Non-Compliance-Kosten stellen für Unternehmen weltweit ein signifikantes finanzielles Risiko dar. Eine Studie des Ponemon Institute aus dem Jahr 2021 beziffert den durchschnittlichen Anstieg dieser Kosten auf 45% über das letzte Jahrzehnt. Doch die wahren Kosten von Non-Compliance gehen weit über unmittelbaren finanziellen Aufwand hinaus. Sie manifestieren sich in der Erosion des Vertrauens von Kunden, Investoren und der Öffentlichkeit – ein Verlust, der sich meist nur schwer in Zahlen ausdrücken lässt. Paul McNultys Ausspruch „If you think compliance is expensive, try non-compliance“ gilt daher nach wie vor als zentrales Argument für die Investition in Complianceorganisationen.
Gleichzeitig steigen durch eine Vielzahl regulatorischer Eingriffe der Complianceaufwand und der Investitionsdruck, während sich die anhaltend herausfordernde konjunkturelle Lage in allgemeinem Kostendruck auf Complianceorganisationen niederschlägt, wie zum Beispiel der „2023 Cost of Compliance Report“ von Thompson Reuters (siehe hier) aufzeigt. Diese Kombination verstärkt Konsolidierungseffekte in Organisationen und erhöht die Notwendigkeit, auch im Complianceumfeld Synergien zu erschließen. Der Trend zum resilienten Unternehmen legt es dabei nahe, zunächst die Schnittstellen zu anderen Managementsystemen zu beleuchten. Im Zuge der strategischen Planung braucht es daher zwei parallele Ansätze: die Synergien im Unternehmen bei kostenintensiven Non-Compliance-Vorfällen bereits frühzeitig zu identifizieren und gleichzeitig in immer häufiger auftretenden Krisensituationen Compliance sicherzustellen, damit diese nicht weiter eskalieren.
Compliance und Krisenmanagement – geht das?
Bereits ein einzelner schwerwiegender Complianceverstoß besitzt das Potential, zu einer ernsthaften Krise zu eskalieren. Ob es sich um Datenschutzverletzungen, Korruptionsskandale oder Verstöße gegen Umweltvorschriften handelt, schnell stehen nicht nur Bußgelder oder die persönliche Haftbarkeit von Einzelpersonen im Raum, sondern auch die Reputation des Unternehmens oder – in besonderen Fällen – die Marktfähigkeit ganzer Produktfamilien oder die Funktion einzelner Geschäftsbereiche. Dazu kommen in der Regel signifikante Kosten für die Aufarbeitung, beispielsweise durch Datensicherung, interne Untersuchungen oder Rechtsstreitigkeiten. Die Kombination dieser Faktoren schafft häufig eine Situation, die das Unternehmen bedroht und „eine strategische, anpassungsfähige und schnelle Reaktion erfordert, um die Existenzfähigkeit und Integrität […] zu erhalten“ (ISO 22361:2022, Ziffer 3.2). Ist diese gegeben, reichen die Fähigkeiten und Ressourcen der Complianceorganisation meist nicht aus, der Krisensituation auf allen Ebenen adäquat zu begegnen; spezialisierte Krisenmanagementteams müssen gegebenenfalls hinzugezogen werden.
Eine solche Situation kann jedoch neben Compliance auch durch andere Faktoren ausgelöst werden – seien es Naturkatastrophen, Cyberangriffe, geopolitische Verwerfungen oder der Verlust von Schlüsselpersonal. Da solche strategischen Herausforderungen meist nicht in klar definierte Prozesse zu fassen sind, erfordert ein effektives Krisenmanagement und – anders als operative Fähigkeiten wie beispielsweise Business Continuity oder Notfallmanagement – kaum detaillierte Reaktionspläne. Vielmehr sind Strukturen und Rahmenbedingungen notwendig, in denen schnelle Entscheidungen über Geschäftsbereiche hinweg getroffen werden können – in der Regel außerhalb etablierter Entscheidungswege.
In einem einmal aktivierten Krisenstab kann es passieren, dass Verantwortliche Compliancebedenken schnell beiseite wischen. Den Satz „Dafür haben wir jetzt keine Zeit, wir müssen erst mal sicherstellen, dass das Geschäft überhaupt wieder läuft“ habe ich als externer Krisenmanager in Krisenstäben bereits häufig gehört.
