Beruf: Chief Compliance Officer

Der Gedanke, eine Person für die Mammutaufgabe Compliance abzustellen, klingt vernünftig. Die Jobbeschreibung aber klingt wie die einer eierlegenden Wollmilchsau.

“Ein Chief Compliance Officer ist ein Unternehmensverantwortlicher, der die Einhaltung der Revisionsregeln überwachen muss.” Prima, damit ist alles gesagt, die Autorin wünscht noch einen schönen Tag. Aber, Moment mal, welche Verantwortung genau trägt ein CCO eigentlich? Verantwortlich wem gegenüber? In welcher Weise? Und was heißt überhaupt ‘überwachen’?

Es scheint doch nicht so einfach zu sein, die Funktion eines möglichen neuen Berufs zusammenzufassen. Und niemand kann zum gegenwärtigen Zeitpunkt wirklich sagen, ob es überhaupt sinnvoll ist, einen solchen Posten zu besetzen. Ihn nicht einzuführen, empfiehlt aber auch keiner. Also, klappern wir einmal die Fakten ab und spekulieren ein wenig drum herum.

Sicher ist, dass die Idee eines CCO zusammen mit der Compliance-Welle in die IT schwappte. Die wiederum hatte sich durch die Finanzskandale von Worldcom und Enron aufgetürmt. Diese Unternehmen hatten ziemlich geschummelt, woraufhin die Politik neue Gesetze machte und verlangte, sie mögen umgesetzt werden. Niemand will wirklich wissen, wie überfordert mancher IT-Leiter war und immer noch ist. Sicher ist auch, dass der mögliche Schaden bei Zuwiderhandlungen hoch sein kann. Der Ruf nach einem Verantwortlichen liegt da durchaus nahe. Einer, der sich um alles kümmert, damit nichts schief geht.

Versuch einer Jobbeschreibung

Das Problem ist das “alles”. Compliance ist eine solch umfangreiche, weil technisch aufwändige und juristisch vielfältige Aufgabe, die nahtlos an den potenziellen CCO weitergegeben würde. Nicht zu verwechseln ist der hier fokussierte CCO mit dem, den BASF unterhält. Auf der Webseite der “Chemical Company”, wie sich der Konzern nennt, ist der Compliance-Chef verantwortlich für die “Umsetzung des Unternehmenswertes ‘Integrität'”. Dabei geht es weniger um digitale Informationen, sondern darum, dass Mitarbeiter den Verhaltenskodex einhalten – also zum Beispiel keine Betriebsgeheimnisse auszuplaudern – und bei Rechtsverstößen in die Pflicht genommen werden können.

Compliance hat im IT-Zusammenhang nichts damit zu tun. Compliance wird im Allgemeinen umschrieben mit der Einhaltungspflicht von verschiedenen Aufbewahrungspflichten für branchenspezifische Daten. Im Klartext heißt es, dass ‘Revisionsrechtliche Bestimmungen’ – so könnte man Compliance ins Deutsche übersetzen – definieren, welche Daten wie lange unveränderbar gespeichert werden müssen, damit sie bei einer Revision durch das Finanzamt beispielsweise geprüft werden können.

Das klingt nach Technik, die der künftige CCO verstehen müsste. Möglicherweise müsste er dafür verantwortlich sein, welche Hard- und Software zum Einsatz kommen muss, um die gesetzlichen Regeln auch umsetzen zu können. Das heißt, er müsste sich mit dem Controller des Unternehmens gut stellen und Erfahrung haben in den Bereichen Speicher und Management.
 
Das Gebiet riecht aber auch nach Juristerei. Rechtliche Kenntnisse sind sicherlich von Vorteil, wenn es darum geht, die angewandten Gesetze zu verstehen – eine Grundvoraussetzung, will man der IT begreiflich machen, was genau aktualisiert werden muss. Ob er dann am Ende des Tages auch das bekommt, ist ein andere Frage. Der CFO wird ihm schnell im Nacken sitzen und auf die missliche Lage in der Finanzkasse  aufmerksam machen.

Wie viel ‘C’ ist erlaubt?

Es bleibt die Frage, wie weit ein CCO in die einzelnen Unternehmensbereiche involviert sein sollte. Zu technisch bringt nichts, zu juristisch auch nicht. Ein bisschen von beidem könnte sinnvoll sein, um als Schnittstelle zwischen IT-Abteilung und Geschäftsführung zu agieren. Eine reine Mittlerstellung nimmt aber schon der Chief Information Officer (CIO) ein. Ob man ihm die Compliance-Aufgabe noch aufbürden kann, ist fraglich.

Der Delegationsgedanke huscht da durchs Gehirn. Es müsste ein Mann mit Verantwortung sein, der Leute um sich hat, die das in die Abteilungen tragen, was er im Zusammenhang mit Compliance für wichtig hält. Das ist elementar, meint der Compliance-Experte Ullrich Kampffmeyer. Im Interview mit silicon.de plädierte er für eine eigene Compliance-Abteilung. “Wenn der CCO, oder wie man ihn auch immer nennen mag, keine Verantwortung für die Sache und die Mitarbeiter hat, dann ist er ein König ohne Land.” Allerdings steht auch Kampffmeyer nicht unbedingt auf der Seite derer, die den CCO-Posten für unumgänglich halten.