Martin Kraus im Interview: „Compliance und Revision sichern unseren Geschäftserfolg“
Seit Oktober 2012 bekleidet Martin Kraus bei der QSC-Gruppe die neu eingerichtete Funktion des Leiters „Interne Revision und Compliance“. Kraus hat das Unternehmen und seine Geschäftsabläufe jahrelang als verantwortlicher KPMG-Wirtschaftsprüfer begleitet und kennt es daher sehr gut. Wie er seine neue Aufgabe bei QSC versteht und was die Mitarbeiter, Partner und Kunden von dieser Instanz zu erwarten haben, berichtet er im Interview.
Martin Kraus ist seit 1. Oktober 2012 „Leiter Interne Revision und Compliance“ der QSC-Gruppe. Foto: Dennis Knake / QSC AG.
Herr Kraus, Interne Revision und Compliance: Das klingt nach unangekündigter Überprüfung, nach Ärger mit Vorgesetzten und der Angst, bei Fehlern gefeuert zu werden. Wer muss sich denn jetzt warm anziehen?
Kraus: Fürchten sollten sich nur diejenigen, die gegen die Interessen der QSC-Gruppe und ihrer Mitarbeiter vorsätzlich kriminell handeln, sich zum Beispiel von Lieferanten bestechen lassen oder selbst Schmiergelder zahlen, die Spesenabrechnungen manipulieren oder Betriebsräte bespitzeln.
Solche Machenschaften werden in keinem Fall toleriert werden und sie sind auch durch einen auf den ersten Anschein eventuell damit verbundenen Geschäftserfolg niemals zu rechtfertigen.
Es wäre aber falsch, meine Tätigkeit nur in diesem Licht zu betrachten, denn das ist ja nur ein ganz kleiner Aspekt meiner Funktion – und die sollte man vor allem positiv sehen: Ich verstehe mich als Sparringspartner der Kolleginnen und Kollegen und eigentlich nicht als Hauspolizist. Es geht in erster Linie darum, in der Belegschaft ein deutlicheres Bewusstsein darüber zu verbreiten, was rechtens ist und was nicht. Ich werde zusammen mit allen Kolleginnen und Kollegen versuchen, Schwachstellen zu identifizieren und zu beseitigen und sie in Zweifelsfällen beraten und unterstützen.
Wenn wir dieses Bewusstsein schaffen und uns danach verhalten, wird QSC am Ende ein moderneres und besseres Unternehmen sein, das bei Partnern und Kunden noch höheres Vertrauen genießt und dadurch lukrativere Geschäfte macht. Es wird dann ein Unternehmen sein, das sich vor Schäden schützt und damit seine Existenz sichert. Und es wird ein Unternehmen sein, welches damit klarkommt, dass immer komplexere gesetzliche Vorschriften zu beachten sind.
Um welche Gesetze und Vorschriften geht es denn dabei?
Kraus: Hier handelt es sich um eine Vielzahl in den verschiedensten Bereichen, die immer häufiger aus der EU in unser Rechtssystem einfließen, etwa im Insiderrecht, beim Datenschutz oder bei der IT-Sicherheit. Basis ist unter anderem der Corporate Governance Kodex, der in Deutschland durch eine Regierungskommission als Ordnungsrahmen für eine ordnungsgemäße Unternehmensführung entwickelt wurde. Alle börsennotierten Unternehmen – also auch die QSC AG – müssen einmal im Jahr öffentlich in einer „Entsprechungserklärung“ kundtun, inwieweit sie diesem Kodex gerecht werden – und bei Abweichungen dies auch begründen.
Hier sind insbesondere unsere Vorstände und Aufsichtsräte in der Pflicht, denn diese haben dafür zu sorgen, dass ein sogenanntes Compliance-System im gesamten Unternehmen installiert ist und auch regelmäßig auf seine Wirksamkeit überprüft wird. Vorstände und Aufsichtsräte haften übrigens auch persönlich, wenn im Unternehmen etwas schief geht und anderen dadurch großer Schaden entsteht.
