Post on 22-Aug-2019
Compliance als Hilfsmittel für eine risikobewusste
Compliance Management System 1
Compliance als Hilfsmittel für eine risikobewusste Unternehmensführung
Nürnberg, 28. Januar 2010
Inhalt
I. Compliance als Begrifflichkeit
II. Bedeutung von Compliance
III. Integriertes Compliance Management System
IV. Fazit
Compliance Management System 2
IV. Fazit
Was genau ist Compliance?
●Compliance ist die Einhaltung aller Bestimmungen, die unser Verhalten regeln. Dies können extern vorgegebene Gesetze und Regelungen sein und/oder intern definierte Richtlinien, Verfahren und Kontrollen.
●Interne Richtlinien richten sich nach externen Vorschriften, berücksichtigen aber zusätzlich die Werte des Unternehmens.
I. Compliance als Begrifflichkeit
Compliance Management System 3
berücksichtigen aber zusätzlich die Werte des Unternehmens. Es geht darum, die Werte zu leben und ethisches Verhalten zu einem Wettbewerbsvorteil zu machen.
Compliance womit?
●Antikorruptions-, Wettbewerbs- und Kartellrecht,
●Steuer- und Sozialversicherungsrecht,
●Deliktsrecht (Unerlaubte Handlungen, Produkthaftung, Umwelthaftung),
●Patent- und Markenrecht,
●Arbeitsrecht (Arbeitnehmerschutz, Kündigungen, Antidiskriminierung),
Compliance Management System 4
●Arbeitsrecht (Arbeitnehmerschutz, Kündigungen, Antidiskriminierung),
●Kapitalmarktrecht (z.B. Publizitätspflichten) und Rechnungslegung,
●Vertragsrecht (Gewährleistung, Verbraucherschutz),
● Insolvenzrecht (Insolvenzstraftaten) sowie
●Datenschutzrecht
● ...
Kodifizierung in Business Conduct Guidelines
Warum ist Compliance so wichtig?
1. Erfahrungen der Vergangenheit
2. Corporate Governance Regelungen
3. Aktuelle Rechtsprechung zu Compliance
II. Bedeutung von Compliance
Compliance Management System 5
4. Risiken für das Unternehmen
5. Risiken für das Management
1. Erfahrungen der Vergangenheit am Beispiel Siemen s zeigen ein hohes Gefährdungspotenzial
● Großflächige Durchsuchung● Unabhängige Untersuchung und externe Berater beauftragt● Konsequenzen für Vorstände und Aufsichtsrat
o Straf- und Ordnungswidrigkeitsverfahreno Schadenersatzforderungen durch das Unternehmen
Compliance Management System 6
o Schadenersatzforderungen durch das Unternehmen● Hohe Geldbußen für das Unternehmen und hohe Kosten für die
externen Untersuchungen (ca. € 2 Mrd.)● Steuernachzahlungen inkl. Zinsen● Errichtung eines globalen Compliance Management Systems● Einsetzen eines sog. Monitors durch SEC
Schaffen einer neuen Unternehmenskultur der Verantw ortlichkeit und Integrität
2. Corporate Governance Regelungen
●Gesetz zur Kontrolle und Transparenz (KonTraG) aus 1998:Risikomanagementsystem (§ 91 Abs. 2 AktG und §§ 289 Abs. 1, 315 Abs. 1 HGB)
●Transparenz- und Publizitätsgesetz aus 2002: Entsprechenserklärung als gesetzliche Grundlage für Corporate Governance Kodex (§ 161 AktG).
Compliance Management System 7
Governance Kodex (§ 161 AktG).
