Compliance- Management- Systeme kpmg.at

Größe: px
Ab Seite anzeigen:

Download "Compliance- Management- Systeme kpmg.at"

Transkript

1 Risk & Compliance Compliance- Management- Systeme kpmg.at

2 2 Inhalt Inhaltsverzeichnis 1 Vorwort 3 2 Einführung Begriff Bedeutung von Compliance und Folgen von Non-Compliance Compliance-Management-System 5 3 Verantwortung für Compliance Organverantwortung des Vorstands Umfassende Verantwortung für Compliance Rechtspflicht zur Einrichtung eines Compliance-Management-Systems Grundlagen der Ausgestaltung eines Compliance-Management-Systems Organverantwortung des Aufsichtsrats Überwachungsverantwortung für Compliance im Allgemeinen Überwachung eines vorhandenen Compliance-Management-Systems Überwachung von Einzelfällen Delegation der Überwachungsaufgabe Verantwortung des Abschlussprüfers Redepflicht des Abschlussprüfers im Rahmen der Abschlussprüfung Pflichten des Abschlussprüfers bei der Prüfung SEC-registrierter Unternehmen 9 4 Best-Practice-Maßstäbe für ein Compliance-Management-System Das KPMG 7x7-Modell Maturity-Konzept Compliance-Organisation Aufgaben der Geschäftsleitung Aufgaben des Chief Compliance Officer Aufgaben des Compliance Committee Einordnung in die Gesamtorganisation Integration bestehender Instrumente und Systeme Risikomanagement Internes Kontrollsystem Interne Revision Überwachung, Messung und kontinuierliche Verbesserung 20 5 Anwendungsfall Antikorruption Schwerpunkte eines Compliance-Management-Systems im Bereich der Antikorruption Risikoanalyse Gestaltung der Kerninstrumente Commitment und Policies Führungsinstrumente Mitarbeiterschulungen Issues Management Compliance-Prüfungen Compliance Reporting Personalauswahl und -entwicklung Business Partner Screening Notfallmanagement 30 6 Schlusswort 31

3 Vorwort 3 1 Vorwort Es ist eine Binsenweisheit, dass Gesetze, rechtliche Verpflichtungen und Selbstverpflichtungen eingehalten werden müssen. Dies ist nicht leicht, wenn man die Regelungswut der Gesetzund Verordnungsgeber bedenkt, die den Unternehmen und ihren Organen immer neue Pflichten aufbürden. Die Vielzahl der Regeln wird nicht nur als Überregulierung empfunden, sondern macht die Einhaltung der daraus resultierenden Pflichten zu einem organisatorischen Problem. Haftungsfälle bei Vorständen und Aufsichtsräten, explodierende Prämien für Manager- und Organversicherungen sowie spektakuläre Rücktritte von Aufsichtsräten und Vorständen bei namhaften Unternehmen sorgen für Verunsicherung in der Wirtschaft und in der Öffentlichkeit. Darüber hinaus zeigt eine von KPMG bei dem Meinungs- und Sozialforschungsinstitut TNS Emnid in Auftrag gegebene Umfrage zum Thema Compliance, dass bei deutschen Unternehmen diesbezüglich noch erheblicher Verbesserungsbedarf besteht. In diesem Zusammenhang ist der aus dem angelsächsischen Wirtschaftsrecht entnommene Begriff Compliance in der Wirtschaftspresse und in der wissenschaftlichen Literatur aufgetaucht. Unter diesem unscharfen Begriff wird nicht immer dasselbe verstanden. Hinzu kommt, dass sich im regulatorischen Bereich Neuigkeiten ergeben: Artikel 41 Abs. 2 der 8. EU- Richtlinie normiert die Verpflichtung des Prüfungsausschusses, die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems zu überwachen, um eine umfassende Analyse, Steuerung und Offenlegung der Hauptrisiken der Unternehmen sicherzustellen. Der Begriff Compliance wird in der Richtlinie zwar nicht ausdrücklich verwendet, dennoch werden als Hauptrisiken auch solche betrachtet, die aus dem Verstoß gegen geltende Rechts- und Verwaltungsvorschriften resultieren. Im Mittelpunkt der Diskussion steht bei vielen Unternehmen gegenwärtig die Compliance-Organisation und die Frage, wie Compliance im Allgemeinen sichergestellt und Korruption im Speziellen in den Unternehmen wirksam und nachhaltig verhindert werden kann. Das vorliegende Dokument geht auf die Organverantwortung für die Sicherstellung von Compliance ein, stellt allgemeingültige Best-Practice-Maßstäbe für ein Compliance-Management- System auf und leitet daraus einen skalierbaren Vorschlag für eine Compliance-Organisation ab. Den Abschluss bildet die Darstellung eines Compliance-Management-Systems, das auf den speziellen Anwendungsfall Antikorruption zugeschnitten ist. Korruption nützt wenn überhaupt nur einigen wenigen; Korruption schadet aber ohne Zweifel allen. Daher müssen moralische Werte aktiv in das Unternehmen integriert werden, zu denen die ökonomischen Anreize nicht im Widerspruch stehen dürfen. Mit der vorliegenden Veröffentlichung soll den Unternehmen bei der Einrichtung und Optimierung eines Compliance-Management-Systems und bei ihren Antikorruptions-Bemühungen eine Hilfestellung geboten werden. KPMG verfügt über Spezialisten in Audit, Tax und Advisory, die mit ihren umfangreichen Erfahrungen im Bereich Compliance und Antikorruption Unterstützung bei allen Fragestellungen zu diesem Themengebiet leisten können. Wien, im Dezember 2011

