Bewertungen von Compliance-Kulturen

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1. Einführung
1.1 Problemstellung und Zielsetzung der Arbeit
1.2 Aufbau und Vorgehensweise der Arbeit
1.3 Methodische Verfahrensweise

2. Compliance-Kultur
2.1 Verortung im Unternehmen
2.1.1 Zentraler Charakter der Compliance-Kultur
2.1.2 Compliance-Risiko
2.1.3 Ursachen und Folgen von Regelverstößen
2.2 Bedeutung für das Compliance Management System gemäß IDW PS 980

3. Ermittlung einer Compliance-Kultur
3.1 Methoden zur Erfassung einer Compliance-Kultur
3.2 Durch Betrachtung der unternehmensspezifischen Faktoren
3.2.1 Einrichtung und Ausstattung eines Compliance Management Systems
3.2.2 Organisationsphilosophie und -umfeld
3.3 Durch Befragungen
3.3.1 Gütekriterien der Befragung
3.3.1.1 Objektivität
3.3.1.2 Reliabilität
3.3.1.3 Validität
3.3.1.4 Weitere Gütekriterien
3.3.2 Auswahl und Umfang der Stichprobe
3.3.3 Methodischer Aufbau der Befragungsbögen
3.3.3.1 Gestaltung der Fragebögen
3.3.3.2 Frageformulierung und Länge der Fragebögen
3.3.3.3 Befragungssituation

4. Die Befragungsbögen
4.1 Inhaltliche Abbildung der wesentlichen Kriterien
4.2 Auswertung und Kategorisierung der Antworten
4.3 Ansätze zur Vergleichbarkeit der Daten

5. Reflexion der Arbeit
5.1 Kritische Diskussion der Ansätze
5.2 Kritische Diskussion der Ergebnisse

6. Schlussbetrachtung

Literaturverzeichnis
Internetquelle
Verlautbarungen des Instituts der Wirtschaftsprüfer in Deutschland e.V
Rechtsquellenverzeichnis
Rechtsprechungsverzeichnis

Anhang
Zusammenfassungen der Interviews mit KPMG-Mitarbeitern
Quantitativer Fragebogen
Qualitativer Fragebogen
Ehrenwörtliche Erklärung

Abbildungsverzeichnis

Abbildung 1-1: Elemente einer Corporate Governance

Abbildung 1-2: Fraud Triangle und Ansätze der Prävention

Abbildung 1-3: Grundelemente eines CMS

Abbildung 2-1: Repertory-Grid Matrix für die Erfassung einer Compliance-Kultur

Abbildung 2-2: Organisatorischer Aufbau eines CMS

Abbildung 3-1: Notwendiger Stichprobenumfang

Abbildung 3-2: Notwendiger Stichprobenumfang für große Grundgesamtheiten

Abbildung 3-3: Unternehmen initiiert eine Befragung

Abbildung 4-1: Dimensionen der Compliance-Kultur

Abbildung 4-2: Rangordnung der Kategoriealternativen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einführung

1.1 Problemstellung und Zielsetzung

Immer wieder geraten Unternehmen aufgrund von Korruptionsfällen, eklatanten Rechtsverstößen oder moralisch fragwürdigen Handlungen in den Fokus der Öffentlichkeit. Dies führt neben den erheblichen monetären Beeinträchtigungen, wie z. B. durch Bußgelder oder Geldstrafen, auch zu einem reputationalen Schaden der Organisation. Insofern stellen derartige Verfehlungen ein unternehmerisches Risiko dar, welches Auswirkungen auf den Erfolg des Unternehmens haben kann. Daher nimmt der begrifflich sowie konzeptionell vielschichtige Bereich >Compliance<, und die damit einhergehende Umsetzung von Compliance Richtlinien, eine zunehmend stärkere Gewichtung in der Gestaltung bzw. in den Abläufen eines Unternehmens ein. Mit einem Compliance Management System (CMS), welches Bestandteil der Corporate Governance ist, kann das Adressieren von Gesetzen, Richtlinien sowie von Verhaltensregeln sichergestellt werden. Hierzu hat das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) einen Prüfungsstandard verabschiedet, welcher die Grundsätze einer ordnungsgemäßen Prüfung von CMS (IDW PS 980) betrifft, und einen detaillierten Ablauf diesbezüglich verfasst. Compliance wird darin als die Gesamtheit der Handlungen betrachtet, welche das rechtskonforme Verhalten eines Unternehmens, sowie seiner Mitglieder und Organe, gewährleistet. Dies betrifft sowohl die Einhaltung der öffentlichen Regulierung, z. B. in Form von Gesetzen, als auch die der privaten Regulierung, z.B. durch festgesetzte Standards. Zudem gibt es die Sicherstellung von Mischformen privater und öffentlicher Regulierung, z. B. durch den Deutschen Corporate Governance Kodex (DCGK).^[1] Der Begriff >Compliance< beinhaltet jedoch auch eine Früherkennung von Gefahren sowie eine Überwachung der zu befolgenden Richtlinien innerhalb eines Managementmodells bzw. einer Organisation.^[2]

Die Compliance-Kultur gilt in dieser Prüfung als das zentrale Grundelement mit dem ein angemessenes und wirksames CMS ausgestattet sein sollte. Alle weitergehenden Prozesse bzw. Elemente sind maßgeblich durch diese Kultur beeinflusst. Allerdings erweist es sich als äußerst schwierig, eine solche Compliance-Kultur aufgrund ihres weichen Charakters^[3] zu erfassen. Denn diese basiert eben nicht nur rein auf formalen Gesetzen, Handlungsanweisungen oder Abläufen innerhalb der Organisation, sondern besteht z. B. auch aus den grundlegenden Überzeugungen aller Mitarbeiter innerhalb eines dynamischen und soziotechnischen Systems. Aus diesem Grund ist eine formalistische Herangehensweise unter isolierter Betrachtung der Fakten für eine Ermittlung wenig hilfreich. Stattdessen müssen deren Sinn und Bedeutung interpretativ erschlossen sowie kontextspezifisch analysiert werden. Hierzu sind u. a. das methodische Vorgehen und die daraus ermittelten Ergebnisse sowie die abgeleiteten Schlüsse konsequent aufeinander abzustimmen. Dadurch ist es u. a. möglich, wesentliche Kriterien einer Compliance-Kultur zu definieren, um eine unternehmensübergreifende Vergleichbarkeit herzustellen.

Die involvierten Personen, bestehend sowohl aus den Führungskräften als auch den Mitarbeitern, spielen für den Aufbau, Erhalt sowie für die stärkere Manifestierung der Compliance-Kultur eine bedeutsame Rolle.^[4] Die hier vorherrschenden Umgangsformen sowie Verhaltensweisen sind direkte Einflussfaktoren. Aber jenseits der formellen Kommunikation hat auch die informelle eine hohe Gewichtung im täglichen Unternehmensalltag und somit auch innerhalb der Compliance-Kultur. Folglich müssen diese Aspekte für eine Analyse des Bereiches ebenfalls eine wesentliche Position einnehmen. Hier sind Dynamiken, Abhängigkeiten, Denkmuster, Überzeugungen und Einstellungen hinsichtlich der Einhaltung von Regeln, in jedweder Form, zu untersuchen.

Allerdings kann sich eine angemessene Compliance-Kultur in einem Unternehmen nur entwickeln, sofern auch die entsprechenden Institutionen und Kompetenzen vorliegen. Es müssen demzufolge Maßnahmen geschaffen werden, welche eine günstige Compliance-Kultur fördern sowie Verfehlungen umgehend aufdecken, bevor diese einen höheren Schaden verursachen. Daher sind bei einer umfassenden Betrachtung auch diese Bereiche zu analysieren.

