Unternehmen etablieren zunehmend ein Compliance Management, um unerwünschtes und schadhaftes Verhalten zu unterbinden. Doch eine zu einseitige Denkweise im Sinne von "Command and Control", in der Mitarbeiter bei Androhung von Strafe "das Richtige" tun sollen und müssen, kann Unternehmen langfristig schaden. Mitarbeiter sollten vielmehr das Richtige tun wollen.
Wenn Sie Kinder haben, werden Sie dieses Spiel kennen: Um das dritte Lebensjahr herum sind diese Wesen von ihren Eltern kaum zu steuern. Auch mehrmaliges Bitten wird gekonnt ignoriert, eskalierende Drohgebärden werden mit der Teflon-Aura eines Spitzenpolitikers ausgesessen. Bei der Tochter des Autors hilft gegenwärtig noch "bis drei zählen" - doch was passiert an dem Tag, an dem sie fragen wird: "Papa, was passiert eigentlich nach drei?" In solchen Momenten hilft bisweilen das, was der Volksmund umgekehrte Psychologie nennt: Man ermutigt das Kind zum Gegenteil dessen, was man eigentlich erreichen möchte - und hofft inständig darauf, dass sich der Nachwuchs im Zuge der entwicklungsbedingten Renitenz weigert und folgerichtig das tut, was wir als Eltern eigentlich beabsichtigen.
Auch wenn wir diese Strategie im Privatleben nicht so nennen: Hier geht es um Compliance. Und in jedem von uns steckt immer noch ein wenig von diesem widerspenstigen Kind. Dieses Potenzial für Renitenz begleitet uns als Menschen naturgemäß auch, wenn wir unsere Schaffenskraft in den Dienst eines Unternehmens stellen.
Compliance Management als Unternehmensfunktion
Unternehmen sehen sich weltweit mit einer steigenden Komplexität konfrontiert: Megatrends wie Digitalisierung, Beschleunigung und Internationalisierung machen es schwieriger, Geschäftsprozesse angemessen und profitabel zu steuern, insbesondere in multinational und diversifiziert aufgestellten Unternehmen. Die zunehmende Unübersichtlichkeit von Unternehmensstrukturen und -prozessen eröffnet auch einen wachsenden Raum für Korruption und andere, einer Organisation Schaden zufügende Verhaltensweisen. Korruption wird zu einer "Wachstumsbranche", wie Reißig-Thust und Weber (2011, S. 9) lakonisch bemerken.
Als Reaktion auf diese Entwicklung bilden Unternehmen ab einer gewissen Größe Abteilungen beziehungsweise Funktionen für das Management von Compliance aus. An der Gewährleistung dieser Unternehmensfunktion können Controller beteiligt sein, beispielsweise indem sie Daten bereitstellen. Doch noch immer werden mögliche Synergieeffekte im Unternehmen durch die Zusammenarbeit von Abteilungen wie der internen Revision, der Rechtsabteilung oder eigens geschaffenen Abteilungen für Compliance Management zumeist nicht adäquat genutzt (vergleiche Reißig-Thust/Weber 2011, S. 9 f.). Die Etablierung von Compliance Management kann durch den Einfluss unternehmensexterner Akteure erforderlich werden, zum Beispiel um Verstöße gegen nationale und supranationale Gesetzgebung zu vermeiden (beispielsweise in den Sektoren Korruption, Geldwäsche oder Wettbewerbsrecht). Sie kann aber auch durch Vorgaben spezieller regulativer Instanzen wie der Bundesanstalt für Finanzdienstleistungsaufsicht im Finanzsektor oder von Kontrollorganen im Bereich Umweltschutz notwendig werden. Zudem sind in den vergangenen Jahren zu den bereits genannten "Klassikern" neue Themen mit hoher Dringlichkeit hinzugekommen, zum Beispiel Datenschutz (Datenschutz-Grundverordnung) und Gesundheit (Corona-Pandemie).
Unternehmen können sich aber auch aus rein internen Überlegungen dazu entschließen, regulierend auf das Verhalten der Mitarbeiter einzuwirken. Ein Feld von zunehmender Bedeutung ist beispielsweise die IT-Sicherheit und der Schutz vor Cyber-Kriminalität. Des Weiteren müssen sich Unternehmen zunehmend gegen (semi-)legale Geschäftspraktiken wappnen, die langfristig zu hohem finanziellen Schaden führen können: Man denke exemplarisch an die Abschaltvorrichtungen im Diesel-Skandal rund um diverse deutsche Autobauer oder an Datenschutzverstöße bei Facebook.
