Es ist ein langer Weg von einer EU-Richtlinie bis auf den eigenen Schreibtisch. Beim Datenschutz haben wir das schon erlebt – die Mühlen mahlen langsam, aber sie mahlen. Jetzt wiederholt sich das mit der Nachhaltigkeit. Was genau verbirgt sich hinter diesem Thema? Die EU-Richtlinie CSR (Corporate Social Responsibility) sowie die UN-Goals (Sustainable Development Goals, SDG) definieren das Thema Nachhaltigkeit nicht nur als die eigene Ökobilanz, saubere Energie oder den CO2-Ausstoß der Dienstwagenflotte. Sondern sie umfassen unter anderem auch wirtschaftliche Nachhaltigkeit, Mitarbeitergesundheit, Work-Life-Balance, starke Lieferantenbeziehungen und menschenwürdige Arbeit.

Dieses Jahr schlägt das Thema Nachhaltigkeit endgültig zu den kleinen und mittleren Unternehmen durch, und wie immer sind die Assessments die Treiber. Für Konzerne ist es seit geraumer Zeit Pflicht, ihre Nachhaltigkeitsberichte zu veröffentlichen. Mittlerweile sind sie strukturell entsprechend aufgestellt – und geben die Anforderungen jetzt an ihre Lieferkette weiter.

Das bedeutet: Compliance-Themen werden nicht mehr einfach verschwinden und daher ist Kopf-in-den-Sand-stecken keine ratsame Taktik – besonders, weil Compliance-Themen die Eigenschaft haben, dass sie verzwickt sind. Besser ist man also vorbereitet, als den Regularien hinterherzulaufen.

Hier vier Wahrheiten, die klar machen, warum – mit vier Lösungsansätzen für zupackende Unternehmer:

Compliance-Themen stellen Unternehmensstrukturen auf den Kopf, denn sie haben eine vorherrschende Charaktereigenschaft: Sie sind immer „horizontale Querschläger“, die gemäß ihrer Natur den vertikalen Abteilungssilos zuwiderlaufen. Darüber hinaus betreffen sie abteilungsübergreifend querbeet alle Bereiche im Unternehmen. Die Verwirrung fängt meistens schon mal damit an, dass es keine eindeutig zuständige Abteilung gibt. Aus dieser Unsicherheit der Zuständigkeiten heraus landet die Aufforderung zum Audit anfangs oft an der falschen Stelle im Unternehmen, für TISAX-Zertifizierungen etwa oft in der IT-Abteilung. Informationssicherheit? Hm, das könnte irgendwas mit Daten zu tun haben. Doch das stimmt nur bedingt, da die IT zwar Berührungspunkte mit fast allen Prozessen hat, es bei TISAX aber vor allem um organisatorische Maßnahmen geht: Richtlinien, Prozessbeschreibungen, Risikobewertungen, Leitlinien, Compliance, bis hin zu baulichen Maßnahmen, die wiederum das Facility Management betreffen, und weitere Abteilungen.

Um nicht von Kompetenzrangeleien und Animositäten torpediert zu werden, braucht ein solches Projekt von Anfang an Rückendeckung von oben: Compliance ist ein klares Top-Down-Thema! Nur eine abteilungsübergreifende Taskforce kann sie erfolgreich umsetzen und langfristig betreuen.

Viele Themen im Leben eines Unternehmers lassen sich durch Kreativität, Improvisation oder sogar Prokrastination lösen. Compliance-Themen gehören nicht dazu. Ihre Vielzahl unterschiedlicher gesetzlicher oder firmenpolitischer Anforderungen führt im Unternehmen sehr zügig zum Wildwuchs, wenn sie nicht systematisch strukturiert und im Managementsystem zusammengeführt werden. Wenn jede Fachabteilung für sich die für sie relevanten Bestimmungen umsetzt, jedoch immer nur als eine Insellösung, die niemals auf das große Ganze übertragen und so jedes Mal neu erfunden wird, stellt sich über kurz oder lang komplettes Chaos ein.

