Existing Practice in Compliance 2016 - ACFE German Chapter€¦ · 4 Monitoring und...

Existing Practice in Compliance 2016Stand und Trends zum Integritäts- und Compliance-Management in Deutschland, Österreich und der Schweiz

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Aufbau der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Durchführung der Studie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Status des Compliance-Management-Systems — unsere Perspektive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1 Compliance-Organisation und Berichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.1 Compliance-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.2 Berichterstattung an die Unternehmensführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

• Interview mit Carsten Tams, Senior Vice President Bertelsmann, zuvor Bertelsmann Ethics & Compliance Executive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2 Risikoanalyse, Richtlinien und Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.1 Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.2 Richtlinien und Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3 Kommunikation und Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.1 Kommunikation und „tone from the top“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

• Interview mit Prof. Dr. Stephan Grüninger, Wissenschaftlicher Direktor Konstanz Institut für Corporate Governance (KICG), HTWG Hochschule Konstanz . . . . . . . . . . . . . 26

3.2 Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4 Monitoring und Geschäftspartner-Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.1 Monitoring, Untersuchung und Korrekturmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

• Kür oder Pflicht? Ein Beitrag von Kai Leisering und Kenan Tur, Vorstände, Business Keeper AG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4.2 Geschäftspartner-Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5 Förderung und Verbesserung von Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.1 Personalmaßnahmen zur Förderung von Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.2 Prüfung und Verbesserung von Compliance-Management-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Ihre Ansprechpartner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Inhalt

2 | Existing Practice in Compliance 2016

Unternehmen die passende Hilfestellung und die richtige Balance in der Unterneh-mens-Compliance, einem Instrument zur Reduzierung von Unternehmensrisiken in Gebieten wie Korruption, Kartell- und Wettbewerbsrecht, Branchenrisiken und vielen mehr, doch auch ein Grundpfeiler der Unternehmenskultur, des Verhaltens und des Umgangs im Unternehmen und Element der sozialen Verantwortung ge- genüber der Gesellschaft und dem Markt.

Auf dieser Basis möchten wir Ihnen zusammen mit dem „Forum Compliance & Integrity“ (FCI) eine Hilfestellung mit unserer ersten „Existing Practice in Compliance“-Studie 2016 bieten, die von Unternehmen für Unternehmen erstellt wurde. Die befragten Unternehmen haben hierfür einen umfassenden Fragebogen zur aktuellen Ausprägung ihrer individu- ellen Integritäts- und Compliance-Manage-ment-Systeme bearbeitet, der ein unver-fälschtes Bild des aktuellen Implementie-rungsstandes liefert. In einem nächsten Schritt erhalten die Studienteilnehmer Zugriff auf unsere anonymisierten Ergeb- nisse, sodass ein Benchmarking noch viel individualisierter erstellt werden kann. Für die Teilnahme an unserer Studie möchten wir uns gemeinsam mit dem FCI herzlichst bedanken.

Unsere Studie zeigt, dass effektives Integritäts- und Compliance-Management mittlerweile nicht mehr aus Unternehmen wegzudenken ist (bei lediglich 22 Prozent der Unternehmen ist die Compliance-Orga- nisation jünger als drei Jahre). Doch die Ausgestaltung der Elemente variiert stark und ist beeinflusst durch Größe, Branche, Internationalität und Unternehmenskultur.

Ebenso haben Compliance-Fälle eine Rele- vanz für die Reife einzelner Compliance- Programmelemente, was im Wesentlichen auf Systemschwächen in der Vergangen-heit zurückzuführen ist, aber auch Reak- tion auf Regulatoren bzw. im Rahmen von Strafverfahren sein kann.

Was sind effektive und effiziente Instru- mente eines Compliance-Management- Systems? Wie wird auf Standards wie den Foreign Corrupt Practices Act (FCPA), die UK Bribery Act Guidance, den brasilia-nischen Clean Companies Act oder andere Normen und Standards ausreichend rea- giert? Welchen Einfluss haben kulturelle Normen auf die Integrität in ihrer Gesell-schaft? All diesen Fragen möchten wir uns durch diese Studie nähern.

Die operative Projektleitung oblag hierbei EY: Wir haben die Befragung durchgeführt und tragen damit die Verantwortung für die finale Erstellung der Fragebögen. Auch der Kontakt zu den Teilnehmern der Befragung, die Erstauswertung der Fragebögen und die Marketingvorbereitung bzw. -durchfüh- rung lag in unseren Händen.

Besonderen Dank möchten wir den teilnehmenden Unternehmen der Umfrage aussprechen: Ihr Beitrag hat für die Er- stellung dieser Studie einen großen Wert.

Wir wünschen Ihnen viel Spaß bei der Lektüre.

Vorwort

Andreas PyrcekPartner, CCEP-I Business Integrity & Corporate Compliance

Mit einer zunehmenden Zahl von Unternehmensskandalen und internationaler Regulierung fordert die breite Öffentlichkeit

wiederkehrend eine „Good Corporate Governance“ und ein ethisch einwandfreies Verhalten der Unternehmen, neudeutsch auch „Compliance“. Ein Begriff, der sich prägnant in der Wirtschaft etabliert hat, aber viele Fragen offenlässt.

Seit der ständigen Durchdringung dieses Themas durch die Presse, Wissenschaft, Standardsetter und Experten suchen

3Existing Practice in Compliance 2016 |

Aufbau der StudieDie „Existing Practice in Compliance 2016 Survey“ ist eine umfassende Vergleichsstudie hinsichtlich Integritäts- und Compliance- Management-Systemen eines ausgewählten Teilnehmerkreises mit bereits fundierten Erfahrungen in der Implementierung eines Compliance-Management-Systems (CMS). Die im Oktober und November 2015 durch EY durchgeführte Studie fragte nach der Selbstevaluierung und Beurteilung der Wirksamkeit des unter-nehmenseigenen CMS der befragten Unternehmen. Mit unserer Benchmark-Studie wurde der Ist-Zustand des CMS eines jeden teilnehmenden Unternehmens anonym erhoben. Das Ziel war es, Hinweise zu erlangen, wie das CMS bei den teilnehmenden Unter-nehmen aktuell ausgestaltet ist und wie die implementierten CMS noch sinnvoll weiterentwickelt werden können.

Effektive und effiziente CMS beinhalten mehr als formale Vor-gaben und Kontrollen. Ein CMS muss dem Anspruch, ein wir-kungsvolles Präventionssystem zu sein, standhalten und somit in der Unternehmenskultur und in den Werten verankert sein. Denn letztlich besteht die Aufgabe darin, einen verständlichen und nachvollziehbaren Handlungsrahmen zu schaffen. Integres Verhalten soll nicht „lästige Pflicht“ sein, sondern im gesamten Unternehmen gelebte Überzeugung.

Die Auswertung der Ergebnisse kann Unternehmen, die bereits ein CMS implementiert haben, als Hilfestellung dienen, den Implementierungsstand und die Wirksamkeit ihres CMS zu ver- gleichen. Unternehmen, die die Implementierung eines CMS noch planen, können von den Erfahrungen anderer Unternehmen bei der Implementierung eines CMS profitieren. Somit ist die Aus- wertung der Ergebnisse unserer Umfrage eine objektive und wertungsfreie aktuelle Momentaufnahme des Implementierungs-standes der CMS von führenden Unternehmen in Deutschland, Österreich und der Schweiz. Auf deren Grundlage können die Maßnahmen des CMS verglichen werden. Die Ergebnisse dieser Erhebung weisen weder eine „Best Practice“ noch direkte Hand- lungsempfehlungen für Ihr Unternehmen aus. Unsere Benchmark- Studie soll Ihnen vielmehr dazu dienen, eine fundierte Selbstbe- urteilung vornehmen zu können, ob und inwieweit das CMS Ihres Unternehmens von der mehrheitlichen „Existing Practice“ ab- weicht. Das Umfrageergebnis bietet Ihnen die Möglichkeit eines Branchenvergleichs hinsichtlich Prävention von Betrug, Korrup- tion und Wirtschaftskriminalität und Sie können mögliche Ent- wicklungsmaßnahmen beim eigenen CMS erkennen. Somit können Sie bei Abweichungen leicht prüfen, ob weiterer Handlungsbedarf für ihr CMS besteht, um dessen Wirksamkeit zu erhöhen.

Kooperation mit dem Forum Compliance & Integrity und dem Zentrum für Wirtschaftsethik

Die Befragung „Existing Practice in Compliance 2016“ hat EY in Kooperation mit dem Forum Compliance & Integrity und dem Zentrum für Wirtschaftsethik durchgeführt. Das Forum Compliance & Integrity — Anwenderrat für Wertemanagement (FCI) ist ein freiwilliger Zusammen- schluss von Unternehmen und Verbänden, für die Compliance und Integrität unerlässliche Elemente einer verantwortungsvollen Unternehmensführung sind. Das FCI widmet sich daher speziellen Fragestellungen im Bereich Compliance und Integrity und hat drei Arbeitsgruppen gegründet (AG 1: „Values & Integrity“, AG 2: „Monitoring & Review“ und AG 3: „CMS Evaluation & Benchmarking“), in denen aktuelle und offene Themen aus dem Spektrum des Compliance- und Integritätsmanagements erörtert, Stellungnahmen und Studien erarbeitet und deren Ver- öffentlichung vorbereitet wird.

Das Zentrum für Wirtschaftsethik (ZfW) hat die Befragung durch die wissenschaftliche Begutachtung des Fragebo-gens im Hinblick auf Methode, Trends und Marktnachfrage begleitet. Es wirkte außerdem bei der Analyse der Ergeb-nisse und der Vermarktung der Studie mit.


Durchführung der StudieDie Studie selbst ist in unterschiedliche Themenbereiche untergliedert:

• Compliance-Organisation• Berichterstattung an die Unternehmensführung• Risikoanalyse• Richtlinien und Prozesse• Kommunikation und in „tone from the top“• Trainings• Monitoring, Untersuchung und Korrekturmaßnahmen• Geschäftspartner-Compliance• Personalmaßnahmen zur Förderung von Compliance• Prüfung und Verbesserung des „Ethics & Compliance“-

Programms (E&C-Programm)

Die Mehrheit der an der Umfrage beteiligten Unternehmen hat ihren Hauptsitz in Deutschland. Aber auch Unternehmen mit Hauptsitz in der Schweiz (18 Prozent), in Österreich (14 Prozent) und in sonstigen europäischen Ländern (2 Prozent) haben an der Studie teilgenommen.

Die Mehrheit der partizipierenden Unternehmen (86 Prozent) hat einen Jahresumsatz von bis zu 10 Mrd. Euro.

Die höchsten Anteile an teilnehmenden Unternehmen haben das Kredit- und Versicherungsgewerbe (18 Prozent), die Handels- und Konsumgüterbranche (16 Prozent) sowie der Bereich Logistik/Versand/Gütertransport (8 Prozent).

Abbildung 1:

Umsatz der Unternehmen in Mio. EURAbbildung 2:

In welchem Land ist der Hauptsitz Ihres Unternehmens?

2 % .. . . . . . . . . . . Sonstige europ. Länder

14 % ... . . . . . . . . Österreich

18 % .. . . . . . . . . Schweiz

66 % ... . . . . . . . Deutschland

4 % .. . . . . . . . . . . > 50.001

4 % ... . . . . . . . . . . 30.000 < × ≤ 50.000

6 % .. . . . . . . . . . . 10.000 < × ≤ 30.000

46 % .... . . . . . . 1.000 < × ≤ 10.000

40 % .... . . . . . . 0 < × ≤ 1.000


Status des Compliance-Management-Systems — unsere Perspektive

Werte, Integrität und Compliance — diese Begriffe sind in jüngster Zeit in den Fokus der Wirtschaft gerückt. Ein CMS wird dadurch immer stärker als ein strategisches und operatives Grundelement eines jeden Unternehmens forciert. Doch während in der Vergan-genheit Regeltreue und Risikomanagement vermehrt im Fokus standen, werden nun weiche Faktoren der verhaltensorientierten Compliance immer wichtiger. Weshalb dieser Wandel im Compli-ance-Management? Und was sind die nächsten „großen Themen“ für Compliance-Manager der heutigen Zeit?

