Prävention doloser Handlungen im Versicherungsbetrieb. Interne Revision im Fokus

Inhaltsverzeichnis

Zusammenfassung

Abbildungsverzeichnis

Abkü rzungsverzeichnis

1. Einführung
1.1. Ausmaß und Bedeutung von Wirtschaftsdelikten
1.2. Zielsetzung der Arbeit
1.3. Gang der Untersuchung
1.4. Begriffserläuterungen
1.4.1. Dolose Handlungen
1.4.2. Interne Revision
1.4.3. Versicherungsbetrieb und dazugehörige Begrifflichkeiten
1.4.4. Elemente der ,Internal Controk nach COSO

2. Versicherungsunternehmen und dolose Handlungen
2.1. Formen doloser Handlungen
2.1.1. Dolose Handlungen zum offensichtlichen Schaden des Unternehmens
2.1.1.1. Schädigungen durch unternehmensinterne Täter
2.1.1.2. Schädigungen durch unternehmensexterne Täter
2.1.2. Dolose Handlungen zum vermeintlichen Vorteil des Unternehmens
2.2. Tatauslö sende Faktoren

3. Möglichkeiten der Prävention doloser Handlungen
3.1. Kontrollumgebung
3.1.1. Organisatorische Voraussetzungen zur Prävention doloser Handlungen
3.1.1.1. Unternehmensorganisation
3.1.1.2. Unternehmenspolitik und Unternehmensleitbild
3.1.2. Unternehmensinterne Einrichtungen und Maßnahmen zur dolosen Vorsorge
3.1.2.1. Internes Überwachungssystem
3.1.2.1.1. Interne Revision
3.1.2.1.1.1. Unabhängigkeit als zentrale Anforderung an die Interne Revision
3.1.2.1.1.2. Eingliederung in die Unternehmenshierarchie
3.1.2.1.1.3. Organisatorische Voraussetzungen
3.1.2.1.2. Internes Kontrollsystem
3.1.2.1.2.1. Definition und Aufgabe
3.1.2.1.2.2. Ausgestaltung des Kontrollsystems
3.1.2.2. Audit Committee
3.1.2.3. Notfallpläne und Krisen-Management-Teams
3.1.2.4. Kommunikationskanäle zur Unterstützung des , whistle blowing‘
3.1.2.5. Erfahrungsdatenbank ,dolose Handlungen
3.1.3. Personalpolitik
3.1.3.1. Personalauswahl
3.1.3.2. Personalbeurteilung
3.1.3.3. Mitarbeitersensibilisierung als Bestandteil der Aus- und Weiter­bildung
3.2. Risk Assessment
3.2.1. Risiko und Risikomanagementsystem
3.2.2. Träger des Risikomanagements und Rolle der Internen Revision
3.2.3. Risikomanagementprozess
3.2.3.1. Risikoanalyse
3.2.3.1.1. Risikoidentifikation
3.2.3.1.2. Risikomessung und -bewertung
3.2.3.1.3. Risikocharakterisierung
3.2.3.2. Risikosteuerung
3.2.3.2.1. Risikovermeidung
3.2.3.2.2. Risikoreduzierung
3.2.3.2.3. Risikoüberwälzung
3.2.3.2.3.1. Risikotransfer mittels Versicherungen
3.2.3.2.3.1.1. Vertrauensschadenversicherung
3.2.3.2.3.1.2. Rückversicherung
3.2.3.2.3.1.3. Sonstige relevante Versicherungen
3.2.3.2.3.2. Risikotransfer ohne Versicherungen
3.2.3.2.4. Risikoakzeptanz
3.2.3.3. Risikokontrolle und -Überwachung
3.2.4. Behandlung des Restrisikos
3.3. Kontrollaktivitäten
3.3.1. Prüfungen durch die Interne Revision
3.3.1.1. Präventive Wirkung von Prüfungen
3.3.1.1. Ausgewählte Prüfungen zur Bekämpfung doloser Handlungen
3.3.1.2.1. Unterschlagungsprüfung
3.3.1.2.2. IKS-Prüfung
3.3.1.2.3. Management Audit und Geschäftsführungsprüfung
3.3.2. Möglichkeiten des Versicherers zur Eindämmung des branchenspezifischen dolosen Risikos
3.3.2.1. Produktgestaltung
3.3.2.2. Vertragsanbahnung
3.3.2.3. Schadenmanagement
3.3.3. Zusammenarbeit mit unternehmensexternen Dritten
3.3.3.1. Zusammenarbeit innerhalb der Branche
3.3.3.2. Zusammenarbeit mit den Strafverfolgungsbehörden
3.3.3.3. Zusammenarbeit mit externen Prüfern und Beratern
3.3.3.4. Zusammenarbeit mit Detekteien
3.4. Information und Kommunikation
3.5. Monitoring

4. Schlussfolgerung

Anhang

Quellenverzeichnis

1. Literaturverzeichnis

2. Verzeichnis der verwendeten Gesetze und Verordnungen

3. Verzeichnis der Internetquellen

4. Verzeichnis der sonstigen Quellen und Hilfsmittel

Zusammenfassung

Dolose Handlungen im Unternehmensbereich richten Jahr für Jahr allein in Deutschland Schäden in Milliardenhöhe an. Gesellschaften, die nicht oder nur unzureichend gegen sie vorgehen, erleiden einen enormen Wettbewerbsnachteil und sind langfristig mit an Sicher­heit grenzender Wahrscheinlichkeit zum Scheitern verurteilt. Dies gilt selbstverständlich auch für Unternehmungen aus dem Versicherungssektor, die aufgrund ihres Geschäftsmo­dells sogar besonderen Bedrohungen ausgesetzt sind. Die vorliegende Arbeit hat es sich deswegen zum Ziel gesetzt, speziell für diese Branche ein umfassendes Konzept der Prä­vention doloser Handlungen zu erarbeiten, wobei in erster Linie entsprechende Möglich­keiten der Internen Revision im Vordergrund stehen sollen. Um dieser Intention gerecht werden zu können, wird der Begriff der ,dolosen Handlung‘ bewusst weit gefasst. Es wird gezeigt, dass die Interne Revision nur dann effektiv und effizient agieren kann, wenn sie eine unabhängige Stellung im Organisationsgefüge der Unternehmung einnimmt und das uneingeschränkte Vertrauen sowie die volle Unterstützung der Unternehmensverantwortli­chen genießt. Dadurch wird gewährleistet, dass sie einerseits weisungsungebunden agieren kann und andererseits einen objektiven Blickwinkel beibehält. Im Verlauf der Ausführun­gen werden Maßnahmen vorgeschlagen, die die Interne Revision bei ihren Bemühungen unterstützen können. Diese beschränken sich nicht nur auf allgemeine Gestaltungsemp­fehlungen hinsichtlich des Internen Kontrollsystems, sondern umfassen auch darüber hin­ausgehende Ideen zur gezielteren Bekämpfung doloser Handlungen. Ferner wird dargelegt, dass die Identifikation, Analyse, Kontrolle, Steuerung und Überwachung doloser Risiken nicht isoliert geschehen darf, sondern vielmehr in den Risikomanagementprozess der Ge­sellschaft eingebunden werden muss. Nur so kann eine umfassende Betrachtungsweise sichergestellt werden. Da sich herausstellt, dass Prävention und Aufdeckung doloser Handlungen in einer engen Beziehung zueinander stehen, untersucht die Abhandlung an­schließend diejenigen Revisionsaktivitäten, die unzureichend gesicherte Strukturen identi­fizieren bzw. die Offenlegung konkreter Verdachtsfälle zum Ergebnis haben können. Au­ßerdem werden ein Ansatz zur Überwachung des Managements entwickelt sowie Alterna­tiven zur Begrenzung des branchenspezifischen dolosen Risikos erörtert. Indem Möglich­keiten der Kooperation mit unternehmensexternen Dritten diskutiert werden, wird auch die Unternehmensumwelt in die Betrachtung involviert. Abschließend beschäftigt sich die Analyse mit der Informations- und Kommunikationskultur der Unternehmung und erörtert Wege zur Qualitätssicherung der Internen Revision.

Abbildungsverzeichnis

Abb. 1: Internal Control Components nach COSO

Abb. 2: Zusammenhang zwischen der Rangstellung interner Täter, der Schadenshöhe je Einzelfall und der Aufdeckungswahrscheinlichkeit

Abb. 3: Allgemeine und versicherungsspezifische Kriminalitätsbeziehungen der Versicherungsbeteiligten

Abb. 4: Das dolose Dreieck

Abb. 5: Wesentliche Elemente und Beziehungen des Internen Überwachungssystems (IÜ S)

Abb. 6: Das System der Internen Kontrolle

Abb. 7: Informationen über das Audit Committee in den USA

Abb. 8: Der Risikomanagementprozess

Abb. 9: Risikobewertung anhand einer Risk-Map

Abb. 10: Prüfungsablaufstruktur einer Unterschlagungsprüfung mit Verdachtsmomenten

Abb. 11: Aufteilung der Belegschaft in treue, untreue und labile Mitarbeiter

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einfü hrung

1.1. Ausmaß und Bedeutung von Wirtschaftsdelikten

Wirtschaftskriminalität und dolose Handlungen stellen ein sehr ernst zu nehmendes Prob­lem für Unternehmungen aller Branchen und Größen dar, welches durch den Fall des Eisernen Vorhangs und die damit zusammenhängende , Globalisierung der Kriminalitäť noch an Schärfe gewonnen hat. Die Bandbreite der dabei auftretenden Delikte ist viel­schichtig, sie reicht beispielsweise von kleineren Ungenauigkeiten bei Reisekos­tenabrechnungen über Unterschlagungen, Korruption, Industriespionage oder Preisabspra­chen bis zu Betrug oder Erpressung durch organisierte Kriminalität. Im extremsten Fall können daraus sogar existenzbedrohende Schieflagen erwachsen, wie der durch nebulö se Wertpapierspekulationen bedingte aktuelle Fall der Lebensversicherungssparte des Mann­heimer-Konzerns zeigt, bei dem 345.000 Versicherungsverträge ,, mit einem Volumen von etwa 18 Mrd. €‘^[1] betroffen sind.

Ebenso heterogen wie die Palette der möglichen Vergehen sind die Schätzungen des da­durch verursachten Schadens. Nach einer aktuellen Studie der Wirtschaftsprüfungsgesell­schaft Ernst & Young über Wirtschaftskriminalität in Deutschland aus dem Jahr 2003 ver­anschlagen die Manager führender deutsche Unternehmen den jährlichen Schaden auf durchschnittlich 8,3 Mrd. €. Die ebenso von den Unternehmen selbst geschätzte Dunkel­ziffer von ca. 50%^[2] lässt daher auf einen durch wirtschaftskriminelle Handlungen verur­sachten Gesamtschaden in zweistelliger Milliardenhöhe schließen. Gegenmaßnahmen kön­nen nur ergriffen werden, wenn erkannt wird, „ dass hinter einer Unternehmenskrise oder einem Vermö gensverlust wirtschaftskriminelles Handeln steht“^[3]. Hofmann z.B. schätzt die Dunkelziffer doloser Handlungen als so groß ein, dass er annimmt, dass sich „ die bekannt­gewordenen Fälle im Rahmen von Promillewerten“^[4] bewegen. Welche Ausmaße aber hat dann der tatsächliche Gesamtschaden? Die Arbeitsgemeinschaft für Sicherheit der Wirt­schaft, ASW, beziffert die durch Wirtschaftskriminalität bedingte Schadenshöhe für das Jahr 2001 auf über 13 Mrd. €^[5] und kommt somit auf ein ähnliches Ergebnis wie die Unter­suchung von Ernst & Young. Andere Quellen jedoch veranschlagen die jährliche Scha- densdimension in der Bundesrepublik auf unglaubliche 100 bis 500 Mrd. €^[6] - sicherlich zum Großteil eine Definitionsfrage, aber der Kontrast der Schätzungen ist schon enorm.