●Bilanzrechtsreformgesetz (BilReG) aus 2004:Einführung der IAS/IFRS-Rechnungslegung, Erweiterung der Angaben im Anhang und im Lagebericht, Stärkung der Unabhängigkeit des Abschlussprüfers
●Bilanzrechtsmodernisierungsgesetz (BilMoG) aus 2009 : Erklärung zur Unternehmensführung (§ 289a HGB) im Lagebericht
3. Aktuelle Rechtsprechung zu Compliance
●Unternehmensstrafrecht „durch die Hintertür“ (Bsp. Entscheidung des LG München im Fall Siemens vom 5.10.2007)
oOrdnungswidrigkeit wegen fahrlässiger Aufsichtspflichtverletzung von Vorständen (als natürliche Personen) gem. § 130 Abs. 1 OWiG
Compliance Management System 8
oGeldbuße gegen Unternehmen (als juristische Personen) gem. § 30 Abs. 1 Nr. 1, Abs. 3 i.V.m. § 17 Abs. 4 OWiG
− Abschöpfungsteil: Abschöpfung des wirtschaftlichen Vorteils− Ahndungsteil: max. 1 Mio. Euro (bei fahrlässiger Aufsichtspflicht-
verletzung max. 500.000 Euro)
Aktuelle Rechtsprechung zu Compliance
●Strafrechtliche Verantwortlichkeit von Compliance-Beauftragten
BGH-Grundsatzentscheidung vom 17.7.2009:
oAufgaben des Compliance-Officers:
Verhinderung von Rechtsverstößen, insbesondere auch von
Straftaten, die aus dem Unternehmen heraus begangen werden und
Compliance Management System 9
Straftaten, die aus dem Unternehmen heraus begangen werden und
diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehens-
verlust bringen können.
oGarantenpflicht im Sinne des § 13 Abs. 1 StGB mit Gefahr einer
Strafbarkeit durch Unterlassen (= Pflicht zur Verhinderung)
Erhebliche Gefahren für Compliance-Abteilungen, Inn enrevisionen und Rechtsabteilungen, aber auch für Vorstände oder Ges chäftsführer
4. Risiken für das Unternehmen
●Abschöpfung des wirtschaftlichen Vorteils durch Geldbuße, § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG (Gewinnabschöpfung)
●Ausschluss von der öffentlichen Auftragsvergabe
●Hohe Liquiditätsbelastung durch Steuern, Strafen und
Compliance Management System 10
●Hohe Liquiditätsbelastung durch Steuern, Strafen und Untersuchungskosten
●Reputationsverlust
●
●
5. Risiken für das Management
● Innenhaftung von Vorstand bzw. Geschäftsführer / Au fsichtsrat:Beweislast für Sorgfalt bei Vorstand / Aufsichtsrat (§§ 93 Abs. 2, 116 AktG, § 43 Abs. 2 GmbHG)
●Außenhaftung gegenüber Aktionären: Deliktische Haftung nach § 823 Abs. 2 BGB, wenn Schutzgesetzverletzung (z.B. § 266 StGB, §§ 399, 400 AktG) oder
Compliance Management System 11
Schutzgesetzverletzung (z.B. § 266 StGB, §§ 399, 400 AktG) oder sittenwidrige Schädigung (§ 826 BGB).
●Außenhaftung gegenüber gesellschaftsfremden Dritten :Regelmäßig nur deliktische Ansprüche aus § 823 Abs. 1 BGB
●Strafrechtinsb. Straftaten gegen den Wettbewerb (§§ 298 ff. StGB)
●Ordnungswidrigkeitsrecht (§ 130 OWiG)
Konsequenzen für die Position als Vorstand bzw. Geschäftsführer / Aufsichtsrat
Nur ein ganzheitliches Compliance System schützt Un ternehmen und Management
III. Integriertes Compliance Management System
1. Weltweite Compliance Organisation
2. Klare Management Botschaften „Tone from the Top“
Compliance Management System 12
Integriertes Compliance Management System
3. Integriertes Compliance Programm„Prävention – Früherkennung – Reaktion“
4. Vernetzte Kontrollsysteme
Compliance sollte im Vorstand bzw. in der Geschäfts führung verankert werden
ORGANISATION (Beispiel Siemens AG)Beschreibung
Managing BoardGeneral Counsel
Chief Compliance Officer
Prinzipien:� Compliance vertreten im Vorstand� "Tone from the Top"
1. Weltweite Compliance Organisation
Compliance Management System 13
Chief Compliance Officer
Operative EinheitenRichtlinien, Training,
Kommunikation
Compliance Operating Officer
Land 1 Land 2 Reporting Incen-tives
HelpdeskMonitoring
Recht, Untersuchungen,
Sanktionen
� "Tone from the Top"� Alle Entscheidungsträger
eindeutig verantwortlich machen, anweisen und messen � klare Corporate Governance