Betrachten wir die Vergangenheit des Compliance-Managements in Deutschland, so wurde oftmals ein klassischer, regelorientierter Ansatz verfolgt: Mit einer soliden Risikoanalyse wurden Regeln, Richtlinien, Prozesse und Kontrollen so umgesetzt, dass mit aus- reichendem Maß ein Compliance-Risikomanagement sicherge-stellt werden konnte. Prüfungen, Prozess- und Datenanalysen konnten die Effektivität eines solchen Systems verifizieren. Auf der Strecke blieb jedoch oftmals eines: der Mitarbeiter und seine Einstellung. Denn Hauptaugenmerk klassischer Compliance war weitestgehend eine enthaftende Wirkung — mit nachweislich durchgeführten Aktivitäten sollten der Compliance Officer, die Unternehmensorgane und die Aufsichtsgremien (Aufsichtsräte, Prüfungsausschüsse und Beiräte) national und international vor Sanktionen geschützt werden. Doch solche Systeme führen zu mehr Komplexität, Belastung und auch Inflexibilität bei veränder-ten externen Effekten oder Geschäftsentwicklungen.

Die neue „Reife der Compliance“?

In den letzten Jahren lässt sich insbesondere ein Paradigmen-wechsel im Compliance-Management erkennen. Komplexität, Risi- kokonvergenz und die Rolle von Ethik und Integrität verändern die klassische Compliance und lassen nachhaltig den Mehrwert der Investition erkennen. Schauen wir in die Zukunft von Compliance, so lässt sich derzeit Folgendes feststellen:


• Integritätsmanagement als nachhaltiger Erfolgsfaktor Wirksames Compliance-Management bedingt kein umfassen-des Risikomanagement; vielmehr kristallisiert sich heraus, dass Normen, Einstellungen und Werte der Mitarbeiter der kritische Erfolgsfaktor eines nachhaltigen Integritätsmanagements sind. Moderne CMS befinden sich aktuell in einer Transformations-phase: Reduzierung von Komplexität und Formung/Vermittlung einer Integritätskultur.

• Erweiterung des Compliance Risk Universe In der Vergangenheit hatten Compliance-Programme einen strikten Fokus: Antikorruption sowie Wettbewerbs- und Kartellrecht. Hinzu kamen branchenspezifische Standards (gerade im Bereich Pharmazie, Finanzdienstleistungen und Konsumgüter). Doch die Risiken verändern sich stetig. Auf der Agenda des Compliance Officers finden sich nun vielmehr Themen wie Geldwäsche und Exportkontrolle, Social Media, Cybercrime oder auch Datenschutz und -sicherheit. Doch auch Themen wie Steuern und Corporate Governance haben an Relevanz gewonnen.

• Risikokonvergenz: Wer macht was? Ebenso sehen wir vermehrt den Trend der Vereinheitlichung von Risiko- und Präventionsfunktionen. Governance, Risk & Compliance (GRC) — oftmals als IT-Supportlösung angesehen — ist jedoch mehr: Eine Abstimmung der Compliance-Funktion mit der Rechtsabteilung, der Internen Revision und dem klassi-schen Risikomanagement ist unabdingbar, um Integritäts- und Compliance-Management als wirksames und nachhaltiges Instrument einer Good Corporate Governance zu etablieren und Synergien zu nutzen.

• Monitoring und Messung von Integritäts- und Compliance- Management-Systemen Moderne Integritäts- und Compliance-Management-Systeme verstehen sich als strategisches und operatives Management- Tool der Unternehmen. Und hier gilt es, Transparenz in die Wirksamkeit zu bringen und die Investitionen zu überwachen. Unternehmen nutzen vermehrt durchdachte Reporting- und Monitoring-Systeme, um über KPIs die Wirksamkeit einzelner Aktivitäten, Prozesse und Kontrollen zu beurteilen und Red Flags in Echtzeit zu analysieren. Darüber hinaus helfen erste Überlegungen, den „Return on Compliance“ in Investitions-kennzahlen abzuleiten und so Transparenz für das Manage-ment zu erlangen.

• Die Zukunft der Daten Die Digitalisierung und darauf aufbauende, veränderte Ge-schäftsmodelle führen zu einer gesteigerten Komplexität des Geschäfts, mehr Automatisierung und mehr Daten. „Big Data“ bedeutet somit auch, in Zukunft mit einer viel größeren Masse an Daten umzugehen — genau hier sehen Unternehmen ihre Chance, im Bereich Anti-Fraud- und Compliance-Management zielgerichteter aktiv zu werden. Neue Wege der Fraud- und Compliance-Datenanalyse helfen Unternehmen, Sachverhalte schneller zu identifizieren und die Präventionssysteme effek- tiver und effizienter zu gestalten. Und auch das Verständnis vom Compliance Officer verändert sich dabei: von einem Risiko- manager zu einem Geschäftsberater mit Mehrwert.

Unsere Studie untermauert die von uns erkannten Trends im Bereich „Business Integrity & Corporate Compliance“. Freuen Sie sich auf die Lektüre und die Ergebnisse unserer ersten „Existing Practice in Compliance“-Benchmark-Studie.


1


Das System der Compliance- Organisation

Compliance-Organisation und Berichterstattung

• Compliance-Abteilungen sind nicht stark gewachsen Obwohl Compliance-Systeme von 54 Prozent der Unternehmen bereits vor fünf bis zehn Jahren implementiert wurden, sind in den Compliance-Abtei-lungen nur durchschnittlich ein bis fünf Mitarbeiter beschäftigt.

• Umgang mit Compliance-Verstößen Compliance-Verstöße werden erfasst und dokumentiert, die entsprechenden Maßnahmen zur Verbesserung und Ver- hinderung werden allerdings weitestgehend vernachlässigt.

In der Hälfte der Unternehmen besteht das Integritäts- und Compliance-Management-System seit mehr als fünf Jahren

1.1Compliance-Organisation

Grundsätzlich hat sich „Compliance“ in den letzten Jahren zu einem beherrschenden Managementthema entwickelt. Eine Viel- zahl öffentlich gewordener Compliance- Verstöße hat in der Vergangenheit immer wieder gezeigt, wie gravierend die Schäden durch Betrug, Korruption und andere For- men von Wirtschaftskriminalität sein kön- nen. Neben den rein materiellen Schäden steht inzwischen vor allem der immaterielle Schaden im Fall von Non-Compliance im Fokus. Dieser ist zwar schwer bewertbar, hat aber gravierende Folgen: beschädigte Reputation, verlorenes Vertrauen von Part- nern, Investoren und Mitarbeitern, negative

Auswirkungen auf die Werte und die Unternehmenskultur. Dieser Hintergrund macht das Prinzip der Good Corporate Governance und ethischen Unternehmens-führung zu einem kritischen Erfolgsfaktor für jedes Unternehmen. Ein funktionieren-des CMS ist das wichtigste Instrument, um im Unternehmen eine Good Corporate Governance zu sehen.

Um den aktuellen Stand der Ausgestaltung ihres CMS zu erfahren, wurden die teilnehmenden Unternehmen befragt, seit wann sie bereits ein Integritäts- und Compliance- Management-System bzw. ein Ethik-und-

Compliance-Programm (E&C-Programm) implementiert haben.

Etwas mehr als ein Drittel der befragten Unternehmen hat vor fünf bis zehn Jahren ein CMS implementiert. Jedoch ist hierbei auch hervorzuheben, dass bereits vor mehr als zehn Jahren immerhin knapp ein Fünftel der Unternehmen schon ein solches Pro- gramm eingeführt hat. Somit ist der abneh- mende Trend der Eingliederung von CMS in der nahen Vergangenheit durchaus positiv zu sehen, da deren Wichtigkeit schon früh erkannt wurde.


1 Compliance-Organisation und Berichterstattung

Nur jede dritte Compliance- Abteilung ist keiner anderen Abteilung angegliedert

Jeweils etwas mehr als ein Drittel der befragten Unternehmen hat eine unab- hängige Compliance-Abteilung oder die Funktion an die Rechtsabteilung angegliedert. Die Angliederung an andere

Abteilungen wie beispielsweise die Interne Revision ist nach den Ergebnissen unserer Studie eher unüblich.

Abbildung 3:

Seit welchem Jahr gibt es in Ihrem Unternehmen ein Ethik-und-Compliance-Programm (E&C-Programm)?

0 %

50 %

40 %

30 %

20 %

10 %

< 1 Jahr 1–3 Jahre 3–5 Jahre 5–10 Jahre > 10 Jahre

8 %

14 %

24 %

18 %

4 %

4 %

6 %

10 %

36 %

38 %

2 %

0 %0 % 50 %40 %30 %20 %10 %

Abbildung 4:

Welcher Fachabteilung ist die Compliance-Abteilung/Compliance-Funktion organisatorisch angegliedert?

Nicht bekannt

Finanz- und Rechnungswesen

Interne Revision

Risikomanagement

Unabhängige Abteilung

Rechtsabteilung

Personalabteilung

36 %


Sowohl in der zentralen Compliance- Abteilung als auch in den Tochtergesell- schaften werden in der Regel nur durch-schnittlich ein bis fünf Mitarbeiter beschäf-tigt. Ebenso viele nehmen Compliance-

Aufgaben nebenamtlich wahr. Dies zeigt, dass im Bereich der Compliance-Abtei-lungen ein großes Wachstumspotenzial besteht. Denn um sich gewissenhaft mit diesem Thema auseinanderzusetzen,

bedarf es ausreichenden Personals. Nur wenige der befragten Unternehmen beschäftigen mehr als 50 Mitarbeiter in der Compliance-Abteilung.

4 %

2 %

6 %

16 %66 %

2 %

0 %

4 %

0 % 100 %80 %60 %40 %20 %

15–25

25–50

10–15

5–10

1–5

50–100

100–200

Mehr als 200

2 %

6 %

4 %

4 %

33 %

11 %

67 %

33 %

0 %

11 %

0 %

0 %

0 %

72 %

2 %

0 %

0 %

0 %

0 %

11 %

11 %

10 %

0 %

22 %

15–25

15–25

15–25

25–50

25–50

25–50

10–15

10–15

10–25

5–10

5–10

5–10

1–5

1–5

1–5

50–100

50–100

50–100

100–200

100–200

100–200

Mehr als 200

Mehr als 200

Mehr als 200

Abbildung 5:

Compliance-Beschäftigte in der zentralen Compliance-Abteilung

Abbildung 6:

Compliance-Beschäftigte in Tochtergesellschaften

Abbildung 7:

Compliance-Beschäftigte in der zentralen Compliance- Abteilung (Pharma)

Abbildung 8:

Compliance-Beschäftigte in der zentralen Compliance- Abteilung (Finanzsektor)



1.2Berichterstattung an die Unter-nehmensführung

werden. Nur so ist gewährleistet, dass sie auch bei einer entsprechenden Anfrage seitens der Regulatoren, Strafverfolgungs-behörden oder Medien in adäquater Art und Weise informiert sind. Es liegt in der Verantwortung des Compliance Officers, diese potenziellen Wert-, Schwellen- und Schweregrenzen mit den Unternehmens- organen zu vereinbaren.

Auf unsere Frage, welche Inhalte standard-mäßig in die Compliance-Berichterstattung eingehen, gaben mehr als drei Viertel der befragten Unternehmen an, signifikante interne Compliance-Verstöße bzw. aktuelle Compliance-Themen in ihre Compliance- Berichterstattung zu integrieren. Auch Statistiken zu Compliance-Schulungen,

zu Hinweisgebersystemen oder aber auch Compliance-Risiken finden häufig Eingang in die Berichterstattung. Dennoch fließen Maßnahmen zur Verbesserung und Förde- rung von Corporate Social Responsibility bei weniger als einem Fünftel der Unter-nehmen in die Berichterstattung ein. Somit werden Compliance-Verstöße erfasst und dokumentiert, jedoch nicht die entspre-chenden Maßnahmen zur Verbesserung und Verhinderung.

Compliance-Berichterstattung erfolgt inhaltlich uneinheitlich

Kommunikation, in diesem Fall die Bericht- erstattung des Compliance Officers an die Unternehmensführung, ist ein wesentlicher Bestandteil eines funktionierenden CMS, aber auch durch den Deutschen Corporate Governance Kodex unabdingbar. Zwar ist die Compliance-Abteilung gegenüber Vor- stand und Aufsichtsrat zumindest zu einer jährlichen Berichterstattung über die Tätig- keit verpflichtet, dennoch sollten Vorstand und Aufsichtsrat neben dem Jahresbericht auch bei Verdachtsfällen ab einem gewissen materiellen wie auch immateriellen Schadenspotenzial zeitnah informiert

60 %

64 %

78 %

84 %

32 %

54 %

40 %

22 %

18 %

10 %

0 % 100 %80 %60 %40 %20 %

Abbildung 9:

Welche Inhalte fließen in die Compliance-Berichterstattung standardmäßig mit ein?