In einer ebenfalls 2003 veröffentlichten Studie der KPMG in Ö sterreich gab beinahe jedes zweite Unternehmen an, in der Vergangenheit bereits Opfer wirtschaftskrimineller Hand­lungen gewesen zu sein. 98% der Befragten erwarten darüber hinaus, dass in Zukunft zu­mindest nicht mit einem Absinken der Wirtschaftskriminalität zu rechnen ist^[7]. Eine reprä­sentative Umfrage der Wirtschaftsprüfungsgesellschaft PwC zeigt, dass sich besonders häufig ,geldnahe‘ Unternehmen wie Banken und Versicherungen in der Opferrolle befin­den^[8]. Dies verdeutlicht gerade für Versicherungsunternehmen die Notwendigkeit, ihr Risi­kobewusstsein zu schärfen und präventiv gegen wirtschaftskriminelle Handlungen vorzu­gehen, um diese, soweit möglich, bereits im Keim ersticken zu können.

1.2. Zielsetzung der Arbeit

Ziel dieser Arbeit ist es, präventive Maßnahmen einer Unternehmung zur Abwehr doloser Handlungen herauszuarbeiten. Dabei soll insbesondere, sofern branchenspezifische Beson­derheiten existieren, auf spezielle Charakteristika und Gefährdungspotentiale von Ver­sicherungsbetrieben bzw. Versicherungskonzernen eingegangen werden. Das Haupt­augenmerk der Analyse liegt auf Handlungen und Unternehmensinstitutionen, deren Über­wachung und kritische Analyse in das Aufgabengebiet der Internen Revision fallen bzw. auf Maßnahmen und Einrichtungen, die geeignet sind, Effizienz und Effektivität der Revi­sionsabteilung zu stärken.

1.3. Gang der Untersuchung

Nachdem im ersten Kapitel die Bedeutung doloser Handlungen bereits kurz angerissen wurde und noch Begrifflichkeiten geklärt werden sollen, versucht das zweite Kapitel, einen Überblick über Formen doloser Handlungen bei Versicherungsunternehmen zu geben und auch auf die Beweggründe potentieller Täter einzugehen. Der darauf folgende dritte Ab­schnitt schließlich beinhaltet das Kernstück der Arbeit. In ihm werden Unternehmensein­richtungen und Maßnahmen aufgeführt, die geeignet sind, vor dolosen Handlungen zu schützen. Dabei soll der Internen Revision eine besondere Berücksichtigung zukommen. Strukturell, aber wegen der revisionsorientierten Sichtweise inhaltlich nicht immer deck­ungsgleich, lehnt sich der Hauptteil am sog. COSO-Report an, einer im September 1992 unter dem Titel ,Internal Control - Integrated Framework veröffentlichten Studie des Committee of Sponsoring Organizations of the Treadway Commission.

1.4. Begriffserläuterungen

1.4.1. Dolose Handlungen

Der rechtswissenschaftliche Begriff ,dolos‘ leitet sich vom lateinischen Wort ,dolus‘ ab, was soviel wie ,arglistig‘ und ,mit bö sem Vorsatz‘ bedeutet^[9]. In der Literatur findet sich keine allgemein gültige Begriffsabgrenzung. Vielmehr existieren neben dem Terminus der ,dolosen Handlung‘ noch weitere Benennungen, denen allerdings von Verfasser zu Verfas­ser teils gleiche, teils leicht unterschiedliche Bedeutungen zugemessen werden. Genannt seien z.B. ,Unterschlagung‘, ,Unregelmäß igkeiť, ,unrechtmäß ige Bereicherung‘, ,Betrug‘, sowie ,deliktische‘, ,geschäftsschädigende‘ oder ,fraudulente‘ Handlung^[10]. Im anglo- amerikanischen Raum finden sich vorzugsweise die Begriffe ,Fraud‘ und ,Illegal Act‘. Im Rahmen dieser Abhandlung werden die eben genannten Ausdrücke als Synonym zum Be­griff der ,dolosen Handlung‘ verwendet.

Dolose Handlungen stellen eine Teilmenge der wirtschaftskriminellen Handlungen dar^[11]. Obwohl in der Versicherungsbranche keine Einigkeit hinsichtlich der Einbeziehung von Schädigungen, für die unternehmensexterne Defraudanten^[12] verantwortlich sind, zu herr­schen scheint^[13], soll in dieser Arbeit der Ausdruck ,dolose Handlung‘ jegliche von Vor­ständen, Mitarbeitern oder Außenstehenden vorsätzlich begangene oder „ durch vorsätzli­che Täuschung“^[14] gekennzeichnete geschäftsschädigende Tat bedeuten. Dabei ist es uner­heblich, ob das Vermögen der Unternehmung rechtswidrig gemindert, gemehrt oder falsch dargestellt^[15] wird oder ob das Unternehmen, seine Kapitalgeber oder Dritte in anderer, so­wohl materieller als auch immaterieller Art und Weise, geschädigt werden.

Zu beachten ist, dass auch den Unternehmenszielen dienlich erscheinende dolose Hand­lungsweisen der Gesellschaft nur vordergründig nützen, sie langfristig aber schädigen, be­denkt man nur die möglichen negativen Konsequenzen im Falle ihrer Offenlegung. Aus diesem Grund schließt die hier verwendete Begriffsabgrenzung ausdrücklich auch Tatbe­stände wie z.B. Korruption oder illegale Preisabsprachen mit ein. Ein bestimmtes Verhal­ten muss freilich nicht zwingend rechtswidrig sein, um als ,dolos‘ zu gelten, da auch Ver­gehen denkbar sind, ,, für die der Gesetzgeber (noch) keine Strafbestimmungen formuliert hat“^[16]. Maßgeblich entscheidend für obige Definition ist, dass die geschäftsschädigende Handlung vorsätzlich herbeigeführt worden ist^[17], durch Fahrlässigkeit entstehende Fehler oder sonstige Irrtümer gehören demnach explizit nicht zur Menge der dolosen Handlungen.

1.4.2. Interne Revision

Die Definition des Begriffs ,Interne Revision‘ oder auch , Innenrevision ‘ hat sich im Laufe der Zeit immer wieder gewandelt. Während früher ihr Hauptaufgabengebiet in der ver­gangenheitsorientierten Prüfung der Ordnungsmäß igkeit des Rechnungswesens lag, ver­steht man heute unter der Internen Revision eine Prüfungsinstitution, „ die von der Unter­nehmensführung delegierte Überwachungsfunktionen ausübt und durch Abgabe von für die Unternehmensleitung vertrauenswürdigen Urteilen Entscheidungshilfen liefert“^[18]. Sie nimmt innerhalb der Unternehmung den Stellenwert eines prozessunabhängigen Service­Centers ein, das „Prüfungen durchführt und betriebswirtschaftliche Beratung leistet“^[19], indem „ iber die geprüften Strukturen und Aktivitäten umfassende Analysen, Bewertungen, Empfehlungen und Informationen“^[20] geliefert werden. Sie kann auch „ als mahnendes Ge­wissen der Unternehmung“^[21] angesehen werden. Die Überwachungsaufgabe der Internen Revision schließt insbesondere die Prüfung der Kontrolleinrichtungen mit ein, was sie zu einer notwendigen Ergänzung des Kontrollsystems macht^[22]. Daneben werden von ihr, v.a. in mittelständischen Unternehmen, zum Teil auch Organisations- und Implementierungs­aufgaben übernommen^[23]. Aufträge dieser Art sind aber, wie sich noch zeigen wird, nicht unproblematisch.

Das Institute of Internal Auditors, kurz IIA, hat 1999 eine wegweisende Neudefinition des Begriffs ,Interne Revision’ verabschiedet: “ Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations“^[24]. Demnach unterstützt die Innenrevision „ die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft“^[25]. Um bestehende Risiken frühzeitig erkennen und bewältigen zu können, sollte das Risiko deliktischer Handlungen auf der höchsten organi­satorischen Stufe berücksichtigt werden^[26], wobei ,, nicht die Aufklärung und Überführung von Tätern, sondern die Verhinderung von Schadensfällen (...) im Vordergrund stehen“^[27] muss.

Die Ausführungen in der hier vorliegenden Arbeit beziehen sich sowohl auf Interne Revi­sionsabteilungen bei selbstständigen Gesellschaften als auch auf Konzern-Revisorate. Werden im Folgenden die Begriffe ,Interne Revision‘, , Innenrevision‘, , Revisionsabtei­lung ‘ oder dergleichen verwendet, ist dadurch, sofern nicht durch ausdrückliche Hinweise im Text von diesem Vorgehen abgewichen wird, immer auch die Konzernrevision mit an­gesprochen.

1.4.3. Versicherungsbetrieb und dazugehörige Begrifflichkeiten

Unter betriebswirtschaftlichen Gesichtspunkten kann unter einem Versicherungsbetrieb eine „technisch-organisatorische Zusammenfassung von Personen und Sachmitteln mit dem Zweck“^[28], die Dienstleistung ,Versicherungsschutz‘ bereitzustellen und abzusetzen^[29], verstanden werden. In der Literatur existieren verschiedene Definitionen des Terminus , Versicherung‘. Manes etwa umschreibt Versicherung als „ gegenseitige Deckung zufäl­ligen schätzbaren Geldbedarfs zahlreicher gleichartig bedrohter Wirtschaften“^[30], der nach Dörfel aus unvorhergesehenen zukünftigen Ereignissen resultiert^[31]. Arnold versteht unter Versicherung den „ Ausgleich von Störungen bewerteter Interessen“^[32].

In der vorliegenden Arbeit soll ein Versicherungsbetrieb eine Unternehmung charakterisie­ren, die „ den Betrieb von Versicherungsgeschäften zum Gegenstand [hat] und nicht Träger der Sozialversicherung“^[33] ist, d.h. ein Unternehmen, das potentiellen Abnehmern Ver­sicherungsschutz anbieten und die wirtschaftlichen Folgen negativer Ereignisse auf Leben, Gesundheit oder Güter seiner Kunden beseitigen bzw. mildern kann^[34]. Der Fokus liegt da­bei auf (großen) Aktiengesellschaften. Für Versicherungsvereine auf Gegenseitigkeit ist angesichts ihrer vielfältigen Erscheinungsformen die Anwendung eines Großteils der fol­genden Ausführungen nur dann wirklich sinnvoll, sofern sie mit Aktiengesellschaften art- und wesensverwandt sind. Die weiteren in § 7 Abs. 1 VAG genannten zulässigen Rechts­formen, namentlich Anstalten und Körperschaften des öffentlichen Rechts, sollen wegen den sich aus ihrer ö ffentlich-rechtlichen Stellung ergebenden Besonderheiten nicht Gegen­stand dieser Untersuchung sein.

An dieser Stelle sollen auch noch einige zur Materie gehörende Terminologien geklärt werden. So wird das durch den Vertragsabschluss entstehende zwischenmenschliche bzw. zwischenwirtschaftliche Verhältnis zwischen Versicherungsnehmer und Versicherungs­geber als Versicherungsverhältnis bezeichnet^[35]. Besteht der Kundenkreis des Versicherers aus Personen und Unternehmen, die nach o.g. Definition nicht als Versicherungsbetriebe anzusehen sind, spricht man von sog. Erstversicherungsunternehmen. Sind die Kunden dagegen selbst Versicherungsgesellschaften, handelt es sich um sog. Rückversicherungs­unternehmen^[36].

