Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2...

32
RISK & COMPLIANCE Compliance- Management- Systeme kpmg.at

Transcript of Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2...

Page 1: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

Risk & ComplianCe

Compliance-Management-

Systeme kpmg.at

Page 2: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

2 |2 | inhalt

Inhaltsverzeichnis

1 Vorwort 32 Einführung 4 2.1 Begriff 4 2.2 Bedeutung von Compliance und Folgen von non-Compliance 4 2.3 Compliance-management-system 53 Verantwortung für Compliance 6 3.1 organverantwortung des Vorstands 6 3.1.1 Umfassende Verantwortung für Compliance 6 3.1.2 Rechtspflicht zur einrichtung eines Compliance-management-systems 6 3.1.3 Grundlagen der ausgestaltung eines Compliance-management-systems 7 3.2 organverantwortung des aufsichtsrats 8 3.2.1 Überwachungsverantwortung für Compliance im allgemeinen 8 3.2.2 Überwachung eines vorhandenen Compliance-management-systems 8 3.2.3 Überwachung von einzelfällen 8 3.2.4 Delegation der Überwachungsaufgabe 9 3.3 Verantwortung des abschlussprüfers 9 3.3.1 Redepflicht des abschlussprüfers im Rahmen der abschlussprüfung 9 3.3.2 pflichten des abschlussprüfers bei der prüfung seC-registrierter Unternehmen 94 Best-Practice-Maßstäbe für ein Compliance-Management-System 11 4.1 Das kpmG 7x7-modell® 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung 15 4.3.2 aufgaben des Chief Compliance officer 15 4.3.3 aufgaben des Compliance Committee 17 4.3.4 einordnung in die Gesamtorganisation 18 4.4 integration bestehender instrumente und systeme 18 4.4.1 Risikomanagement 18 4.4.2 internes kontrollsystem 19 4.4.3 interne Revision 20 4.5 Überwachung, messung und kontinuierliche Verbesserung 205 Anwendungsfall Antikorruption 22 5.1 schwerpunkte eines Compliance-management-systems im Bereich der antikorruption 22 5.2 Risikoanalyse 22 5.3 Gestaltung der kerninstrumente 24 5.3.1 Commitment und policies 24 5.3.2 Führungsinstrumente 25 5.3.3 mitarbeiterschulungen 25 5.3.4 issues management 26 5.3.5 Compliance-prüfungen 28 5.3.6 Compliance Reporting 28 5.3.7 personalauswahl und -entwicklung 29 5.3.8 Business partner screening 29 5.3.9 notfallmanagement 306 Schlusswort 31

Page 3: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 3

1 Vorwort

Vorwort

es ist eine Binsenweisheit, dass Gesetze, rechtliche Verpflich-tungen und selbstverpflichtungen eingehalten werden müssen. Dies ist nicht leicht, wenn man die „Regelungswut“ der Gesetz- und Verordnungsgeber bedenkt, die den Unternehmen und ihren organen immer neue pflichten aufbürden. Die Vielzahl der Regeln wird nicht nur als Überregulierung empfunden, sondern macht die einhaltung der daraus resultierenden pflichten zu einem organisatorischen problem.

Haftungsfälle bei Vorständen und aufsichtsräten, explodierende prämien für manager- und organversicherungen sowie spekta-kuläre Rücktritte von aufsichtsräten und Vorständen bei namhaf-ten Unternehmen sorgen für Verunsicherung in der Wirtschaft und in der Öffentlichkeit. Darüber hinaus zeigt eine von kpmG bei dem meinungs- und sozialforschungsinstitut Tns emnid in auftrag gegebene Umfrage zum Thema „Compliance“, dass bei deutschen Unternehmen diesbezüglich noch erheblicher Verbesserungsbedarf besteht.

in diesem Zusammenhang ist der aus dem angelsächsischen Wirtschaftsrecht entnommene Begriff Compliance in der Wirtschaftspresse und in der wissenschaftlichen literatur auf-getaucht. Unter diesem unscharfen Begriff wird nicht immer dasselbe verstanden. Hinzu kommt, dass sich im regulatori-schen Bereich neuigkeiten ergeben: artikel 41 abs. 2 der 8. eU-Richtlinie normiert die Verpflichtung des prüfungsausschusses, die „Wirksamkeit des internen kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagement-systems“ zu überwachen, um eine „umfassende analyse, steuerung und offenlegung der Hauptrisiken der Unternehmen sicherzustellen“.

Der Begriff Compliance wird in der Richtlinie zwar nicht ausdrücklich verwendet, dennoch werden als Hauptrisiken auch solche betrachtet, die aus dem Verstoß gegen geltende Rechts- und Verwaltungsvorschriften resultieren. im mittelpunkt der Diskussion steht bei vielen Unternehmen gegenwärtig die Compliance-organisation und die Frage, wie Compliance im allgemeinen sichergestellt und korruption im speziellen in den Unternehmen wirksam und nachhaltig verhindert werden kann.

Das vorliegende Dokument geht auf die organverantwortung für die sicherstellung von Compliance ein, stellt allgemeingül-tige Best-practice-maßstäbe für ein Compliance-management-system auf und leitet daraus einen skalierbaren Vorschlag für eine Compliance-organisation ab. Den abschluss bildet die Dar-stellung eines Compliance-management-systems, das auf den speziellen anwendungsfall „antikorruption“ zugeschnitten ist.

korruption nützt – wenn überhaupt – nur einigen wenigen; korruption schadet aber ohne Zweifel allen. Daher müssen moralische Werte aktiv in das Unternehmen integriert werden, zu denen die ökonomischen anreize nicht im Widerspruch stehen dürfen. mit der vorliegenden Veröffentlichung soll den Unternehmen bei der einrichtung und optimierung eines Compliance-management-systems und bei ihren antikorrup-tions-Bemühungen eine Hilfestellung geboten werden. kpmG verfügt über spezialisten in audit, Tax und advisory, die mit ihren umfangreichen erfahrungen im Bereich Compliance und antikorruption Unterstützung bei allen Fragestellungen zu die-sem Themengebiet leisten können.

Wien, im Dezember 2011

Page 4: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

4 |

2 Einführung Compliance ist derzeit in aller munde. Unklar erscheint jedoch im einzelnen, was unter diesem angelsächsischen Begriff zu verstehen ist. Verfolgt man aufmerksam die Wirtschaftspresse, so werden in diesem Zusammenhang ausschließlich Fraud- bzw korruptionsfälle sowie Verstöße gegen das Wettbewerbs- und kartellrecht genannt. Doch der Begriff Compliance ist wesentlich weiter gefasst.

einführung

2.1 Begriff

Compliance umfasst die einhaltung aller Gesetze, Verordnun-gen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig eingegangenen selbstverpflichtungen. Compliance ist damit eine „umfassende aufgabe“ mit Bezug zu

• allen Bereichen und prozessen im Unternehmen, dh keine Beschränkung auf einzelne sparten oder Geschäftsbereiche (bereichsübergreifend);

• allen Gesellschaften in einem konzernverbund, gleich welcher Rechtsform (konzernübergreifend);

• allen Rechtsordnungen, mit denen das Unternehmen bzw der konzern in Berührung kommt (länderübergreifend);

• allen leitungs- und mitarbeiterebenen (personalübergrei-fend);

• allen Rechtsgebieten, mit denen das Unternehmen sowie die organmitglieder (bzw ihre nahen angehörigen) in Berührung kommen (rechtsgebietsübergreifend).

Zudem werden unter dem stichwort Non-Compliance auch solche Handlungen subsumiert, die gegen vom Unterneh-men selbst gesetzte Vorschriften verstoßen, etwa gegen die satzung bzw den Gesellschaftsvertrag, Geschäftsordnungen, interne Richtlinien und Verhaltensvorschriften (zB einen Code of Conduct).

eigentlich ist es eine selbstverständlichkeit, dass Unterneh-men, ihre organmitglieder und mitarbeiter in einklang mit dem geltenden Recht handeln. Dies indes zu gewährleisten, wird angesichts der steigenden Flut an Vorschriften und aufeinan-dertreffender sehr unterschiedlicher pflichtenordnungen zuneh-mend schwieriger. Deshalb steht aktuell nicht nur die erwartung an ein rechtmäßiges Verhalten in Rede, wenn die organe und deren mitarbeiter im Unternehmen handeln, sondern auch die summe jener organisatorischen maßnahmen, die das rechtmäßige Verhalten der mitarbeiter gewährleisten sollen. Rechtsverletzungen, aber auch Verstöße gegen freiwillige und kommunizierte selbstverpflichtungen sind heute – angesichts der drastischen wirtschaftlichen Folgen für Unternehmen (und Unternehmensleitungen) – zum operationellen Risiko gewor-den. ihnen zu begegnen, erfordert es heute, Compliance als unternehmensweite organisationsanforderung zu begreifen.

Das ausgangsproblem ist für alle Unternehmen gleich: sie haben sicherzustellen, dass alle einschlägigen Vorschriften

beachtet werden. auch wenn dabei gewisse Grundideen und maßstäbe für alle Unternehmen gelten, im einzelnen wird die ausrichtung und ausgestaltung eines Compliance-manage-ment-systems immer unternehmensindividuell vorzunehmen sein.

Dabei sind die möglichen konfliktbereiche für das jeweilige Unternehmen abhängig von der Branche, in der es tätig ist, ebenso wie von seiner Größe und komplexität, der nationalen bzw internationalen positionierung oder aber einem etwaigen kapitalmarktbezug. mithin unterscheiden sich auch die not-wendigen maßnahmen. Compliance bei einem kreditinstitut muss anders aussehen als bei einem Chemie-oder pharmaun-ternehmen, bei einem internationalen konzern anders als bei einem mittelständischen Familienunternehmen, das nur am heimischen markt auftritt.

aus Rechtsverstößen resultieren auch wirtschaftliche Risiken für die Unternehmen, die im extremfall sogar bestandsgefähr-dende sein können. als konsequenz muss es aufgabe der Unternehmensleitung sein, Risiken aus Compliance-Verstößen zu identifizieren, zu bewerten und zu managen, um ihnen so weit wie möglich schon präventiv zu begegnen.

2.2 Bedeutung von Compliance und Folgen von Non-Compliance

in der Vergangenheit haben Rechtsverstöße immer wieder Unternehmen in die öffentliche kritik gebracht und die Unter-nehmen sowie die obersten ebenen wie etwa Vorstand und aufsichtsrat in Haftungsfälle verwickelt. Zu denken ist nicht nur an die erheblichen Bußgelder und Geldstrafen bei Verstößen gegen das Wettbewerbs- und kartellrecht oder bei aufgedeck-ten Fällen von korruption. spektakuläre Beispiele gibt es auch auf anderen Gebieten, etwa bei Verstößen gegen das kapital-markt-, arbeits- und steuerrecht, das lebensmittelrecht, das Umwelt- oder das produkthaftungsrecht.

ebenso unterschiedlich wie die pflichten selbst sind die Rechts-folgen bei pflichtverletzungen, die das einzelne Unternehmen bzw seine organmitglieder treffen können.

Page 5: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 5

Folgen von non-Compliance für Unternehmen können sein:

• Bußgelder und Geldstrafen (auch für Verstöße durch Vor-standsmitglieder, die für das Unternehmen gehandelt haben), Gewinn- und mehrerlösabschöpfungen, bei Verstößen gegen öffentlich-rechtliche Vorschriften (zB UWG und WettbG), Ver-fall des erlöses;

• Finanzstrafrechtliche konsequenzen, straf- und Verspätungs-zuschläge;

• ausschluss von (öffentlichen) ausschreibungen;• imageverlust;• schlechtere Bewertung durch den kapitalmarkt und/oder• erheblicher interner aufwand und hohe externe kosten (zB

für Rechtsanwälte und Berater) – auch schon beim Vorwurf entsprechender strafdelikte bzw ordnungswidrigkeiten.

Folgen von non-Compliance speziell für Organmitglieder, aber auch andere mitarbeiter können sein:

• (finanz-)strafrechtliche Verantwortung;• Bußgelder und Geldstrafen;• schadenersatzansprüche des Unternehmens im Falle unzu-

reichender (vertikaler) Überwachung;• schadenersatzansprüche bei der schädigung Dritter;• abberufung und kündigung und/oder• Reputationsverlust.

nicht immer lassen sich unmittelbar und direkt finanzielle schäden für das Unternehmen als Folge von Rechtsverstößen erkennen. Zum Teil entstehen diese erst mittelbar, wie etwa durch einen imageverlust für das Unternehmen bzw für ein organmitglied, der erst auf lange sicht zu einer wirtschaftlichen Belastung für das Unternehmen werden kann.

2.3 Compliance-Management-System

Unter einem Compliance-management-system werden grundsätzlich alle instrumente und mechanismen verstanden, die die prinzipien und Wertvorstellungen einer organisation entwickeln, implementieren und im strategischen und opera-tiven Geschäft durchsetzen. Das Compliance-management-system unterstützt dabei alle anstrengungen zum erreichen eines rechts- und regelkonformen Verhaltens von organmit-gliedern, Führungskräften und mitarbeitern und stellt damit ein wesentliches element der Wirksamkeit des kontroll-umfeldes und der kontrollen überhaupt dar. Gesamtziel ist, Compliance-Risiken im Rahmen eines Gesamtkonzeptes zu erkennen, zu managen und somit jederzeit einen Gesamt-überblick über die vorhandenen Risiken, deren inventarisie-rung und Überwachung zu erhalten.

Ziel eines Compliance-management-systems muss es sein, die oben genannten Folgen von non-Compliance zu reduzie-ren oder ganz zu vermeiden. Das Compliance-management-system:

• wirkt darauf hin, dass sich das Unternehmen, alle organmit-glieder und mitarbeiter zu einem rechtmäßigen Verhalten bekennen und sich entsprechend verhalten;

• erhöht die Transparenz von Risiken;• wirkt präventiv und verhindert oder vermindert zumindest

damit die Risiken einer non-Compliance;• kann anschuldigungen bzw etwaige Rechtsverstöße im

Unternehmen untersuchen und offenlegen und ermöglicht damit geeignete maßnahmen zur schadensbegrenzung;

• wendet gegebenenfalls drastische Rechtsfolgen (schadens-folgen, imageverlust, strafrechtliche Verfolgung) von Rechts-verletzungen für das Unternehmen, die organmitglieder und mitarbeiter ab;

• kann kurzfristige und fundierte Reaktionen auf unwahre anschuldigungen erleichtern;

• kann das Vertrauen der Geschäftspartner sichern;• kann für eine Darstellung des Unternehmens als „gutes

investment am kapitalmarkt“ und als „Good Corporate Citi-zen“ in der Öffentlichkeit sorgen.

einführung

Page 6: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

6 |

3 Verantwortung für Compliance Compliance ist heute als wichtiger Bestandteil einer guten Corporate Governance anerkannt und deshalb zentrale aufgabe der obersten ebenen jedes Unternehmens. Gleichwohl gibt es hierzu kaum allgemeine gesetzliche Vorgaben. allein branchenspezifisch, etwa für kreditinstitute und Versicherungsunternehmen, lassen sich sondervorschriften finden. auch eine höchstrichterliche – verallgemeinerungsfähige – Rechtsprechung existiert nicht. Dies gilt für aktiengesellschaften und Gesellschaften mit beschränkter Haftung gleichermaßen, wobei in letzteren freilich die Gestaltungsfreiheit, namentlich bei der Verteilung der aufgabenbereiche zwischen Geschäftsführung, aufsichtsrat und Gesellschafter, ungleich größer ist. nachfolgend soll die organverantwortung von Vorstand und aufsichtsrat für Compliance in aktiengesellschaften in den Blick genommen werden.

3.1 Organverantwortung des Vorstands

3.1.1 Umfassende Verantwortung für ComplianceDer Vorstand hat eine umfassende, selbstständige leitungs-verantwortung bei der Unternehmensführung (§ 70 abs. 1 aktG). sein (unternehmerisches) Handeln muss im umfassen-den sinne rechtskonform (compliant) sein. Zum sogenannten legal management gehört dabei nicht nur die suche nach der rechtlich zweckmäßigsten Gestaltung im Unternehmen, son-dern auch die Gewährleistung der Rechtsbefolgung durch das Unternehmen, seine organe und seine mitarbeiter.

Der Vorstand trägt mithin eine umfassende Verantwortung für Compliance im gesamten Unternehmen. er ist immer auch der legal Risk manager.

Im Einzelnen (vgl Abbildung 1):• Zunächst trifft jedes Vorstandsmitglied eine persönliche

Sorgfaltspflicht dahingehend, dass sein eigenes Verhalten in einklang mit Recht und Gesetz steht. Dies betrifft auch das einrichten von organisationsstrukturen und prozessen in dem einem einzelnen Vorstandsmitglied zugewiesenen Ressort ebenso wie im Bereich der pflichten, die nicht das Unternehmen, sondern das Vorstandsmitglied persönlich treffen, etwa die meldepflichten nach kapitalmarktrecht.

• entsprechend dem prinzip der Gesamtverantwortung im Vorstand haben sich die Vorstandsmitglieder auch der Recht-mäßigkeit des Handelns der Vorstandskollegen zu versichern (horizontale Compliance-Verantwortung). Dies geschieht im Regelfall durch eine vertrauensvolle Zusammenarbeit. Dabei dürfen sich die anderen Vorstandsmitglieder grundsätz-lich darauf verlassen, dass der Ressortverantwortliche seinen aufgaben sachgerecht nachkommt, solange keine auffällig-keiten vorliegen oder Unregelmäßigkeiten bzw missstände bekannt werden. Jedoch wird sich der Gesamtvorstand regelmäßig vom Ressortverantwortlichen über besondere Vorkommnisse berichten lassen.

• Der Vorstand ist schließlich nicht zuletzt auch dafür verant-wortlich, dass alle mitarbeiter im Unternehmen bei ausübung ihrer Tätigkeit für das Unternehmen Recht und Gesetz sowie alle internen Richtlinien und Verhaltensanweisungen beach-ten (vertikale Compliance-Verantwortung). Zwar kann Fehlverhalten des einzelnen mitarbeiters dem Vorstand nicht ohne Weiteres straf- und/oder zivilrechtlich zugerechnet werden, aber den Vorstand trifft aus seiner umfassenden aktienrechtlichen leitungsverantwortung (§ 70 abs. 1 aktG) die pflicht, die Rechtmäßigkeit im gesamten Unternehmen sicherzustellen.

Da der Vorstand insbesondere den letzten aspekt nicht in persona kontrollieren kann, muss er organisationsstrukturen schaffen, die die Rechtmäßigkeit des mitarbeiterverhaltens sicherstellen. Dazu gehören – neben dem erlass von Compli-ance-Richtlinien und der implementierung von systemen und prozessen – auch die sorgfältige auswahl der mitarbeiter, ihre anleitung und kontrolle. nicht zu vernachlässigen ist, dass der Vorstand – auch mit eigener Vorbildfunktion – dafür zu sorgen hat, dass sich eine entsprechende Kultur im Unternehmen entwickelt. Compliance muss gelebt werden. eine wirkungsvol-le vertikale Überwachungsstruktur wird zwar nicht vollständig verhindern können, dass es auf verschiedenen mitarbeiter-ebenen dennoch zu Rechtsverstößen kommen kann. sie kann jedoch helfen, den Vorstand in haftungsrechtlicher Hinsicht zu entlasten.

3.1.2 Rechtspflicht zur Einrichtung eines Compliance-Management-SystemsUm eine Vereinbarkeit der Gesamtheit von Handlungen inner-halb eines Unternehmens mit Recht und Gesetz sicherzustel-len, kann und sollte sich der Vorstand mithin eines funktionsfä-higen und angemessenen Compliance-management-systems bedienen. allein die aufstellung einer Compliance-Richtlinie und deren kontinuierliche anpassung sowie die Befassung mit den wichtigsten aufgedeckten Compliance-Fällen werden – je nach komplexität des Unternehmens – nicht genügen. Vielmehr muss das Compliance-management-system – um einer Haftung vorzubeugen – eine weitergehende, präventive Wirkung entfalten.

