Compliance als Hilfsmittel für eine risikobewusste ... Inhalt I. Compliance als Begrifflichkeit II....

Compliance als Hilfsmittel für eine risikobewusste

Compliance Management System 1

Compliance als Hilfsmittel für eine risikobewusste Unternehmensführung

Nürnberg, 28. Januar 2010

Inhalt

I. Compliance als Begrifflichkeit

II. Bedeutung von Compliance

III. Integriertes Compliance Management System

IV. Fazit


IV. Fazit

Was genau ist Compliance?

●Compliance ist die Einhaltung aller Bestimmungen, die unser Verhalten regeln. Dies können extern vorgegebene Gesetze und Regelungen sein und/oder intern definierte Richtlinien, Verfahren und Kontrollen.

●Interne Richtlinien richten sich nach externen Vorschriften, berücksichtigen aber zusätzlich die Werte des Unternehmens.

I. Compliance als Begrifflichkeit


berücksichtigen aber zusätzlich die Werte des Unternehmens. Es geht darum, die Werte zu leben und ethisches Verhalten zu einem Wettbewerbsvorteil zu machen.

Compliance womit?

●Antikorruptions-, Wettbewerbs- und Kartellrecht,

●Steuer- und Sozialversicherungsrecht,

●Deliktsrecht (Unerlaubte Handlungen, Produkthaftung, Umwelthaftung),

●Patent- und Markenrecht,

●Arbeitsrecht (Arbeitnehmerschutz, Kündigungen, Antidiskriminierung),


●Arbeitsrecht (Arbeitnehmerschutz, Kündigungen, Antidiskriminierung),

●Kapitalmarktrecht (z.B. Publizitätspflichten) und Rechnungslegung,

●Vertragsrecht (Gewährleistung, Verbraucherschutz),

● Insolvenzrecht (Insolvenzstraftaten) sowie

●Datenschutzrecht

● ...

Kodifizierung in Business Conduct Guidelines

Warum ist Compliance so wichtig?

1. Erfahrungen der Vergangenheit

2. Corporate Governance Regelungen

3. Aktuelle Rechtsprechung zu Compliance

II. Bedeutung von Compliance


4. Risiken für das Unternehmen

5. Risiken für das Management

1. Erfahrungen der Vergangenheit am Beispiel Siemen s zeigen ein hohes Gefährdungspotenzial

● Großflächige Durchsuchung● Unabhängige Untersuchung und externe Berater beauftragt● Konsequenzen für Vorstände und Aufsichtsrat

o Straf- und Ordnungswidrigkeitsverfahreno Schadenersatzforderungen durch das Unternehmen


o Schadenersatzforderungen durch das Unternehmen● Hohe Geldbußen für das Unternehmen und hohe Kosten für die

externen Untersuchungen (ca. € 2 Mrd.)● Steuernachzahlungen inkl. Zinsen● Errichtung eines globalen Compliance Management Systems● Einsetzen eines sog. Monitors durch SEC

Schaffen einer neuen Unternehmenskultur der Verantw ortlichkeit und Integrität

2. Corporate Governance Regelungen

●Gesetz zur Kontrolle und Transparenz (KonTraG) aus 1998:Risikomanagementsystem (§ 91 Abs. 2 AktG und §§ 289 Abs. 1, 315 Abs. 1 HGB)

●Transparenz- und Publizitätsgesetz aus 2002: Entsprechenserklärung als gesetzliche Grundlage für Corporate Governance Kodex (§ 161 AktG).


Governance Kodex (§ 161 AktG).

●Bilanzrechtsreformgesetz (BilReG) aus 2004:Einführung der IAS/IFRS-Rechnungslegung, Erweiterung der Angaben im Anhang und im Lagebericht, Stärkung der Unabhängigkeit des Abschlussprüfers

●Bilanzrechtsmodernisierungsgesetz (BilMoG) aus 2009 : Erklärung zur Unternehmensführung (§ 289a HGB) im Lagebericht