1.4.4. Elemente der ,Internal Control4 nach COSO

Unter dem Begriff ,Internal Control437 ist keine neue Institution oder Abteilung innerhalb der Unternehmung zu verstehen, sondern vielmehr eine permanente Aktivität^{[37] [38]} mit dem Zweck, „ alle von der Geschäftsleitung angeordneten Maßnahmen und Methoden umzuset­zen und einzuhalten, um einen ordnungsgemäß en Ablauf des betrieblichen Geschehens sicherzustellen“^[39].

1992 wurde die Studie ,Internal Control - Integrated Framework4, kurz COSO-Report, veröffentlicht, die sich „ mit der Zusammenstellung von praktikablen und weithin akzep­tierten Kriterien für die Einführung interner Kontrollen und der Bewertung ihrer Wirksam­keit befasste“^[40]. Laut den Ausführungen des COSO-Reports beinhaltet der Control-Prozess fünf untereinander zusammenhängende Komponenten^[41], die aus der Art und Weise, wie das Management die Unternehmung führt, abgeleitet und in den Unternehmensprozess eingebunden sind^[42]:

- Control Environment: Die Kontrollumgebung bestimmt die Grundeinstellung und die Rahmenbedingungen einer Organisation, beeinflusst dadurch das Kontrollbe- wusstsein der Mitarbeiter und ist als grundlegende Voraussetzung der anderen Komponenten anzusehen.
- Control Activities: Kontrollaktivitäten bestimmen Richtlinien und Verfahrenswei­sen, die dazu beitragen, dass die Anweisungen des Managements ausgeführt wer­den. Sie beziehen sich auf die gesamte Organisation und kommen auf allen Unter­nehmensebenen und in allen Funktionen vor.
- Risk Assessment: Darunter versteht man die Identifikation und Analyse aller rele­vanter Risiken, die der Erreichung der Unternehmensziele im Wege stehen könnten. Die Risikoeinschätzung stellt die Basis dafür da, wie mit bestehenden Ri­siken umgegangen werden soll.
- Information and Communication: Relevante Informationen müssen identifiziert, gesammelt und in angemessener Form und Zeit weitervermittelt werden, so dass alle Mitarbeiter ihren Aufgaben in adäquater Weise nachkommen können.
- Monitoring: Um sicherzustellen, dass die Qualität aller o.g. Punkte auch im Zeit­ablauf bestehen bleibt, benötigen sie laufende Überwachungsmaßnahmen und ge­sonderte Bewertungen und müssen ggf. neuen Anforderungen angepasst werden.

2. Versicherungsunternehmen und dolose Handlungen

2.1. Formen doloser Handlungen

Wie aus Punkt 1.4.1. schon ersichtlich wurde, können sich dolose Handlungen sowohl offensichtlich zuungunsten als auch - vordergründig - zugunsten des Unternehmens aus­wirken. Im Folgenden sollen beide Formen einer näheren Betrachtung unterzogen werden.

2.1.1. Dolose Handlungen zum offensichtlichen Schaden des Unternehmens

2.1.1.1. Schädigungen durch unternehmensinterne Täter

Der Täterkreis bei unternehmensschädigenden Handlungen kann in interne und externe Delinquenten aufgeteilt werden. Hinsichtlich rein intern begangener doloser Handlungen unterscheiden sich Versicherungsbetriebe nicht entscheidend von Gesellschaften anderer Branchen. Verglichen mit Industrie- und Handelsunternehmungen ist allerdings eine er- hö hte Gefährdung festzustellen^[43]. Diese resultiert daraus, dass überdurchschnittlich viele Mitarbeiter Auszahlungsbefugnisse besitzen und durch den fehlenden Wareneinkauf auch keine Gegenkontrolle stattfindet^[44].

Ein potentieller Defraudant wird dann als interner Täter bezeichnet, wenn zwischen ihm und dem geschädigten Unternehmen ein Beschäftigungsverhältnis besteht^[45]. Die eine Son­derstellung einnehmenden Ausschließ lichkeitsagenten nach §§ 43 ff. VVG sollen ebenso zu dieser Gruppe gezählt werden^[46]. Um nicht entdeckt zu werden, wird der interne wie auch der externe Delinquent höchstwahrscheinlich versucht sein, seine Tat zu verbergen. Daher ist es zweckmäß ig, in Primärhandlung (die dolose Handlung an sich) und Sekundär­handlung (der Versuch, die Primärhandlung zu verschleiern) zu unterscheiden^[47], da die Tat selbst nicht selten erst durch eine offengelegte Verschleierungshandlung zu Tage tritt. Zu beachten ist dabei, dass die Sekundärhandlung auch schon vor der Primärhandlung statt­finden kann. Aus der Sicht des Defraudanten ist eine Tatverwässerung zeitlich vor der ei­gentlichen Vermögensaneignung sogar erfolgversprechender, da sich dann weniger An­satzpunkte für eine nachträ gliche Aufdeckung ergeben^[48].

Die Art der Verfehlung, die ein interner Delinquent zu begehen im Stande ist, hängt ent­scheidend ,, von seiner Stellung im Unternehmen und den sich aus ihr ergebenden Mög­lichkeiten“^[49] ab. Eine wichtige Unterscheidung ist die in Management- und Nicht- Management-Täter^[50], da einer Führungskraft offensichtlich andere Möglichkeiten zur Be­gehung und Verschleierung eines Betrugs zur Verfügung stehen als einem Angestellten der operativen Ebene. Dies geht so weit, dass vom Top-Management zu verantwortende dolose Handlungen - in gleichem Maß e wie zu risikoreiche Geschäftsentscheidungen - das Un­ternehmen in seiner Substanz gefährden können, erinnert sei hier noch einmal an den unter Punkt 1.1. genannten Fall der Mannheimer Versicherung.

Generell kann festgestellt werden, dass der dem Unternehmen durch eine dolose Handlung zugefügte Einzelschaden umso größer ist, desto höher sein betriebsinterner Verursacher in der Unternehmenshierarchie anzusiedeln ist^[51]. Umgekehrt dazu sinken, wie in Abb. 2 illu­striert, die Möglichkeiten der unternehmenseigenen Kontrollinstanzen, diesen aufzudek- ken^[52]. Eine Ausnahme von dieser Regel bilden diejenigen Mitarbeiter, die über exklusives Fachwissen verfügen, beispielsweise im EDV-Bereich^[53] oder in der Schadenregulierung. Bei diesem Personenkreis ist die Wahrscheinlichkeit großer Einzelfallschäden unabhängig von der Hierarchie im Unternehmen recht hoch. Besonders bedrohlich wird es, wenn es sich nicht um einen einzelnen, sondern um mehrere Defraudanten handelt, da dann anson­sten zuverlässige Kontrollen, die auf Funktionstrennung basieren, unterlaufen werden kön­nen^[54].

2.1.1.2. Schädigungen durch unternehmensexterne Täter

Im Umkehrschluss zur Definition des internen Täters in Unterpunkt 2.1.1.1. besteht zwi­schen einem externen Delinquenten und der durch ihn geschädigten Unternehmung kein Beschäftigungsverhältnis. In diesem Kontext erscheint es sinnvoll, externe Defraudanten in Versicherungsnehmer, dritte Versicherungsbeteiligte und am Versicherungsverhältnis un­beteiligte Täter^[55] einzuteilen. Einen Überblick über allgemeine und versicherungsspe­zifische Kriminalitätsrisiken, denen eine Versicherungsgesellschaft ausgesetzt ist, ver­schafft Abb. 3.

Die wohl am häufigsten eintretende Schädigung durch einen Versicherungsnehmer ist der Versicherungsmissbrauch bzw. Versicherungsbetrug. Dabei können mehrere Formen un­terschieden werden. Zu nennen sind einerseits das betrügerische Herbeiführen, Vortäu­schen oder Ausnutzen eines Versicherungsfalles während der Vertragslaufzeit, andererseits unredliches Gebaren bereits im Vorfeld - beispielshalber durch wissentlich unvollständige oder falsche Angaben bei Vertragsabschluss^[56] - oder bei Beendigung des Vertragsverhält­nisses^[57]. Gesetzlich geregelt und sanktionsbewehrt ist dieses Verhalten in den §§ 263 und 265 StGB. Nach Schätzungen des GDV entsteht der deutschen Versicherungsbranche al­lein durch solche Straftaten eine jährliche Einbuße von ungefähr 4 Mrd. €^[58].

Unter dritten Versicherungsbeteiligten werden Personen und Unternehmen verstanden, die zwar in irgendeiner Form in das Versicherungsverhältnis involviert sind, aber eben nicht den Versicherungsnehmer oder -geber bzw. deren Repräsentanten verkörpern. Neben Ver­sicherungsmaklern^[59] sind in diesem Zusammenhang v.a. „ Bezugsberechtigte, Sachverstän­dige (...) sowie in der Haftpflichtversicherung (...) die Haftpflichtgeschädigten“^[60] zu nen­nen. Speziell unseriö se Versicherungsvermittler können langfristig gefährlich werden, da diese in Eigeninteresse handeln und mit Blick auf ihre Provision oft nur den bevorstehen­den Vertragsabschluss im Auge haben. Dies führt nicht selten zu mangelhafter oder betrü­gerischer Beratung^[61], was - neben den Beratenen selbst - auch die Assekuranzen gefähr­det, da potentiellen Betrügern dadurch die Aufnahme in die Versichertengemeinschaft er­leichtert wird und darüber hinaus noch zusätzliche Begehrlichkeiten, die versicherungs­schädliche Verhaltensweisen zur Folge haben können, geweckt werden^[62].

Die Menge der nicht am Versicherungsverhältnis Beteiligten schließlich umfasst all dieje­nigen, die nicht einer der beiden erstgenannten Gruppen angehören. Nicht nur Personen und Unternehmungen, sondern sogar Staaten, z.B. durch Wirtschaftsspionage, sind als Schädiger denkbar. Unterschieden werden kann in direkte und indirekte Angriffe. Im er­sten Fall wird die Gesellschaft selbst ohne Umwege über ihre Kunden oder sonstige Dritte geschädigt, etwa durch den Diebstahl von Unternehmenseigentum. Eine indirekte Schädi­gung liegt dann vor, wenn der Schaden zwar einem (ehrlichen) Versicherungsnehmer vor­sätzlich zugefügt wird, im Endeffekt aber die Assekuranz, im Rahmen des bewusst kalku­lierten und zum Gegenstand des Versicherungsgeschäfts gehörenden Risikos^[63], benachtei­ligt ist. Ein Beispiel hierfür sind die ,Autobumser‘.

Zusammen mit von In- und Externen gemeinsam begangenen, sog. kollusiven^[64] dolosen Handlungen, ist das Auftreten von Banden- oder gar organisierter Kriminalität als beson­ders problematisch einzustufen. Während durch Absprachen mehrerer Beteiligter, wie sich noch zeigen wird, ,nur‘ das Interne Kontrollsystem ausgehebelt werden kann, besitzen professionelle kriminelle Vereinigungen, bedingt durch ihren höheren Organisationsgrad sowie durch mögliche nationale und internationale Verknüpfungen, im Vergleich zu Ein­zeltätern um ein Vielfaches erweiterte Handlungsmöglichkeiten^[65] hinsichtlich Tatbegehung und Verschleierung. Sie ,, bilden eine Klasse für sich und stellen ein Risiko dar, dem die meisten Unternehmen - als voneinander unabhängig Handelnde - nicht begegnen kön­nen“^[66]. Die Gefahren der organisierten Kriminalität sollen deshalb in dieser Arbeit auch nicht vertieft behandelt werden.

