RISK & COMPLIANCE

Compliance – Modeerscheinung oder Chefsache ? Wie sich deutsche Großkonzerne der Herausforderung stellen

Thesenpapier

Ausgestaltung der Erhebung

Die Erhebung wurde mittels eines standardisierten Fragebogens mit 40 Einzel-fragen zu Compliance-Aspekten durchgeführt und durch persönliche Gespräche ergänzt. Insgesamt sind die Angaben von 24 Compliance-Verantwortlichen in die Auswertung eingegangen.

Im Rahmen einer aktuellen Compliance Benchmark-Erhebung befragte KPMG im DAX 30 gelistete sowie ausgewählte weitere Unternehmen zu Organisation, Ausgestaltung und Funktionsfähigkeit ihrer Compliance Management Systeme (CMS). Die Ergebnisse zeigen, dass Compliance längst keine Modeerscheinung mehr ist, sondern bereits fest in den Organisationsstrukturen der großen deutschen Unternehmen verankert wurde.

Die befragten Unternehmen befassen sich intensiv mit dem Thema Compliance und haben entsprechende Verantwortlichkeiten und Abtei-lungen etabliert. Auch wenn die Ausgestaltung der Compliance Manage-ment Systeme im Detail sehr individuell erfolgt, setzen sich alle Unter-nehmen mit den wichtigen Elementen auseinander: Risikoermittlung, Implementierung vielfältiger Compliance-Prozesse sowie Kommunika-tion und Mitarbeitertraining. Mehr als zwei Drittel der befragten Unter-nehmen schätzen dabei ihre Compliance-Systeme bereits jetzt als gut bis sehr gut ein.

Dieses Thesenpapier zeigt die Kernergebnisse der Compliance Bench-mark-Erhebung auf und skizziert Handlungsempfehlungen für die Weiterentwicklung von Compliance-Systemen.

Gern diskutieren wir die Ergebnisse mit Ihnen und stehen Ihnen mit unserem Compliance-Know-how zur Verfügung.

Dr. Oliver EngelsPartner Risk & Compliance

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Compliance ist ChefsacheCompliance wird verstärkt als originäre Aufgabe des Vor-stands angesehen – 45 Prozent der befragten Unterneh-men haben bereits ein eigenes Vorstandsressort Compli-ance eingerichtet oder die Zuständigkeit direkt dem Chief Executive Officer (CEO) zugeordnet.

Die zunehmende Relevanz von Compliance zeigt sich auch darin, dass in fast der Hälfte aller befragten Unternehmen (46 Prozent) der Chief Compliance Officer (CCO) aus-schließlich für Compliance verantwortlich ist. Bei Unter-nehmen mit mehr als 100.000 Mitarbeitern liegt dieser Wert sogar deutlich höher: Zwei von drei Unternehmen haben hier einen CCO mit ausschließlicher Compliance-Zuständigkeit.

Wesentliche Ergebnisse der Erhebung

Compliance bedeutet Beratung und KoordinationDie Aufgabenschwerpunkte der Compliance-Verantwort-lichen sind bei den Unternehmen überwiegend präventiv ausgelegt:

• Beratung von Mitarbeitern

• Durchführung von Schulungen und Sensibilisierungsmaßnahmen

• Erstellung von Richtlinien

Dabei vernachlässigen die Unternehmen jedoch nicht die Aufklärung möglicher Compliance-Verstöße. So haben alle befragten Unternehmen ein Hinweisgebersystem einge-richtet, zum Beispiel in Form einer Hotline (71 Prozent), als E-Mail-Postfach (58 Prozent) oder mithilfe eines externen Ombudsmanns (54 Prozent). Die überwiegende Mehrheit stuft dieses System als hilfreich oder sogar sehr hilfreich ein, auch wenn Unternehmen einräumen, eine Vielzahl gegenstandsloser Anschuldigungen zu erhalten.

Bei Verdachtsfällen ermittelt in der Regel die Interne Revi-sion, während Compliance eine koordinierende Funktion übernimmt. Lediglich in einem Viertel der befragten Unter-nehmen führen die Compliance-Abteilungen routinemäßi-ge, anlassunabhängige Compliance-Audits durch.

Infolge von Compliance-Verstößen werden Regelungs-lücken geschlossen und Sanktionen empfohlen (75 Pro-zent).