3. Aktuelle Rechtsprechung zu Compliance

●Unternehmensstrafrecht „durch die Hintertür“ (Bsp. Entscheidung des LG München im Fall Siemens vom 5.10.2007)

oOrdnungswidrigkeit wegen fahrlässiger Aufsichtspflichtverletzung von Vorständen (als natürliche Personen) gem. § 130 Abs. 1 OWiG


oGeldbuße gegen Unternehmen (als juristische Personen) gem. § 30 Abs. 1 Nr. 1, Abs. 3 i.V.m. § 17 Abs. 4 OWiG

− Abschöpfungsteil: Abschöpfung des wirtschaftlichen Vorteils− Ahndungsteil: max. 1 Mio. Euro (bei fahrlässiger Aufsichtspflicht-

verletzung max. 500.000 Euro)

Aktuelle Rechtsprechung zu Compliance

●Strafrechtliche Verantwortlichkeit von Compliance-Beauftragten

BGH-Grundsatzentscheidung vom 17.7.2009:

oAufgaben des Compliance-Officers:

Verhinderung von Rechtsverstößen, insbesondere auch von

Straftaten, die aus dem Unternehmen heraus begangen werden und


Straftaten, die aus dem Unternehmen heraus begangen werden und

diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehens-

verlust bringen können.

oGarantenpflicht im Sinne des § 13 Abs. 1 StGB mit Gefahr einer

Strafbarkeit durch Unterlassen (= Pflicht zur Verhinderung)

Erhebliche Gefahren für Compliance-Abteilungen, Inn enrevisionen und Rechtsabteilungen, aber auch für Vorstände oder Ges chäftsführer

4. Risiken für das Unternehmen

●Abschöpfung des wirtschaftlichen Vorteils durch Geldbuße, § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG (Gewinnabschöpfung)

●Ausschluss von der öffentlichen Auftragsvergabe

●Hohe Liquiditätsbelastung durch Steuern, Strafen und


●Hohe Liquiditätsbelastung durch Steuern, Strafen und Untersuchungskosten

●Reputationsverlust

●

●

5. Risiken für das Management

● Innenhaftung von Vorstand bzw. Geschäftsführer / Au fsichtsrat:Beweislast für Sorgfalt bei Vorstand / Aufsichtsrat (§§ 93 Abs. 2, 116 AktG, § 43 Abs. 2 GmbHG)

●Außenhaftung gegenüber Aktionären: Deliktische Haftung nach § 823 Abs. 2 BGB, wenn Schutzgesetzverletzung (z.B. § 266 StGB, §§ 399, 400 AktG) oder


Schutzgesetzverletzung (z.B. § 266 StGB, §§ 399, 400 AktG) oder sittenwidrige Schädigung (§ 826 BGB).

●Außenhaftung gegenüber gesellschaftsfremden Dritten :Regelmäßig nur deliktische Ansprüche aus § 823 Abs. 1 BGB

●Strafrechtinsb. Straftaten gegen den Wettbewerb (§§ 298 ff. StGB)

●Ordnungswidrigkeitsrecht (§ 130 OWiG)

Konsequenzen für die Position als Vorstand bzw. Geschäftsführer / Aufsichtsrat

Nur ein ganzheitliches Compliance System schützt Un ternehmen und Management

III. Integriertes Compliance Management System

1. Weltweite Compliance Organisation

2. Klare Management Botschaften „Tone from the Top“


Integriertes Compliance Management System

3. Integriertes Compliance Programm„Prävention – Früherkennung – Reaktion“

4. Vernetzte Kontrollsysteme

Compliance sollte im Vorstand bzw. in der Geschäfts führung verankert werden

ORGANISATION (Beispiel Siemens AG)Beschreibung

Managing BoardGeneral Counsel

Chief Compliance Officer

Prinzipien:� Compliance vertreten im Vorstand� "Tone from the Top"

1. Weltweite Compliance Organisation


Chief Compliance Officer

Operative EinheitenRichtlinien, Training,

Kommunikation

Compliance Operating Officer

Land 1 Land 2 Reporting Incen-tives

HelpdeskMonitoring

Recht, Untersuchungen,

Sanktionen

� "Tone from the Top"� Alle Entscheidungsträger

eindeutig verantwortlich machen, anweisen und messen � klare Corporate Governance