2.1.2. Dolose Handlungen zum vermeintlichen Vorteil des Unternehmens

Werden dolose Handlungen von Funktionsträgern innerhalb der Unternehmung mit der Intention begangen, dem Unternehmen zu dienen, beruhen sie im Allgemeinen auf der Ausnutzung illegaler, „ unfairer oder auf unehrliche Weise erworbener Vorteile, die mögli­cherweise auch mit einer Täuschung Außenstehender verbunden sind“^[67]. Solche Außenste­hende können Konkurrenzbetriebe, der Fiskus bzw. die Parafisci, Kunden, Lieferanten oder Fremde^[68] sein. Ist der Versicherungsnehmer das Opfer, sind das Annahmeverhalten, die Schadenregulierung und die Verbreitung personenbezogener Informationen als Ansatz­punkte für kriminelles Verhalten denkbar^[69]. Gesamtwirtschaftlich sind Verstöße gegen kartellrechtliche Bestimmungen besonders problematisch. Zur Begründung sei nur auf den aktuellen Fall der Preisabsprachen im Industrieversicherungsgeschäft hingewiesen, in den wohl mindestens sieben große deutsche Versicherungsunternehmen verstrickt sind. Der dadurch verursachte Schaden soll sich auf über 1 Mrd. € belaufen^[70].

Abgesehen von der Tatsache, dass die in dolose Handlungen involvierten Unternehmen im Falle der Aufdeckung ihrer Taten mit Regressforderungen und Strafanzeige zu rechnen haben, überschreiten mögliche Folgeschäden hinsichtlich Image, Reputation oder Be­triebsklima diese direkten Vermögensverluste nicht selten um ein Vielfaches. Schlechte Publicity kann zu Absatzrückgängen und Aktienkurseinbrüchen führen, bei besonders schweren Fällen ist es auch möglich, dass das Ansehen der gesamten Branche erfasst wird^[71]. Die negativen Schlagzeilen der jüngeren Vergangenheit dürften ihren Beitrag dazu geleistet haben, dass einer aktuellen Umfrage von ,Infratest dimap‘ zufolge 52% der be­fragten Personen „ kein Vertrauen mehr in die Sicherheit von Lebensversicherungen als Altersvorsorge“^[72] haben. Bedenkt man diese Aspekte, können dolose Handlungen nie wirklich zugunsten, sondern nur zum vermeintlichen Vorteil des Unternehmens begangen werden.

2.2. Tatauslösende Faktoren

Elementare Voraussetzungen zur Begehung einer dolosen Handlung sind Motivation des potentiellen Täters und eine passende Gelegenheit^[73]. Hinsichtlich der Motive kann in exo­gene und endogene Faktoren unterschieden werden. Die bedeutendste exogene Größe ist wohl das Streben nach materiellen Vorteilen, sei es aus purer Bereicherungsabsicht, Ver­gnügungssucht oder aus dem Versuch heraus, eine finanzielle Notlage abzuwenden^[74]. Oft verbergen sich dahinter menschliche Schicksale wie Abhängigkeiten jedweder Couleur, etwa Drogen, Alkohol oder Glücksspiel^[75]. Daneben stellt, gerade bei Delinquenten mit hohen Entscheidungskompetenzen, auch der Versuch, eigene Fehlleistungen zu verdecken, ein häufiges Tatmotiv dar. Endogene Faktoren dagegen zeigen sich in „ speziellen Eigen­heiten der Person des Defraudanten“^[76]. Ein Katalog solcher Charaktereigenschaften findet sich z.B. in der Abhandlung von Thelen, exemplarisch dafür sollen hier Anpassungsfähig­keit, Intelligenz, kriminelle Energie, fehlendes Unrechtsbewusstsein oder einfach Rück­sichtslosigkeit^[77] genannt werden - die Menge der persönlichkeitsbezogenen Merkmale ist allerdings so heterogen, dass daraus keine allgemein gültigen Persönlichkeitsprofile^[78] ab­geleitet werden können, auf eine nähere Betrachtung soll deswegen verzichtet werden.

Die zweite notwendige Voraussetzung für eine Unterschlagung ist das Vorhandensein ei­ner Gelegenheit, und zwar sowohl für die Primär- als auch, falls nötig, für die Sekundär­handlung. Es gilt also, das Vorhandensein geeigneter Zielobjekte, die Opfer doloser Handlungen werden können, zu minimieren^[79] bzw. die gefährdeten Bereiche zu schützen. Auch Wirtschaftsdelinquenten darf i.d.R. eine rationale Handlungsweise unterstellt wer­den^[80]. Da effektive Kontrollen das Entdeckungsrisiko und damit zusammenhängend auch den Schwellenwert der für die Tatbegehung erforderlichen kriminellen Energie erhö hen^[81], mindern diese somit auch die Wahrscheinlichkeit, dass überhaupt deliktische Handlungen verübt werden. Funktionieren diese Kontrollen so gut, dass Durchführung oder Verschleie­rung der Tat nicht mö glich erscheinen und zeigt die Unternehmensleitung hinsichtlich Füh­rungsstil und Personalpolitik^[82], dass dolose Handlungen nicht geduldet und konsequent zur Anzeige gebracht werden, senkt dies, ein integeres Management vorausgesetzt, die Wahr­scheinlichkeit des Auftretens doloser Handlungen immens.

Zusammenfassend lassen sich die Gründe für die Ausführung doloser Handlungen im ,dolosen Dreieck‘ mit den Eckpunkten Druck, Gelegenheit und Rechtfertigung dar­stellen^[83], vgl. Abb. 4. Durch Verschiebungen innerhalb des Dreiecks ,, entstehen kriminelle Energien und lassen ggf. ehrliche Mitarbeiter zu Tätern werden“^[84]. Der Defraudant ent­deckt eine Gelegenheit, beispielsweise durch schwach ausgeprägte Interne Kontrollen, hat durch private oder betriebliche Probleme Druck - in welcher Form auch immer - und rechtfertigt sein Handeln vor sich selbst durch vermeintlich stichhaltige Argumente^[85]. Er­folgreiche Prävention muss also zwei Gesichtspunkte umfassen: einerseits die Minimie­rung von Gelegenheiten, die eine unentdeckte Tatbegehung ermö glichen, andererseits die positive Einflussnahme auf das Unrechtsbewusstsein des Faktors Mensch, da erst beim Überschreiten einer gewissen ,Grenzmoral‘ dolose Gedanken tatsächlich auch realisiert werden.

3. Möglichkeiten der Prävention doloser Handlungen

Im nun folgenden Hauptteil der Arbeit soll umfassend dargelegt werden, wie Ver­sicherungsgesellschaften und v.a. ihre Revisionsabteilungen dolosen Handlungen vorbeu­gen können. Bereits an dieser Stelle wird darauf hingewiesen, dass nur eine abgestimmte Kombination aller im Folgenden beschriebenen Maßnahmen effektiv und auch langfristig in der Lage sein kann, das Risiko, Opfer deliktischer Handlungen zu werden, zu mindern.

3.1. Kontrollumgebung

3.1.1. Organisatorische Voraussetzungen zur Prä vention doloser Handlungen

3.1.1.1. Unternehmensorganisation

Bereits bei der Gestaltung der Unternehmensorganisation sollte die Zielsetzung , Sicherung des Unternehmensvermögens‘ bedacht werden^[86]. Intransparente Strukturen und anderwei- tige Schwächen in der Organisation einer Gesellschaft sind der Nährboden für dolose Handlungen. Dies macht es notwendig, fraudulente Aspekte bereits frühzeitig „in die Überlegungen zur Abwicklung betriebswirtschaftlicher Leistungsprozesse einzubezie­hen“^[87]. Aufbau- und Ablauforganisation des Unternehmens sind daher von vornherein un­ter der Prämisse zu gestalten, mögliche ,Anknüpfungspunkt für dolose Handlungen zu minimieren.

Eine durchdachte Aufbauorganisation regelt Tätigkeiten und Verantwortungen so, dass zwischen den einzelnen Organisationsmitgliedern keine Konflikte, die geschäftsschädigen­de Handlungen nach sich ziehen können, auftreten^[88]. Alle innerbetrieblichen Überwa­chungseinrichtungen wie die Interne Revision oder der Geldwäschebeauftragte nach § 14 Abs. 2 Nr. 1 GwG müssen in der Unternehmenshierarchie so positioniert werden, dass sie wirksam und weisungsunabhängig agieren können. Kompetenzüberschneidungen sind zu vermeiden oder zumindest eindeutig zu regeln.

Hinsichtlich der Ablauforganisation sollten insbesondere die Erfordernisse eines effi­zienten Internen Kontrollsystems, auf die später noch genauer eingegangen wird, schon beim Organisationsaufbau bewusster berücksichtigt werden^[89]. Seit der Einführung des KonTraG ist für die Aktiengesellschaft und durch § 16 i.V.m. §§ 34, 36b VAG auch für den VVaG außerdem die Pflicht zur Implementierung eines Überwachungssystems zur „ Früherkennung bestandsgefährdender Entwicklungen“^[90] gesetzlich verankert.

Aufgabe der Revisionsabteilung ist es in diesem Zusammenhang einerseits, bestehende Organisationsstrukturen und -prozesse zu analysieren, ihr Gefährdungspotential durch do­lose Handlungen kritisch zu prüfen und ggf. Möglichkeiten der Verbesserung aufzuzeigen. Andererseits kann sie auch bei der Realisierung neuer Organisationsvorhaben von Nutzen sein, etwa indem Angehörige aus der Organisationsabteilung bzw. den Fachabteilungen zusammen mit Mitarbeitern der Innenrevision interdisziplinäre Arbeitsgruppen bilden^[91]. Dabei ist allerdings aus Gründen, die später noch näher erläutert werden, zu beachten, dass die Funktion des Internen Revisors keine Übernahme von Verantwortlichkeiten im laufen­den Betrieb^[92], sondern nur beratende und unterstützende Tätigkeiten zulässt. Aufgrund des gegenseitigen Informations- und Zusammenarbeitsbedürfnisses beider Abteilungen legen ökonomische Überlegungen den Schluss nahe, sie der gleichen Instanz zu unterstellen^[93].

З.1.1.2. Unternehmenspolitik und Unternehmensleitbild

Eine gerechte Behandlung und Entlohnung aller Mitarbeiter und Interessengruppen des Unternehmens erhöht deren moralische Hemmschwelle, die überschritten werden muss, bevor dolose Handlungen ausgeführt werden. Gleiches gilt für ein positives Betriebsklima. Aus der eben genannten These lässt sich die Forderung nach einer durch ethische Prin­zipien geprägten Unternehmenspolitik ableiten. Diese soll definiert werden als „ Gesamt­heit von Grundsätzen (...), die das Verhalten in [und von, Anmerkung des Verfassers] der Unternehmung regeln und dabei auch Werte und Normen widerspiegeln, sei es ausdrück­lich oder sei es konkludent“^[94]. Elementares Ziel ist die Vermittlung und Sicherstellung der ,Compliance‘, d.h. der „Ü bereinstimmung des betrieblichen Handelns mit gesetzlichen, regulatorischen und internen Vorschriften“^[95]. Die fortschreitende Globalisierung und damit einhergehend das Auseinanderdriften von gesetzgeberischem Handlungs- und unternehme­rischem Wirkungsraum^[96] sowie die Tatsache, dass nicht alle Individuen über die gleiche Moral verfügen, verdeutlichen die Notwendigkeit solcher Verhaltensgrundsätze.