Ziel dieser Masterthesis ist es daher, ein Instrument bereitzustellen, welches eine Analyse der Tiefenstruktur einer Compliance-Kultur eines Unternehmens ermöglicht und somit für eine Bewertung bzw. für einen Prüfungsprozess i. S. d. IDW PS 980 zur Verfügung steht. Es gilt hierbei mit verschiedenen Methoden eine Vorgehensweise zu präsentieren, mit der eine Compliance-Kultur im Zuge eines Prüfungsprozesses oder einer Beratungstätigkeit evaluiert werden kann. Hierzu liegt der Fokus auf der Ermittlung sowie Bewertung der Compliance-Kultur durch Betrachtung und Befragung der Mitarbeiter eines Unternehmens. Dadurch kann die jeweilige Compliance-Kultur in den einzelnen Unternehmensteilen bzw. –bereichen sichtbar gemacht und anhand klarer Kriterien charakterisiert werden.

1.2 Aufbau und Vorgehensweise der Arbeit

Um eine adäquate Behandlung der Thematik gewährleisten zu können, gilt es sowohl einen umfassenden als auch detaillierten Einblick in die relevanten Aspekte der Compliance-Kultur zu ermöglichen. Hierzu findet im zweiten Kapitel eine spezifische Betrachtung der Compliance-Kultur unter Berücksichtigung der zentralen Charakteristika, Auswirkungen und Gefahren statt. Ebenso erfolgt auf der Grundlage der IDW PS 980 die Einsichtnahme in ein CMS unter besonderer Berücksichtigung der darin enthaltenen Compliance-Kultur. Aus den hierbei gewonnenen Erkenntnissen lassen sich später Ableitungen zur Evaluierung einer Compliance-Kultur herausarbeiten.

Im Anschluss daran wird im dritten Kapitel die Ermittlung einer Compliance-Kultur fokussiert. Diesbezüglich werden unternehmensspezifischen Faktoren präsentiert, welche sich aus der Ausgestaltung eines CMS sowie aus der Unternehmensphilosophie bzw. des Organisationsumfelds ergeben. Zudem ist auch die Erhebung relevanter Daten, die in dieser Masterthesis mit Hilfe von Befragungen der Unternehmensmitglieder erzielt wird, für die Ermittlung einer Compliance-Kultur von herausragender Bedeutung. Hierbei ist es essentiell, sowohl auf die Einhaltung der wissenschaftlichen Gütekriterien von Befragungen zu achten als auch die Auswahl bzw. den Umfang der zu befragenden Personen näher zu erläutern. Dadurch soll eine hinreichende Zuverlässigkeit, Repräsentativität, Objektivität sowie Gültigkeit der zu erhebenden Daten erzeugt werden. Mit dem methodischen Aufbau der quantitativen sowie der qualitativen Befragung, welche sich aus der Gestaltung und Formulierung der Fragebögen sowie der Befragungssituation ergeben, schließt dieses Kapitel ab.

Die bis zu diesem Zeitpunkt der Arbeit gewonnenen Erkenntnisse fließen im vierten Kapitel zusammen und formen die inhaltlichen Kriterien der Befragungen. Sowohl die Auswertung bzw. Kategorisierung als auch die Vergleichbarkeit der aus den Befragungen resultierenden Daten finden hier eine detaillierte Erläuterung. Dieser Bereich soll auch zur besseren Verständlichkeit der jeweiligen Absichten der einzelnen Kultur-Dimensionen beitragen und somit als Interviewerhinweis bzw. zur Unterstützung dienen.

Das fünfte Kapitel hat das Ziel, die zu Grunde liegende Thesis zu reflektieren und anhand einer kritischen Diskussion der Ansätze sowie der Ergebnisse einen anderen Blickwinkel auf die spezifischen Aspekte zu erlauben. Die hierbei erzielten Erkenntnisse liefern Anknüpfungspunkte für die Umsetzung verschiedener Ansätze und enthalten zusätzlich weitere Hilfestellungen für den praktischen Einsatz der beschriebenen Methoden und Vorgehensweisen. Abschließend werden mit der Schlussbetrachtung eine Einbringung der wesentlichen Fakten in den Gesamtkontext gewährleistet und Anknüpfungspunkte für weitergehende Untersuchungen benannt.

1.3 Methodische Verfahrensweise

Die in dieser Arbeit verwendete methodische Herangehensweise ist geprägt durch eine Vielzahl unterschiedlicher Ansätze. Es galt dabei eine Möglichkeit zu präsentieren, mit der eine Erfassung und Bewertung der Compliance-Kultur eines Unternehmens realistisch ist. Aufgrund dessen sind verschiedene betriebswirtschaftliche Thematiken und Vorgehensweisen miteinander kombiniert worden, um daraus ein in sich schlüssiges Ergebnis zu erzielen sowie ein geeignetes Mittel zur Evaluierung einer Compliance-Kultur zu konzipieren.

Zunächst galt es, eine intensive sowie umfassende Literaturrecherche durchzuführen, um den Forschungsstand zum Thema Compliance-Kultur zu sammeln. Bereits an dieser Stelle zeigte sich, dass es bei der >Compliance-Kultur< noch um einen relativ jungen wissenschaftlichen Diskurs geht. Daher wurden in dieser Thesis Parallelen zur >Unternehmenskultur<, zum >Wertemanagement< sowie zum >Integrationsmanagement< gezogen und auf die Aufgabenstellung adaptiert.

Darüber hinaus lag der Fokus auf der weiterführenden Konzeption einer praktischen Herangehensweise, unter Beachtung wissenschaftlicher Kriterien, deren Ziel ein Instrument zur Bewertung einer Compliance-Kultur ist. Um dies zu erreichen, ist neben der Betrachtung von unternehmensspezifischen Faktoren, wie z. B. dem CMS eines Unternehmens, auch eine Befragung von Unternehmensmitgliedern geeignet. Folglich werden einerseits die wesentlichen Aspekte einer angemessenen Compliance-Kultur innerhalb eines CMS präsentiert als auch quantitative sowie qualitative Fragebögen konzipiert. Anhand der Vorstellung von zwei Fragebögen, welche inhaltlich relativ homogen sind, aber konzeptionell Unterschiede aufweisen, kann flexibel auf spezifische Rahmenbedingungen einer Untersuchung eingegangen werden. Andere mögliche Methoden zur Ermittlung einer Compliance-Kultur, wie z. B. durch Experimente oder Beobachtungen, finden in dieser Thesis keine Beachtung.

Nach einer ersten Ausarbeitung der Fragebögen fanden drei qualitative Interviews mit KPMG-Mitarbeitern statt. Der Fokus der qualitativen Befragung lag in der Auswertung der durchgeführten Interviews und insbesondere in den darin enthaltenen Fragen zu den Kultur-Dimensionen sowie Frageformulierungen. Des Weiteren ist eine ausgiebige Überprüfung der Sinnhaftigkeit, Wirksamkeit sowie Durchführbarkeit des qualitativen Fragebogens unter Berücksichtigung der praktischen Erfahrungen der beteiligten KPMG-Mitarbeiter vollzogen worden. Dabei konnte auf die umfassende Erfahrung von Herrn Hélio Rodrigues, Wirtschaftsprüfer und Senior Manager im Bereich Audit, von Herrn Stephan Bleimann, Rechtsanwalt und Senior Manager im Bereich Advisory, sowie von Herrn Jens Hartke, Rechtsanwalt, Steuerberater und Prokurist im Bereich Audit Corporate, zurückgegriffen werden. Aus dieser empirisch qualitativen Vorgehensweise sind reichhaltige Synergien, Verbesserungsvorschläge und Anregungen hervorgegangen. Bezüglich des ebenfalls konzipierten quantitativen Fragebogens ist es möglich gewesen, die Erfahrungen der KPMG-Mitarbeiter durch einen intensiven Email-Verkehr zu erfassen und zu verarbeiten. Die im Anhang befindlichen Fragebögen stellen somit die Endfassung dar und enthalten die herausgearbeiteten Verbesserungsvorschläge, die sich aus der Auswertung der qualitativen Interviews ergeben haben. Zudem befinden sich im Anhang die inhaltlichen Zusammenfassungen der zentralen Aspekte der geführten Interviews mit den einzelnen KPMG-Mitarbeitern, sowie Details über Ort und Dauer der Gespräche.