� Größtmögliche Unabhängigkeitder Compliance Organisation

� Einbindung des (lokalen)Compliance Officers in kritische Geschäftsentscheidungen

� IT-Tool -Unterstützung desCompliance Officers

Nur klare Botschaften und vorbildliches Verhalten a n der Spitze können Compliance Veränderungen herbeiführen

Top Management

Kommunikation Verhalten

� Klare, starke und nachhaltige

� Vorbildfunktion im Denken und Handeln

2. Tone from the Top


nachhaltige Botschaften senden

� Dialog mit dem mittleren Management führen

� Starke Präsenz in der globalen Organisation zeigen

Denken und Handeln einnehmen

� Unternehmenswerte intern und extern vorleben und kommunizieren

� Glaubwürdigkeit der Botschaften durch Taten belegen

"Nur saubere Geschäfte sind Siemens Geschäfte. Überall – von jedem – jederzeit!"Peter Löscher

CEO, Siemens AG

Der "tone from the top" muss auf allen Führungseben en vorgelebt und kommuniziert werden

Das mittlere

Compliance in der Wertschöpfungskette

verankern

Compliance Instrumente fördern


Das mittlere

Management

mussVolle Zustimmung

zu Compliance und sauberen Geschäften

Regelmäßig mit Mitarbeiter

kommunizieren

Compliance relevante Themen

erläutern

Priorität von Compliance jederzeit

deutlich machen

Mitarbeiter ermutigen, Probleme

anzusprechen

Das Aufgabenspektrum des Compliance Managements umf asst Prävention, Aufdeckung und Reaktion

� Präventive Maßnahmenbeinhalten Training , Regelwerke/Richtlinien, Prozessintegration und

AUFGABEN IM COMPLIANCE MANAGEMENTBeschreibung

PRÄVENTION AUFDECKUNG REAKTION

� Training

� Richtlinien,Verfahren und

� ComplianceErmittlungen

� Compliance

� Beurteilungund Sanktion von Fehlver-

3. Integriertes Compliance Programm


Prozessintegration und Kommunikation

� Die Aufdeckung befasst sich im Detail mit Untersuchungen von Verstößen, Kontrollen und Prüfungen

� Reaktive Maßnahmen beinhalten die Ausgestaltung von Disziplinarmaßnahmen , kontinuierliches Monitoring sowie länderübergreifende Überwachung

Verfahren und Compliance Tools

� Sicher-stellung der Effektivität

� Integration in die Personal-prozesse

� Compliance Helpdesk (inkl. GlobalOmbudsmanFunktion)

Con-tinuous

improve-ment

� Compliance Reviews

� Com-pliance Kontrollen

von Fehlver-halten

� Fallverfolgung

IT-gestützte Instrumente sollen sicherstellen, dass die internen Richtlinien effektiv und nachprüfbar umgesetzt werd en

Instrumente WirkungRichtlinien (Policies)

Richtlinien:� Business Partner Auswahl� Sponsoring, Spenden,

Mitgliedschaften

Intelligente IT-Instrumente:� Limits of Authority

Genehmigungsprozess fürexterne Projekte

Intern:� Optimale Unterstützung bei

globaler Umsetzung� Transparenz


Mitgliedschaften� Geschenke & Einladungen� Compliance Investigations

GlobaleImplementierung

externe Projekte� Geschäftspartner

Due Diligence� Sponsoring, Spenden und

Mitgliedschaften� Genehmigungsprozess

Einladungen/Veranstaltungen etc.� Nachverfolgung

Dokumentation/Nachverfolgung von Untersuchungen und Rechtsfällen

� Transparenz� Standardisierter Prozess

und Terminologie

Extern:� Minimierung des

Korruptionsrisikos in der Wertschöpfungskette

� Sicherstellung einer vorbildlichen Reputation

Quelle: Siemens

Der Compliance Helpdesk unterstützt die Compliance Kernprozesse

"Tell us"

Hinweise zu Verstößen gegen die Business Conduct Guidelines

"Ask us"

Frage-/Antwort HelpDesk

"Find it"

Zugriff auf alle Compliance relevanten

Informationen (z.B. Compliance Richtlinien)

Partlyavailable


"Approve it" "Improve it"