Gerade bei Großschadenslagen oder gefährdeten Menschenleben kommt der complianceorientierten Aufarbeitung aufgrund des besonderen öffentlichen Interesses gestiegene Bedeutung zu – während in anderen Szenarien Complianceverstöße in der Krisenbewältigung die Dauer und die Kosten der Reaktion signifikant erhöhen.
Complianceverantwortliche sollten daher ihre Systeme und Prozesse kritisch hinterfragen: Sind wir wirklich bereit für eine Krise? Sind die Krisenmanagementfähigkeiten unserer Organisation ausreichend ausgeprägt? Und was sind die wichtigsten Stolpersteine?
Herausforderung 1: Compliance- vs. Krisenmanagementkultur
Konzeptionell erfordern sowohl das Compliance- (CMS) als auch das Krisenmanagementsystem (KMS) ein starkes Mandat und das Engagement des Top-Managements, um die Systeme wirksam zu implementieren und eine unterstützende Kultur zu etablieren. Beide Systeme betonen die Bedeutung von Risikobewertung und -management, wobei sich das CMS auf Compliancerisiken und das KMS auf Krisenrisiken konzentriert.
Der Unterschied zwischen Compliance- und Krisenmanagementsystem zeigt sich vor allem in der unterschiedlichen Ausgestaltung und in den prägenden Verhaltensnormen. Im Gegensatz zu einem im Charakter eher präventiv geprägten CMS fokussiert sich ein KMS auf die pointierte Reaktion und Adaption. In KMS geht es daher – anders als im CMS – nicht um robuste Prozesse, sondern um größtmögliche Flexibilität und Entscheidungsfreude; der Leitsatz „Besser eine schlechte Entscheidung als gar keine“ ist ein oft zitiertes Mantra im Rahmen vieler Krisenstabsübungen.
Auch wenn beide Kulturen das übergeordnete Ziel verfolgen, Schaden von der Organisation abzuwenden, konkurrieren im Spannungsfeld von Krisenmanagement und Compliance unterschiedliche Mindsets. Das zeigt sich nicht zuletzt in der unterschiedlichen Ausgestaltung der entsprechenden Standards: Während CMS typischerweise sieben detaillierte Elemente umfassen (vgl. IDW PS 980: Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung und Verbesserung), finden im KMS nur die eher grob strukturierten Elemente Führung, Struktur, Kultur und Kompetenz Niederschlag (vgl. ISO 22361).
Zusätzlich verstärkt wird der Konflikt zwischen den unterschiedlichen Kulturen durch den Wettbewerb um Budgets und Zeitfenster für präventive Arbeit: Sowohl Compliance als auch Krisenmanagement werden oft als „notwendiges Übel“ akzeptiert. Die theoretisch mögliche Unterscheidung zwischen Prävention und Reaktion verschwimmt in der Praxis: Die Vorbereitung auf den Krisenfall, beispielsweise durch Awareness-Trainings und regelmäßige Übungen, aber auch durch Krisenfrüherkennung, stellt häufig den größeren (Kosten-)Aufwand dar, solange keine akute Krise eintritt.
Daraus ergibt sich die erste Herausforderung am Schnittpunkt von Compliance und Krisenmanagement: Wie können die verschiedenen Kulturen und Mindsets sinnvoll miteinander verbunden und Ressourcen sinnvoll allokiert werden?
Herausforderung 2: Compliance des Krisenmanagementsystems
Complianceorganisationen unterliegen einer Vielzahl regulatorischer Anforderungen – und ebenso klaren Prüfungs- und Bewertungskriterien. Die Effektivität der Compliancemaßnahmen lässt sich indirekt aus der Anzahl der Complianceverstöße verglichen mit einer Basisgröße ableiten.
Für das Krisenmanagement trifft dies nicht zu. Zahlreiche gesetzliche und regulatorische Vorgaben sehen zwar die Verpflichtung von Unternehmen zur Einrichtung eines Krisenmanagements und teils auch die persönliche Haftbarkeit von Geschäftsführern im Falle unzureichender Maßnahmen vor [vgl. unter anderem Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG), Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie), Digital Operational Resilience Act (DORA), Critical Entities Resilience Directive (CERD)], ein konkreter Prüfungsstandard oder eine gesetzliche Grundlage zur Ausgestaltung eines KMS bestehen jedoch nicht. Damit wird einerseits der strategischen Handlungsfreiheit von Unternehmen Rechnung getragen, andererseits ergibt sich durch unkonkrete Vorgaben ein schwer kalkulierbares und schwer vergleichbares Risiko.
