Compliance-Kultur aufbauen
Compliance-Kultur systematisch aufbauen mit dem KLIMA-Framework: 5 Dimensionen, konkrete Messmethoden und ein Quick-Check für Ihr Unternehmen.
Inhaltsverzeichnis
Warum Compliance-Kultur wichtiger ist als Compliance-Regeln
IDW PS 980 stellt Compliance-Kultur als Grundelement 1 an die Spitze – vor Ziele, Risiken und Programm. Das ist kein Zufall und keine Formalie. Es ist eine klare Aussage: Ohne Kultur funktioniert nichts. Mit Kultur funktioniert vieles auch ohne perfekte Prozesse.
Wirecard hatte ein Compliance Management System. Es gab Richtlinien, dokumentierte Prozesse, definierte Zuständigkeiten, ein Hinweisgebersystem auf dem Papier. Formal war vieles vorhanden. In der gelebten Realität war die Kultur toxisch. Kritische Fragen wurden nicht gestellt. Wer doch fragte, wurde kaltgestellt. Richtlinien wurden systematisch umgangen – nicht von einzelnen Mitarbeitern, sondern mit stillschweigender Duldung der Führung. Das Ergebnis kennt jeder.
VW und der Dieselskandal liefern ein weiteres Beispiel: Es gab Compliance-Strukturen. Aber die Unternehmenskultur belohnte Zielerreichung um jeden Preis. Ingenieure, die Bedenken äußerten, wurden überstimmt. Die Kultur gab das Signal: Ergebnisse zählen mehr als Regeln.
Die These ist simpel und trotzdem wird sie in der Praxis zu selten ernst genommen: Die beste Richtlinie nützt nichts, wenn die Kultur sie untergräbt. Regeln definieren das Minimum – das, was Mitarbeiter tun müssen, um nicht gegen Vorgaben zu verstoßen. Kultur definiert das Verhalten – das, was Mitarbeiter tun, wenn niemand hinschaut. Und in den allermeisten Situationen des Arbeitsalltags schaut niemand hin.
Deshalb ist Compliance-Kultur der Hebel, der über Erfolg oder Scheitern eines CMS entscheidet. Und deshalb lohnt es sich, hier systematisch zu investieren – nicht nur in weitere Richtlinien, die am Ende doch nicht gelesen werden.
Was ist Compliance-Kultur? Eine Definition für die Praxis
Viele Definitionen von Compliance-Kultur klingen so: „Die Summe aller Werte, Normen und Einstellungen, die das compliance-relevante Verhalten in einer Organisation prägen." Akademisch korrekt. Aber für die praktische Arbeit wenig hilfreich, weil zu abstrakt, um daraus konkrete Maßnahmen abzuleiten.
Pragmatischer und griffiger: Compliance-Kultur ist das, was Ihre Mitarbeiter tun, wenn niemand hinschaut. Halten sie sich an Regeln, weil sie deren Sinn verstehen und mittragen? Oder nur, weil sie Konsequenzen fürchten? Melden sie Verstöße, weil sie wissen, dass das System funktioniert und sie geschützt sind? Oder schauen sie weg, weil sie Repressalien fürchten oder weil „es alle so machen"?
Compliance-Kultur existiert auf drei Ebenen, die aufeinander aufbauen und sich gegenseitig beeinflussen:
Sichtbare Artefakte – Das, was man sehen, anfassen und zeigen kann: Der Code of Conduct, Compliance-Plakate, Schulungsmaterialien, das Hinweisgebersystem, die Compliance-Website im Intranet. Das ist die „Hardware" der Compliance – notwendig, aber allein nicht ausreichend. Ein Code of Conduct, der im Schrank liegt, verändert kein Verhalten.
Kommunizierte Werte – Was die Führung sagt und schreibt: Tone from the Top in Mitarbeiterversammlungen, Leitbilder, Compliance-Newsletter, Aussagen im Jahresbericht. Die offizielle Botschaft der Organisation an ihre Mitglieder. Wichtig, aber nur glaubwürdig, wenn Taten folgen.
Grundannahmen – Was die Organisation wirklich glaubt: „Compliance bremst das Geschäft" oder „Compliance schützt unser Geschäft"? „Wer meldet, ist ein Nestbeschmutzer" oder „Wer meldet, handelt verantwortlich"? Diese unsichtbare Ebene ist die mächtigste – sie steuert das tatsächliche Verhalten, oft unbewusst.
Die entscheidende Frage für jede Compliance-Funktion ist: Stimmen die drei Ebenen überein? Wenn die Plakate „Integrität" predigen, der Code of Conduct „Offenheit" fordert, aber die Führung bei Umsatzdruck regelmäßig wegschaut und Hinweisgeber nicht geschützt werden – dann spricht die dritte Ebene lauter als jedes Plakat und jede Richtlinie. Mitarbeiter orientieren sich immer an dem, was wirklich gilt, nicht an dem, was auf Papier steht.