Anregungen und Vor-schläge zur Verbesse-rung des Compliance

Programms

Compliance Helpdesk&

Monitoring

Genehmigung (z.B. Geschenke,

Einladungen)

Compliance Richtlinien)

Vermeiden� Tone from the top /

Integritätskultur� Alltagsgeschäft / Kooperation

Früherkennung und Reaktion� Sofortige Meldung von Fällen� Auftreten neuer schwerer

Compliance Fälle

Compliance-bezogenes Incentivesystem für den oberenFührungskreis


Befragung der Mitarbeiter zurCompliance-Wahrnehmung

� Alltagsgeschäft / Kooperation mit Monitor

� Beiträge zur Effizienzverbesserung

� Befragung der Mitarbeiter zur Compliance-Wahrnehmung

Compliance Fälle (systemischer Art)

� Zusammenarbeit bei Untersuchungen

� Ergreifen angemessener Sanktionen

Integration in die Mitarbeiterbeurteilung

Vernetzte Kontrollsysteme bestehen aus vier Kernele menten

LOKALE DATEN-EXTRAKTION

QUERCHECK MIT REGELWERK

MONITORING COCKPIT

� Identifikatio n aller Compliance relevanten Datenfelder

� Permanenter Abgleich der Geschäftsvorgänge mit Regelwerk

� Automatische Benach-richtigung und Anzeige von

DEFINITION KONTROLLEN

� Identifikation der Compliance rele-vanten Geschäfts-prozesse

4. Vernetzte Kontrollsysteme


Datenfelder

� AutomatischeDatenextraktionaus verschie-denen Systemen

� Konsolidierungin zentralem Datenspeicher

mit Regelwerk

� Analyse der Abweichungen

Anzeige von möglichen Abweichungen/ Compliance-Verstößen

� Eskalation im Falle ausblei-bender Reaktion

prozesse

� Erstellungunternehmens-spezifischer Compliance-Regeln

� Bestimmung der "Automatisierbar-keit der Kontrollen"

Kernrisiken entlang der Geschäftsprozesse

AngebotPurchase

to PayOrder to

CashFinancial Closing

Stammdaten/Richtlinien

Bestell-anforderung Bestellung

Ware/Leistung empfangen und geprüft

Rechnung empfangen und geprüft

Zahlung ausgeführt


Richtlinien anforderung geprüft geprüft ausgeführt

Pflege Einkaufskatalog

Lieferanten-auswahl

Lieferanten-auswahl

Abgleich u. Qualitäts-check

Rechnungs-empfang (inkl. Fehlerbehandl.)

Rechnungs-abgleich u. Genehmigung

Inkorrekte Pflege der Lieferanten-stammdaten(Logistik, Finanzen, Einkauf)

Wahl unpassender Lieferanten

Zugriffsrechte für Anwender unangemessen

Nicht sachgerechte Anlage der Bestellung und Genehmigung/ Bestellungenwerden nicht vollständig und korrekt aufgezeichnet

Buchungen offener Postenentsprechen nicht den gelieferten Waren bzw. erbrachten Leistungen

Unzulässige oderungenaue Rechnungen ;Rechnungen ohne entsprechende Leistung

Zahlungen für nicht gelieferte Waren bzw. nicht erbrachte Leistungen

Das Siemens Monitoring Cockpit erlaubt eine auf die persönlichen Bedürfnisse des Nutzers zugeschnittene Sicht

� Sichere, persönliche Authentifizierung

� Personalisierte Ansicht

� Jeder CFO sieht den wöchentlichen "Gesundheits-

Beschreibung


wöchentlichen "Gesundheits-zustand“ seiner Gesellschaft –jeder Punkt ist eine Gesellschaft

� Die Farben und Formen der Punkte kodieren Unternehmensgruppenund Regionen

Quelle: Siemens

P2P-Plattform ermöglicht eine kontinuierliche Überw achung der weltweiten Stamm- und Transaktionsdaten (Beispiel: S iemens)

Corporate Master Data (CMD)

Segregation of Duties (SoD)