Erstrebenswertes Verhalten: Zwischen Erzwingen und Ermutigen
Wenn Unternehmen - über die Wirkung von direkter Führung hinaus - steuernd auf das Verhalten der Mitarbeiter einwirken möchten, stellt sich die Frage nach dem Wie. Es leuchtet ein, dass die oben erwähnte Form der umgekehrten Psychologie, welche bei kleinen Kindern bisweilen wirksam sein mag, im unternehmerischen Kontext fehl am Platz ist. Im Notfall reagieren Unternehmen meist mit einem Bündel von Maßnahmen, das auf einem gedachten Kontinuum zwischen Verbieten (und gegebenenfalls Bestrafung) und Ermutigen (und gegebenenfalls korrigierendem Eingreifen) liegt.
Im erstgenannten, compliancebasierten Fall setzt das Unternehmen den Mitarbeitern enge verhaltensbezogene Grenzen und definiert eindeutig, welche Handlungen (un-)erwünscht sind. Diese Vorgaben vermitteln meist Vorgesetzte in Schulungen beziehungsweise in Form von Unterweisungen, sie werden in der Folge mehr oder weniger engmaschig überwacht. Zudem müssen die Mitarbeiter durch ihre Unterschrift signalisieren, dass sie die Regeln verstanden haben und befolgen werden. Dies dient der Klärung von Haftungsfragen im Falle von Verstößen.
Im zweitgenannten, ethikbasierten Fall arbeitet das Unternehmen nur mit einem Mindestmaß an Regeln, zum Beispiel nur solchen, die gesetzlich vorgeschrieben sind. Ansonsten bemüht es sich, aufseiten der Mitarbeiter eine Haltung zu fördern, aus der diese von selbst "das Richtige" tun beziehungsweise "das Falsche" unterlassen, beispielsweise durch Ermutigung, Lernen am Modell ("Walk the Talk" aufseiten der Vorgesetzten, das bedeutet, die Führungsetagen leben das gewünschte Verhalten authentisch vor) und die Ausbildung einer entsprechenden Unternehmenskultur.
"Die spannende Frage ist: Wie lässt sich ein Höchstmaß an wünschenswertem Verhalten erzielen?"
In manchen Unternehmen bilden sich über die Zeit zwei unterschiedliche Funktionen heraus: auf der einen Seite das Compliance Management, auf der anderen Seite das Ethics Management. Doch auch ohne diese Ausdifferenzierung ist klar, dass sich jedes Unternehmen - bewusst oder unbewusst - beider Formen der Steuerung bedient. Die spannende Frage ist: Welche Variante sollte überwiegen, um ein Höchstmaß an wünschenswertem Verhalten zu erzielen?
Wenn man Mitarbeitern nicht genau vorschreibt, was sie zu tun und zu lassen haben, öffnet dies naturgemäß Tür und Tor für ein großes Maß an Varianz - sprich: Die Menschen machen, was sie für richtig halten, und das Unternehmen muss darauf vertrauen, dass dies in der weit überwiegenden Zahl der Fälle "das Richtige" ist. Diese Strategie ist durchaus nicht ohne Risiko, zumal Menschen qua ihrer Persönlichkeit ein unterschiedliches Maß an Neigung zu potenziell schädlichen Verhaltensweisen an den Tag legen. Doch wie sieht es auf der anderen Seite aus - was, wenn Unternehmen dezidiert auf Verhaltensvorschriften und deren Nachverfolgung setzen?