Das KLIMA-Framework: 5 Dimensionen der Compliance-Kultur
Compliance-Kultur klingt abstrakt. Das macht es schwer, sie zu entwickeln, zu messen und gezielt zu verbessern. Das KLIMA-Framework löst dieses Problem. Es zerlegt Compliance-Kultur in fünf konkrete Dimensionen, die Sie einzeln analysieren, bewerten und mit Maßnahmen adressieren können.
K – Kommunikation
Wie wird in Ihrem Unternehmen über Compliance gesprochen? Nur im jährlichen Pflichttraining, das alle so schnell wie möglich durchklicken? Oder regelmäßig, in verschiedenen Formaten und Kanälen, eingebettet in den Arbeitsalltag?
Gute Compliance-Kommunikation hat drei Merkmale: Sie ist regelmäßig (nicht nur anlassbezogen), sie ist verständlich (keine Juristentexte, sondern klare Sprache mit Praxisbezug) und sie ist bidirektional (nicht nur Einbahnstraße von oben nach unten). Mitarbeiter müssen Fragen stellen können, ohne sich dumm zu fühlen. Sie müssen Bedenken äußern können, ohne Konsequenzen zu fürchten. Das setzt voraus, dass Kommunikationskanäle existieren und tatsächlich genutzt werden.
Indikatoren für die Kommunikations-Dimension: Wie oft wird Compliance thematisiert? Über welche Kanäle (E-Mail, Intranet, Town Hall, Teambesprechungen)? Gibt es einen Dialog oder nur eine Einbahnstraße? Wie bewerten Mitarbeiter die Qualität und Verständlichkeit der Compliance-Kommunikation?
L – Leadership
Führungsverhalten ist der stärkste Treiber für Compliance-Kultur. Stärker als jede Richtlinie, stärker als jede Schulung, stärker als jedes Plakat. Was die Führung tut, wiegt schwerer als alles, was sie sagt oder schreibt.
Drei Ebenen spielen zusammen und müssen konsistent sein:
Tone from the Top – Die Geschäftsführung bekennt sich öffentlich, wiederholt und mit konkreten Ressourcen unterlegt zu Compliance. Nicht als Pflichtübung, sondern mit erkennbarer persönlicher Überzeugung.
Mood in the Middle – Führungskräfte im mittleren Management übersetzen die Werte der Geschäftsführung in den Arbeitsalltag. Hier entscheidet sich, ob Compliance tatsächlich gelebt wird – oder ob unter Umsatzdruck Ausnahmen gemacht werden.
Tone from the Bottom – Teams entwickeln eigene Normen und Verhaltensstandards. Was wird im Team toleriert? Was wird angesprochen? Wie reagiert die Gruppe auf Fehlverhalten eines Kollegen?
Die mittlere Ebene ist oft die schwächste – und gleichzeitig die entscheidende. Führungskräfte unter Umsatzdruck neigen dazu, Compliance-Regeln „pragmatisch" auszulegen. „Im Prinzip gilt die Richtlinie, aber in diesem Fall…" Genau hier muss Kultur ansetzen. Mehr dazu in unserem separaten Artikel über Tone from the Top.
I – Integrität
Integrität bedeutet: Wertebasiertes Handeln im Alltag. Besonders dann, wenn die Regeln nicht eindeutig sind und keine Richtlinie eine klare Antwort gibt.
In der Praxis entstehen ständig Situationen, die keine Richtlinie zu hundert Prozent abdeckt. Der Kunde bietet ein „kleines Dankeschön" an – liegt der Wert über oder unter der Grenze? Ein Bewerber ist die Nichte eines Vorstandsmitglieds – Interessenkonflikt oder nicht? Ein wichtiger Lieferant liefert pünktlich und günstig, aber bei der letzten Betriebsbesichtigung gab es Fragezeichen zu den Arbeitsbedingungen.
Compliance-Kultur zeigt sich in diesen Graubereichen. Wie Mitarbeiter mit Dilemmata umgehen – ob sie sich Hilfe holen statt allein zu entscheiden, ob sie den sicheren Weg wählen statt den bequemen – ist ein starker Indikator für die kulturelle Reife einer Organisation. Eine reife Compliance-Kultur ermutigt Mitarbeiter, im Zweifel nachzufragen und lieber einmal zu viel als einmal zu wenig den Rat der Compliance-Funktion einzuholen. Eine unreife Kultur belohnt diejenigen, die „pragmatisch" entscheiden – auch wenn das bedeutet, Grenzen auszulenken.
M – Messung
Was man nicht misst, kann man nicht verbessern. Und was man nicht misst, kann man auch nicht berichten – weder an die Geschäftsführung noch an Prüfer oder Stakeholder. Compliance-Kultur messen klingt schwierig, ist aber mit den richtigen Instrumenten machbar und liefert wertvolle Steuerungsinformationen.