PLA

TT

FO

RM

5.858

514.092

0

100.000

200.000

300.000

400.000

500.000

600.000

Sep Oct Nov DecTime

Jan Feb Mar Apr May Jun Jul Aug

-99%

Number of violations

• Weltweite Harmonisierung und eindeutige Identifikation der Stammdaten aller Geschäftspartner (z.B. D&B Check)

• Zuordnung zu Konzernstrukturen

• Weltweite Überwachung mit angemessenem 4-Augen-Prinzip

CMD

SoD


Siemens Corporate Directory (SCD)

Preventive Application Control (PAC)

Continuous Controls Monitoring (CCM)

P2P

-PLA

TT

FO

RM

• Weltweite Harmonisierung und eindeutige Identifikation aller Mitarbeiter (intern/extern) – primäres Kommunikationsverzeichnis

• Verknüpfung mit Organisationsstruktur

• Kontinuierliche Überwachung angemessener IT-Systemeinstellungen (Einschaltung von Protokollen, Vermeidung von Doppelzahlungen etc.)

• Permanenter Abgleich der Geschäftsvorgänge mit Regelwerk

• Aufzeigen von Abweichungen und Prozess-verbesserungspotential inkl. Eskalation

• BDSG1) und BR-kompatibel

SCD

PAC

CCM

1) BDSG=Bundesdatenschutzgesetz

Quelle: Siemens

Ganzheitliches System zur automatisierten Kontrolle –manipulationssichere Auswertung aller relevanten Da ten

INTERNES KONTROLLSYSTEM (IKS)

� Ganzheitliches System zur automatisierten Kontrolle von Compliance-Regeln

� Realisierung eines "two lines of defense "-Ansatzes durch

Beschreibung


defense "-Ansatzes durch Kombination von präventiven und detektiven Komponenten

� Manipulationssichere Auswertungaller compliance-relevanten Rohdaten

� Kontinuierliche , flächendeckendeund tagesaktuelle Überprüfungder hinterlegten Compliance-Regeln

� Unverfälschtheit der Informationen für das Management – keine "menschlichen Filter"

PAC

CMD = Corporate Master DataSoD = Segregation of Duties

SCD = Siemens Corporate DirectoryPAC = Preventive Application Control

CCM = Continuous Control Monitoring

Ziel ist die passgenaue Erweiterung und Automatisie rung des internen Kontrollsystems

präv

entiv

Internes Kontrollsystem (IKS)AUTOMATISCHE Kontrollen

• "3-way-match“ (Bestellung, Lieferung, Rechnung)

• Segregation of duties, z.B. Besteller ungleich

Beispiele


dete

ktiv

isch

manuell automatisch

präv

entiv

z.B. Besteller ungleich Zahlungsfreigeber

• Nur registrierte und zugelassene Lieferanten

I.d.R. MANUELLE Kontrollen

• Bei Einheiten ohneadäquates ERP

• Sonderthemen (z.B. M&A)

Verantwortliches Handeln – von einem regelgeleiteten zu einem werteorientierten Ansatz4 Fragen sollte sich jeder Mitarbeiter stellen, wenn er für sein Unternehmen Entscheidungen trifft:

Ist es im Interesse meines Unternehmens?

Ist es im Einklang mit den Unternehmens-werten und meinen Werten?

1

2

IV. Fazit


Falls die Antwort „JA“ ist, dann sind Sie auf der sicheren Seite

werten und meinen Werten?

Ist es rechtmäßig? Ist es moralisch richtig?

Ist es etwas, wofür ich bereit bin, Verantwortungzu übernehmen?

2

3

4

Zusammenfassung der Vorteile eines funktionsfähigen Compliance Management Systems

Erfüllung der Corporate Governance Regeln

Bestmögliche Risikoprävention

1

2


Hohes Maß an Transparenz in den Geschäfts-prozessen und innerhalb der Organisation

Basis für wertorientierte Unternehmensführung

Falls die Antwort JA ist, dann sind Sie auf der sicheren Seite

3

4

Hohes Vertrauen der Stakeholder5

Compliance als Hilfsmittel für eine risikobewusste ... Inhalt I. Compliance als Begrifflichkeit II....

Documents

Transcript of Compliance als Hilfsmittel für eine risikobewusste ... Inhalt I. Compliance als Begrifflichkeit II....