Der Verhaltenskodex, der schriftlich fixiert und allen Mitarbeitern - auch durch unkon­ventionelle Kommunikationsformen, etwa über Bildschirmschoner oder Mousepads - aktiv vermittelt werden sollte, bietet der Belegschaft eine Orientierungshilfe, welche Hand­lungsweisen die Unternehmung wünscht bzw. zu tolerieren bereit ist und welche nicht. Er ist in verständlicher Diktion zu verfassen und, bei grenzüberschreitend tätigen Gesell­schaften, auch in die jeweiligen Landessprachen zu übersetzen. Enthalten sollte er Leitsät­ze, die sich mit dem gewünschten Verhalten der Mitarbeiter mit Geschäftspartnern und Behörden, dem Umgang mit Geschenken, der Trennung von Geschäfts- und Privatbereich, der Vermeidung von Interessenkonflikten^[97] sowie der Informationshandhabung und ggf. deren Geheimhaltung^[98] befassen. Den Sachbearbeitern im Schadenbereich sind außerdem spezielle Verhaltensanweisungen zur Schadenbearbeitung an die Hand zu geben. Generell muss festgeschrieben sein, dass bei Verdacht auf dolose Handlungen unverzüglich die Re­vision einzuschalten ist. Zentrale Voraussetzung „ sowohl für die Einhaltung der Gesetze und des Verhaltenskodex als auch für das persönliche Engagement“^[99] der Mitarbeiter ist, dass die Unternehmensführung ein entsprechendes Verhalten ,vorlebt‘. Ihr kommt in die­sem Zusammenhang eine Multiplikatorfunktion zu^[100], da ihr Vorbild viel stärker wirkt als alle Regelwerke^[101]. Die Geschäftsleitung sollte diese Vorbildfunktion auch öffentlich de­monstrieren, indem sie sich durch entsprechende Taten immer wieder dazu bekennt, dass ,, sie und ihr Unternehmen korrupte Verhaltensweisen unter keinen Umständen dulden“^[102].

Haben die durch den Kodex vermittelten Werte und Verhaltensempfehlungen Einfluss auf alle geschäftlichen Entscheidungen, sind sie also in die Geschäftsprozesse integriert und werden sie zudem innerhalb und außerhalb des Unternehmens kommuniziert und begrün­det, kann von einem Unternehmensleitbild gesprochen werden. Ein solches hat zum Ziel, die Verhaltensgrundsätze in die Praxis umzusetzen und mit Leben zu füllen. Dadurch wird eine Corporate Identity geschaffen, die möglichen Kooperationspartnern Erwartungssi­cherheit signalisiert^[103] und generell Vertrauen bei den Mitarbeitern und der Unternehmens­umwelt schafft. Der unternehmerische Blickwinkel ändert sich im Idealfall dahingehend, dass es nicht mehr nur darum, die Dinge richtig zu tun, sondern sich vielmehr die Frage stellt, ob es überhaupt um die richtigen Dinge geht^[104]. Ein solches Integritätsmanagement fördert Identifikation, Loyalität und Motivation der Mitarbeiter, erhöht dadurch die Leis­tungsbereitschaft der Belegschaft und mindert darüber hinaus auch ihre Toleranz gegen­über dolosen Handlungen^[105].

Einschränkend ist allerdings zu sagen, dass „ moralische Konflikte nicht durch Kodices gelöst werden können, sondern nur durch deren Anwender“^[106]. Um die Einhaltung der Leitbilder zu gewährleisten und in Folge dessen auch deren Glaubwürdigkeit zu wahren, sollte das Management ihre Beachtung durch entsprechende Kontrollen und Sanktionen sicherstellen^[107], etwa indem regelmäßige Bestätigungen über ihre Beachtung eingeholt werden und diese durch unregelmäß ige Revisionen überprüft werden^[108]. Während in den USA vorzugsweise ,Ethics-Officers‘ bzw. ,Ethics-Offices‘ für Organisation, Umsetzung und Überprüfung des Unternehmensleitbilds zum Einsatz kommen, ist dies in Deutschland nicht selten auch Aufgabe der Internen Revision^[109].

3.1.2. Unternehmensinterne Einrichtungen und Maßnahmen zur dolosen Vorsorge

З.1.2.1. Internes Ü berwachungssystem

„ Maß nahmen der Überwachung lassen sich in Kontrollen und Prüfungen (...) unterschei­den“^[110]. Darauf aufbauend kann das Interne Überwachungssystem (IÜ S) in ein Internes Kontrollsystem (IKS) und eine Interne Revision aufgegliedert werden^[111], vgl. Abb. 5. Ge­meinsam sollen sie „ die Zuverlässigkeit der betrieblichen Prozesse unter Beachtung des Wirtschaftlichkeitsprinzips“^[112] optimieren. In den anschließ end aufgeführten Punkten wird eine grundlegende Voraussetzung dafür untersucht, nämlich unter welchen Voraussetzun­gen das IÜ S zur Prävention doloser Handlungen geeignet ist.

3.1.2.1.1. Interne Revision

3.1.2.1.1.1. Unabhängigkeit als zentrale Anforderung an die Interne Revision

Dolose Handlungen können von der Innenrevision nur dann erfolgreich abgewehrt werden, wenn die zentrale Voraussetzung ihrer Funktionsfähigkeit beachtet wird: Unabhängigkeit. Von Unabhängigkeit kann gesprochen werden, wenn unbeeinflusst und frei „ von sach- fremden Erwägungen und ohne Rücksichten auf entgegenstehende eigene Interessen oder auf Interessen Dritter“^[113] Entscheidungen getroffen bzw. Handlungen getätigt werden kön­nen. Das Unabhängigkeitspostulat beinhaltet einen persönlichen und einen organisatori- sehen Aspekt. Organisatorische Unabhängigkeit ist den Verlautbarungen des IIR folgend dann gegeben, wenn die Revisionsstelle „ bei der Festlegung des Umfangs der Internen Prüfung, der Arbeitsdurchführung und der Berichterstattung nicht behindert“^[114] wird. Per­sönliche Unabhängigkeit dagegen erreicht der einzelne Revisor durch „ das Gefühl der Un­voreingenommenheit (Objektivität) gegenüber dem zu prüfenden Bereich“^[115]. Welche Voraussetzungen erfüllt sein müssen, damit von einer unabhängigen Revisionsabteilung gesprochen werden kann, soll Gegenstand der nun folgenden Ausführungen sein.

З.1.2.1.1.2. Eingliederung in die Unternehmenshierarchie

Eine objektive Revisionsarbeit kann nur dadurch gewährleistet werden, dass die Interne Revision eine autarke, vom laufenden Geschäftsbetrieb unabhängige Stellung innerhalb der Gesellschaft einnimmt. Da sie aus diesem Grund ,, keine Anweisungs- bzw. Weisungsauf­gaben gegenüber anderen Stellen wahrzunehmen hat“^[116], sollte sie auch nicht als Linien­abteilung, sondern nur als Stabsstelle in das Unternehmensgefüge eingegliedert werden. Je höher diese Stabsabteilung in der unternehmerischen Hierarchie angesiedelt wird, desto eher wird die „Sicherung des gesamten Organisationsgefüges als Prüfungsfeld“^[117] ge­währleistet. Die organisatorische Zuordnung ist darüber hinaus „ ein wichtiger Indikator dafür, wie die Interne Revision im Unternehmen wahrgenommen wird“^[118]. Mit einer stei­genden Stellung der Innenrevision in der betrieblichen Hierarchie werden deshalb auch möglicherweise auftretende Schwierigkeiten und Probleme bei der Prüfungsdurchführung abnehmen^[119]. Werden diese Überlegungen berücksichtigt, kann die Revisionsabteilung nur direkt dem Vorstand oder dem Aufsichtsrat bzw. einem Audit Committee unterstellt wer­den, die Zuordnung zu einer niederen Instanz wäre kontraproduktiv. Eine weitere Mög­lichkeit ist das Outsourcing der Revisionsfunktion.

Durch eine direkte Zuordnung der Internen Revision zum Vorstand bzw. dem Vorstands­vorsitzenden wird ein optimaler Informationsfluss zwischen Revisionsstelle und Manage­ment gewährleistet. Nebenbei wird „die Bedeutung, die man der delegierten Überwa­chungsfunktion beimißt, (...) plastisch demonstriert“^[120], was eine abschreckende Wirkung zumindest auf interne Defraudanten der operativen Ebene zur Folge haben dürfte. Auch die Consulting-Funktion der Internen Revision spricht für die Geschäftsführung als direkten Vorgesetzten. Probleme können sich bei dieser Zuordnungsalternative allerdings im Zu­sammenhang mit potentiellen Management-Tätern ergeben. Es besteht die Gefahr, dass die Unternehmensführung als Auftraggeber der Internen Revision einen prüfungsfreien Raum bilden und durch sog. Management Override^[121] unbemerkt dolose Handlungen verüben kann.

Die direkte Unterstellung unter den Aufsichtsrat bringt zwar Vorteile hinsichtlich Aufdeck­ung und Verhinderung von Management Fraud mit sich, schließlich ist die Überwachung des Vorstands ureigenste Aufgabe des Aufsichtsrats^[122]. Die Innenrevision könnte in diesem Fall zusätzlich als ,verlängerter Arm‘ des Aufsichtsrats fungieren. Allerdings kann das Vertrauensverhältnis zwischen Geschäftsleitung und Interner Revision dadurch auch emp­findlich gestört und in Folge dessen die Effektivität der Revisionsabteilung stark beein­trächtigt werden. Die organisatorische Eingliederung unterhalb des Aufsichtsrates wird daher nicht empfohlen.

In den USA wie auch in einigen anderen Ländern wird die Interne Revision sowohl diszi­plinarisch als auch fachlich einem Audit Committee zugeordnet, einem ständigen Aus­schuss des Board of Directors, dessen Hauptaufgabe dort in der verbesserten Überwachung des Managements besteht^[123]. Diese Unterstellungsmö glichkeit, auf deutsche Verhältnisse bezogen, birgt aber zumindest in ihrer Reinform dieselbe Gefahr wie die Zuordnung zum Aufsichtsrat, weshalb auch sie nicht sinnvoll erscheint. Dies soll jedoch nicht über die ge­nerelle Zweckmäß igkeit von Audit Committees auch bei deutschen Unternehmen hinweg­täuschen, dazu jedoch später mehr^[124].

Schließlich besteht die Möglichkeit, einzelne Revisionsleistungen oder auch die gesamte Abteilung aus der Unternehmung auszulagern bzw. unternehmensexterne Anbieter mit der Revisionsfunktion zu beauftragen^[125]. Diese Alternative fußt auf der Überlegung, dass „ nicht die Existenz einer eigenen organisatorischen Einheit, sondern die Erfüllung der notwendigen Überwachungsfunktion“^[126] entscheidend ist. Ein Teiloutsourcing von Spe­zialthemen wie IT- oder Unterschlagungsprüfungen, „ bei denen umfassende Erfahrungen und Kenntnisse über die Prüfungsmethodik notwendig sind, die sich von einer normalen Prüfung deutlich“^[127] unterscheiden, kann durchaus sinnvoll sein. Allerdings scheint dem Verfasser - zumindest bei Großunternehmen - eine Gesamtauslagerung auf externe Dienstleister, auch und besonders mit Blick auf die Prävention doloser Handlungen, weni­ger Erfolg versprechend, da letztendlich „ eine effiziente und erfolgreiche Revisionstätig­keit auf der unternehmensinternen Stellung der Revision“^[128] fundiert. Das Know-how der Internen Revision als wichtiger Inputfaktor für das Management^[129] würde dabei ebenso verloren gehen wie die Möglichkeit, sie als Führungskräftereservoir zu nutzen^[130]. Auch ein psychologischer Effekt auf potentielle Delinquenten ist denkbar. Wird der Weg des ,Total Outsourcing‘ trotz dieser Bedenken beschritten, muss „ durch entsprechende vertragliche Regelungen die jederzeitige Dienstleistungsbereitschaft des externen Dritten sichergestellt werden“^[131].