Vier Methoden haben sich in der Praxis bewährt und ergänzen sich gegenseitig:
Mitarbeiterbefragung – Anonyme, standardisierte Befragung zu Kulturwahrnehmung, Führungsverhalten, Meldebereitschaft und Regelakzeptanz. Das umfassendste Instrument für ein Gesamtbild der Kulturlandschaft.
Meldeaufkommen im Hinweisgebersystem – Nicht die Anzahl der bestätigten Verstöße ist der relevante Indikator, sondern die Anzahl der eingegangenen Meldungen insgesamt. Steigende Meldezahlen bedeuten in der Regel: Mitarbeiter vertrauen dem System und haben keine Angst vor Repressalien. Sinkende oder fehlende Meldungen sind dagegen oft ein Warnsignal.
Schulungsquoten und Schulungsfeedback – Nicht nur, ob geschult wurde, sondern wie die Qualität und Praxisrelevanz von den Teilnehmern bewertet wird. Eine Schulung mit 100 % Teilnahmequote, aber einer Bewertung von 2 von 5 Sternen verfehlt ihr Ziel.
Audit-Feststellungen zu Grundelement 1 – Was sagt das letzte CMS-Audit über den Zustand der Compliance-Kultur? Welche Reifegradstufe wurde vergeben? Welche konkreten Lücken wurden identifiziert?
Praxis-Tipp: Für eine strukturierte, wiederholbare Kulturmessung liefert unser Kulturanalyse-Fragebogen über 50 Fragen mit automatischer Auswertung und Benchmarking-Skala – geordnet nach den fünf Kultur-Dimensionen.
A – Anpassung
Kultur ist kein Projekt mit Startdatum und Enddatum. Sie ist ein fortlaufender Prozess ohne Abschluss. Messen, Maßnahmen ableiten, umsetzen, erneut messen. Der PDCA-Zyklus gilt auch und gerade für Kulturentwicklung.
Praktisch bedeutet das: Setzen Sie feste Rhythmen. Jährliche Kulturanalyse-Befragung. Halbjährliche Auswertung der Monitoring-KPIs. Quartalsweise Berichterstattung an die Geschäftsführung. Und nach jeder Messung: Ableitung von maximal drei konkreten Maßnahmen, die bis zur nächsten Messung umgesetzt werden.
Entscheidend ist dabei ein Punkt, der oft unterschätzt wird: Reagieren Sie tatsächlich auf Ihre Messergebnisse. Wenn die Mitarbeiterbefragung zeigt, dass Führungskräfte Compliance als Geschäftshindernis sehen, dann ändern Sie etwas. Nicht am Fragebogen, sondern an der Realität. Kultur verbessert sich nur, wenn auf Erkenntnis tatsächlich Handlung folgt. Eine Befragung, die folgenlos bleibt, ist schlimmer als keine Befragung – sie signalisiert den Mitarbeitern, dass ihr Feedback nicht ernst genommen wird.
Warum Kulturinvestitionen sich lohnen
Compliance-Kultur wird oft als „Soft Factor" abgetan – schön zu haben, aber schwer zu rechtfertigen im Budgetgespräch. Das Gegenteil ist richtig. Kulturinvestitionen haben einen messbaren Return on Investment, wenn auch nicht immer auf den ersten Blick.
Unternehmen mit starker Compliance-Kultur verzeichnen nachweislich weniger Compliance-Verstöße, was direkte Kosten senkt: geringere Bußgelder, weniger Rechtsstreitigkeiten, weniger Reputationsschäden. Sie haben geringere Personalfluktuation, weil Mitarbeiter sich in integren Organisationen wohler fühlen. Sie erzielen bessere Ergebnisse in Due-Diligence-Prüfungen, was Geschäftsbeziehungen und M&A-Transaktionen erleichtert.
Und sie sparen langfristig Compliance-Kosten. Ein Unternehmen mit starker Kultur braucht weniger Kontrollen, weniger Überwachung und weniger detaillierte Regelwerke. Die Kultur übernimmt die Steuerungsfunktion, die sonst nur durch aufwändige Prozesse und Kontrollen erreicht werden kann. Oder anders: In einer Organisation, in der Mitarbeiter von sich aus das Richtige tun, können Sie Regeln schlanker gestalten und Ressourcen gezielter einsetzen.
Das ist der Kern des Gedankens „Compliance als Wertschöpfung": Kultur ist nicht die weiche Alternative zu harten Regeln. Sie ist die effizienteste Form der Risikosteuerung. Und sie ist der Faktor, der ein CMS vom formalen Pflichtprogramm zum echten Wettbewerbsvorteil macht.