4 4 Einführung 2 Einführung Compliance ist derzeit in aller Munde. Unklar erscheint jedoch im Einzelnen, was unter diesem angelsächsischen Begriff zu verstehen ist. Verfolgt man aufmerksam die Wirtschaftspresse, so werden in diesem Zusammenhang ausschließlich Fraud- bzw Korruptionsfälle sowie Verstöße gegen das Wettbewerbs- und Kartellrecht genannt. Doch der Begriff Compliance ist wesentlich weiter gefasst. 2.1 Begriff Compliance umfasst die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig eingegangenen Selbstverpflichtungen. Compliance ist damit eine umfassende Aufgabe mit Bezug zu allen Bereichen und Prozessen im Unternehmen, dh keine Beschränkung auf einzelne Sparten oder Geschäftsbereiche (bereichsübergreifend); allen Gesellschaften in einem Konzernverbund, gleich welcher Rechtsform (konzernübergreifend); allen Rechtsordnungen, mit denen das Unternehmen bzw der Konzern in Berührung kommt (länderübergreifend); allen Leitungs- und Mitarbeiterebenen (personalübergreifend); allen Rechtsgebieten, mit denen das Unternehmen sowie die Organmitglieder (bzw ihre nahen Angehörigen) in Berührung kommen (rechtsgebietsübergreifend). Zudem werden unter dem Stichwort Non-Compliance auch solche Handlungen subsumiert, die gegen vom Unternehmen selbst gesetzte Vorschriften verstoßen, etwa gegen die Satzung bzw den Gesellschaftsvertrag, Geschäftsordnungen, interne Richtlinien und Verhaltensvorschriften (zb einen Code of Conduct). Eigentlich ist es eine Selbstverständlichkeit, dass Unternehmen, ihre Organmitglieder und Mitarbeiter in Einklang mit dem geltenden Recht handeln. Dies indes zu gewährleisten, wird angesichts der steigenden Flut an Vorschriften und aufeinandertreffender sehr unterschiedlicher Pflichtenordnungen zunehmend schwieriger. Deshalb steht aktuell nicht nur die Erwartung an ein rechtmäßiges Verhalten in Rede, wenn die Organe und deren Mitarbeiter im Unternehmen handeln, sondern auch die Summe jener organisatorischen Maßnahmen, die das rechtmäßige Verhalten der Mitarbeiter gewährleisten sollen. Rechtsverletzungen, aber auch Verstöße gegen freiwillige und kommunizierte Selbstverpflichtungen sind heute angesichts der drastischen wirtschaftlichen Folgen für Unternehmen (und Unternehmensleitungen) zum operationellen Risiko geworden. Ihnen zu begegnen, erfordert es heute, Compliance als unternehmensweite Organisationsanforderung zu begreifen. Das Ausgangsproblem ist für alle Unternehmen gleich: Sie haben sicherzustellen, dass alle einschlägigen Vorschriften beachtet werden. Auch wenn dabei gewisse Grundideen und Maßstäbe für alle Unternehmen gelten, im Einzelnen wird die Ausrichtung und Ausgestaltung eines Compliance-Management-Systems immer unternehmensindividuell vorzunehmen sein. Dabei sind die möglichen Konfliktbereiche für das jeweilige Unternehmen abhängig von der Branche, in der es tätig ist, ebenso wie von seiner Größe und Komplexität, der nationalen bzw internationalen Positionierung oder aber einem etwaigen Kapitalmarktbezug. Mithin unterscheiden sich auch die notwendigen Maßnahmen. Compliance bei einem Kreditinstitut muss anders aussehen als bei einem Chemie-oder Pharmaunternehmen, bei einem internationalen Konzern anders als bei einem mittelständischen Familienunternehmen, das nur am heimischen Markt auftritt. Aus Rechtsverstößen resultieren auch wirtschaftliche Risiken für die Unternehmen, die im Extremfall sogar bestandsgefährdende sein können. Als Konsequenz muss es Aufgabe der Unternehmensleitung sein, Risiken aus Compliance-Verstößen zu identifizieren, zu bewerten und zu managen, um ihnen so weit wie möglich schon präventiv zu begegnen. 2.2 Bedeutung von Compliance und Folgen von Non-Compliance In der Vergangenheit haben Rechtsverstöße immer wieder Unternehmen in die öffentliche Kritik gebracht und die Unternehmen sowie die obersten Ebenen wie etwa Vorstand und Aufsichtsrat in Haftungsfälle verwickelt. Zu denken ist nicht nur an die erheblichen Bußgelder und Geldstrafen bei Verstößen gegen das Wettbewerbs- und Kartellrecht oder bei aufgedeckten Fällen von Korruption. Spektakuläre Beispiele gibt es auch auf anderen Gebieten, etwa bei Verstößen gegen das Kapitalmarkt-, Arbeits- und Steuerrecht, das Lebensmittelrecht, das Umwelt- oder das Produkthaftungsrecht. Ebenso unterschiedlich wie die Pflichten selbst sind die Rechtsfolgen bei Pflichtverletzungen, die das einzelne Unternehmen bzw seine Organmitglieder treffen können.