Ergebnisse/Statistiken zu anlassunabhängigen Compliance-Prüfungen

Status-Implementierung, Verbesserungsvorschläge

Compliance-Risiken und Ergebnisse der Risikoanalyse

Statistiken zu Compliance-Schulungen

Aktuelle Compliance-Themen

Signifikante interne Compliance-Verstöße

Ressourcenausstattung (Budget, Personal)

Statistiken zum Hinweisgebersystem/Case Management

Statistiken zu Geschäftspartner-Compliance

Maßnahmen zur Verbesserung und Förderung von CSR

Nicht bekannt

56 %


Auf die Frage nach der Häufigkeit der Berichterstattung an die Geschäftsleitung wie auch an den Aufsichtsrat/Beirat gab jeweils mehr als ein Drittel der Befragten an, quartalsweise zu berichten. Die am zweithäufigsten gewählte Berichterstat-tungsperiode unterscheidet sich zwischen den beiden Adressaten allerdings deutlich.

An die Geschäftsleitung wird am zweit-häufigsten monatlich, also sehr häufig, berichtet und an den Aufsichtsrat/Beirat lediglich jährlich. Darüber hinaus berichten 18 Prozent der befragten Unternehmen überhaupt nicht an den Aufsichtsrat/ Beirat und 6 Prozent berichten nicht an die Geschäftsleitung.

Compliance-Berichterstattung erfolgt häufig quartalsweise

Abbildung 10:

Wie häufig erfolgt die Compliance-Berichterstattung an die Geschäftsleitung?

Abbildung 11:

Wie häufig erfolgt die Compliance-Berichterstattung an den Aufsichtsrat/Beirat?

0 %

0 %

50 %

50 %

40 %

40 %

30 %

30 %

20 %

20 %

10 %

10 %

Monatlich

Monatlich

Quartalsweise

Quartalsweise

Halbjährlich

Halbjährlich

Jährlich

Jährlich

Regelmäßig

Regelmäßig

Bei Bedarf

Bei Bedarf

Gar nicht

Gar nicht

26 %

2 %

38 %

10 %

6 %

10 %6 %

0 %

4 %

2 %

6 %

18 %

37 %35 %



Interview mit Carsten TamsSenior Vice President Bertelsmann, zuvor Bertelsmann Ethics & Compliance Executive

„ Die vorliegenden Befragungsergebnisse ermöglichen einen Abgleich des eigenen Compliance-Programms mit der herrschenden Praxis.“


Warum sind die Ergebnisse dieser Befragung für die Arbeit eines Ethics & Compliance (E&C) Officers von Bedeutung?

Eine regelmäßige Evaluierung und Verbes- serung gehört zu den Kernanforderungen an ein Compliance-Programm. Zum Beispiel sind laut US Federal Sentencing Guidelines neben einschlägigen regulativen Anforde-rungen auch die herrschenden Unterneh-menspraktiken bei der Bewertung eines E&C-Programms zu berücksichtigen. Die vorliegenden Befragungsergebnisse er- möglichen einen Abgleich des eigenen Compliance-Programms mit der herrschenden Praxis. Da sich die Risikolandschaft und das regulative Umfeld stetig weiterent- wickeln, müssen Compliance-Programme anpassungs- und lernfähig bleiben. Diese Befragung leistet Unternehmen wertvolle Unterstützung bei der regelmäßigen Evaluation und Verbesserung ihres Compliance-Programms.

Worin unterscheidet sich diese Befragung von anderen, vergleich- baren Studien?

Meines Erachtens zeichnen diese Befra-gung zwei Besonderheiten aus:

• Es gibt viele interessante Befragungen zur Compliance-Umsetzung in Unter-nehmen, doch die meisten bleiben an der Oberfläche. Die vorliegende Studie zeigt zum Beispiel nicht nur auf, wie viele Unternehmen eine Geschäftspartner- Due-Diligence durchführen, sondern

auch, auf welche Quellen sie bei ihrer Überprüfung zurückgreifen. Der Bericht gibt Unternehmen damit operationali-sierbare Hinweise, an welchen Stellen sie ihr Compliance-Programm ggf. optimieren können. Insbesondere für den deutschsprachigen/ europäischen Raum ist diese Genauigkeit der Aussa-gen einzigartig.

• Diese Befragung wirft einen Blick voraus. Die meisten Befragungen beschränken sich auf die Frage, welche Compliance- Instrumente bisher eingeführt wurden. Die Compliance-Initiativen, die noch in einer frühen Umsetzungsphase sind, fallen dabei durchs Raster. Die vorliegende Befragung beleuchtet gerade auch noch ganz neue Compliance-Trends.

Wo sehen Sie die Zukunft der Compliance-Management-Systeme? Worin sehen Sie die Herausforderungen der nächsten Compliance-Officer- Generation?

Nachdem viele Unternehmen mit Compliance-Management-Systemen ein solides Fundament zur Prävention regel- widrigen Verhaltens geschaffen haben, wenden sich einige nun verstärkt dem Integritätsmanagement zu. Regeln, Monitoring und Sanktionen leisten einen wichtigen Beitrag zur Prävention von Compliance-Verstößen. Doch um eine nachhaltige Unternehmenssteuerung zu gewährleisten, bedarf es ergänzend eines aktiven Integritätsmanagements. Dabei geht es um folgende Fragen: Welche

Werte verbinden uns im Unternehmen? Wie können diese Werte durch Integration in grundlegende Geschäftsprozesse wirksam und praktikabel operationalisiert werden? Wie sieht eine Unternehmenskultur aus, die nachhaltiges Verhalten fördert? Anders als für Compliance-Programme gibt es für das Integritätsmanagement noch keine breit akzeptierte Blaupause. Für Compliance Officers ergibt sich daraus die spannende Chance, diese nächste Ausbau- stufe mitzugestalten.


2


Risikoanalyse, Richtlinien und Prozesse

Umfang der Compliance-Risiken

2.1Risikoanalyse

• Bisher kein routinierter Umgang mit Compliance-Risiken In nur rund 44 Prozent der befragten Unternehmen wird die Risikoanalyse einmal jährlich umfassend durchgeführt und oft nur an die Geschäftsführung berichtet.

• Bewusstsein für den Umfang von Compliance Alle in dieser Studie abgefragten wesentlichen Compliance-Richtlinien und -Prozesse wurden von der Mehrheit der befragten Unternehmen bereits ein- geführt. Diese Diversität unterstreicht das Bewusstsein der Industrie für den Umgang mit Compliance-Risiken — zeigt aber auch die Trends, die durch Regula-toren forciert werden.

Die Früherkennung von Fehlverhalten ist die ureigene Aufgabe von Compliance und somit ein essenzieller Bestandteil eines funktionierenden CMS. Compliance darf aber nicht ausschließlich auf Prävention ausgerichtet sein, sondern hat auch die Aufgabe, Compliance-Risiken möglichst frühzeitig zu identifizieren und zu minimie-ren, aber auch angemessen zu reagieren.

Nach wie vor leiden viele CMS an einem Konstruktionsfehler. Sie wurden aus Zwang eingerichtet und sind bloße Reaktion auf regulatorischen Druck. Im schlimmsten Fall wurden sie standardisiert „von der Stange“

gekauft und passen nicht zur Risiko- struktur und Kultur des Unternehmens. Somit schwindet auch der Mehrwert des CMS für das Unternehmen selbst. Um dies zu vermeiden, ist eine regelmäßige Fraud- und Compliance-Risikoanalyse durchzuführen, um danach eine Grundaus-richtung für das weitere Handeln in der Compliance-Strategie zu geben. Oft emp- fiehlt es sich, das bereits im Unternehmen bestehende Risikomanagement bezüglich Know-how, Ressourcen, aber auch Tools für Compliance zu nutzen. Das Risikospek- trum von Compliance-Risiken ist in aller Regel nicht anders als im Rahmen des

Die Compliance-Risikoanalyse erfolgt in der Regel kombiniert bottom-up und top-down


2 Risikoanalyse, Richtlinien und Prozesse

Die Compliance-Risikoanalyse erfolgt meist jährlich

44 Prozent der befragten Unternehmen führen einmal jährlich eine Compliance- Risikoanalyse durch. Am zweithäufigsten ist die nach Bedarf erstellte Compliance- Risikoanalyse (16 Prozent der befragten Unternehmen). 10 Prozent gaben an, die Compliance-Risikoanalyse quartalsweise

durchzuführen. Somit wird deutlich, dass die Compliance-Risiken von vielen Unter- nehmen weiterhin umfassend betrachtet werden oder die Unternehmen sich der Relevanz dieser Risiken und ihrer Bewer-tung verstärkt bewusst sind.

Risikomanagements. Genau wie im Risiko- management werden einzelne Risiken im Hinblick auf die Eintrittswahrscheinlichkeit und auf den möglicherweise eintretenden (qualitativen) Schaden geprüft.

Im Rahmen unserer „Existing Practice in Compliance 2016 Survey“ gaben 88 Pro-zent der befragten Unternehmen an, eine Compliance-Risikoanalyse durchzuführen. Auf die Frage, wie die Compliance-Risiko-

analyse durchgeführt wird, gaben nur 12 Prozent an, ausschließlich einen Top-down-Ansatz zu verwenden, 32 Pro-zent der Unternehmen wählen ausschließ-lich die Bottom-up-Methode. Fast die Hälfte der befragten Unternehmen (44 Prozent) nutzt eine Kombination der beiden Metho- den zur Erstellung einer Compliance-Risiko- analyse — ein Verfahren, das unseres Er- achtens auch die stärkste Wirksamkeit und Durchdringung bietet.

Abbildung 12:

Wie erfolgt die Compliance-Risikoanalyse?

Abbildung 13:

Wie häufig wird die Compliance-Risikoanalyse durchgeführt/aktualisiert?

0 %

50 %

40 %

30 %

20 %

10 %

Einmal jährlich Unregelmäßig Quartalsweise Fortlaufend Alle 6 Monate In Planung Alle 2 Jahre

44 %

10 %10 %8 % 8 %

4 %

16 %

12 % .. . . . . . . . . . In Planung

12 % .. . . . . . . . . . Nur top-down

32 % .. . . . . . . . . . Nur bottom-up

44 % .. . . . . . . . . . Bottom-up and top-down

44 %


Nach einer durchgeführten Fraud- und Compliance-Risikoanalyse gilt es, die Er- gebnisse entsprechend zu bewerten und zu beurteilen, ob und in welcher Form diese identifizierten Risiken in der Orga- nisation bestehen und wie man sie redu- zieren kann. Längerfristig effektive und effiziente Möglichkeiten münden in der Regel in einem Aktionspaket aus präven- tiven und detektivischen Compliance- Elementen, die auf der Basis einer Metho-dik entwickelt wurden. Im Idealfall wird ein kontinuierliches Risikoerkennungssystem entwickelt, mit dem man fortlaufend potenzielle Compliance-Risiken identifizieren und beurteilen kann (Continuous Compliance Monitoring).

Die Ergebnisse einer Compliance-Risiko-analyse erhält in 84 Prozent der befrag-ten Unternehmen die Geschäftsleitung (Vorstand, Geschäftsführer etc.). Darüber hinaus berichtet jeweils etwa die Hälfte der Unternehmen an die zentralen (Chief) Compliance Officers/Verantwortliche

Die Compliance-Risikoanalyse ist Chefsache

(hauptamtlich), an den Aufsichtsrat/Beirat sowie an das Compliance Committee. Aller- dings führen 14 Prozent der befragten Un- ternehmen zwar eine Compliance-Risiko-analyse durch, kommunizieren die Ergeb-nisse dieser Analyse jedoch noch nicht.

Abbildung 12:

Wie erfolgt die Compliance-Risikoanalyse?

22 %

38 %

46 %

52 %

54 %

84 %

14 %

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 14:

An welches Gremium werden die Ergebnisse der Compliance-Risikoanalyse berichtet?

An das Enterprise Risk Committee

An die dezentralen Compliance Officers/ Verantwortlichen im Unternehmen

An den Aufsichtsrat/Beirat

An das Compliance Committee

An die zentralen (Chief) Compliance Officers/ Verantwortliche (hauptamtlich)

An die Geschäftsleitung (Vorstand, Geschäftsführer etc.)

