Die Kunst gute Richtlinien zu schreiben – von der abstrakten (Rechts-)Vorschrift zur konkreten Handlungsanweisung

Was ist der Nutzen von internen Richtlinien?

Warum entscheiden sich Organisationen interne Richtlinien zu verfassen, die dann noch kommuniziert, regelmäßig evaluiert und gegebenenfalls überarbeitet werden müssen?

Das hat mehrere gute Gründe. Eine Antwort sollte lauten: „Wir wollen es den Beschäftigten so einfach wie möglich machen, sich richtig zu verhalten.“ Dazu können interne Richtlinien tatsächlich einen wesentlichen Beitrag leisten. Beispielsweise sind rechtliche Vorgaben vielfach für Laien schwer verständlich oder selbst für Experten unklar. Wie oft haben wir etwa im Zuge der Umsetzung der EU-DSGVO vom Gesetzgeber auf konkrete Fragen die Antwort bekommen: „Das müssen die Gerichte klären.“

Das ist freilich keine zufriedenstellende Antwort, aber die Organisationen mussten und müssen einen Weg finden, damit umzugehen. So einfach wie es sich der Gesetzgeber manchmal macht, so einfach ist das für die Normunterworfenen nicht. Die betroffenen Organisationen müssen Entscheidungen treffen und den Beschäftigten klare Antworten geben, wie sie ihre Aufgaben erledigen sollen.

Ein anderes Beispiel sind die Regeln zu Verhinderung von Korruption. Welche Einladungen und Geschenke sind zulässig? Wie gehen wir mit Sponsoring und Spenden um? Der Verweis auf die Rechtslage hilft den Beschäftigten nicht weiter. Ähnliches gilt für das Wettbewerbs-/ Kartellrecht.

Organisationen sind daher gut beraten, durch wohl überlegte interne Richtlinien einfache und klare Regeln festzulegen und zu kommunizieren, um einheitliches Verhalten, Sicherheit für die Beschäftigten sowie die Organisation und schließlich Effizienz zu erreichen. Denn es ist äußerst ineffizient, wenn häufig dieselben Fragen gestellt und die passenden Antworten (zusammen)gesucht werden müssen.   

Ein weiterer Aspekt, der für verbindliche interne Richtlinien spricht, ist die Möglichkeit die Reputation der Organisation zu pflegen. In Summe konstituieren und prägen die Organisationsvorgaben den sogenannten Corporate Conduct. Aus der Summe aller Handlungen entsteht das außerhalb der Organisation wahrnehmbare Corporate Behaviour, das Teil der Corporate Identity ist. Ein wertvolles Gut.

Für welche Themen sollte es interne Richtlinie geben?

Einem risikoorientierten Ansatz folgend, empfiehlt es sich mit jenen Risiken zu beginnen, die den größten Schadenserwartungswert aufweisen. Wer häufig mit Amtsträgern verhandelt und in einer Branche tätig ist die mit Zuwendungen grundsätzlich großzügig ist, sollte seinen Beschäftigten diesbezüglich klare Regeln zur Verfügung stellen. Wer gegenüber seinen wichtigsten Kunden die Einhaltung von Umweltschutzstandards zugesichert hat, ist gut beraten die Einhaltung dieser Vorschriften sicherzustellen. Welche Themen mit welcher Priorität behandelt werden müssen sollte im Rahmen eines Compliance Risk Assessments ermittelt werden.

Empfehlungen für die Erstellung von Richtlinien

Wenn Sie sich mit der Erstellung von internen Richtlinien für Ihre Organisation befassen, darf ich davon ausgehen, dass Sie bereits einen Verhaltenskodex haben oder zumindest gerade daran arbeiten. Dazu darf ich auf den hervorragenden Artikel „Schritt für Schritt zum „perfekten“ Verhaltenskodex“ von Jacqueline Mlinarcsik in Compliance Praxis 2019, 20 (Heft 3) verweisen.

  • Anders als im Verhaltenskodex sollten in einer Richtlinie nicht unterschiedlichste Themenfelder angesprochen werden. Vielmehr sollten in separaten Richtlinien konkrete Antworten auf Fragen zu einzelnen Risikofeldern zu finden sein.  
  • Richtlinien müssen sich an den Werten der Organisation und am Verhaltenskodex orientieren.
  • Alle Richtlinien sollten dem gleichen Aufbau folgen.
  • Eingangs sollten der Geltungsbereich, der Regelungsgegenstand und die Zielsetzung der Richtlinie kurz beschrieben sein.
  • Für Länge und Inhalte gilt: So viel wie nötig, so wenig wie möglich. Umfassende Dokumente mögen zwar auf den ersten Blick Staunen verursachen, sind aber selten zielführend.
  • Nehmen Sie sich Zeit, die Inhalte gut zu strukturieren.
  • Verwenden Sie einfache und klare Sprache, damit die Beschäftigten rasch wissen, wie sie sich verhalten sollen. An Rechtstexten angelehnte „Cover-my-Ass“-Passagen sollten vermieden werden, weil sie den Beschäftigten nicht nützen und im worst case die Glaubwürdigkeit der Compliance-Bemühungen in Zweifel ziehen. Auch Verweise auf Gesetzestexte sollten in der Regel vermieden werden. Die Richtlinie dient ja dazu, die relevanten Inhalte aus den Rechtsvorschriften in den Kontext der eigenen Organisation zu übersetzen.
  • Formulieren Sie so oft als möglich positiv und lösungsorientiert. So, dass den Beschäftigten aufgezeigt wird unter welchen Voraussetzungen konkrete Handlungen möglich sind. Ein echter Mehrwert gegenüber Rechtstexten.   
  • Für die eigene Organisation passende Beispiele können genutzt werden, um die Regelungen zu illustrieren und die Relevanz aufzuzeigen. Wenn Ihnen kein passendes Beispiel einfällt, sollten Sie den Inhalt der Regel nochmal überdenken.
  • Anders als im Verhaltenskodex, sollten Sie in Richtlinien mit Bildern zurückhaltend sein. Verwenden Sie Bilder, wenn Sie zum Verständnis beitragen oder dabei helfen die Inhalte der Richtlinie einzuprägen. Beispielsweise ein 100,– Euro-Schein, um die Wertgrenze für Zuwendungen zu veranschaulichen.
  • Am Ende der Richtlinie sollten die nötigen Begriffserklärungen angeführt sein.
  • Unverzichtbar sind außerdem eine eindeutige Bezeichnung der Richtlinien, die Nennung des Herausgebers bzw. Richtlinenverantwortlichen, Stand bzw. Version, Änderungshistorie und Verweis auf Bezug habende Dokumente.

Use Cases bilden die Probe aufs Exempel

Use Cases sind Modellfragen, die Sie nutzen können, um die Qualität Ihrer Richtlinien zu testen. Verwenden Sie konkrete Fragen Ihrer Beschäftigen und prüfen Sie, ob Sie rasch zur richtigen Antwort kommen. Falls nicht, sollten Sie nochmal gemeinsam mit den Beschäftigten am Inhalt der Richtline arbeiten.

Mehr dazu und zum Interactive Rule Modeling (IRM®) finden Sie unter https://www.rulebook.de/richtlinien-kommunikation/

Hier ein Beispiel eines Use Cases im inecos Compliance Guide, abgeleitet aus der Richtlinie zur Vermeidung von Korruption und Lösung von Interessenkonflikten:

Beispiel eines Use Cases aus dem inecos Compliance Guide.
Praxisbeispiel und Ergänzungen zum Use Case

Beitrag von Michael Nuster

Agile Arbeitsweisen und Compliance – wie passt das zusammen?

Agile Organisationen pflegen eine Unternehmenskultur die von den agilen Werten Commitment, Einfachheit, Feedback, Fokus, Kommunikation, Mut, Offenheit und Respekt geprägt ist. Werden diese Werte in der Organisation gelebt, führt dies zu gegenseitigem Vertrauen, was wiederum die Produktivität verbessert.

Konsequente Kundenorientierung und die Fähigkeit, gemeinsam, rasch und angemessen auf Veränderungen reagieren zu können, zeichnen agile Arbeitsweisen aus. Den Blick auf das definierte Ziel gerichtet, arbeiten cross-funktionale Teams Schritt für Schritt, ständig reflektierend und offen kommunizierend, um hochwertige Ergebnisse zu liefern. Das agile Mindset stellt dabei den Menschen in den Mittelpunkt.