Diese teilweise harten Konsequenzen werden in der breiten Öffentlichkeit oft nicht publik, können aber für den Einzelnen schwerwiegend sein, wie viele Gerichtsurteile gerade aus der jüngeren Vergangenheit belegen. Es ist also völlig nachvollziehbar, dass die Firmenleitung ein hohes, auch persönliches Interesse daran hat, die Einhaltung von Gesetzen und unternehmensinternen Richtlinien durch diese neue Instanz „Interne Revision und Compliance“ zu gewährleisten.
Geben Sie uns doch bitte ein paar Stichworte dazu, was konkret unter Compliance und Interner Revision zu verstehen ist.
Kraus: Unter einem Compliance-System versteht man die Summe aller Grundsätze und Maßnahmen, mit denen die Einhaltung von Regeln und Gesetzen sichergestellt wird. Hier geht es also um inhaltliche Festlegungen, welche Regeln nicht verletzt werden dürfen, und um die dafür notwendigen organisatorischen Rahmenbedingungen. Zum Beispiel muss überlegt werden, wie Mitarbeiter überhaupt erfahren können, welche Vorschriften für sie relevant sind. Oder es muss ein Ablauf definiert werden, wie jemand Verstöße an die Firmenleitung melden kann.
Interne Revision ist dann die Instanz, welche die tatsächlichen Kontrollen durchführt, auch unangekündigte. Wenn Sie so wollen: die hausinterne Polizei. Allerdings möchte ich betonen, dass ich bemüht sein werde, Verstöße oder Probleme, die durch die Kontrollen identifiziert wurden, nicht nur einfach festzustellen, sondern direkt mit einem helfenden Hinweis zu versehen, wie der Verstoß künftig vermieden werden kann.
Warum kommt diese Entscheidung gerade zum jetzigen Zeitpunkt? Gibt es konkrete Verdachtsmomente, dass Mitarbeiterinnen oder Mitarbeiter sich unkorrekt verhalten?
Kraus: Nein, ganz und gar nicht, es geht nicht um konkrete Verstöße oder Befürchtungen. Mir ist persönlich wichtig, das noch einmal an dieser Stelle zu betonen.
Aber, wie schon erwähnt: Die Zahl der Vorschriften, die zu beachten sind, nimmt in Zahl und Komplexität stetig zu. Außerdem hat in der gesamten Wirtschaft eine Sensibilisierung für dieses Thema stattgefunden. Man muss nur die Zeitungen aufschlagen. Die Skandale um die ERGO-Versicherung oder bei Siemens und Société Générale bedeuten für diese Unternehmen enorme Reputationsschäden mit Langfristwirkung.
Es wird von Kunden und Partnern immer mehr Wert darauf gelegt, dass ein Unternehmen eine transparente Compliance-Politik betreibt. Zum Beispiel im Zusammenhang mit Cloud-Services: Man will nur einem solchen Cloud-Dienstleister seine Daten anvertrauen, der nachweislich nach Recht und Gesetz handelt. Unter diesen Gesichtspunkten ist es einfach an der Zeit, dass QSC sein Kontrollsystem, das ja irgendwie schon existiert, noch mehr verfeinert und institutionalisiert.
Es gibt aber auch noch einen anderen wichtigen Anlass: Die QSC hat sich durch die Erwerbe von INFO AG und IP Exchange vergrößert und nun muss ein gemeinsamer Compliance-Rahmen gefunden werden. Alle drei Unternehmen haben die Thematik bisher auf sehr unterschiedliche Weise bearbeitet: Bei der QSC AG wurde bisher ein auf enge Zusammenarbeit und Vertrauen basierendes System von „Check and Balance“ gelebt. Da das Unternehmen aber immer größer wird und die Geschäftstätigkeit an unterschiedlichen Standorten stattfindet, ist das so wie bisher nicht mehr zu machen.
Die INFO AG geht schon seit längerem formell vor: Sie lässt sich seit etlichen Jahren nach ISO-Standards zertifizieren und vom TÜV die Einhaltung von Datenschutz und IT-Sicherheit bescheinigen. Bei IP Exchange wird mit solchen Zertifizierungen jetzt begonnen.
Wie werden Sie beim Aufbau der Compliance-Organisation und der Internen Revision vorgehen?