In Planung

12 % .. . . . . . . . . . In Planung

12 % .. . . . . . . . . . Nur top-down

32 % .. . . . . . . . . . Nur bottom-up

44 % .. . . . . . . . . . Bottom-up and top-down


2.2Richtlinien und Prozesse

Ein effektives CMS setzt im Kern auf die Einhaltung von Regeln und Richtlinien. Demzufolge ist es essenziell, die wesentlichen Regeln, die auf die Compliance- Risiken einer Organisation abzielen, leicht verständlich in schriftlicher Form festzu-halten und prozessual abzubilden. Somit kann Compliance auch genutzt werden, um Vertriebs- oder Einkaufsabteilungen mittels klarer, verständlicher Regeln im täglichen Geschäft schneller handlungs- fähig zu machen. Ziel ist es, Prozesse durch Compliance-Maßnahmen nicht zu verkomplizieren, sondern zu vereinfachen und verständlich zu kommunizieren. Wer seine Risiken kennt und weiß, wie genau es zu Fehlverhalten kommen kann, ist sogar in der Lage, sein Compliance-Management deutlich zu verschlanken. Geht es um mess- bare Erfolge, kann Compliance nicht nur Risiken minimieren, sondern auch die Effi-zienz steigern. Denn genau wie unglücklich implementierte Compliance-Maßnahmen das Unternehmen ausbremsen, können

kluge Compliance-Maßnahmen Transpa-renz schaffen und Unsicherheiten abbauen.

Auf die Frage, welche Compliance-Richt- linien oder -Prozesse bereits implementiert wurden, gab die Mehrheit der befragten Unternehmen Compliance-Richtlinien wie Verhaltenskodizes oder Richtlinien für Geschenke und Einladungen an: Nahe- zu alle Unternehmen sensibilisieren ihre Mitarbeiter mithilfe des Verhaltenskodex, ebenfalls werden von jeweils ca. 90 Pro-zent der Unternehmen Richtlinien für Geschenke und Einladungen sowie zur Nutzung von IT und Unternehmensdaten eingesetzt. Am schwächsten vertreten sind Richtlinien zur Bearbeitung von Hin- weisen auf Compliance-Verstöße, was die Aussage aus Punkt 1.2 unterstreicht, dass Compliance-Verstöße erfasst und dokumentiert werden, jedoch nicht die entsprechenden Maßnahmen zur Ver- besserung und Verhinderung.

2 Risikoanalyse, Richtlinien und Prozesse

Der Code of Conduct ist in beinahe jedem Unternehmen vorhanden


74 %

62 %

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 15:

Welche der folgenden Richtlinien oder Prozesse gibt es in Ihrem Unternehmen?

Richtlinie zum Umgang mit Geschäftspartnern aus dem öffentlichen Sektor/Public Officials

80 %Antikorruptionsrichtlinie

88 %Richtlinie zur Nutzung von IT und Unternehmensdaten

80 %Richtlinie für kartell-/wettbewerbsrechtliche Fragen

90 %Richtlinie für Geschenke und Einladungen

94 %Verhaltenskodex (Code of Conduct)

Richtlinie zur Bearbeitung von Hinweisen auf Compliance-Verstöße


3


Kommunikation und Training

Einigkeit bei der Wahl der Kommunikations- und Trainings-maßnahmen

• Code of Conduct: das Mittel zum Zweck Als am häufigsten identifizierte Richt- linie wird der Code of Conduct in ver- schiedensten Varianten bereitgestellt und verbreitet. Er bildet heute für Unternehmen das Rahmendokument für ethikkonformes Handeln.

• Management-Schulungsmaßnahmen sind ausbaufähig Obwohl Schulungen sowohl als Präsenz-veranstaltung als auch als E-Learning abgehalten werden, fällt bei etwa einem Sechstel der Unternehmen das Training für die Geschäftsführung weg. Die Aufforderung der Mitarbeiter zu einer Code-of-Conduct-Schulung erfolgt meis- tens einmal jährlich.

Neben effektiven Prozessen und Kontrol-len schützt nur die Integrität der eigenen Mitarbeiter vor Wertvernichtung durch Fehlverhalten. Denn erfolgreiche Unter-nehmen der Zukunft werden an der Inte- grität ihrer Mitarbeiter gemessen und nicht an der Komplexität ihrer Regelwerke. Compliance, die nicht Kontrolle, sondern Kultur zum Kern der Sache macht, kann dabei einen positiven Wert schaffen: mehr Vertrauen, weniger Bürokratie, ein gemein- sames Werteverständnis — und damit eine

gesteigerte Unternehmensleistung. Die richtige Kommunikation der implemen-tierten Richtlinien ist dabei der erste Schritt zur Integrität der Mitarbeiter. Auf unsere Frage, welche Compliance- Kommunikationsmaßnahmen implemen-tiert sind, antworteten 88 Prozent mit „Code of Conduct im Intranet“. 72 Pro-zent der Unternehmen verteilen den Code of Conduct in elektronischer Form an alle Mitarbeiter, zum Beispiel als E-Mail-Anhang. 62 Prozent stellen ihn

3.1Kommunikation und „tone from the top“


3 Kommunikation und Training

auch im Internet bereit und 56 Prozent händigen allen Mitarbeitern eine Druck- version aus. Darüber hinaus gibt es in der Hälfte der Unternehmen einen Brief der Unternehmensleitung zum Code of Conduct an alle Mitarbeiter und in

30 Prozent Aushänge/Poster zum Code of Conduct oder zu Compliance an allen Standorten. Eine ebenfalls stark vertretene Compliance-Kommunikationsmaßnahme ist eine Compliance-Seite der Unternehmen in ihrem Intranet.

Die Compliance-Kommunikation ist essenziell und vielschichtig

Abbildung 16:

Welche der folgenden Compliance-Kommunikationsmaßnahmen gibt es in Ihrem Unternehmen?

Podcasts

Auslage gedruckter Code-of-Conduct-Exemplare imUnternehmen (z. B. Empfangsbereiche)

Compliance-Webseite im Internet

Verteilung eines Code-of-Conduct-Exemplars an alleMitarbeiter in Druckform

Bereitstellung des Code of Conduct im Internet

Apps

Aushänge/Poster zum Code of Conduct oder zu Compliance an allen Standorten

Merkblätter zu Compliance

Regelmäßige Compliance-Beiträge im Intranet

Verteilung eines Code-of-Conduct-Exemplars an alle Mitarbeiter in elektronischer Form

(z. B. als E-Mail-Anhang)

Regelmäßiger Compliance-E-Mail-Newsletter

Regelmäßige Compliance-Beiträge in Mitarbeiterzeitschrift

Brief der Unternehmensleitung zum Code of Conduct an alle Mitarbeiter

Compliance-Berichterstattung im jährlichen Geschäftsbericht

Compliance-Webseite im Intranet

Bereitstellung des Code of Conduct im Intranet

0 % 100 %80 %60 %40 %20 %

30 %

40 %

44 %

44 %

50 %

56 %

60 %

56 %

62 %

88 %

86 %

72 %

28 %

28 %

6 %

4 %



Interview mit Prof. Dr. Stephan GrüningerWissenschaftlicher DirektorKonstanz Institut für Corporate Governance (KICG)HTWG Hochschule Konstanz

„ Compliance hat Konsequenzen im und für das Geschäft.“


Compliance ist nun seit Jahren schon für viele Unternehmen ein wichtiges Thema — doch wohin entwickeln sich heutzutage „moderne“ Compliance- Management-Systeme?

Es wird zunehmend klar, dass rein rechts- getriebene Compliance-Management- Systeme in den Unternehmen nicht dau- erhaft wirksam sein können. Moderne Compliance zeichnet sich meiner Meinung nach schlicht dadurch aus, dass die Regeln und Maßnahmen vom Linienmanagement verstanden und akzeptiert werden und deren Anwendung durchgesetzt wird.

Compliance muss also erst einmal als ganz normale Managementaufgabe wahrgenom- men werden können. Dazu ist es elemen-tar, dass Manager zu diesem komplexen Thema sehr gut ausgebildet werden. Das geht nur, wenn Präsenzschulungen durch-geführt werden, in denen der Umgang mit ethischen bzw. compliancebezogenen Dilemmata trainiert wird und Konflikte bei der Implementierung und Umsetzung der Compliance-Regeln und -Maßnahmen auf den Tisch kommen und besprochen werden. Wer ein Compliance-Management- System so aufbaut, investiert in die Ernst- haftigkeit und Glaubwürdigkeit der Corporate Compliance. Allen Beteiligten muss klar sein, dass Compliance Konse-quenzen im und für das Geschäft hat. Der Aufbau einer Compliance-Organisation, die keinen oder wenig Anschluss an den Normalbetrieb hat, also lediglich ein paar Regeln aufstellt und diese per Mausklick in die Unternehmenswelt kommuniziert, ist eine sinnlose Alibiveranstaltung.

Welche Rolle kommt hierbei dem Compliance Officer zu?

Der Compliance Officer ist zentral für die Entwicklung des Compliance-Management- Systems; er muss im Namen des Vorstands oder der Geschäftsführung und mit dessen bzw. deren glasklarer Unterstützung den Prozess, dass Compliance zu einer Manage- mentaufgabe für alle Führungskräfte wird, planen, fachlich unterstützen und letztlich auch überprüfen, ob die Regeln angewen-det werden und die Maßnahmen in der Organisation greifen. Er muss also bei den Trainingsmaßnahmen mit den (oberen) Führungskräften persönlich anwesend sein, er muss in geschäftliche Transaktionen als „trusted advisor“ eingebunden werden und er muss dafür sorgen, dass kritische Geschäftsprozesse (z. B. in Einkauf und Vertrieb) auf ihre Robustheit gegen wirt- schaftskriminelle und unethische Prak-tiken überprüft werden, und etwaige Kontrolllücken beseitigen. Zu guter Letzt ist es sehr wichtig, dass das Compliance- Management-System selbst immer wieder auf den Prüfstand gestellt wird — und zwar durch dezentrale Monitoring-Maßnahmen.

Wie schaffen es Ihrer Ansicht nach Unternehmen des Mittelstandes, sich effektiv mit Compliance-Normen und -Systemen auseinanderzusetzen? Ist dies im Vergleich zu internationalen Konzernen einfacher oder schwieriger?

Zunächst ist es natürlich so, dass auch mittelständische Unternehmen oftmals international agieren und häufig auch Konzernstrukturen aufweisen. Des-halb sind auch sie nicht vor Fällen der Non-Compliance (etwa im Bereich der

Korruption) gefeit. Auch das Compliance- Management-System eines Mittelständlers muss am Ende wirksam sein. Der Unter-schied liegt also eher im Ansatz und damit in der Frage der Angemessenheit von Compliance-Maßnahmen. Mein Eindruck ist, dass sich der Mittelstand derzeit auf- macht, ein Compliance-Management-Sys-tem zu entwickeln. Manche Unternehmen versuchen, von den Fehlern der Großen zu lernen, und beginnen direkt einen ernst-haften, vom Management mitgetragenen Prozess. Andere tappen in die Falle und setzen wie früher auch viele Großkonzerne dem Trugschluss auf, dass Compliance auch „ganz schlank“ betrieben werden könne. Diese Lean Compliance erschöpft sich dann mitunter wirklich ausschließlich darin, dass ein Subalterner zum Compliance-Verant- wortlichen ernannt wird, der dann einen Code of Conduct „entwickelt“ — d. h. dann allerdings nicht selten: aus im Internet verfügbaren Vorbildern in „Copy&Paste- Manier“ ein Regelwerk regelrecht zusam- menzimmert — und diesen dann an die operativen Einheiten mit der Bitte um Beachtung verschickt. Aber ich bin zu- versichtlich, dass sich die klugen Unterneh-men in diesem Zusammenhang mehren, nicht zuletzt, weil sich auch für den Mittel- stand das Entdeckungsrisiko gesteigert hat — etwa durch Betriebsprüfungen oder die Bildung von Schwerpunktstaatsanwalt- schaften Wirtschaftsdelikte oder zur Kor- ruptionsbekämpfung. Insofern, um Ihre Frage zu beantworten: Im Kern gibt es hier keine so großen Unterschiede in der Sache. Die Umsetzung kann aber in mittel- ständischen Unternehmen leichter gelin-gen, da die Strukturen übersichtlicher und die Führungsspannen oftmals deutlich kleiner sind.