2. Compliance-Kultur

Einen integralen Bestandteil und damit die Grundvoraussetzung für ein funktionsfähiges und adäquates CMS stellt, gemäß IDW PS 980, die Compliance-Kultur eines Unternehmens dar.^[5] Diese durchaus hohe Bedeutung spiegelt sich in vielen weiteren wissenschaftlichen Beiträgen der akademischen Fachwelt wider.^[6] Grützner und Jakob liefern zur näheren Begriffsbestimmung folgendes:

„Compliance Kultur ist die Einstellung der Mitarbeiter eines Unternehmens zur Einhaltung der gegebenen Regeln. Die Compliance Kultur innerhalb eines Unternehmens wird maßgeblich durch die Kommunikation von Seiten des Managements geprägt.“^[7]

Der hier beschriebene >tone at the top< bzw. >tone from the top< nimmt bei der Etablierung dieses Faktors eine wichtige Rolle ein. Er ist somit ein entscheidender Erfolgsfaktor für das Unternehmen und durch die Unternehmensführung aufzubauen, zu transportieren, zu pflegen sowie zu intensivieren.^[8]

Außerdem sind bei der Betrachtung der Compliance-Kultur verschiedene Aspekte näher zu beleuchten sowie unterschiedliche Perspektiven einzunehmen. Es ist somit notwendig, aus dem Blickwinkel des Unternehmens und seiner jeweiligen Mitarbeiter mit ihren zu Grunde liegenden Einstellungen und Verhaltensweisen, sowie aus der Perspektive des Organisationsumfeldes eine umfassende Darstellung zu garantieren. Erst hierdurch ist es möglich, eine Basis zu schaffen, welche die explizite Erfassung sowie Bewertung einer Compliance-Kultur sicherstellt. Daher gilt es im folgenden Kapitel die unterschiedlichen Perspektiven einzunehmen, darzustellen und hinsichtlich ihrer Bedeutsamkeit für die Bewertung von Compliance-Kulturen auszuwerten.

2.1 Verortung im Unternehmen

Aufgrund der hohen Bedeutung des Compliance Managements für den Erfolg eines Unternehmens nimmt dieses eine entsprechende Position in der organisationalen Hierarchie ein. Diese besondere Stellung leitet sich sowohl aus dem DCGK als auch aus dem Sarbanes-Oxley Act von 2002 ab.^[9] Dennoch bestehen derzeit keine klaren rechtlichen Vorschriften, wie ein solches Compliance Management System aufgebaut sein soll bzw. ob überhaupt eines vorhanden sein muss.^[10] Grund hierfür könnte der bisher nicht gesetzlich verankerte und definierte Begriff >Compliance< sein.^[11] Allerdings ist, sofern ein bestehend hoher Risikograd der Haftungsgefahren vorliegt, durchaus ein Zwang zur Einführung eines solchen Compliance Systems gegeben.^[12] Unternehmen müssen jedoch integere bzw. ordnungsgemäße Geschäftsabläufe sicherstellen und hierfür eignet sich u. a. ein CMS.^[13] Da die Compliance-Kultur ein zentrales Grundelement des CMS darstellt, muss also auch die grundlegende Konzeption eines solchen Bereichs im Unternehmen verortet werden.

Innerhalb der Corporate Governance eines Unternehmens nimmt das Compliance Management, neben dem Risikomanagement und dem Internen Kontrollsystem, eine elementare Rolle ein.^[14] Dies verdeutlicht folgende Abbildung:

Abbildung in dieser Leseprobe nicht enthalten

Die Corporate Governance beinhaltet dabei sowohl formale und informale Regeln, z. B. in Form von Gesetzen, Richtlinien, unternehmensinternen Anweisungen oder moralischen Vorgaben, als auch eine organisatorische Struktur zur Sicherstellung der Kontrolle und Leitung, z. B. durch eine Unternehmenskultur.^[16] Ziel dieses Systems ist es u. a. Vertrauen bei möglichen Investoren zu erzeugen, indem es zu einer Reduktion vorhandener asymmetrisch verteilter Informationen kommt.^[17] Anhand der Abbildung 1-1 ist die hohe Stellung des CMS innerhalb des Unternehmens ersichtlich, da dieses direkt unterhalb des Aufsichtsrates bzw. des Vorstandes angesiedelt wird. Diese Positionierung ist eine notwendige Voraussetzung, um auch gegen ein Top-Management-Fraud effektiv handeln zu können. Oftmals haben Chief Compliance Officers (CCO) sogar innerhalb des Vorstandgremiums ein Widerspruchsrecht und können dadurch auch die strategische Ausrichtung, im Kontext auf Compliance, beeinflussen.^[18] Außerdem kann aus der Abbildung 1-1 die Rolle der Internen Revision innerhalb der Corporate Governance als Grundlage für die weiteren Instanzen abgelesen werden.

Im Rahmenkonzept des Committee of Sponsoring Organizations of the Treadway Commission (COSO) zur Strukturierung und Bewertung von internen Kontrollsystemen stellt das Kontrollumfeld eine elementare Komponente dar und wird in den Prüfungsstandards der IDW umgesetzt.^[19] Innerhalb dieser Internen Revision gilt es, das interne Kontrollsystem, bestehend u. a. aus dem Kontrollumfeld, im Unternehmen auszugestalten. Dazu ist ein solches System zu konzeptionieren, zu implementieren, aufrechtzuerhalten sowie zu überwachen.^[20] Das Kontrollumfeld nimmt hierbei eine grundlegende Stellung ein und beschreibt die Atmosphäre, in der Steuerungshandlungen stattfinden. So hat die Bedeutung von Integrität und ethischen Werten ebenso Auswirkungen, wie die fachliche Kompetenz bzw. Expertise im Unternehmen. Des Weiteren stellen die Unternehmenskultur sowie die darin integrierte Unternehmensphilosophie, mit einhergehendem Werteverständnis der Mitarbeiter, ebenfalls einen bestimmenden Faktor dar. Auch der Führungsstil des Managements, die Zuordnung von Weisungsrechten und Verantwortung, die Überwachungstätigkeit des Aufsichtsrats bzw. der Gesellschafterversammlung sowie die Grundsätze der Personalpolitik beeinflussen das Kontrollumfeld im Unternehmen. Das Kontrollumfeld hat wiederum Einfluss auf das Kontrollbewusstsein der Mitarbeiter und stellt daher ein Fundament für ein wirksames internes Kontrollsystem sowie für eine adäquate Compliance-Kultur dar.^[21]

Obwohl keine explizite gesetzliche Verankerung eines Compliance Systems vorliegt, hat sich in der Unternehmenspraxis eine weite Verbreitung solcher Einrichtungen etabliert.^[22] Die Unternehmensführung, mit ihrer umgesetzten und etablierten Unternehmens- und Leitungskultur, ist dabei vorwiegend gefragt. Denn mit einer bestehenden sowie angemessenen Unternehmenskultur kann sich eine umfassende Unternehmensidentität aufbauen und somit das Verhalten aller Mitarbeiter stark beeinflussen. Es gilt daher, mit Werten und Normen Einfluss auf das Verhalten der Unternehmensmitglieder und - organe zu nehmen. Um das Compliance Management und in zweiter Instanz damit auch die Compliance-Kultur optimal gestalten bzw. nutzen zu können, muss diese eine permanente Führung und Steuerung durch ein normatives strategisches Management erfahren.^[23] Folglich stellt das CMS ein wichtiges Instrument des strategischen normativen Managements dar.^[24]