5 Einführung 5 Folgen von Non-Compliance für Unternehmen können sein: Bußgelder und Geldstrafen (auch für Verstöße durch Vorstandsmitglieder, die für das Unternehmen gehandelt haben), Gewinn- und Mehrerlösabschöpfungen, bei Verstößen gegen öffentlich-rechtliche Vorschriften (zb UWG und WettbG), Verfall des Erlöses; Finanzstrafrechtliche Konsequenzen, Straf- und Verspätungszuschläge; Ausschluss von (öffentlichen) Ausschreibungen; Imageverlust; schlechtere Bewertung durch den Kapitalmarkt und/oder erheblicher interner Aufwand und hohe externe Kosten (zb für Rechtsanwälte und Berater) auch schon beim Vorwurf entsprechender Strafdelikte bzw Ordnungswidrigkeiten. Folgen von Non-Compliance speziell für Organmitglieder, aber auch andere Mitarbeiter können sein: (finanz-)strafrechtliche Verantwortung; Bußgelder und Geldstrafen; Schadenersatzansprüche des Unternehmens im Falle unzureichender (vertikaler) Überwachung; Schadenersatzansprüche bei der Schädigung Dritter; Abberufung und Kündigung und/oder Reputationsverlust. wirkt darauf hin, dass sich das Unternehmen, alle Organmitglieder und Mitarbeiter zu einem rechtmäßigen Verhalten bekennen und sich entsprechend verhalten; erhöht die Transparenz von Risiken; wirkt präventiv und verhindert oder vermindert zumindest damit die Risiken einer Non-Compliance; kann Anschuldigungen bzw etwaige Rechtsverstöße im Unternehmen untersuchen und offenlegen und ermöglicht damit geeignete Maßnahmen zur Schadensbegrenzung; wendet gegebenenfalls drastische Rechtsfolgen (Schadensfolgen, Imageverlust, strafrechtliche Verfolgung) von Rechtsverletzungen für das Unternehmen, die Organmitglieder und Mitarbeiter ab; kann kurzfristige und fundierte Reaktionen auf unwahre Anschuldigungen erleichtern; kann das Vertrauen der Geschäftspartner sichern; kann für eine Darstellung des Unternehmens als gutes Investment am Kapitalmarkt und als Good Corporate Citizen in der Öffentlichkeit sorgen. Nicht immer lassen sich unmittelbar und direkt finanzielle Schäden für das Unternehmen als Folge von Rechtsverstößen erkennen. Zum Teil entstehen diese erst mittelbar, wie etwa durch einen Imageverlust für das Unternehmen bzw für ein Organmitglied, der erst auf lange Sicht zu einer wirtschaftlichen Belastung für das Unternehmen werden kann. 2.3 Compliance- Management-System Unter einem Compliance-Management-System werden grundsätzlich alle Instrumente und Mechanismen verstanden, die die Prinzipien und Wertvorstellungen einer Organisation entwickeln, implementieren und im strategischen und operativen Geschäft durchsetzen. Das Compliance-Management- System unterstützt dabei alle Anstrengungen zum Erreichen eines rechts- und regelkonformen Verhaltens von Organmitgliedern, Führungskräften und Mitarbeitern und stellt damit ein wesentliches Element der Wirksamkeit des Kontrollumfeldes und der Kontrollen überhaupt dar. Gesamtziel ist, Compliance-Risiken im Rahmen eines Gesamtkonzeptes zu erkennen, zu managen und somit jederzeit einen Gesamtüberblick über die vorhandenen Risiken, deren Inventarisierung und Überwachung zu erhalten. Ziel eines Compliance-Management-Systems muss es sein, die oben genannten Folgen von Non-Compliance zu reduzieren oder ganz zu vermeiden. Das Compliance-Management- System:

6 6 Verantwortung für Compliance 3 Verantwortung für Compliance Compliance ist heute als wichtiger Bestandteil einer guten Corporate Governance anerkannt und deshalb zentrale Aufgabe der obersten Ebenen jedes Unternehmens. Gleichwohl gibt es hierzu kaum allgemeine gesetzliche Vorgaben. Allein branchenspezifisch, etwa für Kreditinstitute und Versicherungsunternehmen, lassen sich Sondervorschriften finden. Auch eine höchstrichterliche verallgemeinerungsfähige Rechtsprechung existiert nicht. Dies gilt für Aktiengesellschaften und Gesellschaften mit beschränkter Haftung gleichermaßen, wobei in Letzteren freilich die Gestaltungsfreiheit, namentlich bei der Verteilung der Aufgabenbereiche zwischen Geschäftsführung, Aufsichtsrat und Gesellschafter, ungleich größer ist. Nachfolgend soll die Organverantwortung von Vorstand und Aufsichtsrat für Compliance in Aktiengesellschaften in den Blick genommen werden. 3.1 Organverantwortung des Vorstands Umfassende Verantwortung für Compliance Der Vorstand hat eine umfassende, selbstständige Leitungsverantwortung bei der Unternehmensführung ( 70 Abs. 1 AktG). Sein (unternehmerisches) Handeln muss im umfassenden Sinne rechtskonform (compliant) sein. Zum sogenannten Legal Management gehört dabei nicht nur die Suche nach der rechtlich zweckmäßigsten Gestaltung im Unternehmen, sondern auch die Gewährleistung der Rechtsbefolgung durch das Unternehmen, seine Organe und seine Mitarbeiter. Der Vorstand trägt mithin eine umfassende Verantwortung für Compliance im gesamten Unternehmen. Er ist immer auch der Legal Risk Manager. Im Einzelnen (vgl Abbildung 1): Zunächst trifft jedes Vorstandsmitglied eine persönliche Sorgfaltspflicht dahingehend, dass sein eigenes Verhalten in Einklang mit Recht und Gesetz steht. Dies betrifft auch das Einrichten von Organisationsstrukturen und Prozessen in dem einem einzelnen Vorstandsmitglied zugewiesenen Ressort ebenso wie im Bereich der Pflichten, die nicht das Unternehmen, sondern das Vorstandsmitglied persönlich treffen, etwa die Meldepflichten nach Kapitalmarktrecht. Entsprechend dem Prinzip der Gesamtverantwortung im Vorstand haben sich die Vorstandsmitglieder auch der Rechtmäßigkeit des Handelns der Vorstandskollegen zu versichern (horizontale Compliance-Verantwortung). Dies geschieht im Regelfall durch eine vertrauensvolle Zusammenarbeit. Dabei dürfen sich die anderen Vorstandsmitglieder grundsätzlich darauf verlassen, dass der Ressortverantwortliche seinen Aufgaben sachgerecht nachkommt, solange keine Auffälligkeiten vorliegen oder Unregelmäßigkeiten bzw Missstände bekannt werden. Jedoch wird sich der Gesamtvorstand regelmäßig vom Ressortverantwortlichen über besondere Vorkommnisse berichten lassen. Der Vorstand ist schließlich nicht zuletzt auch dafür verantwortlich, dass alle Mitarbeiter im Unternehmen bei Ausübung ihrer Tätigkeit für das Unternehmen Recht und Gesetz sowie alle internen Richtlinien und Verhaltensanweisungen beachten (vertikale Compliance-Verantwortung). Zwar kann Fehlverhalten des einzelnen Mitarbeiters dem Vorstand nicht ohne Weiteres straf- und/oder zivilrechtlich zugerechnet werden, aber den Vorstand trifft aus seiner umfassenden aktienrechtlichen Leitungsverantwortung ( 70 Abs. 1 AktG) die Pflicht, die Rechtmäßigkeit im gesamten Unternehmen sicherzustellen. Da der Vorstand insbesondere den letzten Aspekt nicht in persona kontrollieren kann, muss er Organisationsstrukturen schaffen, die die Rechtmäßigkeit des Mitarbeiterverhaltens sicherstellen. Dazu gehören neben dem Erlass von Compliance-Richtlinien und der Implementierung von Systemen und Prozessen auch die sorgfältige Auswahl der Mitarbeiter, ihre Anleitung und Kontrolle. Nicht zu vernachlässigen ist, dass der Vorstand auch mit eigener Vorbildfunktion dafür zu sorgen hat, dass sich eine entsprechende Kultur im Unternehmen entwickelt. Compliance muss gelebt werden. Eine wirkungsvolle vertikale Überwachungsstruktur wird zwar nicht vollständig verhindern können, dass es auf verschiedenen Mitarbeiterebenen dennoch zu Rechtsverstößen kommen kann. Sie kann jedoch helfen, den Vorstand in haftungsrechtlicher Hinsicht zu entlasten Rechtspflicht zur Einrichtung eines Compliance- Management-Systems Um eine Vereinbarkeit der Gesamtheit von Handlungen innerhalb eines Unternehmens mit Recht und Gesetz sicherzustellen, kann und sollte sich der Vorstand mithin eines funktionsfähigen und angemessenen Compliance-Management-Systems bedienen. Allein die Aufstellung einer Compliance-Richtlinie und deren kontinuierliche Anpassung sowie die Befassung mit den wichtigsten aufgedeckten Compliance-Fällen werden je nach Komplexität des Unternehmens nicht genügen. Vielmehr muss das Compliance-Management-System um einer Haftung vorzubeugen eine weitergehende, präventive Wirkung entfalten.