3.2Training

Trainingsmaßnahmen sind ein weiterer essenzieller Schritt zur Integrität der Mit- arbeiter. Die Sensibilisierung und Aufklä-rung der Mitarbeiter über die unterneh-menseigenen Integritäts- und Compliance- Management-Systeme in Form von Compliance-Trainings ist deshalb von besonderer Bedeutung. Compliance-Trai-nings können in unterschiedlichster Form stattfinden und sind eines der effektivsten Medien zur Wissensvermittlung. Ebenso bieten sie den Leitungsfunktionen eine gute Gelegenheit, einen persönlichen „tone from the top“ zu setzen, indem sie zum Beispiel die Einführungen solcher Trainings übernehmen.

Unsere Umfrage ergab, dass Schulungen zu Antikorruption, zu Datenschutz/-sicherheit, grundlegende Schulungen und Schu- lungen zu Kartell-/Wettbewerbsrecht weit verbreitet sind und somit zum Standard gehören. Allerdings ist nicht zu vernach-lässigen, dass lediglich 14 Prozent der befragten Unternehmen eine Compliance- Schulung für Aufsichtsratsmitglieder durchführen. Eine Schulung im Umgang mit Hinweisen auf Compliance-Verstöße führt auch nur knapp die Hälfte der Unter- nehmen durch. Auch dieses Ergebnis baut auf den vorherigen Ergebnissen auf, dass Compliance-Verstöße dokumentiert, aber entsprechende Maßnahmen zur Vermei-dung nicht ergriffen werden.

Eine Vielzahl von Compliance- Schulungen dient der Sensibilisierung der Mitarbeiter


Abbildung 17:

Welche Compliance-Schulungsmaßnahmen gibt es in Ihrem Unternehmen?

Compliance-Schulung für Aufsichtsratsmitglieder

Schulung zum Verbot von Insidergeschäften

Compliance-Schulung für Mitglieder derGeschäftsführung in Tochtergesellschaften

Eine grundlegende Compliance-Schulung, die für alleMitarbeiter verpflichtend ist (z. B. zum Code of Conduct)

Schulung zu Antikorruption

Schulung zu ethischen Dilemma-Situationen

Schulung zum Umgang mit Hinweisen auf Compliance-Verstöße

Schulung zum Umgang mit neuen elektronischenMedien (z. B. E-Mail, Blogging, soziale Netzwerke)

Schulung zu Kartell-/Wettbewerbsrecht

Schulung zu Außenwirtschaftsgesetzen (sog. Export Compliance, Sanctions Compliance)

Schulung zu Antidiskriminierung/Gleichstellung/ Diversity, sexueller oder anderer Belästigung/

Mobbing am Arbeitsplatz

Compliance-Schulung für Mitglieder derGeschäftsführung

Schulung zu Datenschutz/-sicherheit

0 % 100 %80 %60 %40 %20 %

46 %

52 %

56 %

58 %

64 %

72 %

74 %

72 %

82 %

46 %

42 %

30 %

14 %



Der Code of Conduct hat bei den Unter- nehmen, wie zuvor festgestellt, einen großen Stellenwert. Somit ist es nicht überraschend, dass 30 Prozent der befragten Unternehmen ihre Mitarbeiter jährlich im Code of Conduct schulen. Insgesamt werden bei 52 Prozent aller befragten Unternehmen mindestens alle drei Jahre die Unternehmenswerte des Code of Conduct durch dezidierte Trai-nings vermittelt. 6 Prozent der Unter- nehmen fordern ihre Mitarbeiter lediglich

bei Eintritt in das Unternehmen zu einer Code-of-Conduct-Schulung auf und weitere 6 Prozent verlangen (noch) gar kein Trai- ning von ihren Mitarbeitern, wenn auch eine Teilnahmeaufforderung bei 4 Prozent der Unternehmen in Planung ist. Überra-schend ist jedoch, dass 32 Prozent der Compliance-Verantwortlichen die Trai- ningszyklen im Bereich Code of Conduct nicht kennen bzw. es keinen vorgesehenen Trainingszyklus für Compliance gibt.

Compliance-Schulungen sind ein fundamentaler Bestandteil der Vermittlung von Normen, Prinzi-pien und Unternehmenswerten

Abbildung 18:

Wie häufig werden Mitarbeiter zur Teilnahme an einer Code-of-Conduct-Schulung aufgefordert?

0 %

50 %

40 %

30 %

20 %

10 %

Einmaljährlich

Alle zweiJahre

Alle dreiJahre

Alle vierJahre

Nur bei Eintritt

Nicht bekannt

In Planung

Kein Training

30 %

12 %10 %

4 %6 %

32 %

4 %2 %


Das Training erfolgt in erster Linie über Präsenzschulungen

Darüber hinaus hat unsere Studie gezeigt, dass 90 Prozent der Unternehmen Prä-senzschulungen nutzen und 84 Prozent der Unternehmen ergänzend webbasierte Schulungen durchführen. Workshops werden als Interaktionsmodell lediglich von 32 Prozent der Unternehmen genutzt.

Schauen wir allerdings auf die aktuelle Entwicklung im Markt, so ist zu erkennen, dass Unternehmen verstärkt alternative Trainingskonzepte suchen: Präsenz- und webbasierte Schulungen sind für die Millennials in einem Unternehmen nicht das Ideal.

84 %

90 %

32 %

24 %

12 %

6 %

0 % 100 %80 %60 %40 %20 %

Abbildung 19:

Wie werden für Mitarbeiter die Schulungsmaßnahmen durchgeführt?

Webbasierte Schulungen

Präsenzschulungen

Workshops

Schulungen im Rahmen von Webkonferenzen

Compliance-Spiele

Mobile Schulungen


Auch für die Geschäftsführung sind Präsenzschulungen mit 66 Prozent am populärsten, jedoch weniger verbreitet als für die Mitarbeiter. Zudem werden bei der Geschäftsführung nur bei 36 Prozent der Unternehmen webbasierte Schulungen durchgeführt. Ganze 16 Prozent der Un-ternehmen schulen ihre Geschäftsführung überhaupt nicht. Dabei ist es besonders bei der Geschäftsführung wichtig, Compliance auch im Rahmen von regel-mäßigen Schulungen zu einem nachhaltig

wertschöpfenden Paradigma werden zu lassen, das Compliance auch in der Unter- nehmensführung verankert, damit so wichtige Prinzipien wie „tone from the top“ und „walk the talk“ mit Leben gefüllt werden können. So ergab zum Beispiel die Lang-zeitstudie „Deep White“ der Universität St. Gallen an über 100 Unternehmen, dass richtig umgesetzte und in der Führung verankerte Wertesysteme die Gesamtleis-tung des Unternehmens entlang seiner Kennzahlen signifikant erhöhen.1

16 Prozent der befragten Unternehmen schulen ihre Geschäftsführung nicht

1 Universität St. Gallen, Deep-White-Studie, http://www.deep-white.com (Abruf: Februar 2016)


Abbildung 20:

Wie werden für Mitglieder der Geschäftsführung die Schulungsmaßnahmen durchgeführt?

10 %

66 %

2 %

36 %

2 %

14 %

0 %

16 %

0 % 100 %80 %60 %40 %20 %

Keine Schulung

Nicht bekannt

Schulungen im Rahmen von Webkonferenzen

Präsenzschulungen

Mobile Schulungen

Webbasierte Schulungen

Compliance-Spiele

Workshops


4


Monitoring und Geschäftspartner-Compliance

Vernachlässigung des Monitorings und der Geschäftspartner-Compliance

4.1Monitoring, Untersuchung und Korrekturmaßnahmen

Ab einer gewissen Größe ist zweifelsohne jedes Unternehmen wiederkehrend damit konfrontiert, von Mitarbeitern, Geschäfts-partnern und Kunden Hinweise auf ein mögliches Fehlverhalten eines Mitarbeiters zu erhalten. Solche Hinweise erreichen Unternehmen entweder per Brief, per E-Mail, telefonisch oder im Rahmen eines persönlichen Gesprächs — selbst wenn auch ein elektronisches Hinweisgebersys-tem implementiert wurde. Zweifellos ist

der Prozess der Entgegennahme und Bearbeitung ohne ein vorhandenes Hin- weisgebersystem wesentlich unstruktu-rierter und komplizierter und birgt das Risiko, dass den Hinweisen nicht in geeigneter Form nachgegangen wird. Dies wiederum steigert das Haftungsrisiko der Geschäftsführung ungemein.

• Das Mittel der Wahl ist ein elektronisches Hinweisgebersystem Die überwiegende Mehrheit der befragten Unternehmen hat ein elektronisches Hinweisgebersystem (82 Prozent), ein E-Mail-Postfach (70 Prozent) oder eine Telefon-Hotline (64 Prozent) implementiert, um den Mit- arbeitern das Melden von Compliance- Verstößen zu ermöglichen.

• Selektive Geschäftspartner- Compliance Bei bestimmten Geschäftspartnern wird eine ausgeprägte Hintergrund- recherche durchgeführt, Kunden oder sonstige Berater zählen seltener zu dieser Gruppe. Darüber hinaus bewertet maximal ein Viertel der befragten Unternehmen, ob ihre Geschäftspart- ner bestimmte Richtlinien oder ein E&C-Programm implementiert haben.


4 Monitoring und Geschäftspartner-Compliance

Die Meldung von Compliance- Verstößen erfolgt über elektroni-sche Hinweisgebersysteme, bei Bedarf anonymisiert

Unsere Umfrage ergab, dass 82 Prozent der befragten Unternehmen über ein elektronisches Hinweisgebersystem ver- fügen, mit dem potenzielle Compliance- Verstöße gemeldet werden können. 80 Prozent der Unternehmen bieten die Meldung anonymisiert an. Viele der Unter- nehmen, die ein Hinweisgebersystem

nutzen, haben auch andere Methoden wie bspw. ein E-Mail-Postfach, eine Telefon- Hotline oder eine Ombudsperson für die Kontaktaufnahme implementiert. Dennoch nutzen 12 Prozent der Unternehmen über- haupt kein System, über das potenzielle Compliance-Verstöße gemeldet werden können.

82 %

70 %

80 %

64 %

38 %

12 %

0 % 100 %80 %60 %40 %20 %

Abbildung 21:

Welche Meldemöglichkeiten werden Mitarbeitern angeboten, um auf potenzielle Compliance-Verstöße hinzuweisen?

Eine Meldung über die genannten Hinweisgeber-/Meldesysteme ist auch anonym möglich

E-Mail-Postfach

Elektronisches Hinweisgebersystem

Telefon-Hotline

Ombudsperson (intern oder extern)

Kein System


Das Hinweisgebersystem wird weitestgehend über das Intranet bekannt gemacht

Wenn das Hinweisgebersystem implemen-tiert ist, ist es wichtig, die Mitarbeiter im nächsten Schritt darüber zu informieren und sie mit der Handhabung vertraut zu machen. Es ist zu erkennen, dass dies am häufigsten über das Intranet oder im Rahmen von Compliance-Schulungen

geschieht. Über die Hälfte der befragten Unternehmen macht darauf nur im Code of Conduct aufmerksam. 18 Prozent greifen auf Aushänge bzw. Displays zu- rück, um ihre Mitarbeiter auf das Hinweis-gebersystem aufmerksam zu machen.

84%72 %

56 %

38 %

32 %

28 %

18 %

10 %

0 % 100 %80 %60 %40 %20 %

Abbildung 22:

Wie ist das Hinweisgebersystem bekannt gemacht worden?

Print-Kampagnen (Postkarten, Rundschreiben etc.)

Im Rahmen von Compliance-Schulungen

Aushänge/Displays

Im Code of Conduct

Spezifische Kommunikationskampagnen (E-Mails, Programme etc.)

Intranet

Nicht bekannt

Internet



Hinweisgebersystem in erster Linie für Mitarbeiter zugänglich

Darüber hinaus ist ein Hinweisgeber- system ein effektives Instrument, um von Compliance-Verstößen zu erfahren, und sollte daher Unternehmensinternen wie auch -externen (zum Beispiel Geschäfts-partnern) zugänglich gemacht werden. Bei 88 Prozent der Unternehmen ist es für Unternehmensinterne, allerdings nur bei je 48 Prozent für Geschäftspartner oder

allgemein für Unternehmensexterne erreichbar. Dabei ist die Öffnung des Hinweisgeberkanals an Externe ein essenzieller Bestandteil des CMS. Denn oftmals haben Stakeholder umfassende Kenntnis über mögliches Fehlverhalten in Unternehmen, deren Weiterleitung an die Unternehmensverantwortlichen möglichen Schaden frühzeitig abwehren kann.

