1. Einleitung

Peter Drucker, einem US-amerikanischem Ökonom österreichischer Herkunft wird das Zitat «If you can’t measure it, you can’t manage it” zugeschrieben. Folglich erscheint ein state of the art Compliance-Management-System ohne Messung eigentlich ausgeschlossen. Umso erstaunlicher nimmt man zur Kenntnis, dass gemäss der neusten Umfrage «The Future of Compliance 2023 - Mit Key Performance Indicators zur Zielerreichung» von Deloitte/Compliance Manager/Quadriga Hochschule 62% der befragten Organisationen keine CKPIs nutzen, obwohl 59% den CKPIs eine überdurchschnittliche Bedeutung beimessen.

2. Welche Compliance-Standards verlangen Compliance-KPIs?

Vorweg ist festzuhalten, dass sich nicht alle Compliance-Standards, wie z.B. KICG CMS-Guidance 2014 (D), The Bribery Act 2010 Guidance (UK), Grundzüge eines wirksamen Compliance-Managements (CH)oder FCPA – Resource Guide 2012 (USA) zu CKPIs äussern.

Im Australian Standard Compliance Programs 3906 2006 ist festgehalten, dass die Festlegung von Leistungsindikatoren für die Einhaltung der Vorschriften durch das Linienmanagement in Zusammenarbeit mit dem Compliance-Manager erfolgen soll. Es sei wichtig, dass Organisationen eine Reihe von messbaren Indikatoren entwickeln, die der Organisation helfen, ihre Compliance-Leistung zu quantifizieren. Die Frage, was und wie die Compliance-Leistung zu messen sei, könne problematisch sein, und die folgende Liste von Indikatoren sei nicht als abschliessend zu betrachten: 

(a) Prozentsatz der effektiv geschulten Mitarbeiter;

(b) Gemeldete Probleme und Verstösse nach Art und Bereich;

(c) Folgen von Verstössen, einschliesslich der Bewertung der Auswirkungen in Form von Geldentschädigung, Kosten für die Behebung, Reputation oder Zeitaufwand der Mitarbeiter;

(d) Häufigkeit der Kontakte mit Aufsichtsbehörden nach Kontaktkategorien;

(e) Nutzung von Feedback-Mechanismen.

Der IDW PS 980 2011 schreibt vor, dass Compliance-Ziele festzulegen sind und der Grad der Zielerreichung messbar sein soll.

Auch ISO 37301 Compliance Management Systeme hält in Ziff. 5.3.2 und 9.1.3 fest, dass die Compliance-Funktion verantwortlich ist, dass CKPIs festgelegt sind und die Organisation eine Reihe geeigneter Indikatoren entwickeln, einführen und aufrechterhalten muss, welche die Organisation bei der Bewertung der Erreichung ihrer Compliance-Ziele und der Beurteilung ihrer Compliance-Leistung unterstützen. Dazu gehört gemäss Ziff. 9.3.2, dass das Management für seine Überprüfung die Wirksamkeit von bestehenden Kontrollen und CKPIs berücksichtigt. Die Frage, wie die Compliance-Leistung zu messen ist, kann in mancher Hinsicht eine Herausforderung darstellen, ist aber dennoch ein wesentlicher Bestandteil des Nachweises der Wirksamkeit des Compliance-Management-Systems. Darüber hinaus variieren die benötigten Indikatoren je nach Reifegrad der Organisation und je nach Zeitpunkt und Umfang der Umsetzung neuer und überarbeiteter Programme. Leider werden aber keine CKPIs angegeben.

Und auch im DOJ – Evaluation of Corporate Compliance Programs steht nur, ob die Unternehmung die Wirksamkeit der Schulungen gemessen hat und wie und wie oft sie die Compliance-Kultur misst.

Zusammenfassend kann gesagt werden, dass wohl einige Standards die Notwendigkeit von CKPIs proklamieren, aber mit Ausnahme von Australien keinerlei konkrete Beispiele liefern.

3. Wie sieht es in der Praxis aus?

Gemäss der neusten Umfrage «The Future of Compliance 2023 - Mit Key Performance Indicators zur Zielerreichung» von Deloitte/Compliance Manager/Quadriga Hochschule nutzen die befragten Organisationen folgende CKPIs[1]:

In der Praxis trifft man unter anderem auf folgende Kategorien von CKPIs:

Mit Bezug auf den Ressourceneinsatz, z.B.:

• Kosten der Compliance-Funktion (Salär, Tools, …)
• Anzahl der angebotenen Schulungen pro Betrachtungszeitraum
• Kosten der Compliance-Schulung
• Anzahl und Kosten der Due Diligences von Geschäftspartnern pro Betrachtungszeitraum
• Verhältnis von Compliance-FTE zu gesamtem Personalbestand
• Anzahl der Richtlinien, die im Betrachtungszeitraum aktualisiert wurden.