Kernrisiken: Kartellrecht, Korruption und Datenschutz

Die am häufigsten von den befragten Unternehmen genannten und mit der höchsten Priorität eingestuften Risikobereiche sind Verstöße gegen das Kartellrecht, Korruption und Verletzung von Datenschutz und IT- Sicherheit.

Daneben lassen sich auch gewisse branchenspezifische Tendenzen erkennen: Während für die Chemie- und Pharmabranche die Bestimmungen des Umweltschutzes, der Produkthaftung oder der Arbeitssicherheit im Vorder-grund stehen, spielt in der IT-, Telekommunikations- und Energiebranche der Schutz sensibler Kundendaten eine wesentliche Rolle.

Aufgaben des Chief Compliance Officer (CCO) bei Unternehmen mit über 100.000 Mitarbeitern (Angaben in Prozent)Quelle: Compliance Benchmark-Erhebung, KPMG 2011

© K

PM

G,

De

uts

chla

nd

Nimmt auch andere Aufgaben im Unternehmen wahr

Ist ausschließlich für Compliance Management zuständig

64

36

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Compliance ist unternehmensindividuellDie Personalausstattung der Compliance-Organisation ist in der Regel von Größe und Komplexität sowie indivi-dueller Risikolage des Unternehmens abhängig. Insbe-sondere Unternehmen, bei denen in jüngerer Vergangen-heit Compliance-Vorfälle öffentlich wurden, haben oftmals ihre Abteilungen personell aufgestockt und beschäftigen nun in der Regel mehr als 20 Mitarbeiter in der Konzern-zentrale. Zum Vergleich: Die meisten anderen Unterneh-men beschäftigen maximal 10 Mitarbeiter in der zentralen Abteilung und übertragen die dezentralen Compliance- Aufgaben verstärkt regionalen Führungspersonen.

Compliance ist TeamworkAufgrund der Komplexität und Vielfalt der Compliance-Anforderungen haben vier von fünf Unternehmen Know-how gebündelt und ein sogenanntes Compliance Commit-tee eingerichtet, das in der Regel mit Vertretern aus den Bereichen Interne Revision, Compliance, Personal, Recht – und gegebenenfalls weiteren Mitgliedern – besetzt ist. Aufgabe des Committees ist es vor allem, als Beratungs-gremium den CCO zu unterstützen.

Obwohl Datenschutz von den meisten Unternehmen als ein wesentliches Risiko angesehen wird, sind die Daten-schutzbeauftragten lediglich bei einem Viertel der Unter-nehmen Teil des Compliance Committees.

Compliance ist eine KommunikationsaufgabeUnternehmen haben längst die Wichtigkeit einer guten Kommunikation ihrer Compliance-Maßnahmen erkannt und hierfür Informations- und Trainingskonzepte entwi-ckelt. Alle befragten Unternehmen verfügen über Verhal-tenskodizes (sogenannter Code of Conduct), in denen sie die wichtigsten Leitlinien und Verhaltensmaßstäbe fest-halten. Vier von fünf Unternehmen schulen zudem ihre Mitarbeiter und Führungskräfte im Rahmen von Präsenz-schulungen und/oder durch webbasierte Trainings bezie-hungsweise informieren sie im Intranet oder durch Mit-arbeiterzeitschriften.

Die größte Herausforderung in der Kommunikation von Compliance besteht nach wie vor darin, alle Mitarbeiter auf den verschiedenen Ebenen zu erreichen und ein konzern-weites Compliance-Bewusstsein herzustellen.

Compliance ist ein wirksames Element zur HaftungsvermeidungNach eigener Einschätzung schreiten die Unternehmen in der Entwicklung und Implementierung ihrer Compliance-Systeme gut voran. Mehr als zwei Drittel der Teilnehmen der Erhebung haben ihre Compliance-Prozesse in über 60 Prozent der konsolidierten Unternehmenseinheiten ein-geführt und schätzen die Qualität ihres CMS bereits jetzt als gut oder sehr gut ein. Über ein optimiertes CMS, das heißt ein System, das regelmäßig an veränderte oder neue Anforderungen angepasst wird, verfügt ein knappes Drittel der Befragten.

Die überwiegende Mehrheit der Unternehmen (83 Pro-zent) betrachtet Compliance Management als ein wirksa-mes Instrument zur Schadensprävention und Haftungsver-meidung.