7 Verantwortung für Compliance 7 Eigene Sorgfaltspflicht Jedes Vorstandsmitglied ist persönlich dafür verantwortlich, dass sein Verhalten in Einklang mit anwendbarem Recht steht. Dies gilt auch bei der Schaffung von Organisationsstrukturen und Prozessen. Abb. 1: Sorgfaltspflichten des Vorstands Gegenseitige Überwachung des Vorstands (Gesamtverantwortung des Vorstands) Horizontale Compliance- Verantwortung Vertikale Compliance- Verantwortung Auswahl, Anleitung, Kontrolle von Mitarbeitern und angemessene vertikale Überwachung kann Vorstandsmitglieder exkulpieren. Ob indes eine allgemeine Rechtspflicht zur Einrichtung eines Compliance-Management-Systems besteht, ist unklar und in der Literatur umstritten. Eine solche gesetzliche Organisationsverpflichtung findet sich im Aktiengesetz nicht ausdrücklich. Insbesondere lässt sich eine solche nicht per se aus 70 Abs. 1 AktG der allgemeinen Leitungsaufgabe des Vorstands ableiten. Dem Vorstand kommt danach ein weitreichendes unternehmerisches Ermessen bei der Unternehmensführung zu. Der Aufsichtsrat kann dem Vorstand die Einrichtung eines Compliance-Management-Systems zwar empfehlen, ihn nach österreichischer Rechtslage indes nicht hierzu anweisen. Auch aus 82 AktG, der den Vorstand verpflichtet, ein den Anforderungen des Unternehmens entsprechendes Rechnungswesen und internes Kontrollsystem einzurichten, lässt sich keine Organisationspflicht für ein umfassendes Compliance-Management-System herleiten. Anders als das Aktienrecht kennen aber Spezialgesetze für bestimmte Branchen die Verpflichtung der Unternehmensleitung, entsprechende organisatorische Strukturen zu schaffen. Zu nennen sind hier etwa 42 BWG oder 17b VAG, die für Banken und Versicherungen explizit eine interne Revision vorschreiben. Daneben können in einzelnen Gesetzen andere Compliance-Maßnahmen vorgesehen sein, etwa die Einrichtung eines Datenschutz-, Geldwäsche- oder eines Arbeitsschutzbeauftragten. Aus der Summe dieser Vorschriften und weiters unter Rückgriff auf das Verbandsverantwortlichkeitsgesetz sowie das Finanzstrafgesetz, die auch der Unternehmensleitung bei unterbliebener Aufsicht über die Mitarbeiter zur Verhinderung oder Erschwerung von Straftaten und Ordnungswidrigkeiten mit erheblichen Bußgeldern und Sanktionen bedrohen, wird in der rechtswissenschaftlichen Literatur zunehmend eine allgemeine Organisationspflicht des Vorstands zur Sicherstellung der Rechtmäßigkeit des Unternehmenshandelns geschlussfolgert. Zum Teil wird eine solche Organisationspflicht aus Gründen der Schadensprävention und Risikokontrolle nur für besondere Gefahrenbereiche angenommen. Die weit verbreitete Praxis und etliche Meinungen im Schrifttum lehnen gleichwohl eine solche allgemeine Organisationspflicht noch immer