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 23:

Für wen ist das Hinweisgebersystem erreichbar?

48 %Hinweise auf Verletzung können von Unternehmens- externen/sonstigen Stakeholdern abgegeben werden

48 %Hinweise auf Compliance-Verletzungen können von Geschäftspartnern abgegeben werden

88 %Hinweise auf Compliance-Verletzungen können von Mitarbeitern/Unternehmensinternen abgegeben werden

10 %Nicht bekannt


Hinweisgeber werden in 76 Prozent der Unternehmen vor Repressalien geschützt

Die Gewährleistung der Anonymität des Hinweisgebers ist ein entscheidender Faktor für die erfolgreiche Implementie-rung eines Hinweisgebersystems. Dies haben auch die Unternehmen erkannt: 86 Prozent der Unternehmen versichern ihren Mitarbeitern, dass die Hinweise anonym entgegengenommen werden. Ein weiterer zentraler Faktor ist der Schutz des Hinweisgebers vor möglichen Repres-salien. 76 Prozent der befragten Unter-nehmen gaben an, dass bei ihnen ein striktes Verbot von Repressalien oder Vergel-tungsmaßnahmen gegenüber Hinweis- gebern gelte. Dennoch verfügen weiterhin 10 Prozent der befragten Unternehmen noch nicht über ein System, mit dem sichergestellt werden kann, dass Mitarbei-ter Meldungen sicher und vertraulich ab- geben können.

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 24:

Auf welchem Weg wird sichergestellt, dass die Meldung der Mitarbeiter sicher und vertraulich erfolgen kann?

34 %Externe Funktion (Ombudsperson) sichert die Anonymität als Vertrauensfunktion zu

76 %Es gilt ein striktes Verbot von Repressalien/Vergeltungsmaßnahmen gegen Hinweisgeber

86 %Hinweise werden anonym entgegengenommen

10 %Kein System



Jedes zehnte Unternehmen informiert nicht über Compliance-Verstöße

Bei knapp vier Fünftel der Unternehmen sind spezifische Compliance-Verstöße Teil der Compliance-Berichterstattung an interne Gremien, zum Beispiel an die Unternehmensführung oder an das Compliance Committee. Zwei Fünftel der Unternehmen informieren ihre Mitarbeiter in bereinigter Form über spezifische Compliance-Verstöße, d. h. ohne persönli-che Daten. Dies geschieht zum Beispiel im

Kontext von Schulungsmaßnahmen. Bei 16 Prozent der Unternehmen werden Compliance-Verstöße in aggregierter Form, beispielsweise anhand der Gesamt-zahl der Verstöße, publiziert. Bei jeweils 10 Prozent der befragten Unternehmen wird über Compliance-Vorstöße entweder überhaupt nicht informiert oder es ist nicht bekannt, ob bzw. in welcher Form informiert wird.

Abbildung 25:

In welcher Form werden Compliance-Verstöße kommuniziert?

0 % 100 %80 %60 %40 %20 %

Spezifische Compliance-Verstöße sind Teil der Compliance-Berichterstattung an interne Gremien

(z. B. Unternehmensführung, Compliance Committee)

Spezifische Compliance-Verstöße werden in bereinigter Form (d. h. ohne persönliche Daten) an Mitarbeiter kom-muniziert (z. B. im Kontext von Schulungsmaßnahmen)

40 %

Compliance-Verstöße werden in aggregierter Form (z. B. Gesamtzahl der Verstöße) publiziert (z. B. im Geschäfts-

bericht, Corporate-Responsibility-Bericht)16 %

Nicht bekannt 10 %

Compliance-Verstöße werden nicht kommuniziert 10 %

78 %


Eine weitere grundlegende Vorausset- zung für die Unternehmensführung, ein wirksames CMS zu implementieren, ist im nächsten Schritt die Plausibilisierung und Aufklärung der Meldungen. Über die entsprechend implementierten Systeme abgegebene Hinweise sollten durch die Unternehmen ausnahmslos verfolgt werden, zum einen um sich dem Risiko ent- gegenzustellen, zum anderen um die Glaubwürdigkeit des implementierten CMS durchzusetzen und zu festigen.

Darüber hinaus erhöht sich durch die Weiterentwicklung des Risiko- und Compliance-Managements (inklusive Hinweisgebersystem) und des internen Kontrollsystems sowie durch die ver- besserte Integration all dieser Prozesse die Wahrscheinlichkeit, dass Schwach- stellen in den Geschäftstätigkeiten früh- zeitig erkannt und Mängel beseitigt werden können.

Es kann jedenfalls nur angeraten werden, ein geeignetes Hinweisgebersystem im Unternehmen zu implementieren. Sämt- liche Statistiken zu dem Thema zeigen, dass derartige Systeme mit Abstand das effektivste Mittel auf dem Gebiet der Prävention und Früherkennung sind.


Hinweisgebersysteme mittlerweile als Best-Practice-Instrument und ihr Einsatz findet immer öfter Eingang in verbindliche Rechtsvorgaben einzelner Länder oder auch Branchen (zum Beispiel im europäi-schen Finanzwesen).

Über 40 Prozent der Betrugsfälle in Unternehmen werden mittlerweile durch Hinweisgeber enthüllt. In Organisationen, in denen ein Hinweisgebersystem zum Einsatz kommt, werden Vorfälle nicht nur häufiger und schneller aufgedeckt; auch die durchschnittlich verursachten Verluste liegen um rund 40 Prozent unterhalb der durchschnittlichen Schadenssummen von Unternehmen, die keinen sicheren Kommunikationskanal etabliert haben. (Quelle: Association of Certified Fraud Examiners [Hg.], Report to the nations on occupational fraud and abuse, 2014 Global Fraud Study, S. 19, 22)

Der Einsatz eines Hinweisgebersystems ist jedoch keinesfalls ein Selbstläufer. Der Erfolg hängt sowohl davon ab, wie die An- wendung in bestehende Compliance-Pro- zesse eingebunden ist, als auch von einer passgenauen technischen Ausgestaltung.

Worin bestehen die größten Heraus- forderungen für Unternehmen bei der Implementierung von Hinweisgeber- systemen?

Organisationsintern müssen zunächst die Voraussetzungen für die erfolgreiche Erfassung von Hinweisen zu potenziellen Risiken oder Missständen geschaffen werden:

• Kultur des Hinsehens und der Ver- antwortung etablieren („tone from the top“)

• Verhaltenskodex aufsetzen, der ge- wünschtes Verhalten vorgibt und die Werte der Organisation widerspiegelt

• Compliance-Programm implementieren, ausgerichtet auf die identifizierten Risiken und Ziele

• kontinuierliche Compliance-Kommuni- kation (Information der Mitarbeiter und anderer Zielgruppen) fördern. Wichtig: Es geht zum einen um die Information der relevanten Zielgruppen; im Kern geht es jedoch vor allem darum, das Vertrauen der potenziellen Hinweis- geber zu gewinnen, die Hemmschwelle für eine Meldungsabgabe herabzuset-zen und mögliche Vorurteile oder auch Ängste abzubauen. Mitarbeiter sollten wahrnehmen können, dass das Unter-nehmen eine Fehlerkultur etabliert hat, in der schwere Verstöße unabhängig von der Position sanktioniert werden und integres Verhalten honoriert wird.

• adäquates Compliance-Berichtswesen aufsetzen und ausreichende Compliance- Überwachung und -Dokumentation etablieren

Sind die internen Voraussetzungen geschaffen, geht es um die Entscheidung, welches System die organisationsspezifischen An- forderungen am besten abbilden kann.

Vom Einsatz eines Briefkastens über sprachbasierte Systeme, eine interne oder


Kür oder Pflicht? Wie wichtig sind Hinweisgebersysteme für ein effektives Compliance-Programm?

Vor dem Hintergrund des steigenden Regulierungsdrucks für Unternehmen und öffentliche Verwaltungen kommt Compliance eine immer größere Bedeu-tung zu. Zukünftig werden sich weitere Branchen gezielt mit diesem Thema auseinandersetzen (müssen). Branchen- unabhängig sind Unternehmen angehal-ten, auf internationale Compliance-An- forderungen zu reagieren und deren Einhaltung auch in ihren Geschäftsbe- ziehungen sicherzustellen (Third Party Compliance). Weltweit zeichnet sich der Trend ab, die Aufsichtspflichten in die Organisationen zu verlegen und die Haftungsrisiken, auch für die Unterneh-mensleitung persönlich, auszuweiten.

„Ethics & Compliance“-Programme ge- hören gerade in größeren Unternehmen mittlerweile zum Standard. Der Erfahrungs- stand und somit auch der Grad der Profes- sionalisierung variieren hierbei mitunter jedoch sehr stark.

Hinweisgebersysteme sind ein wirksames Instrument, um Risiken und interne Miss- stände frühzeitig zu entdecken und auf- zuklären. Gleichzeitig wirkt ihr Einsatz Fehlverhalten bereits im Vorfeld entgegen. Mit der Möglichkeit, eine anonyme Mel- dung abzugeben, sinkt aufseiten der Hin- weisgeber zudem die Hemmschwelle, kritisches Wissen zu teilen.

Als Baustein der internen Risikoprävention und Korruptionsbekämpfung gelten

Kür oder Pflicht?Ein Beitrag von Kai Leisering und Kenan Tur, Vorstände, Business Keeper AG


Kai LeiseringVorstand, Business Keeper AG

Kenan TurVorstand, Business Keeper AG

externe Ombudsperson bis hin zu elektro-nischen Anwendungen können Organisa- tionen aus einer Vielzahl unterschiedlicher Hinweisgebersysteme wählen.

Für die passgenaue Ausgestaltung eines Hinweisgebersystems sind nicht nur die Größe und die Struktur des Unternehmens relevant; es muss außerdem festgelegt werden, ob eine anonyme Meldungsabga-be unterstützt wird, zu welchen Themen- schwerpunkten Hinweise erfasst werden und in welchen Sprachen die Hinweisab- gabe und -bearbeitung angeboten wird. Bei internationalem Einsatz der Anwen-dung müssen darüber hinaus die jeweilgen länderspezifischen Datenschutzanforde-rungen abgebildet werden.

Webbasierte Hinweisgebersysteme sind grundsätzlich sehr flexibel einsetzbar. Sie ermöglichen eine zeit- und ortsunab-hängige Abgabe von Hinweisen und können in jeder benötigten Sprache auf- gesetzt werden. Allerdings gibt es große Unterschiede hinsichtlich der Sicherheit der verschiedenen internetgestützten Anwendungen. Es sollte darauf geachtet werden, dass ein zertifiziertes und audi- tierbares Hinweisgebersystem eingesetzt wird, um auch zukünftigen normativen, sicherheits- wie datenschutzrechtlichen Anforderungen gerecht werden zu können. Unzureichende Schutzmaßnahmen werden häufig jedoch erst erkannt, wenn Sicher-heitslücken oder Missstände auftreten und womöglich bekannt werden. Diese Situation nicht heraufzubeschwören, kann einen kostenintensiven Anbieterwechsel verhindern.

Um den höchstmöglichen Schutz der erho- benen personen- und meldungsbezogenen Daten und, bei Bedarf, die Anonymität des Hinweisgebers sicherstellen zu können, bedarf es sowohl einer autarken Anwen-dung als auch spezieller Verschlüsselungs-verfahren. Mit einer Postkastenfunktion kann der vertrauliche Austausch zwischen dem Hinweisgeber und dem unternehmens- seitigen Bearbeiter umgesetzt und gleichzeitig die Identität des Meldenden geschützt werden. Eine schwerpunktbasierte Gestal- tung des Hinweisabgabeprozesses unter- bindet darüber hinaus denunziatorisch motiviertes oder auch unkontrolliertes Melden zu unerwünschten Themen.