Das vorwiegende Ziel einer Corporate Governance ist es, Vertrauen gegenüber den Investoren am Kapitalmarkt, den Medien, der Öffentlichkeit und dem Staat zu erzeugen.^[25] Es gilt, Bilanzskandale, Korruption oder moralische Entgleisungen rechtzeitig zu erkennen und abzuwenden, bevor ein monetärer bzw. reputationaler Schaden entsteht. Dazu sind die jeweiligen Institutionen und die hierfür zuständigen Personen regelmäßig oder sogar permanent zu kontrollieren. Die hierfür zwingend benötigte Unterstützung der Unternehmensmitglieder kann durch die Schaffung einer günstigen Compliance-Kultur erzeugt werden. Infolgedessen können Compliance-Kosten stark reduziert und freigewordene Ressourcen anders eingesetzt werden.^[26]

2.1.1 Zentraler Charakter der Compliance-Kultur

Für eine Bewertung der Compliance-Kultur eines Unternehmens ist die Aufdeckung und Kommentierung der wesentlichen Aspekte dieses weichen Faktors von besonderer Bedeutung. Um dies zu erreichen, muss der eigentliche Kernbereich bzw. das spezifische Wesen dieser Kultur zur näheren Betrachtung herangezogen werden. Hierfür ist es notwendig herauszustellen, was eine angemessene Compliance Kultur ausmacht.

Eine Unternehmenskultur gilt als eine essentielle Voraussetzung zur Schaffung bzw. Festigung einer Compliance-Kultur. Die Akzeptanz der Mitarbeiter hinsichtlich der zwingenden Gültigkeit sowie Einhaltungspflicht von Gesetzen sowie von unternehmensinternen Richtlinien bildet dabei die Grundlage. Der langfristige Vorteil einer angemessenen Compliance-Kultur ist dazu in den Vordergrund zu stellen. Zudem ist herauszustellen, dass eine solche Einstellung nicht nur ein Interesse der Unternehmensführung darstellt, sondern auch zum Wohlergehen der Mitarbeiter beiträgt.^[27] Somit stellt eine Compliance-Kultur ein kollektives Verständnis der Mitarbeiter dar, welches aus der Unternehmenskultur der jeweiligen Organisation resultiert.^[28] Folglich gilt eine Unternehmenskultur dann als gut bzw. angemessen, wenn sie zur Verringerung von Regelverstößen beiträgt und somit zu einer Reduzierung von Compliance-Kosten führt.^[29] Die Compliance-Kultur sollte daher sowohl einen integralen Bestandteil der Unternehmenskultur darstellen als auch in gegenseitigem Einklang zu ihr stehen.^[30]

Zusätzlich ist eine Werteorientierung bzw. eine auf Vertrauen basierte Compliance-Kultur als ein entscheidendes Charakteristikum zu identifizieren. Hierbei spielen die im Unternehmen vermittelten ethischen bzw. normativen Verhaltensweisen sowie deren Umsetzung und Anerkennung durch alle Unternehmensmitglieder eine große Rolle.^[31] Zur Implementierung eines solchen Wertesystems kann die Entwicklung eines Compliance Programms oder die Formulierung eines Code of Conducts (CoC) hilfreich sein, um dadurch unternehmensinterne Richtlinien zu schaffen.^[32] Mit Hilfe dieser formalen Kommunikationsmittel stehen zwar allgemeingültige Verhaltensanweisungen für die Angehörigen der Organisation zur Verfügung, jedoch muss darüber hinaus die Unternehmensführung in der konkreten Situation durch ihr Verhalten die Wichtigkeit eines compliance-konformen Verhaltens an den Tag legen.^[33] Die Erfüllung dieser Vorbildfunktion durch die Unternehmensleitung führt zu einem vertrauensvollem und regelkonformen Verhalten der Mitglieder und ist daher ein zentraler Aspekt einer angemessenen Compliance-Kultur.^[34]

Allerdings kann eine Compliance-Kultur auch auf kontrollbasierenden und regulierenden Mechanismen beruhen. Hierzu müssen Verhalten und Handlungen der Unternehmensmitglieder überwacht werden und gegebenenfalls muss eine Sanktionierung der Verfehlungen erfolgen. Dadurch ist es möglich, Verantwortlichkeiten direkt und schnell zuzuteilen und auftretende Schwachstellen zu erkennen sowie entsprechende Maßnahmen zur Verbesserung des Systems bzw. der Compliance-Kultur einzuleiten. Anstatt einer Vertrauenskultur ist hier eine Misstrauenskultur vorrangig vertreten.^[35]

Ungeachtet der unterschiedlichen Ausprägungsformen bzw. Charakteristika einer Compliance-Kultur nimmt der Faktor >Unternehmensmitglied< stets eine entscheidende Bedeutung ein.^[36] Eine angemessene Compliance Kultur kann nur etabliert werden, sofern sie von den involvierten Mitgliedern akzeptiert und gelebt wird. Hierzu reicht die Formulierung von Werten, Prozessen oder Umgangsformen nicht aus, sondern es bedarf deren strikter sowie gänzlicher Umsetzung im Unternehmen. Ansonsten besteht die Gefahr, dass die Initiativen zur Förderung einer Compliance-Kultur als unglaubwürdig erachtet werden und somit an Wirkung verlieren.^[37] Letztlich ist zu betonen, dass die genannten Aspekte kein starres oder verpflichtendes Porträt einer Compliance-Kultur darstellen, sondern diese stets kontext- und unternehmensspezifisch aufzufinden sind. Dabei können einzelne Faktoren u. U. stärker bzw. schwächer ausfallen respektive sogar vollkommen ausbleiben. Einflussfaktoren für die Ausprägungen der Charakteristika sind u. a. die Unternehmenskultur, die Branche, die Wettbewerbsintensität sowie die Landeskultur bzw. Mentalität der Organisationsmitglieder.

2.1.2 Compliance-Risiko

Die Aufgaben des Compliance Managements umfassen neben der Früherkennung von Gefahren sowie der Überwachung der einzuhaltenden Regeln auch sämtliche Handlungen, welche ein regelkonformes Verhalten innerhalb einer Unternehmung sicherstellen. Es geht dabei insbesondere um die Eingrenzung bzw. Verhinderung von Compliance-Risiken. Die Betrachtung und Analyse derartiger Risiken für ein Unternehmen, im negativen Sinne, stehen daher im folgenden Abschnitt im Fokus.