Kraus: Es gibt ja Systematiken, so genannte Compliance Management Systeme (CMS), die sogar vom TÜV oder anderen Organisationen zertifiziert werden. Daran werde ich mich orientieren. Sie umfassen in der Regel sieben Elemente, über die man sich Gedanken machen muss. Lassen Sie mich die aus meiner Sicht wichtigsten eines funktionierenden CMS nennen:
Enorm wichtig ist die Compliance-Kultur: Das Bekenntnis zu einem regelkonformen Verhalten aller Mitarbeiter muss aus der Unternehmenskultur ableitbar sein, die maßgebend durch die Führungsebene in unserer Unternehmensgruppe bestimmt wird; man spricht in diesem Zusammenhang auch vom „tone at the top“.
Nur wenn diese Unternehmenskultur dann auch durch das Management vorgelebt wird, kann von den Mitarbeitern erwartet werden, dass sich alle „compliant“ verhalten. Dazu gehört zum Beispiel, dass die vereinbarten Zielvorgaben mit regelkonformen Mitteln erreicht werden können. Viele Unternehmen haben deshalb hausinterne Ethikrichtlinien definiert und in einem „Code of Business Conduct“ zusammengefasst. Hierüber lohnt es sich, auch für die gewachsene QSC nachzudenken. Anschließend muss man sich überlegen, welchen Risiken ein Unternehmen überhaupt ausgesetzt ist und diese möglichst vollständig erfassen.
In einem Compliance-Programm wird dann die praktische Umsetzung festgelegt: Hierbei kommt der Prävention, also der Verhinderung von Regelverstößen, eine besondere Bedeutung zu. Denn es wäre falsch, die Mitarbeiter mit einem komplexen Regelwerk sozusagen allein im Regen stehen zu lassen, ohne sie vorher ausreichend informiert und geschult zu haben. Nur so – wenn man entsprechend sensibilisiert ist – lassen sich bereits bei der Gestaltung von Vereinbarungen mit Kunden und Lieferanten die größten Probleme vermeiden.
In diesem Zusammenhang werden wir alle internen Richtlinien und Anweisungen hinsichtlich ihrer praktischen Brauchbarkeit kritisch beleuchten; wir wollen uns in der gesamten Gruppe auf die wichtigsten Richtlinien konzentrieren und keine Papierflut produzieren.
Zum Compliance-Programm gehört dann aber natürlich auch das Aufdecken von Verfehlungen und das Reagieren auf Verstöße gegen die QSC-Regeln. Und hier muss man auch die Frage zu dem heiklen Thema eines Hinweisgebersystems beantworten: Wie kann man es Mitarbeitern ermöglichen, Verstöße zu melden, ohne dass sie den Eindruck haben, sich und ihre Jobs in Gefahr zu bringen? Und wie schafft man es, dass eine Vertrauensatmosphäre in der Belegschaft erhalten bleibt? Hier gilt es noch einigen Gehirnschmalz zu verwenden, um eine für QSC gute Lösung zu finden. Zum Compliance-Programm zählt schließlich auch der Sanktionskatalog, der Strafen für verschiedene Verstöße definiert.
Über alle Maßnahmen rund um das Thema Compliance werden alle Mitarbeiter künftig regelmäßig informiert werden, zum Beispiel über eine gesonderte Intranetseite.
Wann wird das Compliance-System bei QSC voraussichtlich stehen?
Kraus: Das wird sicherlich ein längerer Prozess sein. Ich gehe von 12 bis 18 Monaten aus, bis wir ein CMS für QSC installiert haben. Denn dies ist ja nichts, was ich mir im stillen Kämmerlein überlege und beschließe, sondern es handelt sich um Diskussionsthemen für die Vorstände und Aufsichtsräte, die das System schließlich absegnen und durchsetzen müssen.
Und dann muss natürlich um Akzeptanz für so ein Compliance-System im Unternehmen geworben werden. Das könnte sogar noch länger dauern als die technische Umsetzung. Ich bin aber sehr optimistisch, dass auf allen Ebenen in unserem Unternehmen sehr schnell die mittel- und langfristige Bedeutung und der Vorteil von regelkonformem Handeln erkannt werden.