Verantwortung für Compliance

Page 7: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 7

ob indes eine allgemeine Rechtspflicht zur einrichtung eines Compliance-management-systems besteht, ist unklar und in der literatur umstritten. eine solche gesetzliche organisati-onsverpflichtung findet sich im aktiengesetz nicht ausdrücklich. insbesondere lässt sich eine solche nicht per se aus § 70 abs. 1 aktG – der allgemeinen leitungsaufgabe des Vorstands – ableiten. Dem Vorstand kommt danach ein weitreichendes unternehmerisches Ermessen bei der Unternehmensfüh-rung zu. Der aufsichtsrat kann dem Vorstand die einrichtung eines Compliance-management-systems zwar empfehlen, ihn nach österreichischer Rechtslage indes nicht hierzu anweisen.

auch aus § 82 aktG, der den Vorstand verpflichtet, ein den anforderungen des Unternehmens entsprechendes Rech-nungswesen und internes kontrollsystem einzurichten, lässt sich keine organisationspflicht für ein umfassendes Compli-ance-management-system herleiten.

anders als das aktienrecht kennen aber spezialgesetze für bestimmte Branchen die Verpflichtung der Unternehmenslei-tung, entsprechende organisatorische strukturen zu schaffen. Zu nennen sind hier etwa § 42 BWG oder § 17b VaG, die für Banken und Versicherungen explizit eine interne Revision vorschreiben. Daneben können in einzelnen Gesetzen andere Compliance-maßnahmen vorgesehen sein, etwa die einrich-tung eines Datenschutz-, Geldwäsche- oder eines arbeits-schutzbeauftragten.

aus der summe dieser Vorschriften und weiters unter Rück-griff auf das Verbandsverantwortlichkeitsgesetz sowie das Finanzstrafgesetz, die auch der Unternehmensleitung bei unterbliebener aufsicht über die mitarbeiter zur Verhinderung oder erschwerung von straftaten und ordnungswidrigkeiten mit erheblichen Bußgeldern und sanktionen bedrohen, wird in der rechtswissenschaftlichen literatur zunehmend eine allge-meine organisationspflicht des Vorstands zur sicherstellung der Rechtmäßigkeit des Unternehmenshandelns geschlussfolgert. Zum Teil wird eine solche organisationspflicht – aus Gründen der schadensprävention und Risikokontrolle – nur für beson-dere „Gefahrenbereiche“ angenommen. Die weit verbreitete praxis und etliche meinungen im schrifttum lehnen gleichwohl

eine solche allgemeine organisationspflicht noch immer ab, befürworten jedoch – vorwiegend aus exkulpationsgründen für den Vorstand – die einrichtung einer Compliance-organisation. Und in der Tat: Die zunehmende Haftungsdichte für die organ-mitglieder sollte anlass genug sein, sich Gewissheit über die Compliance-Festigkeit der Unternehmensorganisation zu verschaffen.

erwähnt sei an dieser stelle, dass auch das Unternehmens-rechtsänderungsgesetz 2008 (URÄG) aufbauend auf eU-Richtlinien die einrichtung einer Compliance-organisation nicht ausdrücklich vorschreibt. Zwar normiert art. 41 abs. 2 der 8. eU-Richtlinie (umgesetzt in § 92 abs. 4a aktG bzw § 30g abs. 4a GmbHG) die Verpflichtung des prüfungsausschusses, die Wirksamkeit des internen kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagement-systems (jährlich) zu überwachen, um – so die Diktion der eU-empfehlung vom Februar 2005 – eine umfassende analyse, steuerung und offenlegung der Hauptrisiken (einschließlich jener, die mit der Beachtung der geltenden Rechts- und Verwal-tungsvorschriften zusammenhängen) sicherzustellen (Textziffer 4.2 im anhang i). ob dies ein Compliance-management-system beinhaltet und inwieweit die Unternehmensleitung hier zur einrichtung eines solchen systems verpflichtet ist, lassen nati-onale Gesetzgebung, Richtlinie und eU-empfehlung hingegen offen. Tendenziell wird die Richtlinie aber im sinne eines ganz-heitlichen ansatzes verstanden, der insulatorische lösungen ausschließt.

3.1.3 Grundlagen der Ausgestaltung eines Compliance-Management-Systemsauch die ausgestaltung eines Compliance-management-sys-tems im einzelnen liegt nahezu vollständig in der organisations-hoheit des Vorstands (§ 70 abs. 1 aktG). Dies betrifft zunächst die anbindung einer Compliance-organisation bzw des Chief Compliance officer; auch hierfür gibt es keine rechtlichen soll-Vorgaben, weder nach Gesetz noch aus einer höchstrichterli-chen Rechtsprechung. Freilich muss eine Compliance-organisa-tion funktionsfähig, also wirkungsvoll und für das Unternehmen angemessen sein. aus Haftungsgründen ist es bedeutsam, dass der Vorstand die entscheidung über die einrichtung und

Jedes Vorstandsmitglied ist persönlich dafür verantwortlich, dass sein Verhalten in einklang mit anwendbarem Recht steht. Dies gilt auch bei der schaffung von organisationsstrukturen und prozessen.

Gegenseitige Überwachung des Vorstands (Gesamtverantwortung des Vorstands)

auswahl, anleitung, kontrolle von mitarbeitern und angemessene vertikale Überwachung kann Vorstandsmitglieder exkulpieren.

Abb. 1: Sorgfaltspflichten des Vorstandseigene

sorgfaltspflicht

Horizontale Compliance-Verantwortung

Vertikale Compliance-Verantwortung

Verantwortung für Compliance

Page 8: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

8 |

ausgestaltung eines Compliance-management-systems auf einer hinreichenden informationsbasis trifft. Dies schließt auch eine umfassende Risikoanalyse ein. in der praxis findet sich – aufgrund der nähe eines Compliance-management-systems zum Risikomanagement – häufig auf Unternehmensleitungs-ebene eine Zuweisung an den Ceo, CFo oder Coo, obwohl eine solche anbindung nicht rechtlich geboten ist. Versteht man das Compliance-management bzw den Chief Compliance officer (siehe unten abschnitt 4.4.2) als unabhängige stabs-stelle, ist unseres erachtens eine unmittelbare anbindung an den Ceo zu empfehlen, da in einer solchen struktur auch alle übrigen Vorstandsmitglieder integriert sind.

in bestimmten Branchen (zB kreditinstitute und Versicherun-gen) lassen sich aus spezialgesetzen konkrete Vorgaben für Compliance-management-systeme entnehmen, die jedoch nicht verallgemeinernd auf alle aktiengesellschaften oder ande-re Rechtsformen übertragbar sind.

3.2 Organverantwortung des Aufsichtsrats

3.2.1 Überwachungsverantwortung für Compliance im Allgemeinen eine besondere Überwachungsverantwortung des aufsichtsrats mit Blick auf Compliance bzw auf Compliance-management-systeme kennt das Gesetz nicht. notwendig ist ein Rückgriff auf die allgemeinen aktienrechtlichen Vorschriften:

Der aufsichtsrat hat die gesamte Geschäftsführung (dh den Vorstand) zu überwachen (§ 95 abs. 1 aktG). Die Geschäftsfüh-rung des Vorstands muss dabei rechtmäßig, ordnungsmäßig und zum Wohle der Gesellschaft erfolgen. Dies umschreibt zugleich den Überwachungsmaßstab des aufsichtsrats mit Blick auf das Handeln des Vorstands.

mithin ist es zunächst vorrangige pflicht des aufsichtsrats, die Rechtmäßigkeit des Vorstandshandelns selbst, also Verstöße von Vorstandsmitgliedern, zu überwachen. keine unmittelbare Überwachungspflicht kommt dem aufsichtsrat mit Blick auf die Rechtmäßigkeit des Handelns der Unternehmensmitar-beiter zu. Dies sicherzustellen, ist originäre leitungsaufgabe des Vorstands – welcher er unter anderem mit der schaffung von Compliance-strukturen nachkommen kann. Da es – wie oben dargestellt – zur leitungsaufgabe des Vorstands gehört, rechtmäßiges Handeln in der gesamten Unternehmung sicher-zustellen, obliegt es jedoch dem aufsichtsrat zu überwachen, wie der Vorstand dieser aufgabe nachkommt.

Wurde durch den Vorstand zur sicherstellung der Rechtmäßig-keit im Unternehmen ein Compliance-management-system eingerichtet, ist es aufgabe des aufsichtsrats, dieses system auf seine Wirksamkeit und Angemessenheit zu überwachen (vgl abschnitt 3.2.2). Hat der Vorstand dagegen von der ein-richtung eines Compliance-management-systems abgesehen, muss der aufsichtsrat vom Vorstand eine exakte Darstellung verlangen, wie dieser anderweitig die Rechtmäßigkeit des mitarbeiterhandelns sicherstellt. Der aufsichtsrat darf sich bei seiner Beurteilung auf die Berichterstattung durch den Vorstand

verlassen, die er insoweit unter plausibilitätsgesichtspunkten zu würdigen hat. Gegebenenfalls muss er einen sachverstän-digen (etwa den abschlussprüfer) mit einer prüfung gesondert beauftragen.

Der aufsichtsrat sollte dem Vorstand die einrichtung eines angemessenen Compliance-management-systems empfehlen; verbindliche anweisungen darf er insoweit jedoch nicht an den Vorstand richten.

3.2.2 Überwachung eines vorhandenen Compliance-Management-Systemsein vom Vorstand eingerichtetes Compliance-management-system hat der aufsichtsrat bezüglich seiner angemessenheit zu würdigen und bezüglich seiner Funktionsfähigkeit und Wirksamkeit zu überwachen (§ 92 abs. 4a aktG). so kann sich der aufsichtsrat vergewissern, ob der Vorstand geeignete Vorkehrungen getroffen hat, damit dieser in allen relevanten Bereichen auf die einhaltung der Rechtsvorschriften und inter-nen Richtlinien achtet, deren Befolgung im Unternehmen ange-messen gewährleistet und ihm alle wesentlichen sachverhalte zur kenntnis gelangen.

als Basis hierfür dient in erster linie die Vorstandsberichter-stattung nach §§ 81 und 95 aktG. Weitere spezifizierung für die kommunikation zwischen Vorstand und aufsichtsrat liefert weiters der Österreichische Corporate Governance kodex (www.corporate-governance.at).

Der Vorstand sollte dem aufsichtsrat eine systemdokumenta-tion vorlegen sowie den Bericht des Chief Compliance officer über aufgekommene und an den Vorstand gemeldete Verstöße, Zweifelsfälle und sich anbahnende probleme. Bei letzteren hat der Vorstand an den aufsichtsrat auch zu berichten, welche maßnahmen eingeleitet worden sind.

kann der aufsichtsrat nicht aus eigener anschauung und kom-petenz die Wirksamkeit des Compliance-management-systems beurteilen bzw reicht die zu diesem Zweck vorgelegte Doku-mentation nicht aus, muss er sich eines sachverständigen (zB des abschlussprüfers) bedienen. Zudem sollte der aufsichtsrat auch den Compliance-Beauftragten unmittelbar – in absprache mit dem zuständigen Vorstandsmitglied – befragen können. anlass hierzu besteht vor allem dann, wenn der aufsichtsrat von Rechtsverstößen kenntnis erlangt, die das Compliance-management-system nicht aufgedeckt hat.

konnte sich der aufsichtsrat auf Basis der Vorstandsberichte hingegen davon überzeugen, dass der Vorstand ein funktionie-rendes Compliance-management-system eingerichtet hat, kann der aufsichtsrat grundsätzlich – ausgenommen von den vom Vorstand berichteten Rechtsverstößen und Zweifelsfällen – von weitergehenden nachfragen und Überwachungshandlungen absehen.

3.2.3 Überwachung von EinzelfällenWerden dem aufsichtsrat vom Vorstand Rechtsverstöße bzw Zweifelsfälle berichtet (generiert aus dem Compliance-manage-ment-system oder auf andere Weise aufgedeckt) oder lässt der Vorstandsbericht Fragen offen, muss sich der aufsichtsrat – bei bedeutsamen (zB strafbewehrten oder hohe Reputationsschä-den auslösenden) einzelfällen – direkt mit dem sachverhalt

Verantwortung für Compliance

Page 9: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 9

auseinandersetzen und den gegebenenfalls bestehenden Rechtsverstoß aus eigener anschauung beurteilen. Der Vor-stand sollte deshalb dem aufsichtsrat diese einzelfälle in beson-derer Weise offenlegen. Denkbar ist, dass solche Vorfälle in der allgemeinen liste der bekannten Rechtsverstöße besonders hervorgehoben werden und dem aufsichtsrat separat über den sachverhalt und die eingeleiteten maßnahmen berichtet wird; insbesondere muss durch den Vorstand auch eine Risikoein-schätzung für das Unternehmen erfolgen.

Freilich wird sich der aufsichtsrat auf die Beurteilung des Vor-stands nicht allein verlassen können. er wird den sachverhalt – gegebenenfalls durch einschaltung eines experten – selbst-ständig und unabhängig würdigen müssen. Hierzu wird der aufsichtsrat neben weiteren informationen vom Vorstand selbst Unterlagen (schriften und Bücher) der Gesellschaft einsehen, wie etwa die ermittlungsergebnisse der internen Revision bzw des Chief Compliance officer. auch hier gilt: ein unmittelbarer Zugriff auf das Compliance-management-system, etwa durch Befragung des Compliance-Beauftragten, ist dem aufsichtsrat nur in abstimmung mit dem Vorstand gestattet.

Gravierende Rechtsverstöße können den aufsichtsrat zugleich veranlassen, eine sonderprüfung des Compliance-manage-ment-systems anzustoßen.

3.2.4 Delegation der ÜberwachungsaufgabeDer aufsichtsrat kann seine Überwachungsaufgabe in Teilen, nicht jedoch vollständig, einem ausschuss übertragen. mit Blick auf die Rechtmäßigkeit des Vorstandshandelns ist zu überlegen, dem prüfungsausschuss die Überwachung der Wirksamkeit und Zweckmäßigkeit eines vom Vorstand ein-gerichteten Compliance-management-systems ebenso zu übertragen wie – zumindest vorbereitend für das plenum – die Beurteilung einzelner (wesentlicher und vom Vorstand vorge-tragener) Rechtsverstöße. Dies ist insbesondere sinnvoll, da dem prüfungsausschuss auch die Überwachung des internen kontrollsystems, des Risikomanagement-systems und eines allfälligen internen Revisionssystems übertragen worden sind. in der praxis wird diese aufgabe deshalb auch häufig dem prüfungsausschuss zugeordnet. Denkbar wäre aber auch, die aufgabe an einen gegebenenfalls existierenden Risikoaus-schuss (so zB bei Banken) zuzuweisen oder einen Compliance-ausschuss einzurichten.

3.3 Verantwortung des Abschlussprüfers

3.3.1 Redepflicht des Abschlussprüfers im Rahmen der Abschlussprüfung§ 273 abs. 2 und 3 UGB verpflichten den abschlussprüfer (unverzüglich) zu berichten, ob bei der prüfung Tatsachen fest-gestellt worden sind, die den Bestand des geprüften Unter-nehmens oder konzerns gefährden oder seine entwicklung wesentlich beeinträchtigen können oder die schwerwiegende Verstöße der gesetzlichen Vertreter oder von arbeitnehmern gegen Gesetz, Gesellschaftsvertrag oder satzung erkennen lassen. Weiters ist über wesentliche schwächen bei der inter-nen kontrolle des Rechnungslegungsprozesses zu berichten.

Bei börsenotierten aktiengesellschaften erweitern sich diese prüfungspflichten auf die vom Vorstand gemäß § 92 abs. 4a aktG einzurichtenden internen kontrollsysteme, das Risiko-management-system und ein allfällig bestehendes internes Revisionssystem. Dem prüfungsausschuss kommt in diesem Zusammenhang die Verantwortung für die Überwachung der Wirksamkeit der oben genannten Unternehmensstrukturen und -abläufe zu.

insofern hat der abschlussprüfer bisher nur isolierte pflichten. Zum einen obliegt ihm die oben beschriebene Redepflicht nach § 273 abs. 2 und 3 UGB, soweit er während seiner prüfung von Unrichtigkeiten oder schwerwiegenden Verstößen kenntnis erlangt. seine prüfung muss aber nicht darauf ausgelegt sein, alle Unrichtigkeiten und Verstöße zu identifizieren. Zum ande-ren betrifft die gesetzlich festgelegte Redepflicht wesentliche schwächen im internen kontrollsystem, wenn diese im Rah-men der prüfung erkannt werden. es gilt auch hier zu beachten, dass die prüfung nur auf die identifikation von kontrollschwä-chen ausgerichtet ist, wenn das prüfungsurteil sich auf funkti-onierende kontrollen stützt. Dh ein erteilter uneingeschränkter Bestätigungsvermerk bedeutet nicht gleichzeitig, dass es aus-geschlossen ist, dass noch schwächen im kontrollsystem eines Unternehmens bestehen. soll der abschlussprüfer stellung zu einem Compliance-management-system nehmen, so könnte dies nur im Rahmen einer erweiterung der abschlussprüfung, die vertraglich festgelegt werden müsste, vorgenommen werden oder im Rahmen einer gesonderten prüfung des Compliance-management-systems erfolgen.

3.3.2 Pflichten des Abschlussprüfers bei der Prüfung SEC-registrierter UnternehmenDie Us-amerikanische Börsenaufsicht, die securities and exchange Commission (seC), hat Regeln für die abschluss-prüfung von seC-registrierten Unternehmen aufgestellt, die gegebenenfalls auch bei der abschlussprüfung von Unter-nehmen mit sitz in Österreich zu beachten sind. nach diesen Regeln, die im exchange act sec. 10a kodifiziert sind, muss der abschlussprüfer unter anderem prüfungshandlungen durch-führen, die darauf gerichtet sind, mit hinreichender sicherheit (reasonable assurance) solche unerlaubten Handlungen (illegal acts) aufzudecken, die eine direkte und wesentliche auswirkung auf den Jahresabschluss haben.

Die folgenden Regelungen sind dagegen Us-spezifisch und gehen über die österreichischen bzw auch die internationalen prüfungsstandards hinaus.

Prüfungshandlungen und Bericht an das Management Wenn ein abschlussprüfer im Rahmen seiner abschlussprüfung oder auf andere Weise Hinweise auf eine unerlaubte Handlung erhält – wobei es unbeachtlich ist, ob diese eine wesentliche auswirkung auf den Jahresabschluss hat oder nicht –, so ist der abschlussprüfer verpflichtet, • einzuschätzen (determine), ob es wahrscheinlich ist, dass

eine unerlaubte Handlung vorliegt, und• wenn dies der Fall ist, die auswirkung der unerlaubten Hand-

lung auf den Jahresabschluss abzuschätzen, einschließlich eventueller finanzieller Folgen wie strafen, Bußgelder und mögliche schadenersatzforderungen Dritter und

• so bald wie möglich die entsprechende übergeordnete leitungsebene (appropriate level of the management)

Verantwortung für Compliance

Page 10: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

10 |

hierüber zu informieren. Hierbei hat der abschlussprüfer auch sicherzustellen, dass das audit Committee oder – bei Fehlen eines audit Committee – der aufsichtsrat angemessen infor-miert wird. Dies ist nur in solchen Fällen entbehrlich, wenn klar erkennbar ist, dass die unerlaubte Handlung unbedeu-tend ist.