� Größtmögliche Unabhängigkeitder Compliance Organisation
� Einbindung des (lokalen)Compliance Officers in kritische Geschäftsentscheidungen
� IT-Tool -Unterstützung desCompliance Officers
Nur klare Botschaften und vorbildliches Verhalten a n der Spitze können Compliance Veränderungen herbeiführen
Top Management
Kommunikation Verhalten
� Klare, starke und nachhaltige
� Vorbildfunktion im Denken und Handeln
2. Tone from the Top
Compliance Management System 14
nachhaltige Botschaften senden
� Dialog mit dem mittleren Management führen
� Starke Präsenz in der globalen Organisation zeigen
Denken und Handeln einnehmen
� Unternehmenswerte intern und extern vorleben und kommunizieren
� Glaubwürdigkeit der Botschaften durch Taten belegen
"Nur saubere Geschäfte sind Siemens Geschäfte. Überall – von jedem – jederzeit!"Peter Löscher
CEO, Siemens AG
Der "tone from the top" muss auf allen Führungseben en vorgelebt und kommuniziert werden
Das mittlere
Compliance in der Wertschöpfungskette
verankern
Compliance Instrumente fördern
Compliance Management System 15
Das mittlere
Management
mussVolle Zustimmung
zu Compliance und sauberen Geschäften
Regelmäßig mit Mitarbeiter
kommunizieren
Compliance relevante Themen
erläutern
Priorität von Compliance jederzeit
deutlich machen
Mitarbeiter ermutigen, Probleme
anzusprechen
Das Aufgabenspektrum des Compliance Managements umf asst Prävention, Aufdeckung und Reaktion
� Präventive Maßnahmenbeinhalten Training , Regelwerke/Richtlinien, Prozessintegration und
AUFGABEN IM COMPLIANCE MANAGEMENTBeschreibung
PRÄVENTION AUFDECKUNG REAKTION
� Training
� Richtlinien,Verfahren und
� ComplianceErmittlungen
� Compliance
� Beurteilungund Sanktion von Fehlver-
3. Integriertes Compliance Programm
Compliance Management System 16
Prozessintegration und Kommunikation
� Die Aufdeckung befasst sich im Detail mit Untersuchungen von Verstößen, Kontrollen und Prüfungen
� Reaktive Maßnahmen beinhalten die Ausgestaltung von Disziplinarmaßnahmen , kontinuierliches Monitoring sowie länderübergreifende Überwachung
Verfahren und Compliance Tools
� Sicher-stellung der Effektivität
� Integration in die Personal-prozesse
� Compliance Helpdesk (inkl. GlobalOmbudsmanFunktion)
Con-tinuous
improve-ment
� Compliance Reviews
� Com-pliance Kontrollen
von Fehlver-halten
� Fallverfolgung
IT-gestützte Instrumente sollen sicherstellen, dass die internen Richtlinien effektiv und nachprüfbar umgesetzt werd en
Instrumente WirkungRichtlinien (Policies)
Richtlinien:� Business Partner Auswahl� Sponsoring, Spenden,
Mitgliedschaften
Intelligente IT-Instrumente:� Limits of Authority
Genehmigungsprozess fürexterne Projekte
Intern:� Optimale Unterstützung bei
globaler Umsetzung� Transparenz
Compliance Management System 17
Mitgliedschaften� Geschenke & Einladungen� Compliance Investigations
GlobaleImplementierung
externe Projekte� Geschäftspartner
Due Diligence� Sponsoring, Spenden und
Mitgliedschaften� Genehmigungsprozess
Einladungen/Veranstaltungen etc.� Nachverfolgung
Dokumentation/Nachverfolgung von Untersuchungen und Rechtsfällen
� Transparenz� Standardisierter Prozess
und Terminologie
Extern:� Minimierung des
Korruptionsrisikos in der Wertschöpfungskette
� Sicherstellung einer vorbildlichen Reputation
Quelle: Siemens
Der Compliance Helpdesk unterstützt die Compliance Kernprozesse
"Tell us"
Hinweise zu Verstößen gegen die Business Conduct Guidelines
"Ask us"
Frage-/Antwort HelpDesk
"Find it"
Zugriff auf alle Compliance relevanten
Informationen (z.B. Compliance Richtlinien)
Partlyavailable
Compliance Management System 18
"Approve it" "Improve it"
Anregungen und Vor-schläge zur Verbesse-rung des Compliance
Programms
Compliance Helpdesk&
Monitoring
Genehmigung (z.B. Geschenke,
Einladungen)
Compliance Richtlinien)
Vermeiden� Tone from the top /
Integritätskultur� Alltagsgeschäft / Kooperation