Die Aufgabe von Ethics & Compliance Management ist es, zu gewährleisten, dass die Unternehmensstrategie unter Beachtung der gesetzlichen und regulatorischen Anforderungen und der sonstigen normativen Ansprüche der Stakeholder, wie Kunden, Investoren, Beschäftigten etc., umgesetzt werden kann. Damit werden die Risiken für finanzielle und rechtliche Probleme gemindert, die Reputation gestärkt und die Chancen, langfristig erfolgreich zu sein, erhöht. Compliance ist eine gemeinschaftliche Aufgabe, also „shared responsibility“ und keine Aufgabe, die einer bestimmten Person delegiert werden kann. Demzufolge ist Compliance Management eine echte Querschnittsmaterie und kann bestens auf den eingangs beschrieben Werte aufsetzen, um effektiv und effizient zu sein.

Wie agil Compliance Management sein bzw. agieren muss, wird durch die Organisation bzw. die Beschäftigten bestimmt. Sobald es agil arbeitende Teams in der Organisation gibt, muss Compliance jedenfalls schritthalten, um nicht den Anschluss zu verlieren.

Aber keine Sorge, agil denkende und handelnde Beschäftigte sind Teil der Lösung. Eine an den Werten Commitment, Einfachheit, Feedback, Fokus, Kommunikation, Mut, Offenheit und Respekt orientierte Kultur und ein agiles Mindset sind die beste Voraussetzung, um Compliance sicherzustellen. Die Beschäftigten werden auch in Sachen Compliance geeignete Angebote für ihr Empowerment gerne annehmen. Ungeeignete oder ineffiziente Compliance Maßnahmen werden im Sinne einer guten Feedback-Kultur rasch rückgemeldet. Compliance kann so in kurzen iterativen Schritten agil mit seinen Kunden gemeinsam passende Lösungen finden. Denn kurze, überschaubare Umsetzungszyklen mit konkreten Ergebnissen und der Möglichkeit des sofortigen Anpassens zeichnen agile Arbeitsweisen aus.

Eignen sich agile Methoden für Compliance Management und passt ein (formelles) Compliance Management System überhaupt in eine agile Organisation? Diese Fragestellung ist durchaus berechtigt. Treten doch Kontrollinstrumente in den Hintergrund und Transparenz und eine offene Diskussionskultur prägen die Organisation. Für die Entscheidungsfindung in Organisationen bedeute das, dass Entscheidungen dort getroffen werden, „wo das Wissen und nicht die disziplinarische Macht sitzt.“ Dennoch können agile Arbeitsweisen auch das Compliance Management bereichern.

Grundsätzlich ist festzuhalten, dass agile Methoden nicht für jede Aufgabe in der Organisation den gleichen Mehrwert liefern können. Wenn das Was klar definiert und weitgehend unveränderlich ist und auch das Wie bekannt und einfach umsetzbar ist, ist man mit klassischen Methoden und Prozessen gut beraten. In dynamischen, ständigen Veränderungen ausgesetzten, Bereichen empfiehlt es sich dagegen agile Frameworks anzuwenden, sofern das agile Mindset in der Organisation(seinheit) bereits verinnerlicht ist.

Risikoorientierung, Einfachheit und laufende Verbesserung sind unter anderem wichtige Prinzipien die sowohl für Agile als auch für Compliance Anwendung finden.  Durch die Zusammenarbeit in cross-funktionalen Teams, die offene Kommunikation und den Anspruch rasch Ergebnisse zu liefern, die laufend ausgebaut/ verbessert werden, sind Agile Frameworks, wie Scrum und Kanban, bestens für die Arbeit von Compliance-Teams geeignet und werden durch angemessene Dokumentation des Compliance Management Systems nicht behindert.  

Wie können Compliance-Kontrollen in agilen Organisationsformen effektiv umgesetzt werden, wenn Top-Down Kontrollen zugunsten von Selbstverantwortung und Respekt in den Hintergrund rücken? Zum einen fördert die Teamkultur mit einem kontinuierlichen Feedback und einem sofortigen Lerntransfer Möglichkeiten der sozialen Kontrolle. Zum anderen können durch ein automatisiertes und IT-gestütztes Monitoring wichtiger Geschäftsprozesse Red Flags und Compliance-Risiken frühzeitig erkannt werden und das agile Team und Compliance können darauf gemeinsam reagieren.

Bei agilen Arbeitsweisen geht es darum, rasch die ersten Ergebnisse und laufend Erweiterungen bzw. Verbesserungen zu liefern sowie die Stakeholder umfassend einzubeziehen. Involvement leads to engagement. Daher eignet sich Agile auch bestens für Compliance Management. Denken Sie daran, wenn Sie Compliance managen oder damit beginnen wollen. Gerne unterstützen wir Sie dabei.

Beitrag von Michael Nuster und Rudolf Schwab
Foto von pexels.com