Diese Frage ist nicht trivial. Allerdings: Unternehmen, die zu stark auf compliancebasierte Steuerung setzen, schaden sich damit langfristig mit großer Wahrscheinlichkeit selbst. Die zu starke Fokussierung auf Verhaltenssteuerung durch externe Regulation könne zu einem Kodex der "moralischen Mittelmäßigkeit" führen, schreiben Trevino et al. (vergleiche 1999, S. 136). Die Autoren berichten zudem von einer Studie, die nahelegt, dass Verhaltenssteuerung, die auf dem Vorleben und Einhalten von ethischen Prinzipen beruht, einem rein auf Compliance basierenden Ansatz überlegen ist (S. 138). Zu ähnlichen Ergebnissen kommen die Forscher Tyler und Blader in zwei eigenen Studien (2005, S. 1153). Sie zeigen auf, dass die Förderung von intrinsisch motiviertem, ethischem Verhalten zu weniger Verstößen führt - im Vergleich zu Programmen, die auf extrinsischen Mechanismen, vor allem der Androhung von Strafe, beruhen. Eine weitere Studie aus dem Bereich der IT-Compliance geht in dieselbe Richtung (Posey/Bennett/Lowry 2011, S. 37 f.). Wenn Mitarbeiter sich zu stark in ihrer Entscheidungsfreiheit eingeschränkt sehen, erleben sie ein Phänomen namens Reaktanz: Sie haben dann das dringende Bedürfnis, ihre (innere) Freiheit wiederherzustellen, und greifen dafür bisweilen auch zu "unvernünftigen" Mitteln (vergleiche Lowry/Moody 2015, S. 434 ff.). Dies kann sich beispielsweise äußern durch niedrigschwelligen Diebstahl (Büromaterial, Spesenabrechnung et cetera) und ähnliche Petitessen. Im Übrigen betonen auch Compliance-Praktiker die Gefahr, dass es zu einer schädlichen Form der Überregulierung kommen kann (vergleiche Mirheli 2014, S. 18).
Der Befund, dass ein Übermaß an Kontrolle und Regulierung gegenteilige Effekte zeitigen kann, zeigt sich wohlgemerkt nicht nur innerhalb von Organisationen. In einer Studie zeigen die Forscher Mendoza, Wielhouwer und Kirchler (2017, S. 284) auf, dass das Vorkommen von Steuerprüfungen in diversen Ländern in einem U-förmigen Zusammenhang zum Vorkommen von Steuerhinterziehung steht. Konkret: Wenn die lokalen Behörden zu wenig kontrollieren, steigt die Wahrscheinlichkeit von delinquentem Verhalten. Wenn sie übermäßig stark kontrollieren, ist das Vorkommen jedoch ebenso deutlich erhöht. Das niedrigste Maß an Delinquenz zeigt sich bei einem mittleren Prüfungsaufkommen.
Selbstbestimmung
Um die Beobachtung, dass ein Übermaß an compliancebasierter Steuerung zu weniger wünschenswertem Verhalten führen kann, tiefergehend zu verstehen, hilft ein Blick auf die sogenannte Selbstbestimmungstheorie. Die Begründer des einflussreichsten Theoriegebäudes der vergangenen 40 Jahre zum Thema Motivation, Edward Deci und Richard Ryan, gehen davon aus, dass es nicht nur eine Form von Motivation gibt, von der man quantitativ mehr oder weniger verspüren kann. Stattdessen postulieren sie, dass Menschen ein Kontinuum verschiedener Qualitäten von Motivation erleben können, welche entsprechend mit verschiedenen Konsequenzen einhergehen (vergleiche Deci/Olafsen/Ryan 2017, S. 20 ff.). Das entscheidende Merkmal für die Einordnung auf dem Kontinuum ist dabei der Grad dessen, was Deci und Ryan autonome Regulation nennen. Je mehr wir uns als Urheber unseres Handelns erleben, desto motivierter sind wir; je fremdbestimmter wir uns erleben, desto mehr schwindet der Antrieb (vergleiche Abbildung 1).
External reguliertes Verhalten: In Situationen, in denen wir keinerlei Selbstbestimmtheit erleben, fühlen wir uns fremdbestimmt, external reguliert. Wir handeln auf Basis von Zwang. Im Extrem tun wir etwas, weil Leib und Leben bedroht sind, zum Beispiel geben wir jemandem unseren Schmuck, wenn diese Person uns mit einer Waffe bedroht. Doch wir stellen dieses Verhalten sofort ein, wenn der externe Stimulus verschwindet. Der springende Punkt hierbei ist: In diesen Teil des Spektrums fallen auch Belohnung und Bestrafung und somit auch viele Steuerungsmechanismen in Unternehmen.