Früherkennung und Reaktion� Sofortige Meldung von Fällen� Auftreten neuer schwerer
Compliance Fälle
Compliance-bezogenes Incentivesystem für den oberenFührungskreis
Compliance Management System 19
Befragung der Mitarbeiter zurCompliance-Wahrnehmung
� Alltagsgeschäft / Kooperation mit Monitor
� Beiträge zur Effizienzverbesserung
� Befragung der Mitarbeiter zur Compliance-Wahrnehmung
Compliance Fälle (systemischer Art)
� Zusammenarbeit bei Untersuchungen
� Ergreifen angemessener Sanktionen
Integration in die Mitarbeiterbeurteilung
Vernetzte Kontrollsysteme bestehen aus vier Kernele menten
LOKALE DATEN-EXTRAKTION
QUERCHECK MIT REGELWERK
MONITORING COCKPIT
� Identifikatio n aller Compliance relevanten Datenfelder
� Permanenter Abgleich der Geschäftsvorgänge mit Regelwerk
� Automatische Benach-richtigung und Anzeige von
DEFINITION KONTROLLEN
� Identifikation der Compliance rele-vanten Geschäfts-prozesse
4. Vernetzte Kontrollsysteme
Compliance Management System 20
Datenfelder
� AutomatischeDatenextraktionaus verschie-denen Systemen
� Konsolidierungin zentralem Datenspeicher
mit Regelwerk
� Analyse der Abweichungen
Anzeige von möglichen Abweichungen/ Compliance-Verstößen
� Eskalation im Falle ausblei-bender Reaktion
prozesse
� Erstellungunternehmens-spezifischer Compliance-Regeln
� Bestimmung der "Automatisierbar-keit der Kontrollen"
Kernrisiken entlang der Geschäftsprozesse
AngebotPurchase
to PayOrder to
CashFinancial Closing
Stammdaten/Richtlinien
Bestell-anforderung Bestellung
Ware/Leistung empfangen und geprüft
Rechnung empfangen und geprüft
Zahlung ausgeführt
Compliance Management System 21
Richtlinien anforderung geprüft geprüft ausgeführt
Pflege Einkaufskatalog
Lieferanten-auswahl
Lieferanten-auswahl
Abgleich u. Qualitäts-check
Rechnungs-empfang (inkl. Fehlerbehandl.)
Rechnungs-abgleich u. Genehmigung
Inkorrekte Pflege der Lieferanten-stammdaten(Logistik, Finanzen, Einkauf)
Wahl unpassender Lieferanten
Zugriffsrechte für Anwender unangemessen
Nicht sachgerechte Anlage der Bestellung und Genehmigung/ Bestellungenwerden nicht vollständig und korrekt aufgezeichnet
Buchungen offener Postenentsprechen nicht den gelieferten Waren bzw. erbrachten Leistungen
Unzulässige oderungenaue Rechnungen ;Rechnungen ohne entsprechende Leistung
Zahlungen für nicht gelieferte Waren bzw. nicht erbrachte Leistungen
Das Siemens Monitoring Cockpit erlaubt eine auf die persönlichen Bedürfnisse des Nutzers zugeschnittene Sicht
� Sichere, persönliche Authentifizierung
� Personalisierte Ansicht
� Jeder CFO sieht den wöchentlichen "Gesundheits-
Beschreibung
Compliance Management System 22
wöchentlichen "Gesundheits-zustand“ seiner Gesellschaft –jeder Punkt ist eine Gesellschaft
� Die Farben und Formen der Punkte kodieren Unternehmensgruppenund Regionen
Quelle: Siemens
P2P-Plattform ermöglicht eine kontinuierliche Überw achung der weltweiten Stamm- und Transaktionsdaten (Beispiel: S iemens)
Corporate Master Data (CMD)
Segregation of Duties (SoD)
PLA
TT
FO
RM
5.858
514.092
0
100.000
200.000
300.000
400.000
500.000
600.000
Sep Oct Nov DecTime
Jan Feb Mar Apr May Jun Jul Aug
-99%
Number of violations
• Weltweite Harmonisierung und eindeutige Identifikation der Stammdaten aller Geschäftspartner (z.B. D&B Check)
• Zuordnung zu Konzernstrukturen
• Weltweite Überwachung mit angemessenem 4-Augen-Prinzip
CMD
SoD
Compliance Management System 23
Siemens Corporate Directory (SCD)
Preventive Application Control (PAC)
Continuous Controls Monitoring (CCM)
P2P
-PLA
TT
FO
RM
• Weltweite Harmonisierung und eindeutige Identifikation aller Mitarbeiter (intern/extern) – primäres Kommunikationsverzeichnis
• Verknüpfung mit Organisationsstruktur
• Kontinuierliche Überwachung angemessener IT-Systemeinstellungen (Einschaltung von Protokollen, Vermeidung von Doppelzahlungen etc.)