Zu den potentiellen Compliance-Risiken zählen u. a. rechtliche sowie regulatorische Sanktionen, welche aufgrund von Regelverstößen des Unternehmens erfolgen.^[38] Darunter fallen jegliche Kartell- und Korruptionsvergehen bzw. die Ahndungen dieser Handlungen, welche im Zuge der Geschäftsaktivitäten des Unternehmens erfolgt sind. Dies beinhaltet insbesondere Bußgelder von bis zu 10 % des Konzernumsatzes, Verwarnungen, Vertragsstrafen oder im Falle von Banken- und Wertpapierdienstleistern kann auch eine Teilnahme am Börsenhandel versagt werden.^[39] Sowohl Dauer und Schwere als auch der wiederholte Verstoß des regelwidrigen Handels beeinflussen dabei die Höhe der zu entrichtenden Strafe.^[40]

Des Weiteren besteht für das Unternehmen ein finanzielles Verlustrisiko mit zum Teil erheblichen Folgekosten.^[41] Direkte monetäre Belastungen ergeben sich zum einen aus etwaigen Schadensersatzansprüchen, z. B. der Unternehmenseigentümer oder der Investoren, sowie zum anderen aus dem eigentlichen Schaden der entstanden ist. Zudem können in Folge des Regelverstoßes u. a. der Ausschluss von öffentlichen Ausschreibungen, der Gewerbeentzug, eine internationale Exportbeschränkung, Kompensationszahlungen oder die Sicherstellung bzw. Beschlagnahmung von Vermögensgegenständen und Wirtschaftsgütern des Unternehmens erfolgen.^[42]

Zusätzlich zu den bisherigen Aspekten ist auch ein Reputationsrisiko als eine immaterielle Folge des Regelverstoßes zu den Compliance-Risiken aufzunehmen.^[43] Hierdurch kann es zu erheblichen Beeinträchtigungen der Geschäftsbeziehungen kommen sowie zu einer Reduzierung der Mitarbeitermotivation bzw. Mitarbeitermoral. Dieser einhergehende Vertrauensverlust hat zugleich Auswirkungen auf Shareholder und Stakeholder, mit der Folge, dass es z. B. innerhalb des Unternehmens zu weiteren Verfehlungen kommen kann oder, dass wichtige Investitionen ausbleiben. Aufgrund eines Ansehensverlustes kann es auch zu einer Senkung der Kreditwürdigkeit des Unternehmens kommen und somit zu höheren Finanzierungskosten.^[44]

Zu einer detaillierteren Unterscheidung der Compliance-Risiken kommt Josef Wieland, der zwischen Reputationsrisiken, politischen Risiken, Rechtsrisiken, Länderrisiken und Verhaltensrisiken differenziert. Um das Reputationsrisiko zu reduzieren, hat das Compliance Management die Aufgabe, den guten Ruf des Unternehmens aufzubauen und rechtzeitige Präventionsmaßnahmen zu initiieren, bevor eine Beschädigung eintritt. Hinsichtlich des politischen Risikos besteht die Gefahr, dass internationale Organisationen oder nationale Regierungen Maßnahmen einleiten, welche eine Verschärfung der Rechtslage bzw. eine Erhöhung der Anforderungen an das Management zur Folge haben. Diesbezüglich ist ein Engagement des Compliance Managements im politischen Raum zur Durchsetzung der Unternehmensinteressen gefragt. Die spezifischen Kosten, die sich aus Rechtsverstößen z. B. des Kartell- oder Korruptionsrechts ergeben, sind als Rechtsrisiken definiert, ungeachtet dessen, ob sie vom Unternehmen oder von einem Individuum zu tragen sind. Zu den Länderrisiken zählen die kulturspezifischen Rechtsordnungen und Wertesysteme, mit denen sich die Unternehmen in ihren Standorten auseinandersetzen müssen. Schließlich umfasst das Verhaltensrisiko die Gefahr des individuellen Fehlverhaltens einer Person bzw. eines Organs.^[45] Eine angemessene Compliance-Kultur hat infolge dieser Risikodefinitionen einen direkten Einfluss auf das Länder- und Verhaltensrisiko sowie einen indirekten Einfluss auf die übrigen Risiken.

Um einer angemessenen Analyse der Compliance-Risiken gerecht zu werden, muss eine Bewertung der spezifischen Unternehmensrisiken durch das Compliance Management erfolgen. Sowohl Eintrittswahrscheinlichkeiten als auch Schadenshöhen der Risiken sind dabei von besonderer Bedeutung.^[46] Allerdings lassen sich diese i. d. R. nicht verlässlich erfassen.^[47] Unternehmensgröße und -kultur, Branche oder Internationalität der Unternehmung sind bei Registrierung relevanter Problembereiche ebenfalls ausschlaggebend. Unternehmensbereiche wie Einkauf, Vertrieb und Finanzen weisen hohe Gefahrenpotentiale auf, welche es einzudämmen gilt.^[48] Hierbei ist das Erstellen einer Rangliste von besonders risikoreichen Bereichen bzw. von risikointensiven Kontexten von Vorteil. Denn auf diese Weise ist es möglich, eine Priorisierung bei der Überwachung dieser Problemfelder durch das Compliance Management sicherzustellen. Auch können Präventionsmaßnahmen, wie z. B. Fortbildungen, so eine effektivere Wirkung zeigen und zu einer rechtzeitigen Aufklärung beitragen. Um den Wirkungsgrad solcher Maßnahmen zu optimieren sowie Compliance-Risiken zu reduzieren, ist die Implementierung einer angemessenen Compliance-Kultur notwendig. Aufgrund von inadäquaten Verhaltensweisen der Unternehmensmitarbeiter besteht eine unmittelbare Gefahr für die Organisation. Ein Regelwerk bzw. ein organisationsinterner Habitus, welcher sowohl mit den öffentlichen Gesetzen und Moralvorstellungen als auch mit den unternehmensinternen Richtlinien übereinstimmt, führt zu einer Reduzierung der Compliance-Risiken sowie zu einer allgemeinen Verringerung der Compliance-Kosten.

2.1.3 Ursachen und Folgen von Regelverstößen

Für ein Unternehmen können Rechtsverstöße, Korruption oder fragwürdige Verhaltensweisen der Mitarbeiter langfristige negative Konsequenzen nach sich ziehen. Wie bereits in Kapitel 2.1.2 anschaulich beschrieben wurde, ist eine angemessene sowie umfassend implementierte Compliance-Kultur in der Lage, Compliance-Risiken zu reduzieren. Um Rückschlüsse auf die Bewertung einer solchen Compliance-Kultur zu ermöglichen, ist es daher notwendig, sowohl die Ursachen als auch die Folgen dieses irregulären Verhaltens der Unternehmensmitarbeiter zu erforschen.

Hinsichtlich der Ursachen für Regelverstöße ist zwischen unternehmensinternen sowie –externen Gründen zu unterscheiden. Innerhalb der Unternehmung ist u. a. die vorherrschende Personalpolitik für viele Problemfelder verantwortlich. Neben dem bereits beschriebenen >tone at the top< und der Unternehmenskultur zählen auch Anreiz- und Sanktionssysteme, mangelnde Dienstaufsicht sowie Informations- und Loyalitätsdefizite zu den Einflussfaktoren für auftretende Missstände.^[49] Denn sofern das Management der jeweiligen Ebenen nicht eine gewisse Kontrolle ausübt, in der das Verhalten des unterstellten Bereichs auf Konformität in Bezug auf vorherrschende Gesetze, Regeln, Richtlinien sowie die Unternehmenskultur überprüft wird, können sich falsche Verhaltensweisen etablieren und ausbreiten. Fehlende bzw. unzureichende Anreiz- und Sanktionsmechanismen, z. B. in Form von nicht angemessenen Gehältern oder mangelnden Mitarbeiterförderungen können einerseits Organisationsentwicklungen hemmen und andererseits auch ursächlich für Non-Compliance Verhalten sein.^[50] Zugleich sind die Mitarbeiter auf allen Ebenen über eine angemessene Informationsbasis hinsichtlich des gewünschten bzw. unerwünschten Verhaltens auf dem Laufenden zu halten. Denn so ist es möglich, auf aktuelle Gesetzesänderungen oder neu entstehende Verhaltenserwartungen, z. B. seitens der Öffentlichkeit, rechtzeitig zu reagieren. Auch kann eine manifestierte Unternehmenszugehörigkeit zu einem compliance-gerechten Verhalten der Mitarbeiter beitragen oder aber im Gegenteil bei fehlendem Zugehörigkeitsgefühl irreguläres Verhalten eher ermöglichen. Sofern die Mitarbeiter eine emotionale Bindung zum Unternehmen aufbauen, kann eine solche Loyalität sowohl Regelverstöße verhindern als auch einen positiven Beitrag bei der Implementierung einer angemessen Compliance-Kultur leisten.^[51]