Berichtspflicht bei Unterlassen von Abhilfe schaffenden MaßnahmenWenn der abschlussprüfer darüber hinaus feststellt, dass nach der sicherstellung einer ausreichenden Berichterstattung an das audit Committee oder an den aufsichtsrat – insbesondere im Fall von unerlaubten Handlungen, die eine wesentliche auswirkung auf den Jahresabschluss des seC-registrierten Unternehmens haben – durch die Geschäftsleitung (senior management) keine Gegenmaßnahmen ergriffen werden und sie hierzu auch nicht vom audit Committee oder aufsichtsrat aufgefordert wurde, und es wahrscheinlich ist, dass als kon-sequenz entweder kein uneingeschränkter Bestätigungsver-merk durch den abschlussprüfer erteilt werden kann oder der abschlussprüfer sogar sein mandat niederlegen müsste, so hat der abschlussprüfer die pflicht, so bald wie möglich den aufsichtsrat zu informieren.

es ist aber anzumerken, dass eine niederlegung des mandats nach österreichischem Recht in der Regel nicht in Frage kommt und vielmehr eine umfassende Berichterstattung zu erfolgen hat.

Mitteilungen an die Securities and Exchange Commissionein seC-registriertes Unternehmen, dessen aufsichtsrat vom abschlussprüfer die oben genannten informationen erhalten hat, muss die seC innerhalb eines Geschäftstages nach erhalt dieser information hierüber informieren. Zudem hat es eine kopie dieses schreibens an die seC an den abschlussprüfer zu übersenden. Falls der abschlussprüfer nicht innerhalb eines Geschäftstages eine kopie dieses schreibens von seinem mandanten erhält, ist er verpflichtet, das mandat niederzulegen oder innerhalb eines Geschäftstages der seC eine kopie seiner stellungnahme an den aufsichtsrat zur Verfügung zu stellen. im Falle der niederlegung des mandats muss der abschlussprüfer auf jeden Fall der seC eine kopie seiner stellungnahme an den aufsichtsrat zur Verfügung stellen.

auch hier gilt der oben gemachte Hinweis zur niederlegung des mandates durch einen österreichischen abschlussprüfer.

Verantwortung für Compliance

Page 11: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 11

4 Best-Practice-Maßstäbe für ein Compliance-Management-System Die konkrete ausgestaltung eines Compliance-management-systems ist, wie in abschnitt 2.1 erläutert, wesentlich von der organisation des Unternehmens selbst abhängig. Daher werden in der literatur als Bewertungsmaßstäbe meist Grundprinzipien verwendet, an denen sich ein Compliance-management-system messen lassen kann. im Folgenden wird das kpmG 7x7-modell® vorgestellt, welches anhand von 7 Grundprinzipien mit jeweils sieben vertiefenden Teilaspekten eine Beurteilung erlaubt.

4.1 Das KPMG 7x7-Modell®

Das kpmG 7x7-modell® besteht zunächst aus den folgenden sieben prinzipien:

Prinzip 1: es ist ein pflichtenkanon implementiert worden, der alle unter Risikoaspekten relevanten Vorschrif-ten enthält (pflichtenkanon).

Prinzip 2: Die pflichten sind den jeweils verantwortlichen personen im Unternehmen kommuniziert worden (kommunikation).

Prinzip 3: es sind adäquate kontrollsysteme zur einhaltung der definierten pflichten implementiert worden (kontrollen).

Prinzip 4: pflichtkonformes Verhalten wird gefördert, abwei-chendes Verhalten wird nicht toleriert (anreizme-chanismen).

Prinzip 5: Das Compliance-management-system wird hin-sichtlich der Wirksamkeit und Qualität überwacht (Wirksamkeitsüberwachung).

Prinzip 6: entdeckte Compliance-Verstöße und die Bewer-tung des Compliance-management-systems wer-den innerhalb eines definierten Berichtsweges an die zuständigen stellen kommuniziert (Reporting).

Prinzip 7: Das Compliance-management-system wird auf Basis der erkenntnisse aus dem Überwachungs-prozess kontinuierlich verbessert (Verbesserung).

Die prinzipien werden im Folgenden anhand von jeweils sieben Teilaspekten weiter verfeinert. Die Bewertung der Teilaspekte kann auf Basis eines maturity-konzepts erfolgen, welches in abschnitt 4.2 dargestellt wird.

Zu Prinzip 1: Pflichtenkanon Es ist ein Pflichtenkanon implementiert worden, der alle unter Risikoaspekten relevanten Vorschriften enthält.

(1) Die relevanten normen wurden identifiziert. (2) Die normen sind auf Grundlage einer Risikoanalyse hin-

sichtlich ihrer Bedeutung für das Unternehmen priorisiert.

(3) Die priorisierung der Risiken ist aus der strategie und den Geschäftszielen des Unternehmens abgeleitet.

(4) Die ausprägung des Compliance-management-systems folgt den ergebnissen der Risikoanalyse.

(5) Die struktur und die strategie des Compliance-manage-ment-systems sind klar festgelegt und von der Unterneh-mensleitung freigegeben.

(6) es gibt ausreichende Ressourcen für Design, Umsetzung, Überwachung und Verbesserung des Compliance-manage-ment-systems.

(7) Die Veränderungen in den normen werden zeitnah erkannt und umgesetzt.

Das Ziel des ersten prinzips sowie seiner sieben Teilaspekte ist es, die sich aus den relevanten normen ergebenden unterneh-mensindividuellen Risiken zu kennen. Da nicht jede norm mit gleicher Wichtigkeit betrachtet werden kann, ist eine sinnvolle priorisierung wesentlich für die effektivität des Compliance-management-systems. Daneben muss eine ausrichtung an der strategie und den Geschäftszielen erfolgen, damit Compliance in die wesentlichen prozesse und abläufe integriert werden kann.

Zu Prinzip 2: Kommunikation Die Pflichten sind den jeweils verantwortlichen Personen im Unternehmen kommuniziert worden.

(1) es gibt ein klares Bekenntnis der Unternehmensleitung zu effektiver Compliance und zur Wertorientierung des Unter-nehmens.

(2) Die Unternehmenswerte sind allen mitarbeitern bekannt und finden eingang ins Tagesgeschäft.

(3) es gibt eine Compliance-kultur und eine infrastruktur zur meldung von Verstößen.

(4) es gibt umfassende Richtlinien, Verfahrensanweisungen und prozesse, die die normen vereinfachen, in alle relevanten sprachen übersetzen und so die einhaltung fördern.

(5) Die Verantwortlichkeiten für das Compliance-management-system sind auf allen ebenen klar definiert und zugeordnet.

(6) Der schulungs- und Trainingsbedarf, um mitarbeitern die erfüllung ihrer pflichten zu ermöglichen, ist identifiziert und durch geeignete schulungsmaßnahmen adressiert.

(7) Das Compliance-management-system wird intern so kom-muniziert, dass es jedem mitarbeiter bekannt und von

Best-practice-maßstäbe für ein Compliance-management-system

Page 12: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

12 |

diesem auch verstanden ist. Das Compliance-management-system wird ebenfalls extern an die stakeholder des Unter-nehmens kommuniziert.

Durch das prinzip „kommunikation“ sollen den mitarbei-tern mithilfe geeigneter maßnahmen die Umsetzung der Compliance-anforderungen ermöglicht und die tatsächliche Umsetzung von Compliance-maßnahmen gefördert werden. Weiterhin wird nach innen und außen die Bedeutung von Compliance demonstriert.

Zu Prinzip 3: Kontrollen Es sind adäquate Kontrollsysteme zur Einhaltung der definierten Pflichten implementiert worden.

(1) Die kontrollen auf Unternehmensebene (entity-level con-trols) unterstützen auch das Compliance-management-system.

(2) Die internen kontrollen berücksichtigen klassische kontroll-prinzipien (Funktionstrennung, Vier-augen-prinzip, need-to-know-prinzip).

(3) Die kontrollintensität orientiert sich an den identifizierten und priorisierten Compliance-Risiken.

(4) Die kontrollen sind in die bestehenden prozesse, abläufe und systeme integriert.

(5) Der aufbau und die angemessenheit (Design) der kontrol-len werden in regelmäßigen abständen evaluiert.

(6) Die zuverlässige Durchführung und Wirksamkeit (effektivität) der kontrollen werden in regelmäßigen abständen überprüft.

(7) es werden aufdeckungsorientierte prüfungshandlungen zur erkennung von Frühwarnindikatoren in Hinblick auf Compliance-Verstöße durchgeführt.

kontrollen kommt eine hohe Bedeutung zu, da sie das Ziel ver-folgen, die subjektive und objektive entdeckungswahrschein-lichkeit bei Compliance-Verstößen durch eine entsprechende ausgestaltung der kontrollstrukturen im Unternehmen zu erhöhen. Hierdurch werden mitarbeiter zusätzlich zur Com-pliance angehalten und die Wichtigkeit der maßnahmen wird erneut unterstrichen.

Zu Prinzip 4: Anreizmechanismen Pflichtkonformes Verhalten wird gefördert, abweichendes Verhalten wird nicht toleriert.

(1) Das Compliance-management-system steht mit der Unter-nehmensstrategie und den Geschäftszielen in einklang.

(2) Das Unternehmen hat ein definiertes Wertegerüst. (3) Die Werte des Unternehmens werden aktiv in das opera-

tive Geschäft integriert. (4) Die Compliance-Ziele stehen gleichberechtigt neben finan-

ziellen Zielen. (5) Die Compliance-Ziele finden eingang in die personalfüh-

rungssysteme. (6) Die anreiz- und sanktionsmechanismen sind unabhängig

von der Hierarchie. (7) Die Regelverstöße werden sanktioniert.

Durch dieses prinzip und seine sieben Teilaspekte soll die völ-lige Gleichstellung von Compliance- und finanziellen Zielen im Unternehmen erreicht werden. solchermaßen kann sich eine integritätsstrategie im Unternehmen entwickeln, die neben

dem erfolg im operativen Geschäft die unbedingte Bindung an Recht und Gesetz als entscheidungsdeterminanten verankert.

Zu Prinzip 5: Wirksamkeitsüberwachung Das Compliance-Management-System wird hinsichtlich der Wirksamkeit und Qualität überwacht.

(1) es gibt einen plan zur regelmäßigen Überwachung des Compliance-management-systems.

(2) Der plan definiert prüfungsschritte, Zeiträume, einzusetzen-de Ressourcen und die art der zu erhebenden informatio-nen.

(3) Die art der Überwachung ist geeignet, um • probleme zu identifizieren und zu lösen, • eine aussage über die effektivität des Compliance-

management-systems zu treffen, • zu prüfen, ob die Compliance-Ziele erreicht wurden.(4) Die indikatoren für die Bewertung des Compliance-manage-

ment-systems sind definiert und aussagekräftig. (5) es werden aussagen getroffen zur Güte der Trainings, der

angemessenheit der kontrollen und der zur Verfügung stehenden Ressourcen, der aktualität des pflichtenkanons sowie zur Reaktionszeit des Compliance-management-systems auf entdeckte missstände.

(6) Die prüfung der Wirksamkeit basiert auf einer hinreichen-den informationsgrundlage; hierfür werden auch informati-onen von mitarbeitern, kunden, lieferanten, Behörden und andere relevante informationen aktiv in die Betrachtung einbezogen.

(7) Die sammlung von informationen wird auf verschiedene arten durchgeführt, zB definierte Reports, Hotlines, Dis-kussionen, Workshops, audits und Reviews, Fragebögen, interviews etc.

Ziel der Wirksamkeitsüberwachung ist es, ein Compliance-management-system zukunftsorientiert zu gestalten und auf diese Weise Compliance-Verstöße möglichst zu vermeiden. so wird auch die informationsgrundlage dafür geschaffen, das Compliance-management-system kontinuierlich zu verbessern.

Zu Prinzip 6: Reporting Entdeckte Compliance-Verstöße und die Bewertung des Compliance-Management-Systems werden innerhalb eines definierten Berichtsweges an die zuständigen Stel-len kommuniziert.

(1) Die relevanten personengruppen des Unternehmens (Vor-stand, aufsichtsrat, prüfungsausschuss, Chief Compliance officer, betroffene linienmanager etc.) werden über alle für sie relevanten Compliance-Verstöße unterrichtet.

(2) es gibt definierte eskalationskriterien sowie festgelegte Reportingintervalle für die einzelnen Zielgruppen des Com-pliance Reporting. Für wesentliche Verstöße existiert ein ad-hoc-Reporting.

(3) Das Compliance Reporting folgt einheitlichen Dokumenta-tionsvorgaben.

(4) Die Vollständigkeit der informationen ist durch geeignete prozesse und systeme sichergestellt.

(5) sämtliche informationen sind an einer stelle zentral verfüg-bar.

(6) Das regelmäßige Compliance Reporting ist in die normalen Reportingsysteme eingebunden.

Best-practice-maßstäbe für ein Compliance-management-system

Page 13: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 13

(7) Der Compliance Report enthält neben Verstößen auch informationen zu wesentlichen Änderungen von normen, eine einschätzung zur effektivität und dem aktuellen stand des Compliance-management-systems, die ergebnisse aus dem Überwachungsprozess sowie vorgesehene maßnah-men zur weiteren Verbesserung des Compliance-manage-ment-systems.

Durch das Reporting sollen alle adressaten des Compliance-management-systems mit den für sie relevanten informationen versorgt werden. auf diese art wird auch im Top-management ein bleibendes Bewusstsein für Compliance und den stand des Compliance-management-systems geschaffen.

Zu prinzip 7: Verbesserung Das Compliance-Management-System wird auf Basis der Erkenntnisse aus dem Überwachungsprozess kontinuierlich verbessert.

(1) es werden entsprechende studien durchgeführt, um Verbes-serungspotenzial durch externe Vergleiche zu identifizieren (externes Benchmarking).

(2) Herausragende Compliance-leistungen von einzelnen, Teams, abteilungen oder Business Units werden honoriert und als Vorbild auf andere Bereiche übertragen (internes Benchmarking).

(3) Die Bewertung des Compliance-management-systems wird durch kompetente und unabhängige personen durchgeführt.

(4) es werden empfehlungen zur weiteren integration von Com-pliance in die Geschäftsprozesse sowie zur Verbesserung des systems in Hinblick auf die weitere Risikominimierung formuliert.

(5) Der Chief Compliance officer autorisiert und koordiniert die Verbesserungsvorschläge.

(6) Die Verantwortung für die Umsetzung der Verbesserungs-maßnahmen ist klar definiert und wird nachverfolgt.

(7) Die Häufigkeit und Tiefe der Bewertungen (intern/extern) ist angemessen.

Die Ziele des prinzips „Verbesserung“ liegen darin, das Com-pliance-management-system entlang eines Reifegradmodells (maturity-konzept, siehe abschnitt 4.2) zu entwickeln. Hinweis-geber für bestehendes optimierungspotenzial sind hier die definierten indikatoren, der interne und externe Vergleich sowie die auditierung durch unabhängige experten.

Die im standard ps 980 vom deutschen institut der Wirtschafts-prüfer definierten sieben Grundelemente eines Compliance-management-systems lassen sich mit dem 7x7 modell wie folgt in einklang bringen:

Best-practice-maßstäbe für ein Compliance-management-system

Page 14: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

PS

980 Gru

nd

sätzeK

PM

G 7x7 M

od

ell

Pflich

tenkan

on

Ko

mm

un

ikation

Ko

ntro

llen

An

reiz-m

echan

ismen

Wirksam

keits-Ü

berw

achu

ng

Rep

ortin

g

Verb

esserun

g

Co

mp

liance-K

ultu

r

identifizierte norm

en sind auf G

rundlage einer R

isikoanalyse hinsichtlich ihrer B

edeutung für das U

nternehmen priorisiert.

Com

pliance-kultur und infrastruktur zur m

eldung von Verstößen sow

ie klare B

ekenntnis der U

nternehmensleitung zu

effektiver Com

pliance und zur W

ertorientierung des U

nternehmens.

Die kontrollen auf

Unternehm

ensebene (entity-level-controls) unterstützen auch das C

ompliance-m

anagement-

system.

Das U

nternehmen hat ein

definiertes Wertegerüst,

das in den anreizsystem

en berücksichtigt w

ird.

Die C

ompliance-kultur

stellt die Grundlage für

die angem

essenheit und W

irksamkeit des C

ms dar.

Die relevanten

personengruppen des U

nternehmens w

erden über alle für sie relevanten C

ompliance-Verstöße

unterrichtet.

Die B

ewertung des

Com

pliance-managem

ent-system

s wird durch

kompetente und

unabhängige personen durchgeführt.

Co

mp

liance-Z

iele

Die priorisierung der R

isiken ist aus strategie und den G

eschäftszielen des U

nternehmens abgeleitet.

Relevante n

ormen w

urden identifiziert.

Die U

nternehmensziele sind

allen mitarbeitern bekannt

und finden eingang ins Tagesgeschäft.

Die internen kontrollen

berücksichtigen kontrollprinzipien (Funktionstrennung, Vier-a

ugen-prinzip,n

eed-to-know-prinzip)

und unterstützen die Zielerreichung.

Das C

ms steht m

it der U

nternehmensstrategie

und den Geschäfts-

zielen in einklang. C

ompliance-Ziele

finden eingang in die personalführungssystem

e.

prüfung der Cm

s

Zielerreichung.

es gibt festgelegte eskalationskriterien sow

ie R

eportingintervalle für die einzelnen Zielgruppen des C

ompliance R

eporting. Für w

esentliche Verstöße gibt es ein a

d-Hoc-R

eporting

es werden entsprechende

studien durchgeführt, um

Verbesserungspotenzial durch externe Vergleiche zu identifizieren.

Co

mp

liance-O

rganisatio

n

es gibt ausreichend R

essourcen für Design,

Um

setzung, Überw

achung und Verbesserung des C

ms.

Die Verantw

ortlichkeiten für das C

ms sind auf allen

ebenen klar definiert und zugeordnet.

Die kontrollen sind in die

bestehenden prozesse, a

bläufe und systeme

integriert. Der a

ufbau und die a

ngemessenheit

der kontrollen werden

regelmäßig evaluiert.

Die W

erte des Unter-

nehmens w

erden aktiv in das operative G

eschäft integriert. D

ie anreiz- und

sanktionsmechanism

en sind unabhängig von der H

ierarchie.

plan zur regelmäßigen

Überw

achung des C

ms, dieser definiert

prüfungsschritte, Zeiträume,

einzusetzende Ressourcen.

Das C

ompliance R

eporting folgt einheitlichen D

okumentationsvorgaben.

Regelm

äßiges Reporting

ist in die normalen

Reportingsystem

e eingebunden.

Der C

hief Com

pliance o

fficer autorisiert und koordiniert die Verbesserungsvorschläge.

Co

mp

liance-R

isiko

Die a

usprägung des C

ompliance-

managem

ent-systems

folgt den ergebnissen der R

isikoanalyse.

Verfahren zur system

atischen R

isikoerkennung und B

erichterstattung sind definiert und kom

muniziert.

Die kontrollintensität

orientiert sich an den identifizierten und priorisierten C

ompliance-

Risiken.

Die C

ompliance-Ziele stehen

gleichberechtigt neben finanziellen Zielen.

Die indikatoren für die

Bew

ertung des Com

pliance-m

anagement-system

s sind definiert und aussagekräftig.

Vollständigkeit der inform

ationen durch geeignete prozesse und system

e.

empfehlungen zur w

eiteren integration von C

ompliance

in die Geschäftsprozesse

sowie zur Verbesserung

des systems in H

inblick auf w

eitere Risikom

inimierung

Co

mp

liance-P

rog

ramm

Grundsätze und

maßnahm

en werden

eingeführt, die auf die B

egrenzung der Com

pliance-R

isiken und Vermeidung von

Verstößen ausgerichtet sind.