Auch wenn die Details noch zu erarbeiten sind: Gibt es denn schon eine Richtung, in die die Unternehmensleitung dabei geht?
Kraus: Ja, über einige Aspekte haben wir uns schon verständigt. Dem Vorstand und mir ist ganz wichtig, dass wir ein System entwickeln, das zu QSC als mittelständischem Unternehmen passt und auch gelebt werden kann. Wir werden ganz sicher nicht riesige Handbücher schreiben, die keiner liest. Und es wird auch keine große Überwachungsabteilung geben, in der zig Kontrolleure arbeiten.
Unsere Vorstellung sieht ganz anders aus: Wir werden maximal zehn Regeln definieren, die für alle Mitarbeiterinnen und Mitarbeiter gelten und von diesen gekannt und akzeptiert werden müssen. Für einzelne Bereiche könnten – abgeleitet von ihren besonderen Risiken – noch einige Vorschriften hinzukommen. Das sollte als Grundgerüst reichen und eigentlich jeder und jedem im Unternehmen klarmachen, was sie bzw. er darf und was verboten ist.
Im Zweifelsfall stehe ich immer als Berater und Partner zur Verfügung und helfe, was bei einer konkreten Entscheidung möglich ist und was nicht. Hierbei sichere ich einen vertraulichen Umgang mit den Informationen gerne zu. Außerdem werde ich Schwachstellen immer gemeinsam mit den Verantwortlichen identifizieren und mit ihnen stets zusammen nach Lösungen suchen. Hier hoffe ich auf Transparenz und Offenheit der Bereichsleiter und Vorgesetzten – und verspreche, dass auch ich ihnen stets mit Offenheit und Transparenz begegnen werde.
Übrigens bin ich hier ganz optimistisch: Schon als Wirtschaftsprüfer habe ich festgestellt, dass die Mitarbeiterinnen und Mitarbeiter bei QSC sehr offen und fair miteinander und mit externen Partnern umgehen und grundsätzlich erfrischend innovativ sind. Ein Unternehmen mit einer guten Grundeinstellung und Kultur! Nur unter diesen sehr guten Voraussetzungen habe ich diese Position überhaupt übernommen.
Haben Sie im Unternehmen denn schon Mitstreiter gefunden – außerhalb des Vorstands?
Kraus: Ja, glücklicherweise gibt es bereits zwei Kollegen, die sich mit Teilbereichen der Compliance intensiv befassen und mich unterstützen: Thomas Bösel deckt als Verantwortlicher für das Fraud-Management bei der QSC AG einen kleinen Teil der Themen ab. Bei der INFO AG arbeite ich mit dem dortigen Compliance-Beauftragten Rainer Buhk zusammen, der sich wesentlich mit den ISO-Zertifizierungen beschäftigt.
Es werden mit der Zeit sicherlich noch einige Kollegen dazu kommen, aber nicht sehr viele. Denn klar ist ja auch: Das Thema Compliance geht jede Kollegin und jeden Kollegen an. Alle sind dafür verantwortlich, dass wir uns damit erfolgreich aufstellen.
Über Martin Kraus
Der studierte Betriebswirt und gelernte Steuerberater und Wirtschaftsprüfer (Jg. 1962) leitet seit 1. Oktober 2012 bei der QSC AG die neu eingerichtete Abteilung „Interne Revision und Compliance“.
Nach seinem Studienabschluss 1988 an der Universität zu Köln startete Martin Kraus seine Karriere als Wirtschaftsprüfer bei KPMG und war seit 2006 dort als Partner tätig. In dieser Zeit lernte er QSC gut kennen: Ab 2008 war er für die jährliche Prüfung des Unternehmens verantwortlich.
Kraus lebt in Odenthal nahe Köln. Er ist verheiratet und hat zwei fast erwachsene Kinder. Seine Leidenschaft gilt dem Fußball, inzwischen vor allem als Fan des FC Bayern München. Während seiner Urlaube bereist er regelmäßig die USA, wo er von 2001 bis 2003 lebte und arbeitete.