An dieser Stelle soll auch die immer wieder aufkeimende Idee, die Innenrevision mit ande­ren Abteilungen wie Controlling oder Organisation zu einer Art , Serviceabteilung ‘ zu- sammenzulegen^[132], kurz angesprochen und allein schon durch Verweis auf den dann auf­tretenden Interessenkonflikt - Stichwort Unabhängigkeit - abgelehnt werden. Auch dürfte eine so entstehende , Informationsmachtzentrale ‘ mit erheblichen Akzeptanzproblemen zu kämpfen haben^[133]. Indes muss, um vorhandene Synergiepotentiale auszuschöpfen, Zu­sammenarbeit und Kommunikation der drei genannten Abteilungen intensiviert und ge­pflegt werden^[134].

In Deutschland hat das IIR der Vorstand die Rolle des direkten Vorgesetzen der Internen Revision zugedacht^[135]. Auch das IDW wird diese disziplinarische Zuordnungsform wohl verbindlich vorschreiben^[136] - zwar nur für Kreditinstitute, zu denen Versicherungsunter­nehmen laut § 340 HGB i.V.m. § 2 Abs. 1 Nr. 4 KWG ausdrücklich nicht gehören. Den­noch kann wegen der Ähnlichkeit der Geschäftsmodelle eine Ausstrahlungswirkung ange­nommen werden. Um Ansehen und Unabhängigkeit der Revisionsstelle zusätzlich zu stär­ken, ist aber gleichzeitig ,, eine offensive Strategie der Internen Revision im Verhältnis zum Aufsichtsrat“^[137] notwendig. Eine produktive Zusammenarbeit und Kommunikation mit dieser Instanz sollte deshalb von der Revisionsabteilung selbst angestrebt werden. Durch die vom IIR vorgeschlagene fachliche Zuordnung der Innenrevision zu einem Audit Com- mittee^[138] wird diese Kooperation nicht nur ausgebaut, sondern fernerhin auch signalisiert.

З.1.2.1.1.З. Organisatorische Voraussetzungen

Nachdem die Möglichkeiten der hierarchischen Eingliederung abgehandelt wurden, soll nun die Organisation der Internen Revision erörtert werden, wobei sich als erstes die Frage nach Zentralisation oder Dezentralisation stellt. Es liegt auch für Versicherungsunterneh­men auf der Hand, dass sich für Gesellschaften mit wenigen oder gar nur einem Standort eine zentrale Revisionsstelle anbietet, während transnational operierende Konzerne eher eine dezentralisierte Interne Revision favorisieren werden^[139]. Eine solche dezentralisierte Lö sung sollte dann aus einer vornehmlich mit koordinierenden Aufgaben betreuten Zen­tralrevision - wobei auch eine rechtlich selbstständige Prüfungs-GmbH denkbar ist - und dieser Zentralrevision funktional unterstellten, hauseigenen Revisionsabteilungen bei den Tochterunternehmen bzw. Zweigniederlassungen bestehen.

Egal welche Organisationsform gewählt wird, sind sowohl sachlich-technische als auch personelle Erfordernisse zu erfüllen, um eine effektive und effiziente Revisionsarbeit zu gewährleisten. Ein ausreichender Etat, um allen Ansprüchen gerecht werden zu können, versteht sich dabei von selbst. Er ist so zu bemessen, „ dass die quantitative und qualitative Personalausstattung den Anforderungen an die Interne Revision entspricht“^[140] und „ auch im Bereich der Sachkosten dem Leiter der Internen Revision die Möglichkeit [gegeben wird], auf Neuentwicklungen zu reagieren“^[141]. Zu den sachlich-technischen Voraussetzung sollen nicht nur grundsätzlich erforderliche Dinge wie Arbeitsräume, Computer und Prü­fungswerkzeuge - etwa Arbeitspapiere, Checklisten, Expertensysteme oder das Prüfungs­Handbuch, aber auch kriminalistische Instrumente, wie sie zur Rasterfahndung eingesetzt werden^[142] - gezählt werden. Vielmehr sollen unter ihnen ebenfalls das Geschäftsreglement sowie ein Revisionsleitbild subsumiert werden.

Die Geschäftsleitung hat eine Geschäftsordnung^[143] für die Innenrevision, auch schriftlich fixierte Ordnung^[144] genannt, zu verabschieden. In ihr sind „ Aufgabenstellung, Befugnisse und Verantwortung der Internen Revision (...) offiziell und in Übereinstimmung mit den Standards (...) zu definieren und von der Unternehmensleitung bzw. dem Board (...) ge­nehmigen“^[145] zu lassen. Das uneingeschränkte aktive und passive Informationsrecht der Revisionsstelle sollte aus den Geschäftsanweisungen genauso hervorgehen wie zu ergrei­fende Maßnahmen bei der Feststellung geschäftsschädigender Handlungen^[146].

Von Seiten der Revisionsabteilung ist die Entwicklung und Kommunikation eines alle Re­visionsziele umfassenden Revisionsleitbilds hilfreich. Dieses soll einerseits „ eine Marsch­richtung sowie einen Rahmen für die darin ablaufenden Prozesse“^[147] vorgeben, anderer­seits „ iber das Dienstleistungsangebot der Internen Revision“^[148] informieren. Durch Hin­weise auf den Verhaltenskodex oder Aufnahme eines Verbotskatalogs, verbunden mit dro­henden arbeits-, straf- und zivilrechtlichen Konsequenzen bei Nichtbeachtung^[149], kann auch das Revisionsleitbild einen Beitrag dazu leisten, der Belegschaft nochmals vor Augen zu halten, dass dolose Handlungen auf keinen Fall geduldet werden.

Sowohl die Geschäftsordnung als auch das Revisionsleitbild sollten nicht nur innerhalb des Unternehmens, sondern durch geeignete Mittel wie etwa das Internet auch der interessier­ten Öffentlichkeit publik gemacht werden. Dadurch „ wird nicht nur eine notwendige Of­
fenheit und Transparenz über die Tätigkeiten erreicht, sondern auch (...) eine betriebliche Inzucht auf dem Gebiet der Prüfungsdurchführung, des Wissens und der Fortentwicklung vermieden“^[150].

Die Personalausstattung der Revisionsabteilung muss sowohl in quantitativer als auch in qualitativer Hinsicht möglichst optimal sein. In der Versicherungsbranche hat sich „ ein Verhältnis von einem Revisor für 250 bis 300 angestellte Mitarbeiter herausgebildet“^[151]. Die Personalverantwortlichen der Revisionsstelle sollten danach streben, nur Mitarbeiter mit herausragendem Leistungsvermögen zu rekrutieren. Dies bedeutet auch, anstelle einer Herabsetzung der Anforderungen lieber eine vorübergehende Unterbesetzung in Kauf zu nehmen^[152]. Bzgl. der Einstellungskriterien sind konkrete Anforderungsprofile zu definie­ren^[153]. Hochschulabschluss und Berufserfahrung im Versicherungsbetrieb^[154], ein fundiertes Fachwissen in den Bereichen „ Betriebswirtschaft, Organisation, Informatik, Recht, Mana­gement- und Prüfungslehre“^[155] sowie ausreichendes Spezialwissen im kriminalistischen Bereich, „ um Indizien für dolose Handlungen zu erkennen“^[156], sollten die fachlichen An­forderungen an den Internen Revisor sein. Im Idealfall kann er diese Kenntnisse durch spe­zifische Fachausweise wie CIA, CPA oder WP untermauern. Außerdem besteht die Mög­lichkeit der Spezialisierung zum Certified Fraud Examiner (CFE), ein Titel, der besondere Fähigkeiten im Umgang mit dolosen Handlungen nachweist.

Neben sehr guten fachlichen Qualifikationen muss ein Interner Revisor „ auch bestimmte menschliche und charakterliche Eigenschaften“^[157] besitzen. Ist der Prüfer in der Lage, Denkstrukturen potentieller Defraudanten nachzuvollziehen, können etwa Schwachstellen im Internen Kontrollsystems festgestellt und beseitigt werden, bevor es zu deren Ausnut­zung kommt. Dazu sollten sich die Eigenschaften „ Aufgeschlossenheit, Anpassungsfähig­keit, Kritikfreudigkeit, analytisches Denken sowie das Denken in Gesamtzusammenhän­gen, Durchsetzungsvermögen und diplomatisches Geschick sowie die Bereitschaft zum team work“^[158] gesellen. Weiterhin sind auch Erklärungsvermö gen und Verhandlungsge­ schick gefordert, um im Rahmen der Beratungsfunktion überzeugen zu können^[159]. Eine gesunde Portion Misstrauen vervollständigt das optimale Persönlichkeitsprofil.

Von Mitarbeitern der Internen Revision wird eine kontinuierliche Weiterentwicklung ihrer fachlichen und persönlichen Fähigkeiten verlangt. Zwar vollzieht sich der Schwerpunkt der Fortbildung über die Revisionstätigkeit selbst, dem sog. „ training on the job“^[160]. Der Revi­sor muss sich aber darüber hinaus auch regelmäß ig weiterbilden^[161], zumindest indem er sich „ iber aktuelle Entwicklungstendenzen der Internen Revision“^[162] informiert. Um das Qualitätsniveau der Revisionsstelle insgesamt und die Kompetenzen der einzelnen Reviso­ren auch für die Zukunft sicherzustellen, wäre aber, analog der verpflichtenden Fortbildung des CIA beispielsweise, eine einheitliche Fortbildungskonzeption wünschenswert^[163].

З.1.2.1.2. Internes Kontrollsystem

З.1.2.1.2.1. Definition und Aufgabe

Während die Interne Revision die prozessunabhängige Überwachungs- und Beratungsin­stanz verkörpert, wird die Gesamtheit aller in die Geschäftsabläufe involvierten Kontroll- maß nahmen und -vorrichtungen als , Internes Kontrollsystem‘ charakterisiert^[164]. Dabei ist es unerheblich, ob es sich um den zu überwachenden Arbeitsgängen vorgeschaltete, gleichgeschaltete oder nachgeschaltete Kontrollmechanismen handelt^[165]. Das Kontrollsys­tem sollte alle Hierarchieebenen und alle Arbeitsprozesse umfassen und somit ohne Ein­schränkungen das Unternehmen als Ganzes umfassen^[166]. Aus allgemeinen Wirtschaftlich­keitsgesichtspunkten leitet sich die Forderung einer risikoadäquaten Gestaltung ab, die dann erfüllt ist, wenn „ der Kontrollaufwand in einem angemessenen Verhältnis zum Risiko und zum potentiellen Nutzen der Kontrolle“^[167] steht.

Ziel des IKS ist, „ die Wahrscheinlichkeit für das Auftreten von Fehlern in den Arbeitsab­läufen [zu] vermindern bzw. aufgetretene Fehler“^[168] aufzudecken, es kann deshalb auch als „ Sicherungsdamm zur Abwehr vermögensreduzierender Ereignisse“^[169] angesehen werden. Durch die Informationsgewinnung an der betrieblichen Basis als weitere Funktion^[170] soll ferner eine genaue, aussagefähige und zeitgerechte Dokumentation gewährleistet, die Effi­zienz der betrieblichen Abläufe gefördert sowie die Unternehmensführung bei der Umset­zung ihrer Geschäftspolitik unterstützt werden^[171]. Dem IKS kommt somit auch die Aufga­be zu, „Zielabweichungen festzustellen sowie Handlungsbedarf aufzuzeigen“^[172]. Wesentli­che Systemelemente sowie die gegenseitige Beziehung von IKS und Interner Revision werden in Abb. 6 veranschaulicht.