Der schulungs- und

Trainingsbedarf der m

itarbeiter zur erfüllung ihrer pflichten, ist identifiziert und durch geeignete schulungsm

aßnahmen

adressiert.

es werden

aufdeckungsorientierte prüfungshandlungen zur erkennung von Frühw

arnindikatoren in H

inblick auf Com

pliance-Verstöße durchgeführt.

Das C

ompliance-

programm

umfasst die bei

festgestellten Com

pliance-Verstößen zu ergreifenden m

aßnahmen.

Die prüfung der

Wirksam

keit erfolgt auf einer hinreichenden inform

ationsgrundlage, inform

ationen von m

itarbeitern, kunden, lieferanten, B

ehörden …

Das C

ompliance-program

m

wird zur sicherstellung einer

personenunabhängigen Funktion des C

ms

dokum

entiert.

Die Verantw

ortung für die U

msetzung der

Verbesserungsmaßnahm

en ist klar definiert und w

ird nachverfolgt.

Co

mp

liance-

Ko

mm

un

ikation

Die struktur und die

strategie des Cm

s sind klar festgelegt und von der U

nternehmensleitung

freigegeben.

klare und verständliche kom

munikation der

Unternehm

enswerte und

der elemente des C

ms an

alle mitarbeiter (R

ichtlinien, Verfahrensanw

eisungen, und prozesse sind vorhanden).

Verantwortlichkeit und

Zuständigkeit von kontrollen sind klar definiert und w

erden an alle mitarbeiter

komm

uniziert.

Herausragende C

ompliance-

leistungen von einzelnen, Team

s abteilungen oder

Business U

nits werden

honoriert und als Vorbild auf andere B

ereiche übertragen

Werden im

Rahm

en der Ü

berwachung

schwachstellen im

Cm

s

bzw Verstöße festgestellt,

werden diese dem

m

anagement berichtet bzw

sanktioniert.

sämtliche C

ompliance-

informationen sind an einer

stelle zentral verfügbar. es ist festgelegt, w

ie und an w

en Com

pliance-Verstöße berichtet w

erden.

ergebnisse der Ü

berwachung des

Cm

s sowie die

daraus abgeleiteten Verbesserungsm

aßnahmen

werden kom

muniziert.

Com

pliance-Überw

achung

und -Verbesserung

Die Veränderungen in den

norm

en werden zeitnah

erkannt und umgesetzt.

Festgestellte schw

achstellen im C

ms

bzw

Verstöße werden an

das managem

ent bzw die

hierfür bestimm

ten stellen im

Unternehm

en berichtet.

Die zuverlässige

Durchführung und

Wirksam

keit (effektivität) der kontrollen w

erden in regelm

äßigen abständen

überprüft.

erfüllung von Com

pliance Vorgaben w

erden überprüft und überw

acht. Festgestellte R

egelverstöße w

erden sanktioniert.

es werden a

ussagen getroffen zur G

üte der Trai-nings, der a

ngemessenheit

der kontrollen, Cm

s-R

essourcen, der aktualität

des pflichtenkanons, R

eaktion auf missstände.

ein Cm

s-Report enthält

neben Verstößen inform

ationen zu w

esentlichen Änderungen

von norm

en, effektivität und stand des C

ms, R

esultate aus Ü

berwachungsprozess und

Verbesserungsmaßnahm

en

angem

essenheit und W

irksamkeit des C

ms

w

erden überwacht.

aus den ergebnissen

werden Verbesserungs-

maßnahm

en abgeleitet.

Page 15: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 15

4.2 Maturity-Konzept

ein Compliance-management-system wird wesentlich auf die Änderung von prozessen und Verhalten abzielen und idealer-weise adaptiv gestaltet sein. Das heißt insbesondere, dass ein Compliance-management-system die operativen abläufe des Unternehmens durchdringen muss und durch Rückmeldungen aus dem system kontinuierlich verbessert wird. Damit durch-läuft das system verschiedene Reifegrade, die mittels eines maturity-konzepts durch maturity-levels dargestellt werden können. Um eine Bewertung des Compliance-management-systems zu ermöglichen, werden den oben definierten Teil-aspekten der Grundprinzipien die folgenden ausprägungen zugeordnet, die zB in einem fünffarbigen schema visualisiert werden können:

Nicht existent: es sind keinerlei aktivitäten des Unternehmens beobachtbar.

Initial: es gibt bereits erste Bemühungen, diese sind jedoch nicht in einen strukturierten prozess eingebun-den.

Definiert: Die Bemühungen folgen einem fest vor-gegebenen prozess.

Normiert: Zusätzlich sind Wie „definiert“, nur dass darüber hinaus kriterien für die Güte definiert wurden.

Optimiert: Wie „normiert“, nur dass darüber hinaus bestehendes optimierungspotenzial identifiziert und das Compliance-management-system beständig an neue Veränderungen angepasst wird.

Das verwendete maturity-konzept macht klar, dass ein effek-tives Compliance-management-system nicht am Reißbrett entworfen werden kann. Vielmehr wird es nach der imple-mentierung Änderungen durch die systemische Rückkopp-lung erfahren müssen. ein Compliance-management-system durchläuft so iterative Reifungsprozesse, die zur Verbesserung des Gesamtsystems führen. nur wenn sich Unternehmen der aufgabe stellen, für das Compliance-management-system messgrößen und Gütekriterien zu definieren, kann am ende eine aussage zur effektivität des Compliance-management-systems als solchem stehen.

4.3 Compliance-Organisation

im Folgenden sollen neben den entwickelten Grundprinzipien organisatorische Voraussetzungen für die Umsetzung eines Compliance-management-systems vertiefend diskutiert wer-den. Dabei sind zwei zentrale Zielsetzungen zu verfolgen: Zum einen muss die organisation geeignet sein, eine im Zweifel auch gerichtlich anerkannte Prävention hinsichtlich der Rechtskonformität und Integrität des unternehmerischen Handelns zu schaffen. Dies umfasst auch die absicherung der Unternehmensorgane vor Haftungsansprüchen. Zum ande-ren muss die organisation praktikabel und effizient sein. Vor diesem Hintergrund gilt es die Frage zu beantworten, welche aufbauorganisation angemessen und praktikabel ist, um ein wirksames Compliance-management-system im Unternehmen zu verankern.

Bei der Gestaltung des Compliance-management-systems und seiner organisation ist auch die Größe, Komplexität und Risikostruktur des jeweils betrachteten Unternehmens zu berücksichtigen. Die nachfolgend entwickelten empfehlungen für eine Compliance-organisation sind grundsätzlich jedoch für alle Unternehmen anwendbar und damit skalierbar. Die Berücksichtigung der individuellen eigenheiten der Unterneh-men erfolgt bei der konkreten Umsetzung und ausgestaltung der hier vorgestellten modellkomponenten, insbesondere bei der Frage der Ressourcenausstattung.

4.3.1 Aufgaben der Geschäftsleitung Die Gesamtverantwortung für Compliance trägt die Geschäfts-leitung und somit der Vorstand. sie kommt dieser Verantwor-tung durch eigenes rechtskonformes und ethisches Handeln sowie durch aktive kommunikation der Bedeutung der Compli-ance an alle mitarbeiter des Unternehmens nach. Diese aktive kommunikation hat eine Vielzahl von aspekten. insbesondere gehören hierzu:

• das eigene sichtbare Bekenntnis zu den festgelegten Regeln und Unternehmenswerten;

• das Bekenntnis, Compliance mit der Unternehmensstrategie und den Geschäftszielen in einklang zu bringen;

• die klarstellung, dass Compliance-Ziele und deren errei-chung gleichberechtigt neben finanziellen Zielen stehen;

• der Wille zur Umsetzung der Compliance-Ziele in den kern-prozessen sowie in den Führungs- und steuerungsinstru-menten des Unternehmens;

• die motivation der mitarbeiter zur Teilnahme an der Ver-besserung des Compliance-management-systems durch Honorierung von Compliance-leistungen und

• die schaffung einer atmosphäre, in der die meldung von Compliance-Verstößen als pflicht jedes einzelnen empfun-den wird.

Die ernsthaftigkeit von Compliance muss sich dabei in der schaffung einer entsprechenden Compliance-organisation manifestieren. als wesentliche Bestandteile einer solchen organisation sind die etablierung eines Compliance-Beauf-tragten (Chief Compliance officer) sowie die einrichtung eines Compliance Committee zu nennen. Darüber hinaus ist sicherzustellen, dass der Chief Compliance officer über eine ausreichende anzahl gegebenenfalls zusätzlicher mitarbeiter verfügt.

4.3.2 Aufgaben des Chief Compliance OfficerDer Chief Compliance officer bildet die schlüsselposition für die einrichtung und die dauerhafte aufrechterhaltung eines Compliance-management-systems. Während die Geschäfts-leitung über die einrichtung und art der ausgestaltung des Compliance-management-systems entscheidet, liegt die Verantwortlichkeit des Chief Compliance officer in der implementierung und methodischen Weiterentwicklung des Compliance-management-systems. in dieser Rolle kommen ihm im Wesentlichen folgende aufgaben zu:

• Information und Beratung der Geschäftsleitung: Der Chief Compliance officer informiert die Geschäftsleitung im Rahmen einer regelmäßigen Berichterstattung über die Compliance-aktivitäten im Unternehmen und über compli-ancerelevante Themen aus dem Unternehmensumfeld. er

Best-practice-maßstäbe für ein Compliance-management-system

Page 16: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

16 |

berichtet zudem über seine maßnahmen zur Überwachung der Funktionsfähigkeit des Compliance-management-sys-tems. neben dieser periodischen Berichterstattung infor-miert er die Geschäftsleitung über aufgedeckte Verstöße gegen rechtliche Vorgaben und Verletzungen von Verhaltens-regeln. Der Chief Compliance officer fungiert als zentraler interner Berater der Geschäftsleitung in allen Fragen der Compliance.

• Gestaltung des Compliance-Informationssystems: Der Chief Compliance officer übernimmt in abstimmung mit der Geschäftsleitung die methodische konzeption des Compliance-management-systems und dessen Umsetzung im gesamten Unternehmen. Zentrale aufgabe ist hierbei die sicherstellung einer angemessenen information innerhalb des Gesamtunternehmens. Dies umfasst Training und Schulung der mitarbeiter in compliancerelevanten Frage-stellungen durch den Chief Compliance officer wie auch die Gestaltung des informationsflusses aus dem Unternehmen zu dem Chief Compliance officer. sinnvoll ist in diesem Zusammenhang auch eine Hotline, bei der informationen zu Compliance nachgefragt werden können. alle mitarbeiter im Unternehmen müssen über einen vertraulichen kommunika-tionskanal an den Chief Compliance officer verfügen. Dies wird zB durch die einrichtung einer Whistle-blower-Hotline sichergestellt. Dabei kann die kommunikation direkt an den Chief Compliance officer oder an einen externen Dienstleis-ter, im Regelfall eine beauftragte anwaltskanzlei, erfolgen.

• Überwachung der Einhaltung von Compliance-Vorgaben: Die Überwachung der einhaltung gesetzlicher und unterneh-mensinterner Vorgaben ist nicht alleinige aufgabe des Chief Compliance officer, sondern obliegt allen Verantwortlichen im Unternehmen. Dem Chief Compliance officer kommt die aufgabe zu, durch gezielte eigene maßnahmen die Wirksamkeit der Überwachung und die Verlässlichkeit der einhaltung der Vorgaben zu verbessern.

Die bisher gemachten ausführungen zur Funktion des Chief Compliance officer und seinen Hauptaufgaben enthalten noch keine aussagen darüber, ob die Funktion eine Vollzeitstelle, eine mindestanzahl von mitarbeitern, eine rein zentrale orga-nisation oder die einrichtung dezentraler Compliance officers erfordert. Diese konkrete ausgestaltung der Funktion des Chief Compliance officer muss in abhängigkeit von Größe, struktur und komplexität des Unternehmens sowie unter Berücksichtigung des Compliance-Risikos der Branche und des Geschäftsmodells erfolgen. eine bestimmte entscheidung über die ausübung dieser Gestaltungsparameter kann daher nicht per se als wirksames bzw nicht wirksames Compliance-management-system eingestuft werden. Die Beurteilung der Wirksamkeit der gewählten organisationsform kann nur unter mitberücksichtigung der art des Unternehmens und seines Geschäftsmodells erfolgen. Dennoch lassen sich die folgenden allgemeinen leitsätze formulieren:

• ein zentraler Chief Compliance Officer ist zu etablieren. Die Funktion kann dabei auch parallel zur ausübung anderer aufgaben im Unternehmen erfolgen, soweit keine inter-essenkonflikte entstehen. Denkbar ist insbesondere eine ansiedlung beim Risikomanagement, bei der Rechtsab-teilung oder gegebenenfalls auch im Controlling. Dagegen sollte die Funktion des Chief Compliance officer nicht durch die interne Revision wahrgenommen werden, da dieser als

prozessunabhängiger instanz die aufgabe der Überwachung der Wirksamkeit des gesamten Compliance-management-systems zukommt. ebenso ist zu vermeiden, die position des Chief Compliance officer durch einen Verantwortlichen aus einem Compliance-Risikobereich (zB einer operativen Geschäftseinheit) zu benennen.

• Der zentrale Chief Compliance officer sollte durch dezen-trale Compliance officers unterstützt werden. Durch die schaffung solcher dezentralen Funktionen werden die infor-mationsversorgung des zentralen Chief Compliance officer und die Verankerung des Compliance-management-systems im gesamten Unternehmen gefördert. Das Fachwissen und die einbindung der dezentralen Compliance officers in die operativen prozesse und die vorherrschende Geschäftspraxis wird so für das Compliance-management-system genutzt. Der aufbau solcher dezentralen Funktionen erfolgt unter Berücksichtigung der Compliance-Risikostruktur im Unter-nehmen. Unternehmensbereiche mit hohen Compliance-Risiken sollten demnach primär mit dezentralen Compliance officers ausgestattet sein.

• Bei der Frage, auf welche mitarbeiter eine solche dezen-trale Funktion übertragen werden soll, sind grundsätzlich dieselben maßstäbe anzulegen wie für die Besetzung des Chief Compliance officer. Denkbare organisatorische Zuordnungen sind auch hier das Risikomanagement, die Rechtsabteilung oder das Controlling. keinesfalls sollte die Compliance-Verantwortung mit einer linienverantwortung verbunden werden, um mögliche interessenkonflikte zu vermeiden. Die dezentralen Compliance officers können disziplinarisch direkt dem Chief Compliance officer oder der Bereichsleitung unterstellt werden. Die disziplinarische anbindung an die Bereichsleitung birgt jedoch Risiken für die notwendige Unabhängigkeit der Compliance-Funktion. Wird dennoch diese organisationsform gewählt, so sollte zumindest ein direkter Berichtsweg an den zentralen Chief Compliance officer vorgesehen werden. Teilweise werden in der praxis auch mischformen diskutiert, bei denen die

Best-practice-maßstäbe für ein Compliance-management-system

Page 17: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 17

leistungsbeurteilung der dezentralen Compliance officers in abstimmung zwischen Bereichsleitung und dem Chief Compliance officer erfolgt und auf diese Weise gemeinsam über die Zielerreichung und den variablen Gehaltsbestand-teil entschieden wird. auf diese Weise wird eine einseitige ausrichtung auf die Vorgaben der Bereichsleitung vermieden. Bei Unternehmen mit vielen Geschäftsbereichen bietet es sich an, die zentralen Vollständigkeitserklärungen, die durch die Geschäftsleitung zu leisten sind, durch entsprechende dezentrale Vollständigkeitserklärungen der Geschäftsberei-che unterlegen zu lassen.

Bleibt abschließend die Frage nach der notwendigen Qualifi-kation eines Chief Compliance Officer zu klären. angesichts der verfolgten Zielsetzung, ein rechtskonformes Verhalten im Unternehmen sicherzustellen, ist es naheliegend, die zentrale Funktion des Chief Compliance officer mit einem Juristen zu besetzen. Dies entspricht vielfach auch der in der Unterneh-menspraxis vorherrschenden Vorgehensweise. Wichtig ist jedoch zu betonen, dass angemessene Rechtskenntnisse nur einen Teil der notwendigen Qualifikation eines Chief Compli-ance officer darstellen. ebenso wichtig sind kenntnisse und Fähigkeiten in den Bereichen der kommunikation, der Gestal-tung wirksamer informationssysteme, bei der Beurteilung von Unternehmensprozessen und kontrollsystemen, der Beurteilung von mitarbeitern und personellen Beziehungen oder der analyse von Geschäftsmodellen. maßgebend wird auch hier das individuelle Compliance-Risikoprofil des einzel-nen Unternehmens sein. Unternehmen, deren Compliance-Risiken primär in der anwendung komplexer kartell- oder zollrechtlicher Bestimmungen liegen, bedürfen eines Juristen mit entsprechendem fachlichem schwerpunkt. Bei anderen Compliance-Risiken wie beispielsweise der korruption sind eher prozessuale als juristische Fähigkeiten und kenntnisse erforderlich.

Die Darstellung der anforderungen zeigt in jedem Fall die komplexität und Vielfalt der aufgaben eines Chief Compli-

ance officer sowie die hohen anforderungen an integrität und kommunikationsvermögen. ein wirksames Compliance-management-system erfordert daher in jedem Fall eine starke managerpersönlichkeit als leiter und Verantwortlichen der Compliance-organisation.

4.3.3 Aufgaben des Compliance Committee Das Compliance Committee ist das interne Beratergremium für den Chief Compliance officer. aufgaben des Compli-ance Committee sind die Untersuchung und Bewertung von Compliance-Verstößen, die Überwachung der Wirksamkeit sowie die systematische Weiterentwicklung des Compliance-management-systems.

Für die einrichtung eines Compliance Committee sprechen insbesondere folgende Gründe:

Komplexität und Vielfalt der Compliance-Anforderungen: Die sicherstellung der Compliance erfordert einerseits umfas-sende kenntnisse zu der Vielfalt der gesetzlichen normen, die es für das jeweilige Unternehmen zu beachten gilt. Die Dynamik der gesetzlichen entwicklungen und die internati-onalisierung der Geschäftstätigkeit der Unternehmen führen hier zu enormen anforderungen an den Chief Compliance officer. Zum anderen ist ein ausgeprägtes Wissen über das Geschäftsmodell und die (weltweiten) Geschäftsprozesse notwendig. nur so können die vielfältigen Berührungspunkte zwischen der Geschäftstätigkeit und den bestehenden gesetz-lichen normen umfassend identifiziert werden, um dann auf Basis einer Risikoanalyse geeignete Vorsorgemaßnahmen zu entwickeln und umzusetzen. Das Compliance Committee bildet damit ein wesentliches instrument, um ein möglichst umfassendes know-how im Unternehmen für das Compliance-management-system zu bündeln und zu nutzen. Um dieser Zielsetzung gerecht zu werden, sollten dem Compliance Committee insbesondere die folgenden Vertreter angehören:

• ein Jurist aus der Rechtsabteilung, insbesondere wenn der Chief Compliance officer selbst nicht über die Qualifikation als Jurist verfügt,

• leiter Controlling bzw leiter Finanz- und Rechnungswesen, • leiter Risikomanagement zur Verbindung von Risiko- und

Compliance-management, • leiter interne Revision, • leiter personal, • leiter Unternehmenskommunikation und • leiter steuern.

Notwendigkeit der Vernetzung des Compliance-Manage-ment-Systems im Unternehmen: Durch die einbindung von Vertretern aus anderen Fach- und Geschäftsbereichen wird die Vernetzung und Verankerung des Compliance-management-systems im Unternehmen bzw konzern gefördert. Damit wird dem eindruck entgegengewirkt, das Compliance-management würde ausschließlich von einem Compliance-spezialisten in der konzernzentrale betrieben, dem schnell das image eines Feigenblattes anhaftet.

ein stark besetztes und im Gesamtunternehmen vernetztes Compliance Committee ist hier das signal der Geschäfts-leitung, die Wichtigkeit und den Willen zur Umsetzung des Compliance-management-systems zu verdeutlichen.

Best-practice-maßstäbe für ein Compliance-management-system

Page 18: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

18 |

4.3.4 Einordnung in die Gesamtorganisation Zur einordnung der Compliance-organisation empfiehlt sich die oben dargestellte struktur. Das Compliance-management unter leitung des Chief Com-pliance officer sollte als Stabsstelle unmittelbar der Unterneh-mensleitung zugeordnet werden. Damit wird die Unabhängig-keit des Chief Compliance officer gewahrt und die Bedeutung des Compliance-managements im Unternehmen betont.

Gleichzeitig muss gewährleistet sein, das Compliance-manage-ment als einen festen Bestandteil der Führungs- und organisa-tionsstrukturen in allen Unternehmensbereichen einzurichten. Dazu übernimmt der Chief Compliance officer eine Koordina-tions- und Integrationsfunktion. er bündelt und koordiniert alle compliancerelevanten aktivitäten der übrigen Funktionen der Unternehmensüberwachung wie des Risikomanagements und der internen Revision. Gleichzeitig bindet er das Wissen und die erfahrung der operativen Geschäftsbereiche über das Geschäftsmodell und die prozesse im Unternehmen in die Gestaltung und Umsetzung des Compliance-management-systems ein. Das Compliance Committee bildet hierzu die plattform zur Unterstützung und Umsetzung dieser koordina-tions- und integrationsfunktion.

Weiterhin ist über eine zentrale oder dezentrale organisation zu entscheiden, über die einrichtung der Funktion eines Chief Compliance officer und/oder eines Compliance Committee, über die Weisungs- und informationsrechte der für Compliance verantwortlichen personen, über die Ressortzuordnung sowie über inhalte und Wege eines Compliance Reporting. Daneben ist zu überlegen, welche mitarbeiter in welcher Weise geschult werden sollen und wie die schnittstellen zu Bereichen mit angrenzenden kompetenzen liegen sollen.

4.4 Integration bestehender Instrumente und Systeme

neben der implementierung der dargestellten kerninstrumen-te erfordert die erfolgreiche Umsetzung eines Compliance-management-systems auch die einbindung und nutzung bereits bestehender systeme der Unternehmensüberwachung. Dies fördert nicht nur die Wirksamkeit des Compliance-manage-ment-systems, sondern senkt auch die damit verbundenen kosten. Wesentliche synergiepotenziale ergeben sich insbeson-dere aus einer einbindung des Risikomanagementsystems, des internen kontrollsystems sowie der internen Revision.

4.4.1 Risikomanagement Um den Vorgaben nach Führung der Gesellschaft mit der sorg-falt eines ordentlichen Unternehmers nachkommen zu können (§ 347 UGB sowie auch § 70 aktG), muss der Vorstand in abhängigkeit von Größe und komplexität des Unternehmens für geeignete strukturen zur identifikation, Bewertung und steuerung von Unternehmensrisiken schaffen. mit dem URÄG 2008 wurde die entsprechende Überwachungsfunktion des aufsichtsrates über das Risikomanagement auch explizit im Gesetzestext verankert. Das Risikomanagement-system hat sicherzustellen, dass bestehende Risiken erfasst, analysiert und bewertet werden, um entscheidungen über deren Beseitigung, milderung oder Tolerierung treffen zu können.

Zwischen Compliance-management-system und Risikoma-nagement bestehen methodische wie inhaltliche parallelen. Die inhaltliche Verknüpfung ergibt sich aus dem Umstand, dass Compliance-Verstöße erhebliche Unternehmensrisiken und

Abb. 2: Einordnung des Compliance-Managements in die Gesamtorganisation

Vorstand/Geschäftsführung

Compliance-management/Chief Compliance officer

meldestelleCompliancethemen

ComplianceCommittee

interne Revision

Qm

personal

iT

Finanzen/steuern

Recht/Beteiligungsmanagement

Risikomanagement

Business Unit 1

Business Unit 2

Business Unit 3

Business Unit 4

Dezentraler Compliance

officer

Dezentraler Compliance

officer

Dezentraler Compliance

officer

Dezentraler Compliance

officer

Best-practice-maßstäbe für ein Compliance-management-system

Page 19: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 19

damit Bedrohungspotenzial darstellen (können). Die konse-quenzen reichen von strafverfahren mit Unternehmensgeldbu-ßen über schadensersatzansprüche möglicher Geschädigter bis hin zum imageschaden, der auch die zukünftige Geschäftstätig-keit in erheblichem maße beeinträchtigen kann. Damit können Compliance-Risiken bei entsprechender Größenordnung auch Betrachtungsgegenstand eines unternehmensweiten Risiko-management-systems sein. in der Regel werden nicht alle Compliance-Risiken im Risikomanagement betrachtet werden. auch methodisch bestehen deutliche parallelen. innerhalb des Compliance-management-systems gilt es, Compliance-Risiken durch bewusste oder unbewusste Verstöße gegen normen zu identifizieren, zu analysieren und hinsichtlich eintrittswahr-scheinlichkeit, schadenshöhe und gegebenenfalls Wichtigkeit (vgl abschnitt 5.1) zu bewerten. entsprechend den ergebnissen der Risikobewertung werden maßnahmen zur Gegensteuerung entwickelt und umgesetzt. Über die festgestellten Risiken und die ergriffenen maßnahmen erfolgt ein regelmäßiges Reporting an die Geschäftsleitung, bei akuten Risiken ein entsprechendes ad-hoc-Reporting. Die gleiche methodik wird man auch bei einem Risikomanagement-system vorfinden. Damit drängt sich die Frage auf, ob bei Unternehmen, die bereits über ein Risikomanagement verfügen, überhaupt noch Handlungs-bedarf hinsichtlich eines Compliance-management-systems besteht. Diese Frage ist aus heutiger sicht eindeutig mit Ja zu beantworten. Ungeachtet der bestehenden inhaltlichen und methodischen parallelen zwischen den beiden Begriffen ist festzustellen, dass die in der Unternehmenspraxis bestehenden Risikomanagement-systeme – wie oben beschrieben – eine grundsätzlich andere ausrichtung haben. insofern ist nur teil-weise von Überschneidungen auszugehen und die einrichtung eines effektiven Compliance-management-systems bedarf deutlich zusätzlicher anstrengungen.

Hinsichtlich der organisatorischen Gestaltung eines wirksamen Compliance-management-systems und dessen Verbindung mit dem Risikomanagement bestehen grundsätzlich zwei Hand-lungsalternativen.

Zum einen können die in abschnitt 5.2 dargestellten instrumen-te des Compliance-management-systems in ein bestehendes Risikomanagement-system integriert werden, um so das Risikomanagement hinsichtlich eines wirksamen Compliance-management-systems zu professionalisieren. in diesem Fall entsteht ein integriertes Risikomanagement- und Compliance-management-system.

Zum anderen kann ein aufbauorganisatorisch selbstständiges Compliance-management-system eingerichtet werden, das über definierte schnittstellen zum Risikomanagement verfügt und auf diese Weise die bestehenden synergiepotenziale aus-schöpft. solche Schnittstellen bestehen insbesondere bei den folgenden Themen und instrumenten:

• Regelmäßige Aktualisierung des Risikoprofils: Die regel-mäßige identifizierung der Compliance-Risiken sollte in die allgemeine Risikoabfrage durch das Risikomanagement einbezogen werden.

• Risikobewertung: Für die Bewertung der Compliance-Risiken sollten grundsätzlich die gleichen methoden zum einsatz kommen, die auch für die einschätzung von eintritts-wahrscheinlichkeit und schadenshöhe der übrigen Risiken im

Risikomanagement verwendet werden, um die Vergleichbar-keit der Risiken zu gewährleisten.

• Reporting: Risiko- und Compliance-management-system sollten einheitliche Berichtswege und Berichtsformate ver-wenden, um ein einheitliches Berichtswesen zu gewährleis-ten und das aufkommen einer Reporting-Flut zu vermeiden.

4.4.2 Internes KontrollsystemUnter einem internen kontrollsystem (iks) werden die vom management im Unternehmen eingeführten Grundsätze, Ver-fahren und maßnahmen (Regelungen) verstanden, die auf die organisatorische Umsetzung der entscheidungen des manage-ments gerichtet sind, zur sicherung der Wirksamkeit und Wirt-schaftlichkeit der Geschäftstätigkeit, zur ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften (vgl iDW-prüfungsstandard 261, Text-ziffer 19).

Die Bedeutung eines wirksamen kontrollsystems zur präven-tion und aufdeckung von Compliance-Fällen ist offensichtlich. Die Verknüpfung zwischen Compliance-management-system und iks konzentriert sich auf die folgenden Fragestellungen:

• Verfügt das bestehende iks über ausreichende und ange-messene Kontrollen, um die festgestellten und bewerteten Compliance-Risiken abzudecken (Control Design)?

• ist sichergestellt, dass die bestehenden kontrollen zur Vermeidung oder aufdeckung von Compliance-Fällen im gesamten Unternehmen wirksam durchgeführt werden (Control effectiveness)?

Das Compliance-management-system bewirkt somit eine stetige Beurteilung und Überwachung der Bestandteile des iks, soweit sie dem kontrollzweck Compliance dienen. Hierzu gehört insbesondere auch die implementierung der kontrol-len in den Geschäftsprozessen, zB durch Berücksichtigung in arbeits- und Verfahrensanweisungen, prozessdokumentationen sowie den vorgesehenen Freigabeprozessen. Wesentlich ist auch, dass die kontrollen in den systemen selbst abgebildet werden.

Die Frage, welche kontrollen ausreichend und angemessen sind, um Compliance-Risiken zu begegnen, kann abschließend nur unternehmensindividuell unter Berücksichtigung der jeweili-gen Compliance-Risiken und der Besonderheiten der prozesse im Unternehmen beantwortet werden. Für den Bereich antikor-ruption ist insbesondere auf ein wirksames iks im Vertriebs-, aber auch im Beschaffungsprozess zu achten.

Beispielsweise können die folgenden Compliance-Kontrollen eingerichtet werden:

• Genehmigung von Geschäftsbeziehungen nach screening;• Vertragsprüfung;• unabhängige prüfung der leistungserbringung;• Überprüfung eines Verbots von Barzahlungen;• Genehmigung von Banküberweisungen;• prüfung des unternehmensinternen Verrechnungsverkehrs;• eDV-gestützte prüfungen (Berechtigungen, Datenbestände,

Belegjournale …) und• prüfungen durch die interne Revision.

Best-practice-maßstäbe für ein Compliance-management-system

Page 20: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

20 |

neben der einrichtung solcher kontrollen setzt ein wirksames iks auch die Überwachung der tatsächlichen Durchführung der kontrollen voraus. Dies kann systematisch und periodisch durch die jeweiligen prozessverantwortlichen erfolgen. Darüber hinaus kann durch eine Zentralisierung der Zahlungsvorgän-ge eine einheitliche und wirksamere kontrolle durchgeführt werden.

4.4.3 Interne RevisionDer internen Revision kommt eine wichtige Rolle bei der prävention und aufdeckung von Compliance-Fällen zu. ihr wesentliches aufgabenspektrum im Rahmen des Compliance-management-systems stellt sich wie folgt dar:

• Information des Chief Compliance officer: erhält die Revision bei der Durchführungen von prüfungen, die nicht notwendigerweise spezifische Compliance-prüfungen sein müssen, informationen über Compliance-Risiken, wird sie diese systematisch an den Chief Compliance officer berich-ten. Die Revision fungiert somit als ständiges Radarsystem für Compliance-Risiken.

• Durchführung von Compliance-prüfungen: auf Vorschlag des Chief Compliance officer wird die interne Revision durch den zuständigen Vorstand (in der praxis meist der Ceo oder CFo) mit der gezielten Durchführung von Compliance-prüfungen beauftragt, um wesentliche Risikobereiche im Unternehmen einer unabhängigen Überprüfung vor ort zu unterziehen oder um festgestellte Verdachtsmomente zu klären.

• Überwachung des Compliance-management-systems: neben der Unterstützung des Chief Compliance officers kommt der Revision als prozessunabhängiger instanz im Unternehmen jedoch auch die aufgabe zu, das Compliance-management-system als solches in regelmäßigen abständen auf dessen Wirksamkeit zu überprüfen und der Geschäfts-leitung darüber zu berichten. aus diesem Grund sollte das Compliance-management-system organisatorisch nicht der internen Revision zugeordnet werden.

ergänzend wird die interne Revision die Überprüfung der einhal-tung der Compliance-kontrollen als wiederkehrenden Bestands-teil in ihre Revisionsplanung aufnehmen. Die Durchführung dieser aufgaben erfordert eine entsprechende Qualifikation der Revisionsmitarbeiter und den einsatz geeigneter prüfungstech-niken. ein wirksames Compliance-management-system setzt somit auch voraus, dass die mitarbeiter der Revision systema-tische schulungen erhalten (siehe hierzu auch abschnitt 5.3.3).

4.5 Überwachung, Messung und kontinuierliche Verbesserung

kernstück auf dem Weg zur optimierung des Compliance-management-systems sind die regelmäßige Überwachung sowie die messung der erreichten Qualität, um auf diese Weise die Grundlage für die kontinuierliche Verbesserung zu schaffen. Hierfür sind grundlegend der ablauf der Überwachung, die prüfintervalle, der Ressourceneinsatz sowie die zu erhebenden informationen festzulegen. Themengebiete der Überwachung sind insbesondere:

• das erfüllen der Compliance-pflichten;• die aktualität der internen Regelungen;• die Fortschritte in der erreichung der gegebenen Compliance-

Ziele;• die identifikation und klärung noch bestehender probleme

und • die einschätzung der effektivität des Compliance-manage-

ment-systems.

Zur einschätzung der effektivität des Compliance-management-systems zählen zum Beispiel aussagen über die Güte und den abdeckungsgrad von schulungsmaßnahmen, die angemessen-heit der für Compliance-aufgaben eingesetzten Ressourcen, die aktualität der internen Regelungen sowie die Reaktionsge-schwindigkeit des Compliance-management-systems bei der Umsetzung identifizierter optimierungspotenziale. Daneben ist aber auch zu prüfen, welcher Grad an Compliance damit erreicht wurde. Hierzu gehören die Zahl von Verstößen, von unerreichten Zielen und von nichteinhaltung von kontrollen oder konsultationspflichten etc. Beide Bewertungsmaßstäbe hängen eng zusammen, da nur bei einer effektiven organisa-tion erwartet werden kann, dass die aussagen zur erreichten Compliance auch verlässlich sind.

Daher muss im Rahmen des Überwachungsprozesses dafür gesorgt werden, dass der informationsstand zur Beurteilung der aktivitäten möglichst vollständig ist und alle möglichen infor-mationsquellen genutzt werden. Hierzu gehören mitarbeiter (zB Hotlines, Vorschlagswesen, persönliche Gespräche), kunden und lieferanten (zB Beschwerdemanagement, persönliche Gespräche) sowie grundsätzlich alle internen Datenbestände des Unternehmens. Daneben sollten auch die informationen aus den Compliance Reports, den Compliance-prüfungen sowie die informationen aus Workshop-Diskussionen oder mitarbei-terbefragungen hier einfließen.

Für eine sinnvolle nutzung der gesammelten informationen ist weiterhin die kategorisierung und strukturierte ablage erforderlich. Hierzu bietet sich ein Datenbanksystem an. sinnvolle zu bildende Cluster können sich beispielsweise an betroffenen organisationseinheiten, art der information, infor-mationsquelle etc. orientieren. Bei der analyse der Daten ist insbesondere auch auf Querbezüge oder kumulative aspekte zu achten. Beispielsweise sollte ein besonderes augenmerk auf wiederkehrende probleme gerichtet werden. insbesondere

Best-practice-maßstäbe für ein Compliance-management-system

Page 21: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 21

bei schwerwiegenden sachverhalten sollte überlegt werden, inwiefern andere Bereiche hiervon betroffen sein könnten, selbst wenn noch keine explizite kenntnis hiervon vorliegt.

Für die Formulierung belastbarer aussagen ist weiterhin die Definition von Qualitätsindikatoren notwendig. Die tatsächliche Festlegung der indikatoren ist letztlich unternehmensspezifisch. Darüber hinaus wird ein Compliance-management-system im laufe seiner entwicklung unterschiedliche Faktoren benöti-gen (siehe auch die ausführungen zum maturity-konzept in abschnitt 4.2). mögliche indikatoren sind beispielsweise der anteil geschulter mitarbeiter, probleme und Compliance-Verstö-ße je Business Unit oder land, konsequenzen der Compliance-Verstöße, einsatz und akzeptanz der Compliance-instrumente, Umsetzungsquote von Compliance-anforderungen in stellenbe-schreibungen, erreichung der Compliance-Ziele innerhalb des Zielvereinbarungssystems etc.

auf diese Weise wird die Grundlage geschaffen, das beste-hende Compliance-management-system kontinuierlich zu verbessern. Zusätzlich zu den internen Qualitätsmaßnah-men sollte das Compliance-management-system aber auch durch unabhängige und sachkundige stellen in regelmäßigen abständen bewertet werden. Hierbei sollten diesen alle oben dargestellten informationen zugänglich gemacht werden.

eine Berichterstattung direkt an Vorstand und an aufsichtsrat ist empfehlenswert, da es sich hier um eine Bewertung des Compliance-management-systems insgesamt handelt.Weiterhin sollten die möglichkeiten des internen und externen Vergleichs genutzt werden. im externen Vergleich ist insbeson-dere der intensive austausch mit anderen Unternehmen zu nennen. Dies kann noch zusätzlich durch die abgabe gemein-samer erklärungen, zB gegen korruption, vertieft werden. Zeichnen sich intern bestimmte Bereiche durch hervorragende leistungen bei der Umsetzung von Compliance-Zielen aus, so sollten die dort gemachten erfahrungen auf andere Bereiche des Unternehmens übertragen werden. Daneben sollten diese leistungen im Unternehmen breit kommuniziert werden. so wird in der organisation klar, dass Bemühungen um Compli-ance hohe Wertschätzung erfahren.

all diese Handlungen dienen damit der Umsetzung von opti-mierungspotenzialen in den bestehenden maßnahmen sowie der identifikation sinnvoller zusätzlicher maßnahmen, um die integration von Compliance in die operativen abläufe und sys-teme zu erreichen. Hierzu gehört ein erhebliches engagement bei der Umsetzung, was sich beispielhaft darin zeigt, dass

• es ein klares Bekenntnis zum primat von Compliance nach innen und außen gibt;

• angemessene Ressourcen für die Umsetzung des Compli-ance-management-systems bereitgehalten werden;

• die notwendigen mittel für effiziente schulungen investiert werden und

• Compliance als kriterium in die entlohnungssysteme des Unternehmens integriert wird.

selbstverständlich gehört zu jedem guten system auch eine angemessene Dokumentation der aktivitäten und Verbesse-rungen des Compliance-management-systems. Die Dokumen-tation sollte insbesondere Folgendes umfassen: eine schriftliche positionierung zum Thema integrität, ein pflichtenheft der rele-vanten normen, eine hierauf aufbauende Risikoanalyse, eine Beschreibung des Compliance-management-systems (auf-gaben, Ziele, struktur und inhalt), Festlegung der Verantwort-lichkeiten, Trainingsdokumentation (auswahlkriterien, inhalte, Teilnehmerquote, sequenzen etc.), schriftliche Compliance-Reports, meldungen im issues management, Dokumentation der internen und externen Bewertung sowie der eingeleiteten maßnahmen zur Verbesserung des Compliance-management-systems.

Best-practice-maßstäbe für ein Compliance-management-system

Page 22: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

22 |

5 Anwendungsfall Antikorruptionim Folgenden soll ein häufiger anwendungsfall in der praxis dargestellt werden: Das Compliance-management-system mit schwerpunkt auf antikorruption. Der schwerpunkt der nachfolgenden Übersicht liegt auf instrumenten und methoden, die zur erreichung der innerhalb des kpmG 7x7-modells® definierten anforderungen wesentlich beitragen.

5.1 Schwerpunkte eines Compliance-Management-Systems im Bereich der Antikorruption

Viele der instrumente eines Compliance-management-systems für antikorruption sind in vergleichbarer Form auch auf ande-re Compliance-Gebiete übertragbar. Dennoch gibt es einige Besonderheiten, die vorrangig aus dem Delikt „korruption“ selbst resultieren. Häufig werden Verstöße gegen korruptions-normen nicht aus Unkenntnis, sondern bewusst begangen. ausgangspunkt ist hier nicht selten ein Zielkonflikt zwischen finanziellen Anreizen und gesetzlichen Bestimmungen. Dies bedingt zweierlei: Zum einen müssen durch entsprechen-de maßnahmen die Zielkonflikte thematisiert und möglichst beseitigt werden, zum andern sind intensive maßnahmen zur aufdeckung von Compliance-Verstößen notwendig.

eine bewusste Umgehung bedingt meist auch ein Verbergen der Transaktion, was durch die oft gegebene komplexität des Geschäftsvorfalls zusätzlich erleichtert wird. als Verdeckungs-geschäfte werden häufig Verträge mit vertriebsnahen Dienst-leistern geschlossen, denen keine oder nur im Verhältnis zur Vergütung geringe Gegenleistungen gegenüberstehen. aus den Honorarzahlungen für die „erbrachten“ leistungen werden dann häufig „schwarze kassen“ gespeist, aus denen dann Zah-lungen in Verbindung mit korruption geleistet werden können. Daneben sind nicht selten leitungsebenen der betroffenen Unternehmen eingebunden, die Kontrollen durch Weisung umgehen können und denen meist ein erheblicher ermes-sensspielraum bei ihrer entscheidungsfindung zugestanden wird.

Die situation ist also insbesondere in Hinblick auf antikorruption nicht einfach. Daher sollen direkt zu anfang dieses kapitels die schwerpunkte eines Compliance-management-systems mit einem Fokus auf „antikorruption“ aufgezeigt werden. Unter anderem sollten die folgenden Fragen adressiert werden:

• Gibt es eine stellungnahme des Unternehmens, die jegliche Handlungen verbietet, die Verstöße gegen geltendes Recht im Bereich der antikorruption darstellen, und die das klare Bekenntnis enthält, dass das Unternehmen eher bereit ist,

auf ein Geschäft zu verzichten, als zu mitteln der korruption zu greifen?

• liegt die zentrale Verantwortung für das Compliance-manage-ment-system bei der höchsten ebene, um den stellungnah-men den entsprechenden nachdruck zu verleihen?

• existieren standards und abläufe, die geeignet sind, die Wahrscheinlichkeit von Fehlverhalten bzw Verstößen durch integration von kontrollmaßnahmen in die kerngeschäftspro-zesse zu reduzieren?

• sind die sanktionen für den Fall der entdeckung von Verstö-ßen gegen die bestehenden antikorruptionsregelungen klar definiert und unmissverständlich kommuniziert?

• adressiert die Risikoerfassung bewusst auch Verhaltensrisi-ken und das Risiko des management override?

• Werden regelmäßige schulungsmaßnahmen durchgeführt, deren effektivität überwacht wird?

• Wird die aufnahme von Geschäftsbeziehungen zu vertriebs-nahen Dienstleistern überprüft und unterliegt sie definierten Zustimmungspflichten?

• ist die aufrechterhaltung der Geschäftsbeziehungen zu vertriebsnahen Dienstleistern an eine jährliche Compliance-erklärung dieser Dienstleister geknüpft?

• enthalten die Verträge mit vertriebsnahen Dienstleistern integritäts- und auditklauseln in Hinblick auf antikorruption?

• Wurde in Hinblick auf das Risiko des management override ein repressionsfreies system zur entgegennahme von Hin-weisen eingerichtet?

• Werden weitreichende kompetenzen und Befugnisse nur an personen mit einem hohen maß an persönlicher integrität übertragen?

• Werden für Hochrisikoländer bzw -bereiche regelmäßig auf-deckungsorientierte Compliance-prüfungen durchgeführt, die über eine rein formale Betrachtung hinausgehen?

Die Beschreibung der methoden und instrumente in den Folge-kapiteln dient der weiteren Detaillierung und konkretisierung, wie eine Umsetzung eines antikorruptionsprogramms im Unternehmen bewerkstelligt werden kann.

5.2 Risikoanalyse

ausgangspunkt für das Compliance-management-system ist die Risikoanalyse eines Unternehmens. Die Risiken sind nach den Grundsätzen des Risikomanagements zu analysieren und dem Umfang entsprechend zu bewerten. Hierbei empfiehlt sich eine katalogisierung der rechtlichen Vorgaben und der

anwendungsfall antikorruption

Page 23: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 23

mit einem Verstoß verbundenen Konsequenzen. im Falle der antikorruption bedeutet dies zunächst, alle für das Unter-nehmen einschlägigen nationalen und internationalen (straf-)Rechtsnormen zu inventarisieren. Für eine sammlung bietet es sich zunächst an, die länder zu listen, in denen Umsätze getätigt werden, und diese nach geeigneten korruptionsindika-toren zu sortieren, zB orientiert an dem Corruption perception index (Cpi) von Transparency international, der auf einer von 1 bis 10 reichenden ordinalen skala die Wahrnehmung von korruption darstellt. Je niedriger der Wert, desto höher die anfälligkeit des jeweiligen landes. Diese Zusammenführung dient einerseits dazu, die länder zu identifizieren, die einen wesentlichen Umsatzbeitrag liefern, für die also die kenntnis nationaler normen besonders relevant ist. andererseits kön-nen länder identifiziert werden, in denen ein geringer Umsatz einem hohen theoretischen Risiko gegenübersteht.

ausgehend von der kenntnis der betroffenen länder und der normen (vgl abschnitt 4.2) sind dann die Risikobereiche im Unternehmen selbst zu identifizieren. Hiermit sollten neben den Compliance-Verantwortlichen weitere erfahrene mitarbeiter aus dem unternehmerischen Überwachungs- und steuerungs-system (zB interne Revision, Risikomanagement, Recht und Controlling) betraut werden. auf ebene der prozesseigner kann die Risikoinventur mithilfe von dezentral verteilten Fragebögen oder self assessment Tools ergänzt werden. auch der einsatz externer Compliance-Berater mit besonderen erfahrungen im Bereich antikorruption ist in anbetracht der meist herrschenden komplexität zu empfehlen.

Wesentlich für die Güte der Risikoerfassung ist die Bildung geeigneter Kategorien. Gute erfahrungen gibt es mit einer erstkategorisierung nach kultur, struktur, markt, kunden, pro-dukt und Region. Die Risikoinventur kann hier sowohl aus sicht der ganzen Unternehmensgruppe als auch von Teilbereichen durchgeführt werden. empfehlenswert, nicht zuletzt um kon-sistenz zu gewährleisten, ist die kombination zwischen einem Top-down- und einem Bottom-up-ansatz, wobei Top-down-Vorgaben zu Definition und erfassung der Risiken gemacht werden. auf diese Weise wird bereits bei der Risikoanalyse eine erstsensibilisierung für Compliance-Themen erreicht und mit praktischer erfahrung zusammengeführt.

Die nächste schwerpunktbildung kann innerhalb der einzelnen kategorien erfolgen. Beispielsweise kann im Bereich struktur ein schwerpunkt auf den Funktionsbereich Vertrieb oder allge-mein auf Gesellschaften mit direkter Vertriebsstruktur gelegt werden. im Bereich Region können schwerpunktbildungen nach länderrisiken erfolgen. Hier empfiehlt es sich, die oben bereits andiskutierte aufteilung von Umsätzen je land auf Busi-ness Units oder einzelunternehmen zu detaillieren, um so einen Überblick über die jeweils betroffenen organisationseinheiten zu gewinnen.

ausgangspunkt einer effektiven Risikosteuerung ist auch im Bereich der korruption die richtige priorisierung der einzelnen Risiken. klassischerweise orientiert sich die Risikosituation und die selektion der wesentlichen Risiken im Rahmen des Risiko-managements am erwartungswert des schadens. Dieser wird aus eintrittswahrscheinlichkeit und schadenshöhe ermittelt. im Compliance-management-system – und insbesondere beim Fokus auf mögliche korruption – müssen aber häufig auch Ver-haltensrisiken als Teil des operationellen Risikos berücksichtigt werden. Gerade diese sind aber in den Risikoinventaren oft nicht zu finden. ein möglicher Grund dafür ist, dass die auf-nahme eines solchen Risikos als misstrauen gegenüber dem prozessverantwortlichen empfunden werden kann. Daneben gibt es meist wenige erfahrungswerte im Unternehmen selbst, sodass subjektive Unsicherheit hinzukommt.

Dennoch müssen die Risiken quantifiziert werden, um so die steuerungswürdigen Risiken zu definieren. es empfiehlt sich daher – wie in abbildung 3 gezeigt –, eine weitere kategorie hinzuzunehmen, den Faktor „Wichtigkeit“.

Beispielsweise kann es durchaus schwer sein, die Wahrschein-lichkeit von korruption im Vertriebsbereich XY anzugeben, trotzdem könnte aber konsens darüber herrschen, dass die-ses Risiko als wichtig genug empfunden wird, um es aktiv zu steuern. Die methodik sollte also vielmehr als ein Werkzeug zur priorisierung und weniger als eine exakte Quantifizierung ver-standen werden. empirische ergebnisse zeigen ohnehin, dass sich die einschätzung der Wichtigkeit von Risiken am Risiko selbst, weniger an dessen eintrittswahrscheinlichkeit orientiert.

Abb. 3: Risikoanalyse

Wichtigkeit:

hoch

moderat

gering

katastrophal

schwerwiegend

moderat

gering

unbedeutend

Risikoanalyse

Eintrittswahrscheinlichkeit

Sch

aden

shö

he

unbedeutend gering hochmoderat sehr hoch

1

3

58

12 7

2

4

612

9 10

anwendungsfall antikorruption

Page 24: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

24 |

Weiterhin sind aber auch einige moderne Risikomanagement-ansätze diskutierenswert. insbesondere die Spieltheorie hat Gedanken entwickelt, die auch in diesem kontext Beachtung verdienen. Wie oben bereits angedeutet, können Verhaltens-risiken grob unterschieden werden in Fälle, bei denen die ex-trinsische motivation aus sicht des mitarbeiters, zB durch die anreizsysteme des Unternehmens, eine entscheidende Rolle spielt, und solche, bei denen eher eine intrinsische motivation vorrangig ist. Der Vorteil der spieltheoretischen methode liegt nun gerade darin, entscheidungssituationen in einer Form nachzuvollziehen, bei der man sich in die lage des jeweils andern versetzt („putting yourself behind your rival’s desk“). Gerade hierdurch erfolgt einerseits eine systematisierung der in einem Unternehmen vorhandenen anreizsysteme. anderer-seits liefern die szenariomodelle der spieltheorie Hinweise, wo Umgehungen oder abweichungen von erwünschtem Verhalten besonders wahrscheinlich sind. Die methode kann weiterhin auch Hinweise darüber geben, welche organisatorischen maß-nahmen eingeleitet werden müssen, um die Wahrscheinlichkeit von Compliance zu erhöhen.

selbstverständlich sollten die oben beschriebenen ansätze insbesondere in großen organisationen um induktive elemente erweitert werden. Vor allem die strukturierte auseinanderset-zung mit den Fällen der Vergangenheit lässt auch Rückschlüs-se auf die Güte und Vollständigkeit der vorangegangenen Risikoanalyse zu. Wesentlich ist auch, dass die Risikoanalyse stets aktuell ist. eine Risikoanalyse sollte jedenfalls dann neu durchgeführt werden, wenn sich Änderungen in

• den Geschäftsaktivitäten (neue produkte, services oder märkte),

• der struktur (Zukäufe, Restrukturierung), • der Unternehmensstrategie (einschließlich anreizsystemen), • dem Wettbewerbsumfeld oder • den regulatorischen Rahmenbedingungen ergeben haben.

Hilfreich bei der jeweils aktuellen kenntnis des regulatorischen Umfelds können namentlich die Unterstützung durch externe kanzleien oder die nutzung spezieller newsletter sein.

5.3 Gestaltung der Kerninstrumente

5.3.1 Commitment und Policies Häufig wird als zentraler Bezugspunkt eines Compliance-management-systems mit schwerpunkt antikorruption ein Compliance Commitment gefordert. es empfiehlt sich, ein solches Commitment in die grundsätzliche Unternehmens-positionierung sowohl in Bezug auf Werte als auch auf Geschäftsziele einzubetten. sonst besteht leicht die Gefahr eines isolierten Compliance-management-systems, welches nicht in das Geschäft integriert ist.

Bedenkt man den Ursprung vieler korruptionsfälle und die Begründungen ex post („Geschäfte gehen nur so“), so sollte das Compliance Commitment besonderen Bezug zu möglichen Interessenkonflikten zwischen finanziellen und Compliance-Zielen nehmen. Die ausdrückliche aussage der

Unternehmensleitung muss an dieser stelle klar lauten, dass auf Geschäfte dann verzichtet werden soll, wenn diese nicht ohne korruptive Zahlungen erlangt werden können. Weiter-hin muss klar sein, dass der mitarbeiter, der sich gegen ein Geschäft und für die einhaltung von Recht und Gesetz ent-scheidet, daraus keine finanziellen oder sonstigen nachteile erfährt.

Zur nachhaltigen implementierung in die Geschäftsprozesse ist es notwendig, das Compliance Commitment durch weitere Richtlinien zu operationalisieren, um so den Bezug zur kon-kreten situation der mitarbeiter herzustellen. Beispiele hierfür sind Richtlinien zu annahme oder Übergabe von Geschenken, zu provisionszahlungen, zu Bewirtungseinladungen und zum Umgang mit interessenkonflikten, berichtspflichtigen investiti-onen, einhaltung von wettbewerbsrechtlichen Vorschriften und zu weiteren korruptionsrelevanten Themen. aktuelle Fälle zei-gen, dass die seC zum Beispiel unter anwendung des Foreign Corrupt practices act, welcher auch für an Us-amerikanischen Börsen gelistete Unternehmen mit sitz außerhalb der Usa gilt, ein besonderes augenmerk auf den Umgang mit amts-trägern legt. insofern könnten separate autorisierungsregeln für Geschäfte mit staatsnahen Funktionsträgern und mit ihnen nahe stehenden personen und Unternehmen notwendig sein.

Die Regelungsdichte ist insbesondere an den ergebnissen der Risikoanalyse auszurichten, um die Risikobereiche des Unternehmens auch tatsächlich zu erreichen. Daher sollten alle Regelungen idealerweise für die mitarbeiter in deren jeweiliger muttersprache verfügbar sein. mindestens muss gewährleistet sein, dass eine Übersetzung in so viele spra-chen stattfindet, dass jeder mitarbeiter die möglichkeit hat, die Regelungen zu verstehen.

Weiterhin wesentlich ist die kommunikation der Regelun-gen. Hier sind auch formale Gesichtspunkte wie die rechts-wirksame Dokumentation der kenntnisnahme zu beachten. eine angemessene interne kommunikation kann zB über aushänge, Rundschreiben, intranet, e-mails sowie präsenz-veranstaltungen erfolgen. Daneben sollte auch eine externe kommunikation erfolgen.

entscheidend für die Glaubwürdigkeit der Regelungen ist ein klares Bekenntnis sowie das Vorbildverhalten der Unter-nehmensleitung. Dies zeigt sich beispielsweise in der regel-mäßigen öffentlichen Festlegung auf die gegebenen Werte und Verhaltensstandards, aber auch in der konsequenten Durchsetzung des Compliance-management-systems. Hierzu kann auch gehören, dass die Unternehmensleitung anhand von Beispielen erklärt, wie sie selbst die Regelungen in den eigenen arbeitsalltag integriert hat.

Des Weiteren sollte eine zusammenfassende Dokumentation des Compliance-management-systems in einer Compliance policy erfolgen. Diese sollte neben dem grundsätzlichen Bekenntnis zur Wichtigkeit des Compliance-management-sys-tems aussagen zu ausrichtung und Zielen, den festgelegten Verantwortlichkeiten, der struktur des Compliance-manage-ment-systems, den schnittstellen zu anderen Bereichen, der Umsetzung in den kernprozessen des Unternehmens sowie der Überwachung des Compliance-management-systems hinsichtlich effektivität und effizienz treffen. Dazu gehört es

anwendungsfall antikorruption

Page 25: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 25

auch, Reaktionen auf Verstöße zu definieren. Die Compliance policy sollte hierbei in klarer sprache verfasst sein, sodass sie für jeden mitarbeiter verständlich ist.

Daneben können zur zusätzlichen schärfung der Unterneh-menskultur weitere Kodifizierungen von Unternehmens-werten sinnvoll sein. Für diversifizierte und dezentral organi-sierte Unternehmen ist dabei eine Unterscheidung zwischen Grundwerteerklärung und Verhaltenskodex (Code of Conduct) überlegenswert. mit der Grundwerteerklärung werden die wesentlichen handlungsleitenden Werte des Unternehmens festgelegt und mit leitsätzen beschrieben. Unterschieden werden kann zwischen leistungswerten, kooperationswerten, kommunikationswerten sowie moralischen Werten. Die Werte und leitsätze müssen wiedererkennbar für das jeweils eigene Unternehmen stehen und ergeben sich aus der detaillierten analyse der Tradition, der stärken und schwächen, der kultur, des regulatorischen Umfeldes, der entwicklung der märkte sowie der langfristigen Unternehmensstrategie. nur so ist eine Grundwerteerklärung überhaupt erst dazu geeignet, ein Bezugspunkt für die mitarbeiter, aber auch für weitere stake-holder des Unternehmens zu sein. ein Verhaltenskodex dient vorrangig der kommunikation der in einem Unternehmen gel-tenden Verhaltensstandards. er schafft damit die notwendige aufmerksamkeit in der organisation und sensibilisiert mitar-beiter und Führungskräfte. Je nach Wettbewerbsumfeld und dort bestehenden kulturellen prägungen kann die erarbeitung nationaler Verhaltenskodizes sinnvoll sein. in diesem Falle bildet die Grundwerteerklärung den gemeinsamen Bezugspunkt.

5.3.2 Führungsinstrumente ein wesentlicher Faktor für ein effektives Compliance-manage-ment-system ist die integration des Compliance Commitments gegen korruption in die bewährten Führungsinstrumente. Das heißt letztlich, dass die organisation die einhaltung von Compliance-Zielen fördert und deren missachtung sanktioniert. Dies sollte sowohl formell als auch informell geschehen.

einen wesentlichen ansatzpunkt stellt das linienmanagement im Unternehmen dar. ihm bzw den prozesseignern kommt eine erhebliche Bedeutung bei der Umsetzung von Compli-ance und antikorruptionsmaßnahmen zu, weil hier auch die Verantwortung für das operative Geschäft und der Ursprung möglicher Zielkonflikte liegen. Daher sollte eine Verantwortlich-keit dieser Führungskräfte für die Umsetzung von Compliance unter besonderer Berücksichtigung von korruptionsgefahren in ihrem jeweiligen Verantwortungsbereich definiert werden, welche dann wiederum auf die geleiteten mitarbeiter übertra-gen werden kann.

aus der Vertragstheorie ist bekannt, dass zunächst die erfüllung der expliziten Zielvorgaben zu erwarten ist. Um Compliance-Zielen damit nicht systematisch eine nachgeordnete priorität zu geben, sollten diese explizit in die jeweiligen Zielvereinbarungen übernommen werden.

inhaltliche Themen, bei denen die kooperation des linienma-nagements denkbar und sinnvoll wäre, sind zB:

• Übersetzung der antikorruptionsnormen im eigenen Verant-wortungsbereich durch die anpassung von prozessen und Verfahren.

• Übernahme von Compliance-Themen sowie das Bekenntnis zur persönlichen integrität in die stellenbeschreibungen des eigenen Verantwortungsbereichs sowie die mitarbeiterbeur-teilung bzw mitarbeitergespräche.

• Verantwortung für die Teilnahme der eigenen mitarbeiter an den Compliance-schulungen.

• aktive Unterstützung der Compliance-organisation bei: – identifikation von korruptionsrisiken im operativen

Geschäft, – identifikation von optimierungspotenzialen, – Umsetzung des Compliance Reporting, – Umsetzung des issues managements und/oder – Formulierung von messgrößen für die erreichte Qualität.

Daneben stehen Themen, die einer messbarkeit eher entzogen sind, aber beispielsweise im Rahmen von mitarbeiterbefra-gungen eruiert werden können. Hierzu zählen unter anderem das Wahrnehmen der Vorbildfunktion durch ausdrückliche priorisierung und Wertschätzung der Compliance-Ziele, die aktive Förderung und Honorierung von ethischem Verhalten, die ermutigung zur meldung von Verstößen sowie das aktive sich-einbringen in die lösung von Dilemmasituationen. ein geeigne-tes instrument, um Compliance-Ziele neben weiteren Zielen zu integrieren, kann beispielsweise die Balanced scorecard sein.

5.3.3 Mitarbeiterschulungen Die schulung von leitenden und nicht leitenden mitarbeitern sollte immer dort besonders intensiv sein, wo Risiken hoch und die zu beachtenden Vorschriften komplex sind. allem voran geht also die erstellung einer risikoorientierten kriterien-liste, welche mitarbeiter in welcher Häufigkeit und mit welchen medien geschult werden sollen. Weiterhin sollte überlegt werden, ob das Training als präsenz- oder Web-based Training angeboten wird. im Falle von antikorruptionsschulungen sollte hier intern besonders auf Führungskräfte sowie mitarbeiter in Vertrieb und einkauf fokussiert werden. extern können die schulungen auch auf Vermittler, Berater, Joint-Venture-partner und sogar konzernfremde Vertriebsgesellschaften ausgedehnt werden.

Daneben muss an dieser stelle auch eine entscheidung darüber getroffen werden, in welchen sprachen die Trainings angeboten werden müssen sowie welche nationalen und internationalen Rechtsnormen überhaupt eingang in die schulungsmaterialien finden sollen. es empfiehlt sich stets, die schulungen in das bestehende aus- und Fortbildungsprogramm zu integrieren.

in Bezug auf die Vermeidung von korruption sollten die schulungsmaßnahmen die anforderungen der einschlägig anwendbaren Rechtsnormen sowie die erwartungshaltung des Unternehmens in Hinblick auf richtiges Geschäftsgebaren definieren. Die Trainings sollten sich dabei an den juristischen laien möglichst in seiner muttersprache wenden. aus Gründen der nachvollziehbarkeit, aber auch einer späteren exkulpation, empfiehlt es sich ferner, jederzeit einen Überblick über den stand der schulungen sowie der Teilnahme daran zu haben und diese auch belegen zu können.

primäres Ziel der Trainings ist nicht die Vermittlung juristischer kenntnisse, sondern vielmehr eine Sensibilisierung und ein Umdenken. lerntheoretisch können Verhaltensänderungen am besten durch positive erfahrungen erzielt werden. Das heißt

anwendungsfall antikorruption

Page 26: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

26 |

vor allem, die meinung und erfahrungen der mitarbeiter mit einzubeziehen (was bei einem reinen einsatz elektronischer medien nicht möglich ist) und strategien und Hilfestellungen zu erarbeiten, wie in der praxis mit möglichen problemfällen umgegangen werden kann. Hier gilt es, Zielkonflikte zu erken-nen und gemeinsam zu diskutieren. Um die Hemmschwelle zur Diskussion zu senken, können im Rahmen von Workshops auch kreativtechniken eingesetzt werden, mittels deren situa-tionen verfremdet werden können, im kern aber dennoch reale Themen diskutiert werden.

Dabei ist der inhalt der schulungen allein noch kein Garant dafür, dass das Gelernte später auch in die praxis umgesetzt wird. Vielmehr haben insbesondere bei korruption Zielkonflikte eine entscheidende Bedeutung, sodass für die Frage der effektivität von schulungen auch der kontext betrachtet werden muss. Unternehmen sollten daher nach den schulungen auch ano-nyme Mitarbeiterbefragungen durchführen, in denen neben der Verständlichkeit der schulungen zusätzlich adressiert wird, inwiefern die mitarbeiter in der praxis Hindernisse sehen, die schulungsinhalte umzusetzen.

Um weiterhin die entdeckungswahrscheinlichkeit zu erhöhen, sollten schulungen und Trainings für mitarbeiter mit kontroll-aufgaben auch weiter gehen, indem sie beispielsweise für das Vorliegen typischer Warnsignale hinsichtlich Korruption in ihren Verantwortungsbereichen sensibilisiert werden. Für eine höhere praxisnähe bietet es sich hier an, mit Beispielen und Fallstudien zu arbeiten. Weiter ausgebaut werden kön-nen diese schulungen zu spezialtrainings für mitarbeiter der internen Revision, bei denen ausschließlich die Vermittlung von Fertigkeiten zur aufdeckung von Compliance-Verstößen im Vordergrund steht. Hier ist beispielsweise der Umgang mit

eDV-gestützten Techniken sowie der einsatz von Datenbanken mit informationen zu klassischen Handlungsmustern im Bereich der korruptionsverstöße zu nennen.

Des Weiteren sollte das schulungsprogramm nicht statisch betrachtet werden. Dynamische Größen sind zB der Teilneh-merkreis (Wechsel von Verantwortlichkeiten im Unternehmen), die zu schulenden inhalte (eintritt in neue märkte, Änderung des regulatorischen Umfelds, erkenntnisse aus entdeckten Verstößen) sowie die Verlagerung von Risikobereichen im Unternehmen (Restrukturierungen, Zukäufe). all das kann eine erneute Durchführung von schulungen bzw eine Überarbeitung der schulungsinhalte bedingen.

Ziel aller Trainings- und kommunikationsmaßnahmen ist die Verhinderung von korruptionsfällen durch a priori rechtskon-formes und grundsätzlich ethisch vertretbares Verhalten. Dies lässt sich durch information teilweise erreichen, ist aber min-destens ebenso stark von den Werten abhängig, die in einem Unternehmen letztlich (informell) gelebt werden. Wesentlich ist auch hier, dass ethische Richtlinien gleichberechtigt neben dem erreichen von finanziellen Zielen stehen. ist die kommunikation hier nicht glaubhaft, so bildet sich leicht eine informelle struktur mit einem primat auf finanziellen ergebnissen.

5.3.4 Issues Management ein zentrales element eines Compliance-management-systems mit schwerpunkt auf antikorruption ist die Frage, welche möglichkeiten mitarbeiter haben, mit beobachteten Verstößen bzw mit Verhaltensunsicherheiten umzugehen. es wurde hier bewusst der weitere Begriff des issues management verwen-det, weil hier übergeordnet auch der beratende aspekt betrach-tet werden soll. im Folgenden wird unterschieden zwischen ein-richtungen, die mitarbeiter in Fragen des operativen Geschäfts beraten (häufig als Business Practices Hotline bezeichnet), und einrichtungen, bei denen Beobachtungen gegen Verstöße gemeldet werden können (Whistle-blowing). Beide aspekte sind wichtig, da insbesondere in international tätigen Unter-nehmen unterschiedliche kulturen und Geschäftspraktiken aufeinandertreffen, was häufig mit Verhaltensunsicherheiten einhergeht. Daneben sind in Fälle von korruption auch häufig leitungsebenen eines Unternehmens involviert, was das Risi-ko einer kontrollumgehung qua Hierarchie oder anordnung impliziert (Management Override). Dieses Risiko kann über die einrichtung einer Whistle-blowing-stelle adressiert werden. Beide aspekte sollen daher im Folgenden beleuchtet werden.

im Rahmen einer Business practices Hotline sollten wesent-liche Fragen des täglichen Geschäfts adressiert werden. Beispielsweise sollte bei Risikogeschäften immer eine kon-sultationspflicht sowie ein Vetorecht definiert werden. Die Compliance-organisation kann sich hier als partner im opera-tiven Geschäft etablieren und anhand konkreter sachverhalte wiederum zur sensibilisierung der mitarbeiter beitragen. Weiterhin wird hier das Risiko minimiert, dass aus Unkenntnis bestimmter Rechtsnormen Geschäfte getätigt werden, die sich später als besonders problematisch herausstellen. auch hier ist wesentlich, dass mitarbeiter zur inanspruchnahme der Beratungsfunktion motiviert werden. Dies kann einerseits durch aufklärung und appelle geschehen, andererseits soll-ten aber auch sanktionen für den Fall vorgesehen sein, dass zustimmungspflichtige Geschäftsvorfälle eigenverantwortlich

anwendungsfall antikorruption

Page 27: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 27

abgewickelt werden. möglich ist es auch, statistiken im intra-net zugänglich zu machen, um hier offenzulegen, in wie vielen Fällen eine konsultation in anspruch genommen wurde, wann eine ablehnung erfolgt ist und wie die Reaktionszeit zwischen anfrage und antwort war. auf diese Weise wird ein offener Umgang mit der Thematik gepflegt und das Risikobewusstsein geschärft.

Dass Whistle-blowing ein wesentlicher Bestandteil eines Compliance-management-systems ist, wird in der literatur weitgehend so gesehen und von der europäischen kommission in Verbindung mit der Bekämpfung von korruption ausdrücklich empfohlen. Dennoch ist die situation diffizil. Whistle-blowing bewegt sich in der Wahrnehmung meist auf einem schmalen Grat zwischen Zivilcourage und Denunziantentum. Dennoch ist die frühzeitige kenntnis von Compliance-Verstößen essenziell. soweit meldungen bereits in der phase der vorbereitenden Tätigkeiten bezüglich korruption eingehen, kann der Whistle-blower-Hotline eine präventive Funktion zukommen. in der praxis zeigt sich aber, dass überwiegend bereits vollendete Taten angezeigt werden. Für eine erfolgreiche implementierung empfiehlt es sich daher, sich zunächst in die typische lage eines Whistle-blower zu versetzen und nach dessen motivation zu fragen.

nach heutigem Forschungsstand können die Faktoren in persönliche und situationsbezogene Faktoren unterschieden werden. Diese kategorien beeinflussen den entscheid für oder gegen Whistle-blowing. empirische Untersuchungen kommen hierbei zu dem ergebnis, dass letztlich der situationsbezug ent-scheidend ist. Bei den situationsbezogenen Variablen stechen drei aspekte heraus:

• die persönliche einschätzung der schwere des beobachteten normverstoßes,

• das Vertrauen in die Repressionsfreiheit sowie in die Wirk-samkeit der meldung und

• das Bestehen einer effizienten und professionellen kommu-nikations-infrastruktur.

Beeinflussbar durch das Unternehmen sind letztlich alle punkte. Die erfahrung zeigt, dass der Unternehmenskontext einen ent-scheidenden einfluss darauf hat, was letztlich als gravierender Verstoß und was als kavaliersdelikt empfunden wird. es ist daher wiederum aufgabe der Unternehmensleitung, klarzu-stellen, dass es sich bei korruption um eine straftat handelt, die weder geduldet noch im nachgang erklärbar ist. Damit wird auch der argumentation der nährboden entzogen, Geschäfte „gingen nur so“ und die anderen „machten das auch“.

Weiterhin ist das Thema Repressionsfreiheit, welches eng mit dem Thema anonymität verknüpft ist, von erheblicher Relevanz. Whistle-blowing kann auf viele verschiedene Weisen bereitge-stellt werden. Die alternativen reichen von softwarebasierten lösungen bis hin zur Benennung externer ansprechpartner. erfahrungsgemäß ist das Vertrauen in anonymität, Wirksamkeit und Repressionsfreiheit bei externen ansprechpartnern höher.

externe Dienstleister stellen darüber hinaus expertise im Bereich der Vorselektion der Hinweise sicher. meldungen, die jeder konkretisierung entbehren und offensichtlich zu Verleum-dungszwecken lanciert wurden, können so schnell aussortiert

werden. Die idealvorstellung eines halbanonymen systems, bei dem der Hinweisnehmer den Hinweisgeber kennt, dessen anonymität aber auf Wunsch gegenüber dem Unternehmen wahrt, kann also am ehesten bei einer externen Lösung erwartet werden.

mit der einrichtung einer effektiven Whistle-blowing-struktur sind grundsätzlich folgende wesentlichen Vorteile verbunden:

• Hinweise auf Compliance-Verstöße und auf korruption wer-den frühzeitig erkannt.

• Die Wirksamkeit des Hinweises wird durch die konsequente nachverfolgung demonstriert.

• Die entdeckungswahrscheinlichkeit wird subjektiv höher eingeschätzt.

• Die Gefahr, dass sich mitarbeiter an gänzlich externe stellen wie beispielsweise die presse wenden, wird reduziert.

es darf darüber hinaus noch die Frage gestellt werden, was der mitarbeiter von einer meldung hat. Diskutiert wurden in der Vergangenheit auch Belohnungen für Whistle-blower. Dies ist allerdings unvereinbar damit, dass das melden von beob-achteten Verstößen die pflicht eines jeden sein sollte. Daneben gibt es auch eine empirische evidenz dafür, dass Belohnungen die entscheidungen für oder gegen eine meldung nicht maß-geblich beeinflussen. Die Belohnung von meldungen ist also abzulehnen. anders hingegen ist die Honorierung im sinne einer Wertschätzung des Hinweisgebers zu sehen. es muss in einem Unternehmen gelingen, ernsthaftes Whistle-blowing als etwas erwünschtes zu implementieren. eine zusätzliche motivation im sinne der kodifizierung einer meldepflicht im Code of Conduct mit dem Hinweis auf sanktionen oder aber die pflicht zur abgabe jährlicher Compliance-erklärungen ist ebenfalls überlegenswert. Gegebenenfalls ist hier eine abstim-mung mit dem Betriebsrat zu suchen, um eine arbeitsrechtlich relevante Bindung zu erreichen.

in der kommunikation ist ferner eine orientierung dafür zu geben, wofür die Whistle-blowing-stelle vorrangig genutzt werden soll. organisatorisch ist auch darauf zu achten, dass die Whistle-blowing-stelle gut und kostenfrei erreichbar ist. Gerade in internationalen Unternehmen bedeutet das aufgrund der verschiedenen Zeitzonen entweder nationale lösungen oder aber eine erreichbarkeit rund um die Uhr. Daneben sollte es für jeden Whistle-blower möglich sein, die meldung jeweils in seiner muttersprache abzugeben. alternativ ist sicherzustellen, dass jeder mitarbeiter eine der angebotenen sprachen mit hinreichender sicherheit spricht. im sinne eines systemati-schen prozesses sollten ferner standardisierte Verfahren zur annahme, Behandlung, kommunikation und vor allem der Dokumentation der eingehenden Hinweise festgelegt werden.

5.3.5 Compliance-Prüfungen Die Durchführung regelmäßiger Compliance-prüfungen zur identifikation von Frühwarnindikatoren in Hinblick auf kor-ruption ist entscheidend für die konsequente Umsetzung von antikorruptionsmaßnahmen innerhalb eines Compliance-management-systems. obwohl meist nur stichprobenartig und damit nicht flächendeckend durchführbar, entsteht bereits eine erhebliche Präventivwirkung in der glaubhaften ankündigung. Die nennung von ort und Zeit der prüfungen sollte allerdings aus nachvollziehbaren Gründen unterbleiben.

anwendungsfall antikorruption

Page 28: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

28 |

Die Durchführung selbst sollte sich auf die in der Risikoanalyse identifizierten Hochrisikobereiche fokussieren. im anwen-dungsfall antikorruption liegt ein schwerpunkt erfahrungsge-mäß auf den Geschäftsbeziehungen mit Beratern, Vertretern, Vermittlern, Beauftragten sowie Joint-Venture-partnern. Hierzu sind entsprechende klauseln in den jeweiligen Verträgen vor-zusehen. Die prüfungen dort sollten mindestens Folgendes beinhalten:

• detaillierte prüfungen der Finanzbuchhaltung und Zahlungs-ströme der operativen einheiten;

• prüfungen der den leistungsbeziehungen zugrunde liegen-den Vertragsverhältnisse sowie der leistungsdokumentati-onen und

• interviews mit den internen auftragsverantwortlichen sowie den Geschäftspartnern.

Daneben kann es sinnvoll sein, nach Auffälligkeiten in den Datenbeständen des Unternehmens zu suchen. Hier würde man eher laufende prüfungen im zentralen Treasury einsetzen. Zur aufbereitung der internen Datenbestände kann analyti-sche prüfsoftware oder auch speziell entwickelte forensische software eingesetzt werden. Die programme erlauben den Umgang mit massendaten, um so auffälligkeiten zu iden-tifizieren. Dabei werden unterschiedliche analyseverfahren verwendet. Beispielsweise können wesentliche Bartransakti-onen, auffällige Buchungssätze und auffällige kreditoren (sitz, Rechtsform, Bankverbindung) Gegenstand der analysen sein. Wesentliche erkenntnisse können auch durch die Zusammen-führung unterschiedlicher Datenbestände gewonnen werden. Beispielsweise können öffentlich zugängliche informationen zu natürlichen und juristischen personen mit berücksichtigt werden.

Der Einsatz forensischer Techniken bietet hervorragende möglichkeiten, die effizienz im Rahmen der aufdeckung von Compliance-Verstößen zu steigern. entscheidend für die effiziente ausgestaltung der analysen sind eine umfassende kenntnis der zu erwartenden Handlungsmuster und der mit diesen verbundenen Frühwarnindikatoren. Häufig werden auch Unternehmensspezifika eine Rolle spielen, beispielsweise bei der ausbildung kontrollinduzierter muster. Das heißt, ausge-hend von den vorhandenen Regelungen sind mögliche kontroll-umgehungen und deren niederschlag in den Datenbeständen des Unternehmens zu definieren. Unternehmensunabhängige analysen stellen beispielsweise Vergleiche mit statistischen mustern dar. sehr bekannt ist die sogenannte Benford-analyse, bei der die Verteilung der anfangsziffern eines Zahlenbe-standes analysiert wird. abweichungen von der erwarteten Verteilung können hierbei auf Unregelmäßigkeiten hindeuten.

Beispielhafte Frühwarnindikatoren für Vertriebskorruption: • Unüblich hohe Vermittlerprovisionen, provisionen oder Bera-

terhonorare in einzelnen ländern. • Ungenügende sowie unvollständige Dokumentation von

Geschäftsabschlüssen, Transaktionen, Verhandlungen, absprachen, Zusagen oder konditionen.

• Das management kümmert sich persönlich um einzelne sachverhalte, Geschäftsabschlüsse, Transaktionen bzw holt informationen ein, die nicht in den originären Geschäftsbe-reich des jeweiligen managers fallen.

• auffällige Geldtransfers für schwierig messbare

Gegenleistungen (Beratungsleistungen, anwaltsleistungen, spenden, Geschenke, marketing/Werbung, konzeptentwick-lung, studien, marktentwicklung, kontaktaufbau und -pflege, Vertriebsunterstützung, provisionen, Training etc.).

• Geschäfte mit inaktiven oder nicht am markt etablierten Unternehmen.

• Gegenleistung ist schwer oder überhaupt nicht nachvollzieh-bar.

• leistungsgegenstand und Geschäftszweck des leistungs-gebers fallen auseinander.

• Geschäfte mit Vermittlern bzw Beratern mit – sitz in klassischen offshore-ländern; – stark diversifizierter Geschäftstätigkeit; – häufiger Änderung von adresse, Firmensitz, Firma oder

Geschäftszweck; – einem ungewöhnlich hohen Transaktionsvolumen bezogen

auf den Gesamtumsatz; – abweichungen zwischen sitz und Bankverbindung; – stammdatenidentitäten im Vergleich zu anderen

kreditoren. • abwicklung von wiederkehrenden leistungsbeziehungen

über sammelkonten. • abwicklung von leistungsbeziehungen über nicht konsoli-

dierte Verrechnungskonten. • abwicklung von Zahlungsausgängen über Debitoren. • abwicklung von Zahlungsausgängen über Barzahlungen. • Hinzurechnung von aufwandspositionen in steuerbilanz. • abwicklung von Geschäftsvorfällen über direkte aufwands-

buchungen ohne Zwischenschaltung eines kreditors.

5.3.6 Compliance Reporting Die Ziele eines Compliance-management-systems können letztlich nur durch eine schlüssige und koordinierte Zusam-menführung von informationen erreicht werden. Damit ergibt sich in natürlicher Weise die Forderung nach einem adressa-tenspezifischen Compliance Reporting. Teilweise wird zusätz-lich gefordert, dass dieses, um die mitarbeiter zu entlasten, iT-unterstützt implementiert werden sollte. auch hier gilt stets, dass sich die konkrete ausgestaltung an Risikoanalyse und Unternehmensbesonderheiten wie Größe, komplexität oder Geschäftsmodell orientiert, da diese letztlich bestimmend für die konkreten anforderungen sind.

effektives Reporting – nicht nur im Bereich antikorruption – basiert auf einigen Grundvoraussetzungen, die nachfolgend dargestellt sind:

• Die Ziele und aufgaben sind klar festgelegt. • Die Reportingintervalle und eskalationskriterien für die ein-

zelnen Zielgruppen sind definiert. • Die eskalationskriterien stellen sicher, dass die jeweiligen

Zielgruppen adressatengerecht mit informationen versorgt werden.

• Die ausgestaltung der informationswege gewährleistet die Vollständigkeit der informationen.

• es gibt ein zusätzliches ad-hoc-Reporting für wesentliche Vorkommnisse (zB neu aufgedeckte korruptionsfälle, aktu-elle entwicklungen bei bestehenden Fällen).

• Der Chief Compliance officer steht (nicht nur formal) mit seiner Unterschrift für die Vollständigkeit und Richtigkeit der informationen, die an Vorstand und aufsichtsrat gelangen.

anwendungsfall antikorruption

Page 29: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 29

Hierbei ist es wiederum wichtig, mitarbeiter zur koopera-tion bei und zur meldung von Compliance-Verstößen und korruptionsfällen zu motivieren. ein richtig verstandenes Reporting ist ein hervorragendes instrument zur identifikation von schwachstellen sowie zur kontinuierlichen Verbesserung des Compliance-management-systems. Um diese aufgabe zu erfüllen, sollte ein Compliance Reporting qualitativ folgende Informationen beinhalten:

• alle wesentlichen sachverhalte im Bereich der korruptions-fälle.

• Wesentliche Änderungen im regulatorischen Umfeld des Unternehmens bzw anwendbarkeit weiterer normen, zB durch markteintritt in einer bestimmten Region.

• aussage zur Qualität des Compliance-management-systems anhand aussagefähiger messgrößen. Hierzu gehören auch Hinweise auf optimierungspotenziale.

• anzahl und informationen zu (vermuteten) korruptionsfällen und eine einschätzung, inwiefern das problem auch in ande-ren Bereichen relevant sein könnte.

• informationen zu korrektivmaßnahmen mit angaben zur zeitlichen Umsetzung.

• angaben zu Disziplinarmaßnahmen und sanktionen. • angaben zur weiteren Compliance-strategie und zu Zielen

für die kommende Berichtsperiode. • angaben zu weiteren maßnahmen, die zur Verbesserung des

Compliance-management-systems unternommen wurden (internes/externes Benchmarking, Quality Reviews durch externe etc.).

Wesentlich ist weiterhin, dass alle relevanten Compliance-informationen zentral an einer stelle verfügbar sind. auf diese Grundmenge an informationen können dann unternehmens- und adressatenspezifische selektionskriterien angewendet werden.

Um seiner aufsichtspflicht ausreichend nachkommen zu kön-nen, sollte der aufsichtsrat in abstimmung mit dem Vorstand den Chief Compliance officer mindestens einmal im Jahr ohne anwesenheit des Vorstands befragen können, um dem einwand einer möglicherweise zu schwachen position gegen-über dem Vorstand zu begegnen. aus unserer sicht ist dies darüber hinaus zwingend notwendig, wenn der Vorstand selbst im mittelpunkt von Vorwürfen stehen sollte.

5.3.7 Personalauswahl und -entwicklung Die erfahrung zeigt, dass häufig auch mitarbeiter und Füh-rungskräfte in korruptionsfälle verwickelt werden, die ansons-ten über einen tadellosen leumund verfügen. Dies ist auch konsistent damit, dass es sich bei Wirtschaftsstraftaten meist um Delikte handelt, die mit sonstiger sozialer Unauffälligkeit einhergehen. ein Compliance-management-system sollte also auch dieses Thema adressieren und Überlegungen dazu anstel-len, wie man durch gezielte personalmaßnahmen zusätzliche präventionswirkung erzeugen kann.

Ziel dieser personellen maßnahmen sollte es vorrangig sein, in die Führungskräfteentwicklung die persönliche Integrität des kandidaten explizit als ein wesentliches Beurteilungskriterium aufzunehmen. Hierbei können sowohl die einschätzungen professioneller personalberater aus Gesprächen mit den Führungskräften als auch assessment Center, die gezielt auf

Dilemmata und das Verhalten in diesen situationen eingehen, geeignete instrumente sein.

Über die aufnahme dieser kriterien in die Führungskräfte-auswahl wird auch klar artikuliert, dass das Festhalten an den Unternehmenswerten unabdingbar für eine langfristige karriere im jeweiligen Unternehmen ist, wodurch wiederum eine besondere aufmerksamkeit für Compliance und deren Wichtigkeit geschaffen wird. Dies kann noch dadurch verstärkt werden, dass alle neuen mitarbeiter mit den Unternehmens-werten sowie der Haltung zu Compliance im Rahmen eines einführungsprogramms vertraut gemacht werden.

Um zu vermeiden, dass weitreichende kompetenzen und Befugnisse an neu eingestellte personen mit fragwürdiger integrität übertragen werden, sollten bereits bei der einstellung entsprechende kontrollen durchgeführt werden. Dabei sollten zumindest einfache Wege, wie beispielsweise die Vorlage von originalzeugnissen im Bewerbungsprozess oder aber die Rückfrage bei vorherigen arbeitgebern unter einwilligung des Bewerbers genutzt werden. entsprechend der zu besetzenden position sollte auch über eine weiterführende informations-sammlung nachgedacht werden. Hierbei sollten die formalen Qualifikationen, mitgliedschaften und die Beschäftigungshisto-rie einschließlich der ausgestellten arbeitszeugnisse überprüft werden. Daneben können informationen über Beteiligungen, Vermögensverhältnisse, bisherige Geschäftsführungs- und aufsichtsratstätigkeiten, mögliche Vorstrafen und Berufs-verbote relevant sein. Da diese informationen nur teilweise öffentlich verfügbar sind, empfiehlt sich die kooperation mit dem Bewerber, um dessen einwilligung einzuholen. Daneben zeigen studien, dass es psychologische Variablen gibt, die zwischen delinquenten und nicht delinquenten personen zu unterscheiden erlauben. es ist also zu überlegen, ob diese kenntnisse im Rahmen von einstellungsverfahren nutzbar gemacht werden können.

5.3.8 Business Partner Screening Vor dem Hintergrund der Vermeidung von korruption sind insbesondere auch die Geschäftsbeziehungen des eigenen Unternehmens mit Dritten risikoorientiert zu analysieren. es geht hierbei um einen Überblick, insbesondere hinsichtlich der integrität des bestehenden Kunden- und Lieferantenstamms.

Vertriebs- und lieferantenmanagement beginnt bereits bei der Auswahl der Geschäftspartner. insbesondere bei der einschal-tung von Vermittlern, Vertretern, Beratern, Joint-Venture- und sonstigen Vertriebspartnern sollten Unternehmensprozesse zur Überprüfung eingeführt werden, um sicherzustellen, dass das Unternehmen nur Geschäftsbeziehungen mit vertrauens-würdigen und integren Geschäftspartnern unterhält. Weiterhin sollten die ergebnisse dokumentiert und aufbewahrt werden.

alle Verträge mit Geschäftspartnern (insbesondere mit Ver-mittlern, Vertretern, Beratern, Joint-Venture- und Vertriebspart-nern) sollten entsprechende Regelungen enthalten, dass keine Zahlungen oder leistungen direkt oder indirekt angeboten, versprochen, gezahlt oder geleistet werden, um Dritte zu beeinflussen, ihre position zur erlangung von illegalen Vorteilen für das Unternehmen zu missbrauchen. Ferner sollten Rege-lungen enthalten sein, die prüf- und einsichtsrechte definieren (Vendor audit) und die sicherstellen, dass die Geschäftspartner

anwendungsfall antikorruption

Page 30: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

30 |

ohne vorherige Genehmigung keine Geschäftsbeziehung zu subunternehmern unterhalten.

Daneben sollte dem Compliance-management (zB über die Business practice Hotline) ein Mitspracherecht bei der auf-nahme von Geschäftsbeziehungen zu bestimmten Geschäfts-partnern zukommen. Viele Unternehmen gehen auch dazu über, die Verhaltensstandards im kunden- und lieferantenkreis zu kommunizieren und an diese weiterzugeben. Beispielsweise kann die Fortführung der Geschäftsbeziehungen an die Forde-rung geknüpft werden, jährlich eine entsprechende Compliance-erklärung zu unterzeichnen, die auch konkret ein Bekenntnis zur antikorruption enthalten sollte.

all diese maßnahmen sollten durch risikoorientierte Kredito-renanalysen ergänzt werden. elemente einer solchen analyse sind beispielsweise abweichungen von sitz und Bankverbin-dung, sitz in offshore-Regionen, sitz in Hochrisikoländern, auffällige namensgebungen etc.

abhängig von den ergebnissen der Risikoanalyse kann es für manche Unternehmen sinnvoll sein, den kundenstamm nach dem kriterium „Amtsträger ja/nein“ zu unterscheiden. insbe-sondere die Haftungsfolgen des Foreign Corrupt practices act machen risikoorientiert eine solche Unterscheidung sinnvoll. Daneben sollte auch hier ein Risiko-Cluster in Hinblick auf die korruptionsanfälligkeit des kundenstammes nach Regi-onen, analog der Verfahrensweise beim lieferantenstamm, durchgeführt werden. es gilt stets, dass eine möglichst breite informationsbasis vor aufnahme von Geschäftsbeziehungen geschaffen werden sollte.

ein integritätsorientiertes kunden- und lieferantenmanagement kann durchaus zu dem ergebnis führen, dass das Festhalten an den Unternehmenswerten in manchen Regionen kurzfristig zu einem Wettbewerbsnachteil führt. Daher sollten in diesen Fällen allianzen gesucht werden, um auf der anbieterseite die Front zu schließen. an freiwilligen Bemühungen sei hier exponiert der zehn prinzipien umfassende Global Compact erwähnt, der als zehntes prinzip die Verpflichtung zum Verzicht auf korruption adressiert.

5.3.9 Notfallmanagement Die aufdeckung von Compliance-Verstößen im Bereich der aktiven korruption ist meist mit einer erheblichen Öffentlich-keitswirkung verbunden. Dies gilt umso mehr, je bekannter das Unternehmen ist, welches mit den Vorwürfen in Verbindung gebracht wird. Daher empfiehlt es sich, bereits im Vorfeld Ver-fahren und abläufe zu definieren, wie mit Verdachtsmomenten oder auch entdeckten Fällen umzugehen ist. Hierzu gehört die Definition erster maßnahmen ebenso wie ein professionelles konzept zur kommunikation der ereignisse.

Wesentliches strukturelles element des notfallmanagements ist die schriftliche Fixierung eines Notfallplanes. in ihm werden die Grundsätze und Verfahren dargelegt, die ein Unternehmen in Reaktion auf einen korruptionsfall umsetzt (zB ad-hoc-maßnahmen, kommunikations- und konsultationspflichten, Verhalten bei Durchsuchungsmaßnahmen, Grundregeln zur Zusammenarbeit mit strafverfolgungsbehörden). ein notfall-plan sollte auch skizzieren, wie eine forensische Untersuchung grundsätzlich durchzuführen und was dabei zu berücksichtigen

ist. es ist stets zu beachten, dass es sich um prozesse von gro-ßer Tragweite handelt. Von voreiligen schlussfolgerungen oder Vorverurteilungen ist in jedem Falle abzuraten. allerdings ist ebenso klar, dass jeder Verdacht hierarchieunabhängig geklärt und gegebenenfalls geahndet werden muss (Zero Tolerance policy).

im anschluss an die klärung eines korruptionsfalles sollte immer auch eine Analyse der begünstigenden Umstände bzw der Lücken in internen Kontrollen durchgeführt werden. Daneben sollte auch betrachtet werden, welche Frühwarnsig-nale es bereits vor der eigentlichen entdeckung gegeben hat. Beides spielt eine wesentliche Rolle, um das Compliance-management-system weiter zu verbessern.

ein wesentlicher aspekt eines ernsthaften Compliance-manage-ment-systems ist die Ahndung von Verstößen, ungeachtet der hierarchischen position des Betroffenen. ein Unternehmen kann sich diesbezügliche ausnahmeregelungen nicht erlauben, da die damit verbundene signalwirkung verheerend wäre. es empfiehlt sich hierbei, sich über standardkonsequenzen bereits in der planungsphase eines Compliance-management-systems Gedanken zu machen.

Tendenziell sollten bei korruptionsfällen alle rechtlichen mittel ausgeschöpft werden, zumal es sich um strafrechtlich rele-vante sachverhalte handelt. Die Grundidee des strafrechts ist ja gerade die der Generalprävention, sodass hier auch im sinne einer gesellschaftlichen Verantwortung anzeige erstattet werden sollte. nur so können die nachfolgenden arbeitgeber dann auch erkennen, dass eine relevante Historie besteht. Daneben wird das explizite Bekenntnis zur Zusammenarbeit mit den strafverfolgungsbehörden als weiteres merkmal eines effektiven Compliance-management-systems gewertet. Hierdurch wird signalisiert, dass das Unternehmen niemanden schützt, sondern den namen der betroffenen mitarbeiter offen kommunizieren und zur aufklärung des Falles beitragen wird.

anwendungsfall antikorruption

Page 31: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

| 31

6 Schlusswort

am ende dieser Veröffentlichung sollte zumindest die Frage gestellt werden, was denn eigentlich den erfolg oder miss-erfolg von Compliance-management-systemen maßgeblich bestimmt. Die Grundvoraussetzung für den erfolg ist sicher zunächst das auch organisatorisch sichtbare Bekenntnis zur ernsthaftigkeit von Compliance. Hierzu gehören ua die elemen-te, die in dieser Broschüre vorgestellt wurden. nur mit einer vernünftigen konzeption und einer adäquaten organisation kann die Grundvoraussetzung für ein effektives Compliance-management-system geschaffen werden.

schlusswort

Doch es gehört noch mehr dazu. Viele Compliance-manage-ment-systeme haben trotz einer guten konzeption deshalb versagt, weil sie schlicht nicht ernst genommen wurden und eher eine Feigenblattfunktion hatten. Unethisches Verhalten ist selten die Tat eines einzelnen, sondern beruht auf impliziter oder expliziter kooperation mit anderen und reflektiert inso-fern auch die Werte und Verhaltensmuster einer organisation. effektive Compliance hat daher wesentlich mit der Änderung von einstellungen, Traditionen und Gewohnheiten zu tun. mit kontrolle allein kann ein solches Ziel nicht erreicht werden. Daneben sind Handlungsspielräume wesentlich für die moti-vation der mitarbeiter und damit für den Unternehmenserfolg insgesamt. eine repressive Compliance-kultur, die wesentlich die angst vor entscheidungen fördert, kann nicht das Ziel sein. ein Compliance-management-system muss also auf der einen seite Handlungsspielräume zulassen und erhalten, muss auf der anderen seite aber auch die damit verbundenen Risiken reduzieren. Wesentliches instrument ist die Umsetzung der Unternehmenswerte in den kernprozessen und den klassischen Führungs- und steuerungsinstrumenten. erst so werden diese zu möglichen argumenten für oder gegen eine entscheidung. ein wesentliches Gütemerkmal einer Compliance-organisation besteht gerade darin, Werte gleichrangig in der abwägung und Diskussion über unternehmerische entscheidungen zu verwenden. erst dann ist eine Gleichstellung finanzieller und moralischer Ziele erreicht.

Häufig wird hier von integritätsstrategie gesprochen, die ethik als treibende kraft eines Unternehmens institutionalisiert. ethi-sche Werte leiten dann die suche nach Geschäftsmöglichkeiten, das Design von organisationsstrukturen und die unternehmeri-schen entscheidungsprozesse. sie liefern einen gemeinsamen Rahmen für Denkmuster und eine integrierende Funktion über verschiedene organisationseinheiten und mitarbeitergruppen. organisationsethik hilft dabei zu definieren, wofür ein Unter-nehmen steht. Dies folgt der idee eines sich in gewisser Weise selbst regulierenden Compliance-management-systems und stellt den wesentlichen Unterschied zu einer rein legalistisch orientierten Compliance dar.

Die antwort auf die Frage, was ein effektives Compliance-management-system ausmacht, ist insofern einfach: Compli-ance muss wirklich gewollt werden, um langfristig erfolgreich zu sein.

Page 32: Risk & ComplianCe Compliance- Management- Systeme - KPMG · 4.1 ®Das kpmG 7x7-modell 11 4.2 maturity-konzept 15 4.3 Compliance-organisation 15 4.3.1 aufgaben der Geschäftsleitung

© 2011 kpmG austria GmbH Wirtschaftsprüfungs- und steuerberatungsgesellschaft, österreichisches mitglied des kpmG-netzwerks unabhängiger mitgliedsfirmen, die kpmG international Cooperative („kpmG international“), einer juristischen person schweizerischen Rechts, angeschlossen sind. alle Rechte vorbehalten. printed in austria. kpmG und das kpmG-logo sind eingetragene markenzei-chen von kpmG international. Gedruckt nach der Richtlinie „schadstoffarme Druckerzeugnisse“ des Österreichischen Umweltzeichens. gugler cross media, melk; UWZ 609

Ansprechpartner

Für weitere informationen

kpmG austria GmbH Wirtschaftsprüfungs- und steuerberatungsgesellschaftporzellangasse 511090 Wien

Mag. Peter ErtlPartnerT: +43 1 31 332-224E: [email protected]

Dieter Stangl-KriegerSenior ManagerT: +43 1 313 32-619E: [email protected]

www.kpmg.at