Weiterhin können aber auch der organisationale Aufbau sowie die internen Prozesse eines Unternehmens zu einem regelwidrigen Verhalten innerhalb der Organisation führen. So kann eine stark dezentral ausgerichtete Struktur innerbetriebliche Konflikte auslösen bzw. verstärken und hierdurch negative Auswirkungen auf das Unternehmensklima haben. Auch führen nicht sachgerechte oder unklar formulierte Unternehmensziele mit einhergehenden mangelhaft erteilten Handlungsspielräumen der Teilsysteme zu einer zunehmenden Gefahr von Non-Compliance.^[52]

Da ein Regelverstoß i. d. R. von einem Individuum bzw. von einer Gruppe verursacht wird, liegt es nahe, die Ursachen hierfür in den jeweiligen Persönlichkeitsmerkmalen zu suchen. Die kognitiven Entwicklungsstufen von Individuen sind als Indikator für regelwidrige Handlungen durch Akteure entscheidend. Hierbei verringert sich die Wahrscheinlichkeit der irregulären Verhaltensweisen je höher die Entwicklungsstufe der Person ist.^[53] Infolgedessen sind die persönlichen Motive, kognitiven Fähigkeiten und Charaktereigenschaften des Individuums zur Erklärung für Non-Compliance Verhalten entscheidend. Allerdings ist neben diesen Aspekten auch stets eine vorhandene Gelegenheit zur Ausübung eines inadäquaten Verhaltens eine zwingende Voraussetzung.^[54] Zur Erklärung solcher Handlungen und zur Lösung derartiger Problembereiche ist die Prinzipal-Agenten-Theorie, als ein Teil der neuen Institutionenökonomie, äußerst hilfreich. Neben der asymmetrischen Informationsverteilung zwischen den Unternehmenseigentümern (Prinzipal) und den opportunistisch handelnden Unternehmensmitarbeitern (Agenten), ist die Entstehung eines Zielkonfliktes zwischen diesen Vertragsparteien grundlegende Voraussetzung für das Aufkommen von regelwidrigem Verhalten.^[55] Jedoch kann eine solche Prinzipalrolle auch durch die jeweiligen Abteilungsleiter, innerhalb ihres Kompetenzbereiches, wahrgenommen werden. Daher ist eine konsequente sowie klar formulierte Verhaltensanweisung nicht nur für das gesamte Unternehmen zu formulieren, sondern auch auf die jeweiligen spezifischen Bereiche bzw. Abteilungen herunterzubrechen. Diesbezüglich ist eine konsequent ausgerichtete Compliance-Kultur mit manifestierten Werten und Normen sowohl Hilfsmittel als auch Grundvoraussetzung. Denn ansonsten kann es bezüglich der vorgegebenen Norm zu Missverständnissen oder Verwirrungen unter den Mitarbeitern kommen.^[56] Eine anschauliche Darstellung dieser Problematik liefert Stephan Grüninger:

Abbildung 1-2: Fraud Triangle und Ansätze der Prävention^[57]

Abbildung in dieser Leseprobe nicht enthalten

Die Konsequenzen, die sich aus einem Non-Compliance Verhalten ergeben, sind abhängig von der jeweiligen Art, der Intensität sowie des Zeitpunktes der Identifikation des Regelverstoßes. Neben den Gefahren, welche bereits in Kapitel 2.1.2 erläutert wurden, kann es im Zuge der hervortretenden Missstände auch zu einem Eingreifen des Aufsichtsrates oder der Aufsichtsbehörden kommen. Außerdem kann es aufgrund des Reputationsschadens zu einem Wertverlust der Unternehmensanteile kommen und folglich zu monetären Nachteilen für die Shareholder. Das Vertrauen in das Unternehmen und in seine Fähigkeiten sinkt, mit der Folge, dass Investitionen ausbleiben sowie das Wachstum stagniert. Steigende Reklamationskosten oder eine zunehmende Mitarbeiterfluktuation sind ebenfalls direkte Auswirkungen einer nicht angemessenen Compliance und beeinflussen u. a. Leistungsbereitschaft der Mitarbeiter sowie die Innovationsfähigkeit des Unternehmens.^[58] Einschränkungen der betrieblichen Tätigkeiten durch z. B. Vergabesperren für öffentliche Aufträge oder sogar durch Betriebsstilllegungen sind ebenfalls möglich und führen oftmals zu einer Unternehmenskrise sowie zu einem Abbau von Arbeitsplätzen. Weiterhin kann es zu einer Pfändung der Unternehmensbankkonten kommen sowie zu hohen Strafzahlungen.^[59] Für die verantwortlichen Manager kann das zudem auch zu der Verhängung von Geldstrafen oder Freiheitsstrafen führen und somit zu der Bedrohung ihrer beruflichen Existenz.^[60] Gemäß einigen wissenschaftlichen Quellen hat sich aus dem BGH-Urteil vom 17.07.2009 auch ein Haftungsrisiko für Compliance Officer ergeben, da diese eine Garantenstellung einnehmen und infolgedessen eine Verhinderung von Rechtsverstößen zu ihrem Aufgabenspektrum gehört.^[61] Allerdings ist ein CCO i. d. R. an die Weisungen des Vorstandes gebunden und daher nur in einem Innenverhältnis gegenüber der Gesellschaft haftbar zu machen. Zudem ist ein Compliance Officer auch kein gesetzliches Organ der Gesellschaft. Aufgrund dessen ist das BGH-Urteil und sein >obiter dictum< durchaus kritisch zu betrachten und nicht als eine finale Rechtssprechung anzusehen.^[62]

Die negativen Auswirkungen von Non-Compliance Handlungen bzw. Verhaltensweisen nehmen mit der Größe des Unternehmens zu. Zwischen 2005 und 2007 waren durchschnittlich 49 % aller Unternehmen in Deutschland von Wirtschaftskriminalität betroffen. Hierbei handelte es sich u. a. um Produktpiraterie, Industriespionage, Geldwäsche, Korruption, Falschbilanzierung, Unterschlagung oder Betrug. Der Gesamtschaden, der durch die Aufdeckung dieser Handlungen entstand, betrug 6 Milliarden Euro pro Jahr, wobei 1,75 Milliarden Euro auf die Bekämpfung und Prävention solcher Taten entfielen.^[63] Daher hat die Implementierung einer angemessenen Compliance-Kultur nicht nur zur Folge, dass Compliance-Kosten reduziert werden, sondern auch, dass dieses Werteempfinden zu einer höheren Aufdeckungsquote führt und zu einer langfristigen Verringerung der Regelverstöße beiträgt.

2.2. Bedeutung für das Compliance Management System gemäß IDW PS 980

Da das Compliance Management eines Unternehmens zunehmend in den Fokus von Shareholdern sowie Stakeholdern gerät, hat der IDW dies zum Anlass genommen, einen Prüfungsstandard zur Prüfung eines solchen CMS herauszugeben. Mit dieser IDW PS 980 liegt nun eine Prüfungsnorm vor, welche die Compliance-Kultur als einen besonderen Faktor innerhalb dieses Systems in den Vordergrund stellt. Daher ist es im Folgenden das Ziel, die Bedeutung und die spezifischen Aspekte dieser Compliance-Kultur gemäß der IDW PS 980 zu untersuchen.

Compliance wird in der IDW PS 980 als die Einhaltung von Regeln betrachtet. Diese Begriffsbestimmung bezieht sich sowohl auf gesetzliche als auch auf unternehmensinterne Vorschriften. Sofern sich das Unternehmen verpflichtet, Richtlinien einzuhalten, welche von externen Akteuren formuliert wurden, sind auch diese Gegenstände einer CMS Prüfung. Das CMS beinhaltet dabei die implementierten Grundsätze, Maßnahmen sowie Ziele der von den gesetzlichen Vertretern formulierten Grundsätze. Vorwiegend sind hierzu Geschäftsbereiche, Unternehmensprozesse bzw. Rechtsgebiete des Unternehmens zu prüfen.^[64] Ab dem 30.09.2011 ist die IDW PS 980 zwingend bei Prüfungen des CMS anzuwenden, jedoch konnte eine freiwillige Anwendung bereits früher erfolgen.^[65] Der Prüfungsstandard beachtet ebenfalls die Ausführungen des International Standard on Assurance Engagements 3000 (ISAE) sowie des International Framework for Assurance Engagements (IFAE).^[66] Die Prüfung des CMS soll >hinreichende Sicherheit< über die angemessene Darstellung der in der CMS Beschreibung vorhandenen Aussagen über die Grundsätze und Maßnahmen sowie deren Eignung zur frühzeitigen Erkennung von Regelverstößen geben.^[67] Eine angemessene Darstellung liegt vor, wenn die Grundelemente Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organisation, -Kommunikation sowie -Überwachung und Verbesserung beinhaltet sind, wobei „keine wesentlichen falschen Angaben sowie keine unangemessenen Verallgemeinerungen oder unausgewogenen und verzerrenden Darstellungen“^[68] vorhanden sein dürfen, welche die Adressaten des Berichts in die Irre führen könnten.^[69] Ein angemessenes CMS ist gegeben, sofern es in der Lage ist, mit hinreichender Sicherheit Risiken für wesentliche Regelverstöße rechtzeitig aufzudecken bzw. auch abzuwenden. Außerdem müssen bereits registrierte Regelverstöße zeitnah an den hierfür verantwortlichen Unternehmensbereich übermittelt werden, und werden vom CMS gegebenenfalls adaptiert.^[70] Zusätzlich ist die Wirksamkeit eines solchen Systems innerhalb eines bestimmten Zeitraums ebenfalls mit hinreichender Sicherheit zu attestieren.^[71]

Die Grundelemente eines angemessenen CMS beeinflussen sich wechselseitig und sind in die Geschäftsabläufe eingebettet. Es obliegt allerdings den gesetzlichen Vertretern, die konkrete Gestaltung des CMS vorzunehmen. Dabei sind sowohl die Compliance-Ziele, die Größe der Unternehmung als auch die Art und der Umfang der Geschäftstätigkeit bei der Konzeption des Systems zu berücksichtigen. Innerhalb dieser Grundelemente nimmt die Compliance-Kultur aufgrund ihrer besonderen Bedeutung in Bezug auf die Angemessenheit sowie Wirksamkeit des CMS eine gewichtige Position ein.^[72] Grundeinstellungen bzw. Verhaltensweisen der Manager sowie die dahingehende Rolle des Aufsichtsrates sind hier maßgebliche Einflussfaktoren. Mit der Compliance-Kultur kann so das regelkonforme Verhalten der Unternehmensmitglieder positiv beeinflusst werden.^[73]

Abbildung 1-3: Grundelemente eines CMS^[74]

Abbildung in dieser Leseprobe nicht enthalten

Neben der Unternehmenskultur bzw. dem gelebten Wertekanon des Unternehmens sowie seiner Mitglieder hat auch der gesamtgesellschaftliche Kontext Einfluss auf die Angemessenheit und Wirksamkeit der Compliance-Kultur. Zu diesen Einflussfaktoren zählen explizit sowohl die Verhaltensweisen der gesetzlichen Vertreter und des Managements als auch der im Unternehmen implementierte Führungsstil und die vorherrschende Personalpolitik. Weiterhin können Anreizsysteme, welche regelkonformes Verhalten fördern, formulierte Verhaltensgrundsätze sowie deren Verbreitung ebenfalls Auswirkungen auf die Compliance-Kultur haben. Des Weiteren ist auch die Aufgabengestaltung des Aufsichtsorgans, bzw. seine Stellung im Unternehmen, im Kontext von Risikomanagement und Compliance als Einflussfaktor zu identifizieren.^[75]

Sofern eine günstige Compliance-Kultur vorliegt, ist davon auszugehen, dass die im Unternehmen definierten Regeln von den Mitgliedern allgemein akzeptiert und befolgt werden. Außerdem haben aufgeklärte Regelverstöße angemessene Sanktionen zur Folge und somit finden die durch das CMS manifestierten Einstellungen, Haltungen sowie Handlungen hohen Zuspruch bei den Unternehmensangehörigen.^[76]

Die Einrichtung eines CMS hat vorwiegend eine präventive Funktion mit dem Ziel, das Risiko eines Unternehmensschadens aufgrund von Regelverstößen rechtzeitig zu verhindern. Allerdings ist eine vollständige Vermeidung von Verfehlungen nicht möglich.^[77] Aufgrund dessen ist die Manifestierung einer angemessenen Compliance-Kultur von herausragender Bedeutung für das Unternehmen, da hierdurch Kontroll- bzw. Compliance-Kosten reduziert werden und zusätzlich die Anzahl der Regelverstöße abnimmt.

Zwischenfazit

Bis zum derzeitigen Stand der Arbeit ist die herausragende Bedeutung einer angemessenen und umfassend implementierten Compliance-Kultur Gegenstand der Analyse gewesen. Die besondere Stellung des Compliance Managements innerhalb der Corporate Governance ermöglicht einen adäquaten Umgang mit den Compliance-Risiken, deren Ursachen und Folgen. In erster Linie benötigt ein Unternehmen eine zur Bekämpfung dieser Gefahren bzw. eine zur ihrer Prävention integrierte Kultur, welche sowohl auf Vertrauen als auch auf einem Fundament aus Werten und Normen basiert sowie durch die Mitarbeiter Anwendung findet. Eine solche Compliance-Kultur kann neben dieser Werteorientierung auch kontrollbasiert aufgebaut sein. Hierbei gilt es die unternehmensspezifischen Aspekte zu betrachten und dementsprechend zu reagieren. Um dies zu ermöglichen, kann eine Vielzahl von Varianten zur Etablierung eines CMS gewählt werden. Im Zentrum dieser Systeme steht allerdings die essentielle Compliance-Kultur des Unternehmens und beeinflusst alle weiteren Bestandteile bzw. Vorgehensweisen. Eine an das Unternehmen und sein Umfeld angepasste Compliance-Kultur kann neben den Compliance-Kosten auch die Risiken und Gefahren nachhaltig reduzieren und so zu einem langfristigen Unternehmenserfolg beitragen.

3. Ermittlung einer Compliance-Kultur

Jedes Unternehmen hat neben den offiziellen Regeln, Gesetzen oder Richtlinien auch inoffizielle Handlungs- bzw. Verhaltensanweisungen. Dennoch lassen sich gerade die weichen informellen Aspekte schwer erfassen. Oftmals sind sie das Resultat eines langen Entwicklungsprozesses, welcher sich über die Jahre innerhalb der Belegschaft manifestiert hat. Sich hierbei rein auf die formalen Vorgaben der Unternehmung, z. B. in Form eines CoC oder eines ähnlichen Kodex zu fixieren, wird dem Ziel der Ermittlung und Bewertung einer Compliance-Kultur nicht gerecht. Eine Compliance-Kultur ist, in Anlehnung an Scheins Thesen zur Unternehmenskultur, als ein >Klebstoff< anzusehen, der die Einstellungen und die Aktionen der einzelnen Organisationsmitglieder beeinflusst sowie gemeinsam an ein bestimmtes Wertesystem ausrichtet.^[78] Daher ist es von entscheidender Bedeutung, jene Kultur zu ermitteln und zu bewerten. Angesichts der hierdurch auftretenden unterschiedlichen Compliance-Kulturen der jeweiligen Teilbereiche eines Unternehmens, können so diesbezügliche Schwachstellen bzw. potentielle Gefahrenbereiche erkannt und Gegenmaßnahmen initiiert werden.