Dieses Chaos ist langfristig nur durch einen systematischen Ansatz, also ein funktionierendes Managementsystem in den Griff zu kriegen. Hier laufen alle Fäden zusammen. Was hier drin steht, gilt für alle und wird im Unternehmen in der Folge abteilungsübergreifend auf die Straße gebracht – und wird nur so auch nachweis- und zertifizierbar! Der große Vorteil ist: Ein systematisch gepflegtes Managementsystem ist eine Grundstruktur aus Puzzlesteinen, die jederzeit erweiterbar ist, wenn das nächste Compliance-Thema kommt. Und in einer globalisierten und digitalisierten Welt kommt dieses so sicher wie das Amen in der Kirche.

Theorie und Praxis klaffen im Arbeitsalltag oft weit auseinander. Bei der Compliance zeigt sich das besonders deutlich. Gesetze, Regularien und Paragraphen sprechen eine abstrakte Sprache, die manchmal nur schwer zu verstehen ist. Die Folge: Die Relevanz für das eigene Geschäft muss rückübersetzt werden, um zu verstehen, wo der Hebel angesetzt werden muss. Wenn es um die eigenen Mitarbeiter im Unternehmen geht, wird es oft noch schwieriger: Veränderung per se, noch dazu „von oben herab“ vorgetragen, rufen einen natürlichen Widerwillen und eine Anti-Haltung hervor. Wie sollen abstrakte Paragraphen und Regelwerke in den Köpfen der Leute Verankerung finden? Wie bringt man alle im Unternehmen dazu, ihr Verhalten zu ändern? Oder noch mehr, die Maßnahmen sogar zu unterstützen und zu leben?

Ein sinnvoll-pragmatischer Ansatz ist hier sehr zu empfehlen. Paragraphen und Regularien sind schön und gut, aber die Unternehmensleitung muss diese zunächst in Alltagstauglichkeit und Kompatibilität mit der Unternehmenskultur übersetzen. Ein erfolgreiches Mantra lautet hier: auf Augenhöhe. In einer Sprache, die alle verstehen. Früher wurden solche Themen gerne in der Sprache von Anwälten vorgetragen. Im digitalen Zeitalter muss das Thema aus dem Elfenbeinturm geholt und mit kulturellem Gespür ins firmeneigene Managementsystem integriert werden.

Compliance ist wie Yoga oder Ernährungsumstellung oder all die anderen Themen unserer Zeit: Es hilft nur, wenn man kontinuierlich daran arbeitet. Aufschub ist genauso keine Lösung wie spontane Hauruckaktionen. Stattdessen gilt: Managementsystem und Compliance müssen einmal aufgesetzt und dann dauerhaft weiterbetreut werden – denn Gesetze, Regularien und Anforderungen vom Auftraggeber ändern sich laufend.

Es gilt zunächst, eine Taskforce aufzubauen. Diese betreut die Themen langfristig und abteilungsübergreifend, pflegt das Managementsystem und hält es aktiv. Die Rolle der Beauftragten für Informationssicherheit, Datenschutz oder Nachhaltigkeit kann dabei intern oder extern besetzt werden. Der erste Schritt ist hierbei eine Gap-Analyse und ein geeigneter Anforderungskatalog, der sich aus aktuellen Anforderungen ergibt, beispielsweise die Aufforderung zu einem TISAX-Audit oder der erste Schritt in Richtung CSR. Ein erstes „Mini-Information-Security-Managementsystem“ ist eine gute Basis für ein ausgewachsenes Nachfolgesystem.

Die Faustregel für alle Unternehmer heißt: Hauptsache anfangen! Wer einmal den ersten Schritt gegangen ist und ein Managementsystem aufgesetzt hat, legt den Grundstein für alle weiteren Themen, die in Zukunft warten. Ist das Grundgerüst da, können Unternehmen stetig darauf aufbauen und es weiterentwickeln. Auf diese Weise können sie innerhalb nur eines Jahres wahre Quantensprünge erreichen – und so ihren Erfolg für die nächsten Jahre absichern.