Regelmäßige unabhängige Überprüfungen der getroffenen Maßnahmen im Rahmen von Sicherheits- und Penetrationstests sowie Datenschutzzertifizierungen nach deutschem und europäischem Daten-schutzrecht sind ein wichtiges Qualitäts-merkmal webbasierter Hinweisgebersys- teme. Nicht zuletzt infolge der NSA-Affäre und des Urteils des Europäischen Gerichts-hofs zum Safe-Harbor-Abkommen wird zu einer Datenhaltung auf geschützten Servern in Rechenzentren der EU geraten. Alternativ sollten sichere Drittstaaten mit angemessenem Datenschutzniveau ge- wählt werden, beispielsweise die Schweiz. Dritte, darunter auch die Anbieter der An- wendung selbst, sollten zu keinem Zeit- punkt interpretierbaren Zugriff auf die Daten haben.

Erst ein derart ausgestaltetes Sicherheits-niveau bietet in technischer Hinsicht die Voraussetzungen für den erfolgreichen Einsatz eines elektronischen Hinweisgeber-

systems. Bei Bedarf kann eine solche Anwendung sehr gut mit einer sprach- basierten Lösung oder einer anwaltlichen Ombudsperson kombiniert werden, um unterschiedliche Hinweisgeber-Ziel-gruppen anzusprechen.

Auch wenn die Anforderungen an Com- pliance kontinuierlich steigen, müssen der Aufbau einer Compliance-Organisation und der Einsatz eines Hinweisgebersytems planvoll und systematisch umgesetzt werden. Werden Compliance oder der Einsatz eines Hinweisgebersystems als Feigenblatt missbraucht, bleiben die gewünschten internen und externen Effekte aus. Mit einem auf die unterneh-mensinternen Anforderungen zugeschnit-tenen Hinweisgebersystem, sinnvoll ver- zahnt mit anderen Maßnahmen eines Compliance-Management-Systems (CMS) und eingebettet in eine authentische Compliance-Kultur, können Compliance- Risiken hingegen nachweislich reduziert werden, und zwar in mehrfacher Hinsicht: Über die Früherkennung und Aufklärung von Compliance-Verstößen, über die Haftungsbegrenzung wie auch über die Abschreckung potenzieller Straftäter. Darüber hinaus wird ein effizientes CMS immer öfter zum Wettbewerbsvorteil in Geschäftsbeziehungen: 76 Prozent der Unternehmen verpflichten Geschäftspart-ner vertraglich dazu, geltende Gesetze und Richtlinien einzuhalten, um Compliance in der Lieferkette sicherzustellen.

Dies ist eine Entwicklung, die sich in den nächsten Jahren sicher noch ver- stärken wird.


4.2Geschäftspartner-Compliance

Neben der Integrität der eigenen Mitar-beiter ist außerhalb des Unternehmens auch die Integrität der Geschäftspartner von großer Bedeutung für den eigenen Unternehmenserfolg. Zusätzlich zum ope-rativen und zum finanziellen Risiko droht Unternehmen vor allem auch ein schwer kalkulierbares Reputationsrisiko, wenn sie mit Geschäftspartnern zusammenarbei-ten, die sich nicht regelkonform verhalten, und dieses Fehlverhalten schließlich auf das eigene Unternehmen zurückfällt. So sollten sich Unternehmen mit Fragen der Integrität und der Effizienz in der Zusam-menarbeit auseinandersetzen, bevor sie in vertragliche Geschäftsbeziehungen mit Lieferanten, Vertriebsagenten oder sonstigen Geschäftspartnern treten.

Auch im Rahmen von M&A-Transaktionen gehören unentdeckte Compliance-Verstö-ße des Zielunternehmens zu den größten Risiken, die nach einem Unternehmenser-werb lauern. Um sich hier vor der Haftung aufgrund solcher Compliance-Verstöße zu

schützen, sollte vor dem Merger üblicher- weise eine Compliance Due Diligence durchgeführt werden. Hierbei sollte nicht nur rückwirkend geprüft werden, sondern auch, ob das Zielunternehmen inzwischen geeignete Strukturen geschaffen hat, um mögliche Verstöße auch künftig von vorn-herein zu erkennen und zu unterbinden.

Auf unsere Frage, welche Geschäfts-partner einer Due Diligence unterzogen werden, gaben 70 Prozent der befragten Unternehmen an, Zielunternehmen im Rahmen von M&A unter Compliance- Aspekten zu prüfen. Lieferanten werden von ebenfalls 70 Prozent der befragten Unternehmen geprüft. Zwei Drittel der Unternehmen überprüfen ihre Vertriebs- agenten, jedoch prüft nur die Hälfte der Unternehmen sonstige Berater. Eine Due- Diligence-Prüfung von Kunden durchzu-führen scheint für Unternehmen nicht ausreichend relevant zu sein, weniger als die Hälfte der befragten Unternehmen tun dies.

Es erfolgt in der Regel keine um-fassende Due-Diligence-Prüfung von Kooperationspartnern

70 %

64 %

70 %

52 %

44 %

10 %

0 % 100 %80 %60 %40 %20 %

Abbildung 26:

Welche Geschäftspartner werden einer Due-Diligence-Prüfung unterzogen?

Zielunternehmen im Rahmen von M&A

Vertriebsagenten/Makler/Vermittler

Lieferanten

Sonstige Berater

Kunden

Keine Prüfung



Verpflichtende Vertrags- klauseln für Zulieferer sollen die Compliance in der Liefer- kette fördern

Eine häufig angewandte Methode, um Compliance in der Lieferkette zu fördern, besteht für 76 Prozent der Unternehmen darin, dass sie Zulieferer durch Vertrags-klauseln ausdrücklich dazu verpflichten, geltende Gesetze einzuhalten. Alle weite-

ren Maßnahmen werden jeweils von weni-ger als der Hälfte der befragten Unter- nehmen ergriffen. 14 Prozent treffen über- haupt keine Maßnahmen, um Compliance in der Lieferkette zu festigen.

Abbildung 27:

Welche der folgenden Maßnahmen werden umgesetzt, um Compliance in der Lieferkette zu fördern?

Dokumentation der Maßnahmen zur Gewährleistung vonCompliance mit den Kundenanforderungen

Mitarbeiterschulungen des Zulieferers zu compliancerelevanten Themen

„Supplier Code of Conduct“

Supplier Self-Assessment Questionnaire

Verpflichtende Vertragsklauseln zu geltenden Gesetzen

Keine Maßnahmen

Festgelegte Verfahrensschritte zur Reaktion auf Compliance-Verstöße

Verpflichtende Vertragsklauseln zur Einhaltung des „Supplier Code of Conduct“

Verpflichtende Vertragsklauseln zu Corporate-Responsibility-Standards

Berücksichtigung compliancerelevanter Zertifizierungen

Vertragsstrafen bei Verstößen gegen Compliance-Anforderungen

Überprüfung der vereinbarten Compliance-Anforderungen vor Ort

Ausschluss von Aufträgen bei Verstoß gegen Compliance-Anforderungen

0 % 100 %80 %60 %40 %20 %

30 %

34 %

36 %

36 %

36 %

38 %

44 %

40 %

76 %

20 %

16 %

14 %

12 %


Es erfolgt eine ausgeprägte Hintergrundrecherche zur Be-wertung von Geschäftspartnern

Bevor Geschäftspartner im Hinblick auf ihre Integrität bewertet werden, werden sie anhand unterschiedlicher Methoden überprüft. Auf unsere Frage, welche Infor-mationen zur Überprüfung und Bewertung von Geschäftspartnern herangezogen werden, gaben vier Fünftel der befragten Unternehmen an, den Handelsregister- auszug des entsprechenden Geschäfts-partners anzufordern. Ebenfalls weit verbreitet sind die Überprüfung der Kreditwürdigkeit des Geschäftspartners sowie die Prüfung von Sanktionslisten beziehungsweise der Abgleich mit Terror- listen. Von jeweils knapp einem Viertel der Unternehmen wird bewertet, ob beim Geschäftspartner bestimmte Richtlinien oder ein CMS existieren.

Abbildung 28:

Welche Informationen werden zur Überprüfung und Bewertung von Geschäftspartnern herangezogen?

16 %

20 %

14 %

14 %

14 %

0 % 100 %80 %60 %40 %20 %

Existenz Compliance-Verantwortlicher

Subunternehmen

20 %Richtlinien zu Einzelthemen

22 %Verstöße gegen CSR-Standard

24 %Existenz eines E&C-Programms

24 %Existenz eines Code of Conduct

26 %Einfluss öffentlicher Einrichtungen

26 %Referenzkunden

32 %Recherche über Geschäftsführer/leitende Mitarbeiter

38 %Geschäftsbericht

38 %Hinweise auf Compliance-Untersuchungen

60 %Hintergrundrecherchen der Presse

68 %Sanktionslistenprüfung/Terrorlistenabgleich

70 %Überprüfung der Kreditwürdigkeit

80 %Handelsregisterauszug

Teilnahme an öffentlichen Ausschreibungen

Richtlinien zum Umgang mit dem öffentlichen Sektor

Supplier Code of Conduct


5


Förderung und Verbesserung von Compliance

Kein einheitlicher Weg zur Förderung und Verbesserung von Compliance

5.1Personalmaßnahmen zur Förderung von Compliance

Ein wirksames CMS basiert auf der Qualifikation und auf der Werteorientie-rung der Mitarbeiter des Unternehmens. Daher beginnt ein wirksames CMS bereits mit der richtigen Auswahl der Personen bei der Stellenbesetzung. Bei der Beset-zung compliancerelevanter Stellen sowie weiterer möglicher Risiko- bzw. sensibler Stellen sollte besonders darauf geachtet werden, dass hierfür Personen ausgewählt werden, die neben ihren fachlichen

Qualifikationen auch über die nötige Charakterstärke und entsprechende Wert- vorstellungen verfügen. Ist der passende Kandidat gefunden, sind Compliance- Klauseln in den Arbeitsverträgen sowie die Berücksichtigung von Compliance-Kriterien in der Zielvereinbarung der Mitarbeiter wichtige Maßnahmen, um den neuen Mitarbeiter effektiv in das Wertesystem des Unternehmens einzugliedern. So nahe- liegend sich diese Herangehensweise

• Uneinigkeit bei Personalmaßnahmen zur Förderung von Compliance Bei der Stellenbesetzung findet das Thema Compliance bei über einem Viertel der Unternehmen keine Berück-sichtigung. Im Rahmen der Leistungs-beurteilung sowie bei Anreizsystemen für Führungskräfte lassen sich die befragten Unternehmen in zwei Grup-pen einteilen: solche, die Compliance berücksichtigen, und solche, die diesen Faktor komplett vernachlässigen.

• Externe Beurteilung gilt längst nicht als Standard — ist aber weit verbreitet 58 Prozent der Unternehmen unter-ziehen ihr Programm einer internen Prüfung. Externe Prüfungen sind aber im Kommen.


5 Förderung und Verbesserung von Compliance

Bei einem Viertel keine Berücksichtigung von Compliance beim Recruiting

zunächst anhört, zeigt sich in unserer Um- frage doch, dass die Berücksichtigung von Compliance-Aspekten im Prozess der Stel- lenbesetzung noch nicht weit verbreitet ist. Unsere Studie ergab, dass zwar bereits 60 Prozent der Unternehmen Arbeits-

verträge nutzen, die eine Compliance- Verpflichtung enthalten, jedoch findet bei einem Viertel der Unternehmen Compliance im Rahmen der Stellenbesetzung noch keine Berücksichtigung.

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 29:

In welcher Weise wird Compliance im Rahmen der Stellenbesetzung berücksichtigt?

38 %Berücksichtigung von Compliance-Kriterien in derZielvereinbarung von Mitarbeitern in sensiblen Bereichen

42 %Integritätsprüfung für Mitarbeiter in sensiblen Bereichen

44 %Unterschrift einer Compliance-Erklärung durch Mitarbeiter in sensiblen Bereichen

60 %Arbeitsverträge enthalten eine Compliance-Verpflichtung

26 %Keine Prüfung


Der Status quo bei der Berück-sichtigung von Compliance im Rahmen der Leistungsbeurtei-lung ist gespalten

Das gezielte Identifizieren und Einsetzen von Werten ist ein wichtiges Fundament moderner Vergütungssysteme. Es wird immer deutlicher, dass Vergütung nicht nur die ökonomische Wertsteigerung, sondern auch den spezifischen Werte- rahmen der Mitarbeiter und ihrer Führung abbildet.

Es zeigt sich jedoch in unserer Umfrage, dass Compliance in der Leistungsbeur- teilung bisher nicht mehrheitlich von den Unternehmen berücksichtigt wird. Nur knapp die Hälfte der befragten Unterneh- men berücksichtigt compliancerelevante Kriterien systematisch in der Leistungs- beurteilung von Managern (Compliance- Incentivierung). Und nur bei 36 Prozent der befragten Unternehmen werden diese Kriterien bei der Entscheidung über die berufliche Entwicklung (z. B. Beförderung) von Managern berücksichtigt.

Abbildung 30:

In welcher Weise wird Compliance im Rahmen der Leistungsbeurteilung berücksichtigt?

0 % 50 %40 %30 %20 %10 %

Compliancerelevante Kriterien (z. B. Integrität, vor-bildliches Verhalten etc.) werden systematisch in der

Leistungsbeurteilung von Managern berücksichtigt48 %

Keine Prüfung 44 %

Compliancerelevante Kriterien (z. B. Integrität, vorbildliches Verhalten etc.) werden systematisch bei Entscheidungen über die berufliche Entwicklung von

Managern berücksichtigt (z. B. Beförderung)

36 %



Uneinigkeit bei der Berück- sichtigung von Compliance im Rahmen der Anreizsysteme für Führungskräfte

Dabei ist die Compliance-Incentivierung einer der wesentlichen Grundpfeiler eines effektiven Integritäts- und Compliance- Managements. Mit „Incentivierung“ sind in diesem Kontext die variablen Bestand-teile einer Bonifizierung gemeint, die durch das individuelle Verhalten eines Mitarbeiters beeinflusst werden. Dennoch bedeutet Compliance-Incentivierung keinesfalls die Honorierung compliance- konformen Verhaltens. Vielmehr sollten mit Führungskräften Einzelziele im Compliance-Bereich als Vorgabe verein-bart und die Zielerreichung dieser Einzel- ziele incentiviert werden. Dagegen könnte gezieltes Fehlverhalten einen negativen Einfluss auf die variable Vergütung haben.2 Durchdachte und klug entwickelte Anreiz- systeme für Führungskräfte können zu einem maßgeblichen Werttreiber des Un- ternehmens werden und die Integrität des Gesamtunternehmens nachhaltig steigern.

Die im Rahmen unserer Studie befragten Unternehmen zeigten sich eher zweigeteilt bezüglich der Berücksichtigung von Compliance im Rahmen der Anreizsysteme für Führungskräfte. 44 Prozent betonen langfristige Anreize, um die Nachhaltigkeit der Unternehmensführung zu fördern; ebenfalls 44 Prozent berücksichtigen Compliance in genau diesem Rahmen nicht. Im Gegensatz zu den 44 Prozent, die langfristige Anreize betonen, stellen 12 Prozent fixe Anreize heraus, ebenfalls um die Nach- haltigkeit der Unternehmensführung zu fördern. In gleicher Weise interessant ist, dass 18 Prozent der Unternehmen aufgrund vertraglicher Vereinbarungen Ver- gütungszahlungen von Managern zurück-fordern können, die dem Unternehmen durch einen Compliance-Verstoß Schaden zugefügt haben („Clawback“-Klauseln).

2 Sofern arbeitsrechtlich durchsetzbar.


Abbildung 31:

In welcher Weise wird Compliance im Rahmen der Anreizsysteme für Führungskräfte berücksichtigt?

0 % 50 %40 %30 %20 %10 %

Ein Teil der Managementvergütung wird in einem „Restricted Company Stock“ ausbezahlt, der mehrere

Jahre gehalten werden muss20 %

Bei Entscheidungen über Beförderungen werden qualitative Kriterien berücksichtigt, die auf die

Nachhaltigkeit der Unternehmensführung abstellen34 %

Bei der Festlegung des Jahresendbonus/der Leistungs- beurteilung von Führungskräften werden qualitative

Kriterien berücksichtigt, die auf die Ethik, Compliance und/oder Integrität abstellen

38 %

Betonung langfristiger Anreize, um die Nachhaltigkeit der Unternehmensführung zu fördern 44 %

Keine Berücksichtigung 44 %

Das Unternehmen kann aufgrund vertraglicher Verein- barungen Vergütungszahlungen von Managern zurück-

fordern, die dem Unternehmen durch einen Compliance- Verstoß Schaden zugefügt haben (sog. „Clawback“-Klauseln)

18 %

Betonung fixer Anreize, um die Nachhaltigkeit derUnternehmensführung zu fördern 12 %



5.2Prüfung und Verbesserung von Compliance-Management- Systemen

Das von der Unternehmensleitung einge-führte CMS sollte hinsichtlich seiner An- gemessenheit, seiner Funktionsfähigkeit und seiner Wirksamkeit laufend geprüft und überwacht werden.

Auf die Frage, welche Maßnahmen zur regelmäßigen Prüfung und Verbesserung des Integritäts- und Compliance-Manage-ment-Systems umgesetzt werden, gaben 58 Prozent der befragten Unternehmen an, das CMS regelmäßig einer internen Prüfung zu unterziehen. Des Weiteren gaben 44 Prozent der Unternehmen an,

ihr CMS anhand einer Selbstevaluierung zu beurteilen. Nur 32 Prozent gaben an, ihr Programm durch einen externen Prüfer bewerten zu lassen: 22 Prozent der Be- fragten lassen die Prüfungen nach dem IDW PS 980 und 10 Prozent nach sonsti-gen Prüfungsstandards wie beispielsweise TÜV, SA 8000 oder ISO durchführen. Allerdings ergreift ein Viertel der Studien-teilnehmer keine Maßnahmen zur Prüfung und Verbesserung des CMS, was der bis- herigen Erkenntnis, dass oftmals imple-mentiert und dokumentiert, jedoch nicht verbessert wird, entspricht.

Die Prüfung des E&C-Programms erfolgt intern

0 %0 % 100 %80 %60 %40 %20 %

Abbildung 32:

Welche der folgenden Maßnahmen zur regelmäßigen Prüfung und Verbesserung des E&C-Programms werden umgesetzt?

22 %Die Prüfung erfolgt im Rahmen regelmäßigerMitarbeiterbefragungen

22 %Die Prüfung wird durch einen externen Prüfer nach IDW PS 980 durchgeführt

44 %Die Beurteilung basiert auf einer internen Selbst- evaluierung (z. B. durch die interne Revision etc.)

24 %Keine Maßnahmen

58 %Das E&C-Programm wird regelmäßig

einer internen Prüfung unterzogen (z. B. durch Risikomanagement, Revision etc.)

10 %Die Prüfung wird durch einen externen Prüfer nachsonstigem Prüfungsstandard durchgeführt


Kernelemente des Compliance- Management-Systems sind nicht unternehmensweit umgesetzt

Auf die Frage, wie flächendeckend die Kernelemente des CMS unternehmensweit umgesetzt werden, lautete bei 46 Prozent der Unternehmen die Antwort: „Nur in der Unternehmenszentrale.“ 16 Prozent gaben an, die Kernelemente in allen konsolidier-ten Unternehmenseinheiten umgesetzt zu haben, weitere 34 Prozent haben sie nur teilweise in den konsolidierten Unter- nehmenseinheiten umgesetzt.

Innerhalb dieser 34 Prozent äußerte der größte Teil jedoch, dass die Kernelemente in mehr als 75 Prozent aller konsolidierten

Unternehmenseinheiten umgesetzt worden seien. Zudem konnten vier Prozent keine Auskunft geben, wie flächendeckend das CMS umgesetzt ist.

Abbildung 33:

Wie flächendeckend sind die Kernelemente des E&C-Programms unternehmensweit umgesetzt?

0 %0 % 100 %80 %60 %40 %20 %

4 %In 26–50 % aller konsolidierten Unternehmenseinheiten

6 %In maximal 25 % aller konsolidierten Unternehmenseinheiten

14 %In mehr als 75 % aller konsolidierten Unternehmenseinheiten, aber nicht in allen

10 %In 51–75 % aller konsolidierten Unternehmenseinheiten

16 %In allen konsolidierten Unternehmenseinheiten

46 %Nur in der Unternehmenszentrale

4 %Nicht bekannt


Fazit

Corporate Compliance 2016


Corporate Compliance im Jahr 2016 — unsere Befragung hat gezeigt, dass das Thema Compliance sehr wohl in der Wirtschaft angekommen ist. Die Ausgestaltung der Compliance-Governance und -Organisation, der Programmelemente sowie der weichen Faktoren der Compliance-Kultur ist jedoch sehr differenziert zu betrachten.

Festzustellen bleibt: Eine Standardlösung für Compliance gibt es nicht. Auch wenn die US Federal Sentencing Guidelines (Sect. 8b), die FCPA Guidance, der UK Bribery Act oder auch neu aufge- kommene Standards wie ISO 19600 und ISO 37001 vermeintlich den Rahmen klar definieren, muss jedes Unternehmen das jeweils perfekte Mittel finden, um den unternehmensindividuellen Risiken zu begegnen. Und dieses sollte als Fundament stets die bestehende Unternehmenskultur und die Compliance-Strategie berücksichtigen.

Essenziell zeigt sich die Rolle des Managements in unserer Befragung — und hier sehen wir auch das größte Entwicklungs- potenzial. Denn Unternehmensskandale und Sanktionen setzen zuerst am Topmanagement an. Das Umdenken in diesem Bereich hat begonnen und wird sich zukünftig verstärken, sodass das jährliche Compliance-Reporting an die Geschäftsführung/den Vorstand und die Aufsichtsgremien nur als absolute Basisanforde- rung gelten wird. Dies hat wiederum Einfluss auf die Arbeit des Compliance Officers: Auch hier werden sich in Zukunft starke Veränderungen ergeben.

Traditionelle Compliance-Management-Modelle werden sich verändern: weg von Risikomanagement und Kontrolle, hin zu einem verhaltensökonomischen Ansatz. Dies führt zu einem weniger rechtsökonomischen Aspekt der Compliance und zu weichen Faktoren der Unternehmensführung. Dabei versteht sich der Compliance Officer als der „Coach“ der Integrität — als Wertevermittler und Förderer. Aber auch als die Person, die Risiken frühzeitig erkennt und das Unternehmen mit nachhaltigen Lösungen auf der Erfolgsspur hält. Der Compliance Officer als strategischer Berater — dieses Rollenverständnis werden wir in Zukunft öfter sehen.

Wir freuen uns schon auf die nächste EY Compliance Benchmark Survey, um den ersten branchenübergreifenden und branchen- spezifischen Vergleich im Bereich Integrität und Compliance ableiten zu können.


Ihre Ansprechpartner

Dr. Stefan HeißnerManaging Partner EMEIA Central Zone/GSABusiness Integrity & Corporate Compliance

Ernst & Young GmbH WirtschaftsprüfungsgesellschaftBörsenplatz 1 50667 Köln

Telefon +49 221 2779 11397Mobil +49 160 939 [email protected]

Andreas PyrcekPartner, CCEP-I Business Integrity & Corporate Compliance

Ernst & Young GmbH WirtschaftsprüfungsgesellschaftGraf-Adolf-Platz 1540213 Düsseldorf

Telefon +49 211 9352 26881Mobil +49 160 939 [email protected]


ImpressumErnst & Young GmbH WirtschaftsprüfungsgesellschaftMergenthalerallee 3–565760 Eschborn

BildquelleniStockphoto LP. (istockphoto.com)

DesignMedienmassiv, Stuttgart (medienmassiv.com)

EY | Assurance | Tax | Transactions | Advisory

Die globale EY-Organisation im ÜberblickDie globale EY-Organisation ist einer der Marktführer in der Wirtschafts-prüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen — für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“.

Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com.

In Deutschland ist EY an 21 Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited.

© 2016 Ernst & Young GmbH WirtschaftsprüfungsgesellschaftAll Rights Reserved.

GSA AgencyBKL 1604-043ED None

EY ist bestrebt, die Umwelt so wenig wie möglich zu belasten. Diese Publikation wurde CO2-neutral und auf FSC®-zertifiziertem Papier gedruckt, das zu 60 % aus Recycling-Fasern besteht.

Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Voll-ständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer Mitgliedsunternehmen der globalen EY-Organisation wird ausgeschlossen. Bei jedem spezifi-schen Anliegen sollte ein geeigneter Berater zurate gezogen werden.

www.de.ey.com

Existing Practice in Compliance 2016 - ACFE German Chapter€¦ · 4 Monitoring und...

Documents

Transcript of Existing Practice in Compliance 2016 - ACFE German Chapter€¦ · 4 Monitoring und...