Zudem sind Krisen in der Regel unvorhersehbar und nicht klar umrissen, eine Messung analog zum CMS anhand verhinderter Krisen ist daher ausgeschlossen.
Daraus ergibt sich die zweite Herausforderung: Wie kann sichergestellt werden, dass die eigenen Krisenmanagementbestrebungen ausreichen und die regulatorischen Vorgaben erfüllen?
Aktive Rolle der Compliance im Krisenmanagement
Die vorstehenden Herausforderungen zeigen, dass sich Complianceverantwortliche aktiv in den Ausbau und die Verfeinerung von Krisenmanagementstrukturen einbringen sollten, um die ganzheitliche Resilienz ihres Unternehmens zu stärken. Die effektive Handhabung von durch Non-Compliance ausgelösten Krisen erfordert ein Zusammenspiel eines robusten Compliancemanagements und eines dynamischen Krisenmanagements, um schnell und flexibel auf komplexe Situationen reagieren zu können. Dabei ist es entscheidend, dass Compliancestandards auch in Krisenzeiten Bestand haben und rechtliche wie auch regulatorische Anforderungen konsequent erfüllt werden.
Die Stärkung einer gemeinsamen Kultur der Resilienz ist das erste entscheidende Element für das Gelingen der Integration von Präventions- und Reaktionsstrategien, die sowohl auf die Vermeidung von Complianceverstößen als auch auf die effektive Bewältigung von Krisen ausgerichtet sind. Resilienz als übergeordnetes Konzept fördert eine Atmosphäre, in der die Vermeidung disruptiver Ereignisse und die Bedeutung schneller Reaktionsfähigkeit von allen Mitarbeitenden verstanden und gelebt werden, und löst dabei die scharfen Grenzen zwischen der Kultur einzelner Managementsysteme auf. Die Orientierung an strategischen Unternehmenszielen und der grundlegenden Widerstandfähigkeit des Unternehmens ist dabei Kern einer Kultur der Resilienz und überbrückt ein in der Breite möglicherweise fehlendes Verständnis für andere Funktionen. Sie ist somit die Grundlage für eine proaktive Risikominderung und Krisenbereitschaft.
Die Messbarmachung von Krisenmanagementfähigkeiten ist das zweite entscheidende Instrument für die weitere Integration beider Disziplinen. Ein Rahmenwerk, das auf den Leitlinien der ISO 22361 basiert und durch quantitativ erhobene Daten aus Krisen(stabs)übungen und realen Vorfällen ergänzt wird, schafft eine fundierte Grundlage für die Risikoanalyse aus Compliancesicht. Diese Daten bieten wertvolle Einblicke in die Effektivität der Krisenreaktion und die Schnelligkeit der Wiederherstellung von compliancekonformen Operationen. Die etablierte Datenbasis erlaubt es einerseits, den Reifegrad des Krisenmanagements kontinuierlich und systematisch zu überwachen und weiterzuentwickeln, und andererseits, die Konformität mit regulatorischen Anforderungen zu bewerten und zu dokumentieren.
In der Gesamtschau auf die strategische und organisatorische Resilienz, die von der Integration verschiedener Funktionen profitiert, entsteht so eine belastbare Basis für Investitionsentscheidungen; Synergien in den Managementsystemen werden sichtbar und erlauben eine kosteneffiziente Ressourcenallokation. Complianceverantwortliche können diese Integration maßgeblich vorantreiben und sich als treibende Kraft für die Entwicklung von Krisenmanagementstrukturen und die Steigerung der Unternehmensresilienz positionieren – damit das Unternehmen nicht nur auf Krisen reagieren, sondern gestärkt daraus hervorgehen kann.
Autor
Jakob Großehagenbrock
EY GmbH & Co. KG Wirtschaftsprüfungsgesellschaft, Nürnberg
Senior Manager | Forensic & Integrity Services
(Crisis Management & Resilience)
jakob.grossehagenbrock@de.ey.com
de.ey.com/eyforensics