Compliance-Kultur messen: 5 Indikatoren
Sie wollen wissen, wie es um Ihre Compliance-Kultur steht? Diese fünf Indikatoren liefern ein differenziertes Bild – wenn Sie sie regelmäßig erheben und im Zeitverlauf vergleichen:
Indikator | Was er aussagt | Datenquelle |
|---|---|---|
Meldebereitschaft | Vertrauen in das System und wahrgenommener Schutz vor Repressalien | Hinweisgebersystem |
Schulungsquote und Feedback | Akzeptanz der Schulungen und wahrgenommene Praxisrelevanz | LMS / Schulungsdaten |
Führungskräfte-Assessment | Vorbildfunktion der Führung und Werte-Übersetzung in den Alltag | 360°-Feedback, Interviews |
Kulturanalyse-Befragung | Wahrnehmung der Compliance-Kultur durch die gesamte Belegschaft | Anonyme Mitarbeiterbefragung |
Audit-Ergebnisse Element 1 | Formale Bewertung des Kulturzustands durch interne oder externe Prüfer |
Keiner dieser Indikatoren ist für sich allein aussagekräftig. Ein steigendes Meldeaufkommen kann auf bessere Kultur hindeuten – oder auf zunehmende Verstöße. Erst die Kombination mehrerer Indikatoren ergibt ein belastbares Bild. Und erst der systematische Vergleich über die Zeit zeigt Trends, Entwicklungen und die tatsächliche Wirksamkeit Ihrer Kulturmaßnahmen. Erheben Sie diese Indikatoren deshalb nicht einmalig, sondern als festen Bestandteil Ihres regelmäßigen Compliance-Reportings an die Geschäftsführung.
Quick-Check: Wie stark ist Ihre Compliance-Kultur?
Bevor Sie in eine vollständige Kulturanalyse einsteigen, können Sie mit fünf Fragen eine schnelle Standortbestimmung vornehmen. Beantworten Sie jede Frage mit Ja oder Nein – und zwar so, wie die Realität heute aussieht, nicht wie sie sein sollte:
Kann Ihre Geschäftsführung spontan – ohne Vorbereitung – drei Compliance-Werte benennen, die das Unternehmen konkret lebt?
Haben Mitarbeiter in den letzten 12 Monaten mindestens einen Hinweis über das Hinweisgebersystem abgegeben?
Sind Compliance-Kriterien fester Bestandteil der Führungskräftebewertung und Zielvereinbarung?
Wurde in den letzten 12 Monaten bei einem Compliance-Verstoß konsequent reagiert – auch wenn der Verursacher ein Top-Performer war?
Würden Ihre Mitarbeiter in einer anonymen Befragung sagen, dass Compliance ihre tägliche Arbeit eher erleichtert als erschwert?
Weniger als 3x Ja? Dann gibt es messbaren Handlungsbedarf. Keine Sorge – die meisten Unternehmen starten an genau diesem Punkt. Entscheidend ist nicht der aktuelle Stand, sondern dass Sie jetzt anfangen, systematisch an Ihrer Kultur zu arbeiten.
Für eine fundierte Analyse statt einer Schnellschätzung empfehlen wir eine strukturierte Kulturanalyse mit standardisiertem Fragebogen. Und als Grundlage für kommunizierte Werte und klare Verhaltenserwartungen dient ein professioneller Code of Conduct.
Nächster Schritt: Compliance-Kultur systematisch aufbauen
Das KLIMA-Framework gibt Ihnen die Struktur. Für die Umsetzung brauchen Sie konkrete Werkzeuge. Das Leitdokument „Compliance-Kultur Grundlagen" beschreibt alle fünf Dimensionen im Detail – mit konkreten Maßnahmen, Messmethoden und Praxisbeispielen. Der Kulturanalyse-Fragebogen macht Ihre Kultur messbar – mit über 50 Fragen und automatischer Auswertung inklusive Benchmarking.
Alles in einem Paket: Beide Dokumente sind auch Teil des CMS Aufbau Bundles – das Komplettpaket für Ihr Compliance Management System (€499).
Passende Produkte zum Thema
CMS Aufbau Bundle
Komplettpaket zum Aufbau eines Compliance Management Systems nach IDW PS 980 und ISO 37301. Enthält alle Dokumente, Richtlinien und Tools – vom Reifegrad-Assessment bis zum Audit-Bericht.
Code of Conduct Vorlage
Professionelle Code-of-Conduct-Vorlage mit Verhaltenskodex, Leitprinzipien, konkreten Verhaltensregeln und Meldewegen. Sofort anpassbar an Ihr Unternehmen.
Compliance-Kultur Grundlagen
Grundlagen wirksamer Compliance-Kultur mit KLIMA-Framework. Inklusive standardisiertem Fragebogen zur Messung der Compliance-Kultur mit automatischer Auswertung und Handlungsempfehlungen.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →