Revision der Kontrollkultur


Die Kultur von Unternehmen ist im Zuge einer Reihe von Unternehmenskrisen, verursacht durch eine zu hohe Risikobereitschaft, zu einem der zentralen Themen für Aufsichtsbehörden, Investoren und Kunden geworden. So haben in der jüngsten Vergangenheit Unternehmen zwar regelkonforme Entscheidungen getroffen, sind damit aber Risiken eingegangen, die für sie existenzgefährdend hätten sein können bzw. auch tatsächlich waren. Andere Fälle, in denen Entscheidungen getroffen wurden, die gegen interne, gesetzliche oder aufsichtsrechtliche Normen verstoßen, haben bei einigen Unternehmen zu massiven Reputationsverlusten und Strafzahlungen geführt.

Viele Unternehmen haben die zentrale Bedeutung der Kultur als einen wesentlichen Bestandteil ihrer Governance-Strukturen erkannt, welche nicht nur die Geschäftsleitung (bspw. tone from the top) betrifft, sondern letztlich jeden einzelnen Mitarbeiter. So kann bspw. ein Internes Kontrollsystem implementiert sein, welches in seiner Wirksamkeit jedoch deutliche Schwächen aufzeigt, wenn die Mitarbeiter dieses nicht akzeptieren oder verstehen.

Internationale Standardsetter und Aufsichtsbehörden widmen der Kultur eine immer größere Bedeutung zu. In Deutschland hat das Institut der Wirtschaftsprüfer (IDW) in den letzten Jahren neue Prüfungsstandards zu den Systemen Compliance- und Risiko-Management, Internes Kontrollsystem und Internes Revisionssystem veröffentlicht, in denen die Kultur als ein zentrales Grundelement der jeweiligen Systeme benannt wird. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schreibt seit der letzten Novelle in den Mindestanforderungen an das Risikomanagement (MaRisk) die Umsetzung einer adäquaten Risikokultur vor.

Die meisten Unternehmen sind sich der Bedeutung der Kultur bewusst, jedoch ist oft unklar, wie die oftmals als nicht greifbar angesehene Kultur geprüft werden kann.

Wie also kann die Kultur innerhalb des Internen Kontrollsystems einer Organisation beurteilt werden? Für viele, die mit internen Kontrollsystemen wie bspw. nach COSO gearbeitet haben, ist klar, dass es sich bei harten Kontrollen um solche handelt, die sich auf konkrete Richtlinien, Verfahren und Rollen konzentrieren, wohingegen weiche Kontrollen immaterielle Werte wie Ethik, Verhalten, Urteile und Überzeugungen betreffen - das „Kontrollumfeld“ oder „die Art und Weise, wie Risiken eingegangen werden“. Es ist wichtig zu erkennen, dass „harte“ Kontrollen das richtige Kontrollufeld benötigen, damit sie existieren und funktionieren. Beispielsweise sind perfekt gestaltete Richtlinien von geringem Wert, wenn sie nicht akzeptiert und eingehalten werden - dafür benötigen sie die richtige Kultur. Eine starke Kultur verbessert die Produktivität und verringert das Risiko, indem sie die richtigen Verhaltensweisen verstärkt.

Obwohl harte und weiche Kontrollen zusammenhängen, müssen sie häufig auf unterschiedliche Weise bewertet werden. Tests für harte Kontrollen sind in der Regel quantitativ und umfassen bspw. Zählungen, Stichproben und die Beurteilung von Konzepten zur Autorisierung (Vier-Augen) oder Funktionstrennung, während die Bewertung weicher Kontrollen mehr qualitative Techniken wie Interviews, Beobachtungen und Erhebungen erfordert, die alle auf einer subjektiveren Bewertung beruhen. Dies bedeutet jedoch nicht, dass weiche Kontrollen nicht messbar sind. Es bedeutet lediglich, dass neue Herangehensweisen erforderlich sind, um ihre Leistung und ihren Einfluss auf harte Kontrollen zu messen. Ein solcher Weg wurde von BDO unter Verwendung unserer „Soft-Controls-Model“ entwickelt. Aus diesem Modell konnten bereits viele Unternehmen ableiten, wie Kultur ihre Fähigkeit, Risiken effektiv zu managen, beeinflussen kann.

Unser „Soft-Controls-Model“ basiert auf der kulturellen Dimension der Risikoanalyse. Typische Modelle arbeiten lediglich mit der Quantifizierung der Auswirkungen und der Wahrscheinlichkeit von Risiken, während wir das Risikobewusstsein und die Kontrollkultur als dritte Dimension hinzufügen. Qualitative Daten, die diese Analyse unterstützen, stammen aus unserer Umfrage zum Risikobewusstsein, die Folgendes misst:

  1. Die kulturellen Auswirkungen von Management und Mitarbeitern. Dies ist eine subjektive Momentaufnahme von folgenden Aspekten:
    • Führung und die Art und Weise, wie Vorgesetzte und Führungskräfte Anweisungen und Anleitungen geben.
    • Kommunikation und Informationsaustausch mit und von Mitarbeitern, damit diese genau wissen, welches Verhalten von ihnen erwartet wird.
    • Wie Mitarbeiter angemessen ausgestattet und befugt sind, ihre Arbeit auszuführen und organisatorische Ziele zu erreichen.
    • Wie gut Mitarbeiter motiviert sind, organisatorische Ziele zu erreichen und ob sie sich für ihren Einsatz respektiert und wertgeschätzt fühlen.
    • Inwieweit die Organisation erwünschtes und unerwünschtes Verhalten überwacht und darauf reagiert.
  2. Die persönlichen Präferenzen der Mitarbeiter, welche ein Indikator für zukünftige Verhaltensweisen sind. Diese persönlichen Präferenzen ändern sich im Laufe der Zeit kaum und sind daher objektiv.

Durch die Prüfung dieser weichen Indikatoren sind wir in der Lage, bestimmte zugrunde liegende Verhaltensweisen und "kulturelle" Verbesserungen zu bewerten, die zur Stärkung der allgemeinen Kontrollkultur sowie zur Reduzierung spezifischer Risiken erforderlich sind. Obwohl dieser Ansatz in der Regel als einmalige Bewertung angewendet wird, haben wir bspw. mit Revisionsleitern und Compliance-Beauftragten zusammengearbeitet, um kulturelle Indikatoren während einzelner Prüfungen zu bewerten. Dabei haben wir Techniken wie die Ursachenanalyse eingesetzt, um zu ermitteln, warum Probleme auftreten und inwieweit diese die Ursachen für unangemessene Verhaltensweisen sein können.

Mitunter ist es die Aufgabe der Internen Revision, gegenüber der Geschäftsleitung und den Überwachungsorganen eine Aussage zur Angemessenheit der Kontrollkultur einer Organisation zu treffen und ggf. Optimierungsvorschläge zu unterbreiten. Durch die Umsetzung von Empfehlungen kann eine deutlich höhere Wirksamkeit von Maßnahmen erreicht werden.