Die Verantwortung für Implementierung und Ausgestaltung des IKS trägt letztendlich die Unternehmensleitung^[173], die praktische Umsetzung obliegt neben den Fachabteilungen meist der Controlling- oder der Organisationsabteilung. Die Interne Revision ist „ nicht für die Einrichtung, jedoch für die Aufrechterhaltung und Weiterentwicklung des IKS (...) verantwortlich“^[174]. Sie darf deshalb neben der Prüfung des Systems nur mit beratenden, koordinierenden und dokumentierenden Funktionen betraut werden.

З.1.2.1.2.2. Ausgestaltung des Kontrollsystems

Grundgedanke bei der Gestaltung des IKS ist die innerbetriebliche Aufgabenverteilung in der Art, dass sich selbsttätige Kontrollwirkungen ergeben^[175]. Hieraus lässt sich als oberste und wichtigste Voraussetzung der Grundsatz der Funktionstrennung ableiten, der verlangt, dass „ein Mitarbeiter nicht alle Phasen eines Geschäftsvorfalls alleine durchführen“^[176] können sollte. Zweifelsohne hat diese Forderung auch für Teams, Arbeitsgruppen, Pro­gramme und maschinelle Anlagen Gültigkeit. So wie in der dualistisch geprägten deut­schen Unternehmensverfassung^[177] der Aufsichtsrat den Vorstand und der wiederum die operativen Tätigkeiten kontrolliert, kann im innerbetrieblichen Bereich durch die perso­nelle Trennung der Prozessschritte ,Genehmigung‘, ,Durchführung‘, ,Verbuchung‘ und , Kontrolle ‘^[178] ein gegenseitiger Kontrolleffekt erreicht werden.

[...]

---

¹ Nürnberger Nachrichten (Hrsg.): Grünes Licht für Protektor, S. 9.

² Vgl. Ernst & Young (Hrsg.): Wirtschaftskriminalität in Deutschland, S. 9.

³ KPMG (Hrsg.): efr@ud, S. 18.

⁴ Hofmann, R.: Unterschlagungsprophylaxe, S. 65.

⁵ Vgl. Nürnberger Nachrichten (Hrsg.): Überall Spione, S. 7.

⁶ Vgl. Noehrbass, N.: Wirtschaftskriminalität und Risikominimierung, S. 766.

⁷ Vgl. KPMG (Hrsg.): Report 2003, S. 7.

⁸ Vgl. Nürnberger Nachrichten (Hrsg.): Tatort Unternehmen, S. 21.

⁹ Vgl. Wissenschaftlicher Rat der Dudenredaktion (Hrsg.): Fremdwörterbuch, S. 196.

¹⁰ Sofern nicht explizit von dieser Vorgehensweise abgewichen wird, werden juristische Fachbegriffe wie etwa ,Unterschlagung‘ oder ,Betrug’ in diesem Zusammenhang nicht im engen juristischen Sinne, son­dern in der weiter gefassten wirtschaftlichen Auslegung verstanden und verwendet.

¹¹ Vgl. Meyer zu Lö sebeck, H.: Unterschlagungsverhütung, S. 19.

¹² Der Ausdrücke ,Defraudant‘ und ,Delinquent‘ werden in dieser Abhandlung gleichbedeutend mit dem Begriff des ,Täters ‘ verwendet.

¹³ Vgl. Telefongespräche mit den Herren Braun und von Winter vom 16.09.2003.

¹⁴ IIR (Hrsg.): Grundlagen der Internen Revision, Praktischer Ratschlag 1210.A2-1, S. 1.

¹⁵ Vgl. Hauser, H.: Jahresabschlussprüfung, S. 31.

¹⁶ Hofmann, R.: Skrupellos mit fremdem Geld, S. 10.

¹⁷ Vgl. Zünd, A.: Revisionslehre, S. 675.

¹⁸ Leffson, U.: Wirtschaftsprüfung, S. 54.

¹⁹ Hofmann, R.: Prüfungs-Handbuch, S. 51.

²⁰ Lück, W.: Zukunft der Internen Revision, S. 1, Tz. 1.

²¹ Sandler, H.: Versicherungsbetrug im Schadenbereich, S. 71.

²² Vgl. Löber, H.: Erwartungen der Internen Revision, S. 207.

²³ Vgl. Lück, W.: Zukunft der Internen Revision, S. 40, Tz. 115.

²⁴ IIR (Hrsg.): Grundlagen der Internen Revision, Code of Ethics, S.1.

²⁵ IIR (Hrsg.): Grundlagen der Internen Revision, Kodex der Berufsethik, S. 1.

²⁶ Vgl. ECIIA (Hrsg.): Fraud Position Paper, S. 7.

²⁷ Wirsching, R. W.: Gauner im Betrieb, S. 252.

²⁸ Fürstenwerth, J. v. / Weiß, A.: VersicherungsAlphabet, S. 696.

²⁹ Vgl. Röhrer, K.: Marktforschung und Versicherungsbedarf, S. 5.

³⁰ Manes, A.: Versicherungswesen, S. 2.

³¹ Vgl. Dörfel, F.: Versicherungswirtschaftslehre, S. 10.

³² Arnold, R.: Kriminalität und Versicherung, S. 75.

³³ § 1 Abs. 1 VAG.

³⁴ Vgl. Müller-Lutz, H. L. / u.a.: Versicherungslehre, S. 15.

³⁵ Vgl. Mahr, W.: Versicherungswirtschaft, S. 28.

³⁶ Vgl. Richter, H.: Versicherungsunternehmen, Prüfung der, Sp. 2113.

³⁷ An dieser Stelle sei bemerkt, dass der englische Begriff ,Control4 nicht synonym mit dem deutschen Wort ,Kontrolle4 gebraucht werden darf. Wie sich noch zeigen wird, werden unter ,Interner Kontrolle’ nur diejenigen Kontrollmaßnahmen subsumiert, die in die betrieblichen Arbeitsgänge involviert sind, wäh­rend ,Internal Control darüber hinaus auch den Aspekt der prozessunabhängigen Überwachung beinhal­tet.

³⁸ Vgl. Peemö ller, V. H. / Richter, M.: Entwicklungstendenzen der Internen Revision, S. 42.

³⁹ Winkler, P.: Interne Revision: Controllinginstrument des Verwaltungsrates, S. 9.

⁴⁰ Boycott, A.: Corporate Governance, S. 219.

⁴¹ Vgl. Abb. 1.

⁴² Vgl. COSO (Hrsg.): Internal Control, S. 4 f.

⁴³ Vgl. Telefongespräch mit Herrn von Winter vom 16.09.2003.

⁴⁴ Vgl. Telefongespräch mit Herrn Vogelsang vom 08.12.2003.

⁴⁵ Vgl. Meyer zu Lösebeck H., Unterschlagungsverhütung, S. 26.

⁴⁶ Begründet wird dies dadurch, dass der Ausschließlichkeitsagent „nur für einen Versicherer tätig und durch vertragliche Wettbewerbsverbote an der Vermittlert ätigkeit für andere Versicherer gehindert“ wird, Prolls, E. R.: Kommentar zu VVG, S. 363, Tz. 7. Vgl. auch Fn. 59.

⁴⁷ Vgl. Hauser, H.: Jahresabschlussprüfung, S. 37.

⁴⁸ Vgl. Meyer zu Lösebeck, H.: Unterschlagungs- und Veruntreuungsprüfung, Sp. 2008.

⁴⁹ Zirpins, T. / Terstgen, O.: Wirtschaftskriminalität, S. 764.

⁵⁰ Vgl. Meyer zu Lö sebeck, H.: Unterschlagungs- und Veruntreuungsprüfung, Sp. 2006.

⁵¹ Vgl. Hofmann, R.: Unterschlagungsprophylaxe, S. 79.

⁵² Vgl. Stephan, E.: Problematik der Deliktrevision, S. 1514.

⁵³ Vgl. Zörweg, G.: Geschäftsschädigende Handlungen, S. 7.

⁵⁴ Vgl. Post, K. / Post, M.: Unterschlagung, S. 26.

⁵⁵ Vgl. Arnold, R.: Kriminalität und Versicherung, S. 125 ff.

⁵⁶ Vgl. Farny, D.: Versicherungsverbrechen, S. 16 ff.

⁵⁷ Vgl. Arnold, R.: Kriminalität und Versicherung, S. 110, S. 113 f.

⁵⁸ Vgl. Nürnberger Nachrichten (Hrsg.): Schwarze Null angepeilt, S. 9.

⁵⁹ Im Gegensatz zum in Punkt 2.1.1.1. genannten Ausschließlichkeitsagenten ist der Versicherungsmakler nicht einem Versicherer allein verpflichtet, ,, sondern dem Versicherer gegenüber unabhängig“, Pro lls, E. R.: Kommentar zu VVG, S. 391, Tz. 1. Aus diesem Grund muss er als Unternehmensexterner angesehen werden. Wird in den folgenden Ausführungen der Oberbegriff des ,'Versicherungsvermittlers ‘ gebraucht, sind sowohl Agenten als auch Makler angesprochen. Vgl. auch Fn. 46.

⁶⁰ Arnold, R.: Kriminalität und Versicherung, S. 119.

⁶¹ Vgl. Dolle-Helms, E.: Versicherungen, S. 15.

⁶² Vgl. Wendt, F.: Konstellationen des Versicherungsbetruges, S. 130 f.

⁶³ Vgl. Arnold, R.: Kriminalität und Versicherung, S. 123.

⁶⁴ Der Ausdruck ,Kollusion‘ bezeichnet eine unerlaubte Verabredung zwischen mehreren Beteiligten.

⁶⁵ Vgl. Wendt, F.: Konstellationen des Versicherungsbetruges, S. 92 f.

⁶⁶ Comer, M. J.: Betrug im Unternehmen, S. 49.

⁶⁷ IIR (Hrsg.): Grundlagen der Internen Revision, Praktischer Ratschlag 1210.A2-1, S. 1.

⁶⁸ Vgl. Lach, A.: Geschäftsschädigende Handlungen: Zusammenfassung, S. 98.

⁶⁹ Vgl. Arnold, R.: Kriminalität und Versicherung, S. 122.

⁷⁰ Vgl. Nürnberger Nachrichten (Hrsg.): Am Preis geschraubt, S. 7.

⁷¹ Vgl. Meier, C.: Wirtschaftsdelikte, S. 196.

⁷² Nürnberger Nachrichten (Hrsg.): Vertrauen sinkt, S. 5.

⁷³ Vgl. Comer, M. J.: Betrug im Unternehmen, S. 95.

⁷⁴ Vgl. IIR (Hrsg.): Abwehr doloser Handlungen, S. 17.

⁷⁵ Vgl. Pfannenschmidt, O.: Korruption in Deutschland, S. 9.

⁷⁶ Post, K. / Post, M.: Unterschlagung, S. 32.

⁷⁷ Vgl. Thelen, P. J.: Wirtschaftskriminalität und Wirtschaftsdelinquenz, S. 74 f.

⁷⁸ Vgl. Albrecht, W. S. / u.a.: Business Fraud, S. 177.

⁷⁹ Vgl. Kube, E.: Prävention von Wirtschaftskriminalität, S. 14.

⁸⁰ Vgl. Gisler, M. G.: Wirtschaftsdelikte - Herausforderung für die Revision, S. 99.

⁸¹ Vgl. Kube, E.: Kriminalprävention, S. 59.

⁸² Vgl. Comer, M. J.: Betrug im Unternehmen, S. 95.

⁸³ Vgl. Albrecht, W. S. / u.a.: Fraud, S. 19.

⁸⁴ IndOrg Consult (Hrsg.): Das dolose Dreieck.

⁸⁵ Vgl. Romatzeck, E.: Kriminelle Aspekte im Risiko Management System, S. 2.

⁸⁶ Vgl. Maul, K.-H.: Erwartungen der Internen Revision (Ko-Referat), S. 228.

⁸⁷ Kaesberg, G.: Prävention doloser Handlungen, S. 36.

⁸⁸ Vgl. Martin, T. / Bär, T.: Grundzüge des Risikomanagements, S. 79.

⁸⁹ Vgl. Helbling, C.: Revisions- und Bilanzierungspraxis, S. 455.

⁹⁰ IDW (Hrsg.): IDW PS 340, S. 2, Tz. 5.

⁹¹ Vgl. Zünd, A.: Revisionslehre, S. 515 f.

⁹² Vgl. IIR (Hrsg.): Grundsätze für die berufliche Praxis, S. 41, Nr. 120.02.4.

⁹³ Vgl. Heigl, A.: Controlling - Interne Revision, S. 207. Mit der Frage, welche Instanz dafür am geeignetsten erscheint, beschäftigt sich Punkt 3.1.2.14.2.

⁹⁴ Wolff, G.: Ethische Grundsatzfragen, S. 27. An dieser Stelle wird darauf hingewiesen, dass in der vorliegenden Arbeit nicht auf die Diskussion hin­sichtlich der synonymen oder unterschiedlichen Bedeutung der Worte ,Moral‘ und ,Ethik sowie ,Unter- nehmenspolitik‘, ,Unternehmensethik‘, , Wertemanagement‘, ,Ethikmanagement‘ usw. eingegangen wird.

⁹⁵ Schweizerische Bankiervereinigung (Hrsg.): Richtlinien zur Internen Kontrolle, S. 14.

⁹⁶ Vgl. Steinmann, H. / Scherer, A. G.: Freiheit und Verantwortung, S. 98.

⁹⁷ Vgl. ICC Deutschland (Hrsg.): Verhaltensrichtlinien zur Bekämpfung der Korruption, S. 11 ff.

⁹⁸ Vgl. Kliege, H.: Verhaltenskodex, S. 125.

⁹⁹ BDI (Hrsg.): Korruption verhindern, S. 7.

¹⁰⁰ Vgl. Poerting, P. / Vahlenkamp, W.: Leitfaden zur Korruptionsvorbeugung, S. 14.

¹⁰¹ Vgl. Winter, R. v.: Risikomanagement, S. 30.

¹⁰² ICC Deutschland (Hrsg.): Verhaltensrichtlinien zur Bekämpfung der Korruption, S. 9.

¹⁰³ Vgl. Wieland J. / Grüninger S.: EthikManagementSysteme, S. 162.

¹⁰⁴ Vgl. Daftari, B. / Fassbender, P.: Wirtschaftskriminalität in Banken, S. 602 f.

¹⁰⁵ Vgl. KPMG (Hrsg.): Unternehmensleitbilder, S. 11.

¹⁰⁶ Grabner-Kräuter, S.: Ethisierung des Unternehmens, S. 193.

¹⁰⁷ Vgl. KPMG (Hrsg.): Unternehmensleitbilder, S. 18.

¹⁰⁸ Vgl. ACFE (Hrsg.): Dolose Vorsorge, S. 5.

¹⁰⁹ Vgl. Wieland J. / Grüninger S.: EthikManagementSysteme, S. 166.

¹¹⁰ Baetge, J.: Überwachungstheorie, kybernetische, Sp. 2038.

¹¹¹ Vgl. IIR (Hrsg.): IIR Revisionsstandard Nr. 3, S. 220, Nr. 3.3.1. In der Literatur herrscht keine Einigkeit hinsichtlich der Bedeutung der Begriffe IKS und IÜ S, vgl. z.B. IDW (Hrsg.): IDW PS 260, S. 2 f., Tz. 6. Auß erdem führen manche Autoren als drittes Element des IÜ S noch , organisatorische Sicherheitsmaßnahmen4 an, vgl. beispielsweise Lück, W.: Zukunft der Internen Revision, S. 53.

¹¹² Baetge, J. Internes Überwachungssystem, S. 408.

¹¹³ Forster, K.-H.: Gedanken zur passiven Sicherung der Unabhängigkeit, S. 328.

¹¹⁴ IIR (Hrsg.): Grundlagen der Internen Revision, Attribute-Standard 1110.

¹¹⁵ Zünd, A.: Revisionslehre, S. 541.

¹¹⁶ Lück, W.: Interne Revision, S. 405.

¹¹⁷ Korber, W.: Unternehmensüberwachung durch die Interne Revision, S. 100.

¹¹⁸ Palazzesi, M.: Benchmarking der Interne Revision, S. 537.

¹¹⁹ Vgl. Bö hmer, G.-A. / u.a.: Interne Revision: Ein Handbuch, S. 27.

¹²⁰ Hofmann, R.: Unternehmensüberwachung, S. 74.

¹²¹ „Management Override bezeichnet das Bestehen eines wesentlichen Risikos, dass interne Kontrollen durch die Unternehmensleitung umgangen werden können“, KPMG (Hrsg.), Untersuchung zur Wirt­schaftskriminalität, S. 13.

¹²² Vgl. § 111 Abs. 1 i.V.m. § 76 Abs. 1 AktG.

¹²³ Vgl. Richter, M.: Audit Committees, Sp. 75.

¹²⁴ Vgl. Punkt 3.1.2.2.

¹²⁵ Eine begriffliche Unterscheidung zwischen In- und Outsourcing, wie in manchen Quellen praktiziert, soll hier unterbleiben. In diesem Kontext kann Outsourcing sowohl die Auslagerung der Revisionstätigkeit in eine rechtlich selbstständige Gesellschaft, als auch die Beauftragung externer Gesellschaften bedeuten.

¹²⁶ KPMG (Hrsg.): Integriertes Risikomanagement, S. 15.

¹²⁷ Schwager, E.: Outsourcing der Internen Revision, S. 2134.

¹²⁸ Lück, W. / Jung, A.: Outsourcing, S. 182.

¹²⁹ Vgl. Ruud, T. F. / u.a.: Entwicklungen in der Internen Revision, S. 1034.

¹³⁰ Vgl. Wirth, H.: Total Outsourcing, S. 1255.

¹³¹ Lück, W. / Jung, A.: Outsourcing, S. 174.

¹³² Vgl. Hadaschik, M.: Revision und Controlling, S. 27 ff.; Dahl, T. / u.a.: Interne Revision 2001, S. 99.

¹³³ Vgl. Peemö ller, V. H.: Controlling und Interne Revision, S. 1252.

¹³⁴ Vgl. Dahl, R. / u.a.: Interne Revision 2001, S. 99.

¹³⁵ Vgl. IIR (Hrsg.): IIR Revisionsstandard Nr. 3, S. 220, Nr. 3.3.1.

¹³⁶ Vgl. IDW (Hrsg.): IDW EPS 523, S. 6, Tz. 18.

¹³⁷ Peemö ller, V. H. / Richter, M.: Entwicklungstendenzen der Internen Revision, S. 60.

¹³⁸ Vgl. IIR (Hrsg.): Grundlagen der Internen Revision, Praktischer Ratschlag 1110-1, S. 1.

¹³⁹ Vgl. Hofmann, R.: Prüfungs-Handbuch, S. 103.

¹⁴⁰ IIR (Hrsg.): IIR Revisionsstandard Nr. 3, S. 220, Nr. 3.3.1.

¹⁴¹ IIR (Hrsg.): IIR Revisionsstandard Nr. 3, S. 220, Nr. 3.3.1.

¹⁴² Vgl. Dahl, R. / u.a.: Interne Revision 2001, S. 97.

¹⁴³ Vgl. IIR (Hrsg.): IIR Revisionsstandard Nr. 3, S. 220, Nr. 3.3.1.

¹⁴⁴ Vgl. IDW (Hrsg.): IDW EPS 523, S. 4 ff., Tz. 9 ff.

¹⁴⁵ IIR (Hrsg.): Grundlagen der Internen Revision, Attribute-Standard 1000.

¹⁴⁶ Vgl. Schädler, G.: Organisation der Internen Revision (I), S. 142.

¹⁴⁷ Pfyffer, H.-U.: Strategie für die Interne Revision, S. 520.

¹⁴⁸ Hunecke, J.: Interne Beratung, S. 143.

¹⁴⁹ Vgl. Stephan, E.: Problematik der Deliktrevision, S. 1515.

¹⁵⁰ Schwager, E.: Geschäftsordnung der Internen Revision, S. 92.

¹⁵¹ Winter, R. v.: Risikomanagement, S. 173.

¹⁵² Vgl. Pfyffer, H.-U.: Strategie für die Interne Revision, S. 519.

¹⁵³ Vgl. Krey, S.: Qualitätssicherung in der Internen Revision, S. 2461.

¹⁵⁴ Vgl. Schädler, G.: Organisation der Internen Revision (I), S. 143.

¹⁵⁵ Hofmann, R.: Prüfungs-Handbuch, S. 127.

¹⁵⁶ IIR (Hrsg.): Grundlagen der Internen Revision, Attribute-Standard 1210.A2. Vgl. in diesem Zusammenhang auch Punkt 3.1.3.3.

¹⁵⁷ Cramer, D.: Interne Revision, S. 85.

¹⁵⁸ Peemö ller, Volker H.: Interne Revision: Grundlegender Wegweiser, S. 29.

¹⁵⁹ Vgl. Süchting, J. / Lehmann, P.: Weiterbildung von Verbandsprüfern, S. 154.

¹⁶⁰ Hofmann, R.: Prüfungs-Handbuch, S. 136.

¹⁶¹ Vgl. IIR (Hrsg.): Grundlagen der Internen Revision, Attribute-Standard 1230.

¹⁶² Krey, S.: Qualitätssicherung in der Internen Revision, S. 2461.

¹⁶³ Vgl. Schartmann, B.: Moderne Ansätze der Internen Revision (I), S. 1564.

¹⁶⁴ Vgl. Hoffmann, F.: Interne Revision, Organisation, Sp. 870.

¹⁶⁵ Vgl. IDW (Hrsg.): Wirtschaftsprüferhandbuch, Band I, S. 1747.

¹⁶⁶ Vgl. Hofmann, R.: Prüfungs-Handbuch, S. 186.

¹⁶⁷ Winter, R. v.: Risikomanagement, S. 206.

¹⁶⁸ IDW (Hrsg.): IDW PS 260, S.3, Tz. 6.

¹⁶⁹ Dahl, R. / u.a.: Interne Revision 2001, S. 94.

¹⁷⁰ Vgl. Winkler, P.: Interne Revision: Controllinginstrument des Verwaltungsrates, S. 10.

¹⁷¹ Vgl. Wanik, O.: Internes Kontrollsystem, Prüfung, Sp. 896.

¹⁷² Schweizerische Bankiervereinigung (Hrsg.): Richtlinien zur Internen Kontrolle, S. 4.

¹⁷³ IDW (Hrsg.): IDW PS 260, S. 5, Tz. 12.

¹⁷⁴ Hofmann, R.: Unternehmensüberwachung, S. 52.

¹⁷⁵ Vgl. Horváth, P.: Internes Kontrollsystem, allgemein, Sp. 890.

¹⁷⁶ Lück, W.: Elemente eines Risiko-Managementsystems, S. 9.

¹⁷⁷ Vgl. §§ 76 ff. AktG.

¹⁷⁸ Vgl. Wolf, K. / Runzheimer, B.: Risikomanagement und KonTraG, S. 107 f.