• Permanenter Abgleich der Geschäftsvorgänge mit Regelwerk
• Aufzeigen von Abweichungen und Prozess-verbesserungspotential inkl. Eskalation
• BDSG1) und BR-kompatibel
SCD
PAC
CCM
1) BDSG=Bundesdatenschutzgesetz
Quelle: Siemens
Ganzheitliches System zur automatisierten Kontrolle –manipulationssichere Auswertung aller relevanten Da ten
INTERNES KONTROLLSYSTEM (IKS)
� Ganzheitliches System zur automatisierten Kontrolle von Compliance-Regeln
� Realisierung eines "two lines of defense "-Ansatzes durch
Beschreibung
Compliance Management System 24
defense "-Ansatzes durch Kombination von präventiven und detektiven Komponenten
� Manipulationssichere Auswertungaller compliance-relevanten Rohdaten
� Kontinuierliche , flächendeckendeund tagesaktuelle Überprüfungder hinterlegten Compliance-Regeln
� Unverfälschtheit der Informationen für das Management – keine "menschlichen Filter"
PAC
CMD = Corporate Master DataSoD = Segregation of Duties
SCD = Siemens Corporate DirectoryPAC = Preventive Application Control
CCM = Continuous Control Monitoring
Ziel ist die passgenaue Erweiterung und Automatisie rung des internen Kontrollsystems
präv
entiv
Internes Kontrollsystem (IKS)AUTOMATISCHE Kontrollen
• "3-way-match“ (Bestellung, Lieferung, Rechnung)
• Segregation of duties, z.B. Besteller ungleich
Beispiele
Compliance Management System 25
dete
ktiv
isch
manuell automatisch
präv
entiv
z.B. Besteller ungleich Zahlungsfreigeber
• Nur registrierte und zugelassene Lieferanten
I.d.R. MANUELLE Kontrollen
• Bei Einheiten ohneadäquates ERP
• Sonderthemen (z.B. M&A)
Verantwortliches Handeln – von einem regelgeleiteten zu einem werteorientierten Ansatz4 Fragen sollte sich jeder Mitarbeiter stellen, wenn er für sein Unternehmen Entscheidungen trifft:
Ist es im Interesse meines Unternehmens?
Ist es im Einklang mit den Unternehmens-werten und meinen Werten?
1
2
IV. Fazit
Compliance Management System 26
Falls die Antwort „JA“ ist, dann sind Sie auf der sicheren Seite
werten und meinen Werten?
Ist es rechtmäßig? Ist es moralisch richtig?
Ist es etwas, wofür ich bereit bin, Verantwortungzu übernehmen?
2
3
4
Zusammenfassung der Vorteile eines funktionsfähigen Compliance Management Systems
Erfüllung der Corporate Governance Regeln
Bestmögliche Risikoprävention
1
2
Compliance Management System 27
Hohes Maß an Transparenz in den Geschäfts-prozessen und innerhalb der Organisation
Basis für wertorientierte Unternehmensführung
Falls die Antwort JA ist, dann sind Sie auf der sicheren Seite
3
4
Hohes Vertrauen der Stakeholder5