klartext zu übersetzen. Entwicklung von Prozessen, die leicht zu befolgen und nicht nur rechtlich vertretbar sind. Sichtbarkeit in der Organisation (nicht nur durch das Überprüfen von Berichten aus einem Eckbüro), damit die Mitarbeiter wissen, wer der CCO ist und wofür er da ist.

Es bedeutet auch, bereit zu sein, der Führung unbequeme Dinge zu sagen. Ein CCO, der dem Vorstand nur das sagt, was er hören möchte, übt keine Compliance-Funktion aus. Sie veranstalten eine Aufführung von einem.

Compliance und Ethik sind nicht dasselbe

Compliance sagt Ihnen, was Sie tun müssen. Die Ethik sagt Ihnen, was Sie tun sollten. Ein CCO, der nur über die erste Frage nachdenkt, kann eine Organisation technisch gesehen auf der rechten Seite des Gesetzes halten, während sich die Kultur leise verschlechtert.

Die CCOs, die die Arbeit gut machen, stellen beide Fragen gleichzeitig. Sie sind nicht nur Hüter des Regelwerks. Sie fragen, ob die Organisation tatsächlich die Art von Unternehmen ist, für die sie sich ausgibt. Das bedeutet, dass die relevante Frage oft nicht lautet: „Ist das erlaubt?“ Es ist „ist das richtig?“

Wenn Sie eine Compliance-Funktion aufbauen oder überprüfen

Ein paar Dinge, die wichtiger sind als die meisten anderen:

Unabhängigkeit. Der CCO muss in der Lage sein, Bedenken zu äußern, ohne dass das Ergebnis von der Person, über die er Bedenken äußert, verwaltet wird. Wenn die Struktur das nicht zulässt, ist die Funktion dekorativ.

Ressourcen. Compliance-Programme sind im Verhältnis zu dem Risiko, das sie eigentlich bewältigen sollten, routinemäßig zu wenig mit Ressourcen ausgestattet. Ein CCO ohne ausreichendes Team, Tools oder Budget wird zum Scheitern verurteilt, und das wird irgendwann sichtbar scheitern.

Technologie. Fallverfolgung, Berichtskanäle, Verteilung von Policen, Abschluss von Schulungen: Dies läuft auf Software in jeder sinnvollen Größenordnung. Tabellenkalkulationen und E-Mail-Threads sind kein Compliance-Programm.

Ton von oben. Das CCO kann ein starkes Programm erstellen. Wenn die Unternehmensleitung die Einhaltung als Hindernis und nicht als Verpflichtung betrachtet, wird das Programm unterdurchschnittlich abschneiden. Dies ist der Faktor, der am schwersten zu kontrollieren ist und der am stärksten ins Gewicht fällt.

Die Rolle sieht in jeder Organisation anders aus

Keine zwei Rollen als Chief Compliance Officer sind gleich. Im Finanzdienstleistungs- oder Pharmabereich kann der CCO ein großes, engagiertes Team leiten und in der Geschäftsleitung sitzen. In einem kleineren Unternehmen oder einem weniger regulierten Sektor könnte derselbe Titel jemanden beschreiben, der auch Rechts-, Risiko- oder Personalaufgaben wahrnimmt.

Umfang, Dienstalter und Struktur ändern sich je nachdem, wie groß das Unternehmen ist, in welchem regulatorischen Umfeld es tätig ist, welche Märkte es bedient und wie ernst die Unternehmensleitung Compliance als Funktion nimmt.

Wenn Sie also für die Stelle Mitarbeiter einstellen, sie übernehmen oder herausfinden, wie sie in Ihr Unternehmen passt: Die Stellenbeschreibung ist nur ein Ausgangspunkt. Was der CCO tatsächlich kann und wie viel Spielraum er hat, um es richtig zu machen, wird von allem, was ihn umgibt, geprägt.