Introjiziert reguliertes Verhalten: Dieses Verhalten ist weiterhin noch von einem hohen Maß an Fremdbestimmung gekennzeichnet. Allerdings handeln wir in diesem Fall nicht aufgrund eines externen, sondern eines internen Zwangs. Es geht beispielsweise um Dinge, die wir tun, um Ängste zu mildern, Schuldgefühle zu vermeiden oder unseren Selbstwert zu stärken.
Identifiziert reguliertes Verhalten: Haben wir die externen Gründe für ein Verhalten weitestgehend verinnerlicht und verstehen und bewerten diese als positiv, sprechen wir von identifiziert reguliertem Verhalten. Beispielsweise erledigen wir eine Aufgabe, die wir ursprünglich als langweilig erachtet haben, mit viel Engagement, nachdem unser Vorgesetzter uns plausibel erläutert hat, wie wichtig diese für den Erfolg des Unternehmens ist.
Integriert reguliertes Verhalten: Dieses Verhalten ist im Erleben kaum von intrinsischer Motivation zu unterscheiden. Die externen Gründe für ein Verhalten sind zu einem solch starken Grad internalisiert worden, dass sie sich wie "ein Teil von uns" anfühlen. An diesem Punkt erleben wir uns vollständig als Urheber unseres Tuns, auch wenn der ursprüngliche Impuls im Außen lag.
An diesem Punkt wird deutlich, warum strikt compliancebasierte Steuerungsmechanismen sich vor allem in der Langfristperspektive als ineffektiv erweisen können: Strenge Regularien unter Androhung von Strafe erzeugen external reguliertes Verhalten. Die Motivation, "das Richtige" zu tun, ist hier dezidiert schwach ausgeprägt. Zudem funktioniert diese Strategie nur, wenn die Mitarbeiter an eine effektive Kontrollfunktion glauben; diese aufrechtzuerhalten ist für das Unternehmen ressourcenintensiv. Ohne wahrgenommene Kontrolle besteht jederzeit die Gefahr, dass die Mitarbeiter das gewünschte Verhalten einstellen beziehungsweise unerwünschtes Verhalten initiieren.
Ethikbasierte Steuerung hingegen führt - vor allem, wenn die gewünschten Verhaltensweisen authentisch von Führungskräften vorgelebt werden - zu identifiziert reguliertem, im besten Fall integriert reguliertem Verhalten. Neben der auch für die Unternehmensführung nicht uninteressanten Tatsache, dass integriert reguliertes Verhalten sich für Mitarbeiter emotional besser anfühlt, ist es zudem sehr wahrscheinlich, dass die Mitarbeiter auch in Abwesenheit von wahrgenommener Kontrolle "das Richtige" tun.
Schlussbetrachtung
Unternehmen ab einer gewissen Größe kommen nicht umhin, auch auf compliancebasierte Maßnahmen zu setzen, um bestimmte Verhaltensweisen durchzusetzen. Dafür sorgt der Gesetzgeber durch diverse Vorgaben. Beispielhaft genannt seien der Umgang mit Geschenken zur Vermeidung von Korruption oder Vorgaben im Rahmen der Rekrutierung neuer Mitarbeiter zur Vermeidung von Diskriminierung. Es bleibt den Unternehmen so zwar nicht überlassen, ob sie Maßnahmen einsetzen. Sie können aber überlegen und bestimmen, wie sie diese implementieren.
Der Blick auf die Selbstbestimmungstheorie macht deutlich, welche Gefahren Unternehmen drohen, wenn sie bei der Etablierung von Compliance-Systemen zu einseitig auf die Haltung "Command and Control" setzen. Er macht anschaulich, warum eine solche Strategie langfristig nicht zum Erfolg führt.
Abschließend sei Folgendes angemerkt: Auch wenn Menschen wissen, was sie nicht tun sollen, hat dies nicht zwingend zur Folge, dass sie wissen, was sie tun sollen (oder können). Aus diesem Grund müssen Regelbrüche in Organisationen nicht ausschließlich von negativer Natur sein, im Gegenteil. Wenn Unternehmen zu stark auf Vorschriften und Kontrolle setzen, besteht eine hohe Wahrscheinlichkeit, auch die vorteilhaften Regelbrüche einzuschränken.