© K

PM

G,

De

uts

chla

nd

Vertreter welcher Abteilungen sind Mitglied des Konzern-Compliance Committees ? (Angaben in Prozent, Mehrfachnennungen möglich)Quelle: Compliance Benchmark-Erhebung, KPMG 2011

0 20 40 60 80 100

Interne Revision

Compliance-Abteilung

Personal

Recht

Risikomanagement

Internal Control (Verantwortlicher für das interne Kontrollsystem)

Datenschutzbeauftragter

Betriebsrat

Sonstige

Keine Angabe / nicht anwendbar

79

75

71

71

38

25

25

4

54

17

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Identifizierung von Compliance-RisikenWichtige Grundlage eines jeden Compliance-Systems ist die Identifizierung der relevanten Compliance-Risiken. Dabei sollten Unternehmen vermeiden, sich pauschal auf die allgemein bekannten Risiken wie zum Beispiel Ver-stöße gegen das Kartellrecht zu fokussieren. Vielmehr

sollten sie prüfen, welche konkreten Herausforderungen sich aus ihrer individuellen Geschäftstätigkeit ergeben. KPMG unterstützt Sie hierbei gern mit moderierten Work-shops, Fragenkatalogen und Erfassungstools.

Etablierte Compliance- Organisation

Eine konkrete Festlegung der Compliance-Funktionen im Unter-nehmen ist essenziell. So wird die Wirksamkeit des CMS unterstützt und möglichen Haftungsrisiken entgegengewirkt.

KPMG kann Ihnen hier bei der Konzeption und dem Aufbau einer Organisationsstruktur behilflich sein und Sie bei der Erstellung von Anforderungsprofilen und Aufga-benbeschreibungen beraten.

Herausforderung Unser Angebot

Definition von Compliance-Prozessen

Definierte Prozesse sind Grund-lage eines jeden funktionsfähigen und wirksamen Compliance- Systems.

Wir unterstützen Sie gern bei der Definition und (konzernweiten) Implementierung verschiedener Compliance-Prozesse, wie zum Beispiel für Training und Kommu-nikation, Vertrags- und Richtlinien-management, Business Partner Screening, Umgang mit Verdachts-fällen, Verhalten bei Durchsuchun-gen etc.

Optimiertes Compliance- Reporting

Zielgerichtetes Reporting ermög-licht eine adäquate Unternehmens- steuerung. Hier besteht großer Nachholbedarf: Oft erhält der Vorstand drei oder mehrere ver-schiedene Berichtsformate mit unterschiedlichen Inhalten, was die Möglichkeiten zur adäquaten Unternehmenssteuerung erheb-lich erschwert.

KPMG berät Sie gern bei der Definition von Berichtswegen, -frequenzen und -formaten sowie bei der Ausgestaltung eines inte-grierten Vorstands-Reportings, zum Beispiel durch Integration des Compliance Reportings in die Berichterstattung Ihres internen Kontrollsystems (IKS) oder Ihres Risikomanagementsystems (RMS).

Wirksamkeit des Compliance Management-Systems

Eine Prüfung des CMS nach dem Standard IDW PS 980 schafft größtmögliche Transparenz und sichert Vertrauen und Glaubwür-digkeit in die Außendarstellung eines Unternehmens.

Zusammen mit unseren Kollegen aus dem Bereich Wirtschaftsprü-fung können wir Sie bei der Vorbe-reitung auf eine derartige Prüfung unterstützen beziehungsweise – vorbehaltlich der berufsrechtlichen Zulässigkeit – im Einzelfall eine Prüfung Ihres CMS durchführen.

Unsere Handlungsempfehlungen

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informa-tionen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

© 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzern gesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netz werks un-abhängiger Mitglieds firmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, ange schlossen sind. Alle Rechte vorbehalten. Der Name KPMG, das Logo und „cutting through complexity“ sind eingetragene Markenzei-chen von KPMG International.

Kontakt

KPMG AG Wirtschaftsprüfungsgesellschaft

Dr. Oliver EngelsPartner, Risk & Compliance T +49 69 9587-1777 oengels@kpmg.com

Jürgen KunzPartner, Audit T +49 69 9587-3267 jkunz@kpmg.com

Andrea BretschneiderManager, Risk & Compliance T +49 30 2068-1528 abretschneider@kpmg.com

www.kpmg.de