Für die Erfassung einer Compliance-Kultur existiert eine Vielzahl unterschiedlicher Methoden.^[79] Um die breite Vielfalt der bekannten Ansätze zu präsentieren findet daher ein kurzer Exkurs über das >Culture Assessment< und über die >Repertory-Grid Methode< statt. Im Anschluss daran steht die in dieser Arbeit bevorzugte Kulturanalyse von Edgar Schein, welche bei der Konzeption der Fragebögen als Modell diente, im Vordergrund.

[...]

---

^[1] Vgl. Wieland (2010): S. 16.

^[2] Vgl. Kleinfeld / Kettler (2011) : S. 276; vgl. Vettel (2009): S. 35.

^[3] Unter einem >weichen Charakter< werden in dieser Arbeit Faktoren verstanden, die nur schwer oder gar nicht

erfassbar sind, weil diese nicht anhand klarer bzw. eindeutiger Kennzahlen zu ermitteln sind. Oftmals ist es

erforderlich zu ihrer Erfassung auf subjektive Hilfsmittel zurückzugreifen. Vgl. Zell (2011): S. 79-80.

^[4] Vgl. Wieland (2010): S. 34-35.

^[5] Vgl. IDW PS 980.23.

^[6] Vgl. Vettel (2009): S. 41; vgl. Schefold (2011): S. 223; vgl. Stephan / Pauthner-Seidel (2007): S. 552.

^[7] Vgl. Grützner / Jakob (2010): S. 46.

^[8] Vgl. Wieland (2010): S. 34-35.

^[9] Vgl. DCGK 3.4, 5.3.2; vgl. Sarbanes-Oxley Act of 2002: Sec. 301, 404.

^[10] Vgl. Vettel (2009): S. 36.

^[11] Vgl. Haack / Reimann (2012): S. 3.

^[12] Vgl. Kiethe (2007): S. 397; vgl. Steinmeyer / Späth (2010): S. 188.

^[13] Vgl. §§ 264, 289, 297, 315, 315a HGB; vgl. §§ 91, 161 AktG; vgl. § 33 WpHG.

^[14] Vgl. Engels / Schröder (2009): S. 318.

^[15] Vgl. Engels / Schröder (2009): S. 318.

^[16] Vgl. Kasch (2009): S. 7.

^[17] Vgl. Grüninger (2011): S. 134.

^[18] Vgl. Wolf (2011): S. 1357-1358.

^[19] Vgl. Pampel / Glage (2007): S. 88.

^[20] Vgl. IDW PS 261.26.

^[21] Vgl. IDW PS 261.30.

^[22] Vgl. Eisolt (2010): S. 1843.

^[23] Vgl. Wieland (2011): S. 25, 35.

^[24] Vgl. Wieland (2011): S. 36.

^[25] Vgl. Grüninger (2011): S. 134.

^[26] Vgl. Grüninger (2011): S. 131-133.

^[27] Vgl. Grüninger (2010): S. 41-42; vgl. IDW PS 980.23.

^[28] Vgl. Lampert (2007): S. 144.

^[29] Vgl. Bussmann / Salvenmoser (2008): S. 195-196.

^[30] Vgl. Haack / Reimann (2012): S. 11.

^[31] Vgl. Lampert (2007): S. 144.

^[32] Vgl. Kaptein (2008): S. 983-984.

^[33] Vgl. Allmann (2005): S. 55; vgl. Saitz (2010): S. 162.

^[34] Vgl. Balk / Schulte / Westphal (2010): S. 245.

^[35] Vgl. Hehn / Hartung (2010): S. 587; vgl. Jäger / Rödl / Campos Nave (2009): S. 62.

^[36] Vgl. Fitzgerald (2006): S. 52.

^[37] Vgl. Treviño / Weaver / Gibson / Toffler (1999): S. 146; vgl. Blazejewski / Sopinka-Bujak (2007): S. 362-363.

^[38] Vgl. Basel Committee on Banking Supervision (2005): Nr.3.

^[39] Vgl. Gebauer (2007): S. 653.

^[40] Vgl. Görtz / Roßkopf (2010): S. 151; vgl. Vettel (2009): S. 38-39.

^[41] Vgl. Basel Committee on Banking Supervision (2005): Nr.3.

^[42] Vgl. Görtz / Roßkopf (2010): S. 151.

^[43] Vgl. Basel Committee on Banking Supervision (2005): Nr.3.

^[44] Vgl. Fissenewert (2011): S. 78.

^[45] Vgl. Wieland (2010): S. 28-29.

^[46] Vgl. Gebauer (2007): S. 662.

^[47] Vgl. Wieland (2010): S. 29-30.

^[48] Vgl. Kleinfeld / Müller-Störr (2010): S. 411.

^[49] Vgl. Kleinfeld / Kettler (2011): S. 285.

^[50] Vgl. Miras (2010): S. 555-556.

^[51] Vgl. Casson (1991): S. 231-232.

^[52] Vgl. Vgl. Kleinfeld / Kettler (2011): S. 285; vgl. Behringer (2011): S. 384-385.

^[53] Vgl. Treviño / Youngblood (1990): S. 378-379.

^[54] Vgl. Steßl (2011): S. 22.

^[55] Vgl. Weber / Schäffer (2008): S. 27-30.

^[56] Vgl. Steßl (2011): S. 92; vgl. Grüninger (2010): S. 44-45.

^[57] Vgl. Grüninger (2010): 44.

^[58] Vgl. Fürst (2010): S. 336-338; vgl. Vettel (2009): S. 38-39.

^[59] Vgl. KPMG (2011): S. 2; vgl. Vettel (2009): S. 38-39.

^[60] Vgl. Vetter (2009): S. 39.

^[61] Vgl. BGH-Urteil vom 17.07.2009, 5 StR 394/08, NJW 2009, S. 3173, 3175; vgl. Gößwein / Hohmann (2011):

S. 966; vgl. Held (2009): S. 231.

^[62] Vgl. Wolf (2011): S. 1356; vgl. Anhang S. 83, 89.

^[63] Vgl. Bussmann / Salvenmoser (2008): S. 192.

^[64] Vgl. IDW PS 980.5 – 6, A4; vgl. Eibelshäuser / Schmidt (2011): S. 940.

^[65] Vgl. IDW PS 980.3.

^[66] Vgl. IDW PS 980.4.

^[67] Vgl. IDW PS 980.14.

^[68] Vgl. IDW PS 980.19.

^[69] Vgl. IDW PS 980.19.

^[70] Vgl. IDW PS 980.20.

^[71] Vgl. IDW PS 980.14.

^[72] Vgl. Eibelshäuser / Schmidt (2011): S. 941.

^[73] Vgl. IDW PS 980.23.

^[74] In Anlehnung an IDW PS 980.

^[75] Vgl. IDW PS 980.A14.

^[76] Vgl. IDW PS 980.A14.

^[77] Vgl. Eibelshäuser / Schmidt (2011): S. 940.

^[78] Vgl. Schein (2010): S. 281.

^[79] Vgl. Sackmann / Bertelsmann Stiftung (2006): S. 29.