Mit Bezug auf den Fortschritt der Umsetzung, z.B.: 

• Anzahl Schulungen (online – physisch), Policies oder Apps
• Prozentuale/absolute Teilnahme an Schulungen
• Anzahl Whistleblowing-Meldungen
• Anzahl der gemeldeten Fälle (z.B. nach Unternehmensbereichen) 
• Anzahl der Mitarbeiter/Geschäftspartner, denen aufgrund von Fehlverhalten gekündigt wurde
• Geldbussen im Verhältnis zum Gesamtumsatz
• Anzahl der Mitarbeiter, die eine Compliance-Intranet-Seite nutzen.
• Anzahl der Anfragen über Compliance-Help-Desk
• Bearbeitungszeit der Anfragen
• Bearbeitungszeit der Fälle (z.B. nach Kategorien)

Mit Bezug auf Best-Practice (Benchmark), z.B.:

• Compliance FTEs im Verhältnis zu Umsatz oder Angestellten
• Compliance-Kosten im Verhältnis zu Umsatz oder pro Angestellten
• Meldungen im Verhältnis zu Umsatz oder Angestellten

Mit Bezug auf Compliance-Kulturmessung, z.B.:

• Complerify-Mitarbeitendenumfrage (modular aufgebautes, pragmatisches und webbasiertes Umfragetool, basierend auf dem Compliance-Würfel Modell mit den sechs Dimensionen Unternehmenskultur, Einbettung, Aktivitäten, Personen, Ressourcen und Fundament)[2]

4. Wie definiert man die richtigen CKPIs?

Ausgehend von der Compliance-Strategie geht es darum festzulegen, wie das effektive Compliance-Management-System schlussendlich aussehen soll. Dazu besteht idealerweise ein Compliance- Konzept[3]. Danach stellt sich die Frage, welche Compliance-Ziele definiert wurden und wie diese erreicht werden sollen. Zudem gilt es sich möglichst interdisziplinär damit auseinanderzusetzen, welche und wie viele CKPIs zu welchen Compliance-Bereichen erwartet werden, resp. helfen würden, resp. auch sinnvoll sind, um speziell die Effektivität des eigenen Systems zu messen und vor allem wie diese CKPIs mit möglichst wenig Aufwand, d.h. automatisiert, überhaupt festgestellt werden können und wer das macht, wie oft und wie die Berichterstattung ist, an wen und in welcher Form. Dass die Festlegung der relevanten CKPIs kein einfaches Unterfangen ist, versteht sich und es sollte deshalb gemeinsam mit anderen Funktionen in der Organisation ganzheitlich erarbeitet werden.

5. Fazit

Zusammenfassend fristen die CKPIs zumindest aktuell noch ein Mauerblümchendasein. Das erstaunt nicht, wenn gemäss der Umfrage «The Future of Compliance 2023 - Mit Key Performance Indicators zur Zielerreichung» von Deloitte/Compliance Manager/Quadriga Hochschule Compliance-Verantwortliche zum einen zu 90% die für ihre Organisation relevanten CKPIs manuell erstellen müssen und der offensichtliche Grund für die Nichtberücksichtigung von CKPIs bei 52% in unzureichenden Ressourcen und bei zusätzlichen 28% im zu hohen Zeitaufwand begründet ist. Betrachtet man aber die ganze Entwicklung betreffend z.B. ESG, nichtfinanzielle Berichterstattung und die sich abzeichnende EU Corporate Sustainability Due Diligence Directive, so werden dort zwingend verschiedenste KPIs verlangt. Das könnte dem ganzen Thema zusammen mit der sich auch in diesem Bereich entwickelnden KI und Digitalisierung sehr wahrscheinlich einen heftigen Boost geben und in absehbarer Zeit erlauben, die häufig einverlangte Effektivität von Compliance-Management-Systemen tatsächlich zu messen. And then, we can manage it!

[1]     https://www2.deloitte.com/de/de/pages/audit/articles/future-of-compliance.html?id=de:2ps:3gl:4__aa___future-of-compliance-2023:5:6audit:20240126::mw&gad_source=1&gclid=EAIaIQobChMIh_7fo76vhAMVK4uDBx2bnwdVEAAYASAAEgJ5wfD_BwE

[2]     https://www.bratschi.ch/assets/content/files/publikationen/Complerify_-_Damit_Sie_wissen__wie_es_um_Ihre_Compliance_steht_-_Christian_Wind.pdf

[3]     Siehe Beitrag von Christian Wind im Compliance-Newsletter April 2024 «Compliance-Konzept – warum und wie?»