Der Soziologe Niklas Luhmann prägte für eine Regelverletzung, die einer Organisation Nutzen stiftet, den Begriff der "brauchbaren Illegalität" - wobei Illegalität sich hier nicht auf das Gesetz per se, sondern auf die formalen Regeln einer Organisation bezieht (vergleiche Kühl 2020, S. 11 f.). In der Management-Literatur wird dafür der Begriff der konstruktiven oder positiven Devianz gewählt (vergleiche Rose 2020, S. 55 f.). Solche konstruktiv beziehungsweise positiv abweichenden Verhaltensweisen, diese Workarounds, das Gehen des kleinen Dienstwegs, das Verlegen von Themen von der Vorder- auf die Hinterbühne der Organisation ist regelmäßig das, was Kreativität ermöglicht, Prozesse beschleunigt, letztlich "den Laden am Laufen hält".
Literatur
Deci, E. L./Olafsen, A. H./Ryan, R. M. (2017): Self-determination theory in work organizations: the state of a science, in: Annual Review of Organizational Psychology and Organizational Behavior, 4, S. 19-43.
Kühl, S. (2020): Brauchbare Illegalität: Vom Nutzen des Regelbruchs in Organisationen, Frankfurt am Main.
Lowry, P. B./Moody, G. D. (2015): Proposing the control-reactance compliance model (CRCM) to explain opposing motivations to comply with organisational information security policies, in: Information Systems Journal, 25 (5), S. 433-463.
Mendoza, J. P./Wielhouwer, J. L./Kirchler, E. (2017): The backfiring effect of auditing on tax compliance, in: Journal of Economic Psychology, 62, S. 284-294.
Mirheli, B. (2014): "Eine Überregulierung ist schädlich". Interview mit W. Herb, in: Controlling & Management Review, 58 (5), S. 16-19.
www.springerprofessional.de/link/6405104
Posey, C./Bennett, B./Roberts, T./Lowry, P. B. (2011): When computer monitoring backfires: invasion of privacy and organizational injustice as precursors to computer abuse, in: Journal of Information System Security, 7 (1), S. 24-47.
Reißig-Thust, S./Weber, J. (2011): Controlling & Compliance: Aufgaben der Controller im Risk and Fraud Management, Weinheim.
Rose, N. (2020): Controlling für das abnorm Gute, in: Controlling & Management Review, 64 (1), S. 52-57.
www.springerprofessional.de/link/17597612
Spence, G. B./Oades, L. G. (2011): Coaching with self-determination in mind: using theory to advance evidence-based coaching practice, in: International Journal of Evidence Based Coaching and Mentoring, 9 (2), S. 37-55.
Trevino, L. K./Weaver, G. R./Gibson, D. G./Toffler, B. L. (1999): Managing ethics and legal compliance: what works and what hurts, in: California Management Review, 41 (2), S. 131-151.
Tyler, T. R./Blader, S. L. (2005): Can businesses effectively regulate employee conduct? The antecedents of rule following in work settings, in: Academy of Management Journal, 48 (6), S. 1143-1158.
Zusammenfassung.
Compliance Management als Unternehmensfunktion gewinnt für viele Unternehmen seit Jahren an Bedeutung.
Bei der Etablierung verhaltenssteuernder Maßnahmen setzen viele Unternehmen ausschließlich auf compliancebasierte Mechanismen und lassen die ethische Perspektive außer Acht.
Ein Blick auf die Selbstbestimmungstheorie zeigt, dass eine intrinsische Motivation für die Mitarbeiter und die Ermutigung, "das Richtige" zu tun, psychologische Reaktanz im Unternehmen verhindert.
Handlungsempfehlungen.
Vertrauen Sie in puncto Compliance nicht allein auf die Wirkung von Verboten und Kontrolle. Dies kann das Aufkommen an unerwünschtem Verhalten nachweislich in die Höhe treiben.
Arbeiten Sie stattdessen (auch) an der Etablierung einer ethisch orientierten Unternehmenskultur, in welcher die Mitarbeiter immer wieder angespornt werden, von sich aus "das Richtige" zu tun.
Führungskräfte sind der "Transmissionsriemen" zwischen der immateriellen Unternehmenskultur und dem Verhalten der Mitarbeiter. Eine sorgfältige Auswahl und Entwicklung dieser Personen sind folglich erfolgskritisch.
Dr. Nico Rose
ist Professor für Wirtschaftspsychologie an der International School of Management (ISM), Dortmund. E-Mail: nico.rose@ism.de