ab, befürworten jedoch vorwiegend aus Exkulpationsgründen für den Vorstand die Einrichtung einer Compliance-Organisation. Und in der Tat: Die zunehmende Haftungsdichte für die Organmitglieder sollte Anlass genug sein, sich Gewissheit über die Compliance-Festigkeit der Unternehmensorganisation zu verschaffen. Erwähnt sei an dieser Stelle, dass auch das Unternehmensrechtsänderungsgesetz 2008 (URÄG) aufbauend auf EU- Richtlinien die Einrichtung einer Compliance-Organisation nicht ausdrücklich vorschreibt. Zwar normiert Art. 41 Abs. 2 der 8. EU-Richtlinie (umgesetzt in 92 Abs. 4a AktG bzw 30g Abs. 4a GmbHG) die Verpflichtung des Prüfungsausschusses, die Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems (jährlich) zu überwachen, um so die Diktion der EU- Empfehlung vom Februar 2005 eine umfassende Analyse, Steuerung und Offenlegung der Hauptrisiken (einschließlich jener, die mit der Beachtung der geltenden Rechts- und Verwaltungsvorschriften zusammenhängen) sicherzustellen (Textziffer 4.2 im Anhang I). Ob dies ein Compliance-Management-System beinhaltet und inwieweit die Unternehmensleitung hier zur Einrichtung eines solchen Systems verpflichtet ist, lassen nationale Gesetzgebung, Richtlinie und EU-Empfehlung hingegen offen. Tendenziell wird die Richtlinie aber im Sinne eines ganzheitlichen Ansatzes verstanden, der insulatorische Lösungen ausschließt Grundlagen der Ausgestaltung eines Compliance- Management-Systems Auch die Ausgestaltung eines Compliance-Management-Systems im Einzelnen liegt nahezu vollständig in der Organisationshoheit des Vorstands ( 70 Abs. 1 AktG). Dies betrifft zunächst die Anbindung einer Compliance-Organisation bzw des Chief Compliance Officer; auch hierfür gibt es keine rechtlichen Soll- Vorgaben, weder nach Gesetz noch aus einer höchstrichterlichen Rechtsprechung. Freilich muss eine Compliance-Organisation funktionsfähig, also wirkungsvoll und für das Unternehmen angemessen sein. Aus Haftungsgründen ist es bedeutsam, dass der Vorstand die Entscheidung über die Einrichtung und

8 8 Verantwortung für Compliance Ausgestaltung eines Compliance-Management-Systems auf einer hinreichenden Informationsbasis trifft. Dies schließt auch eine umfassende Risikoanalyse ein. In der Praxis findet sich aufgrund der Nähe eines Compliance-Management-Systems zum Risikomanagement häufig auf Unternehmensleitungsebene eine Zuweisung an den CEO, CFO oder COO, obwohl eine solche Anbindung nicht rechtlich geboten ist. Versteht man das Compliance-Management bzw den Chief Compliance Officer (siehe unten Abschnitt 4.4.2) als unabhängige Stabsstelle, ist unseres Erachtens eine unmittelbare Anbindung an den CEO zu empfehlen, da in einer solchen Struktur auch alle übrigen Vorstandsmitglieder integriert sind. In bestimmten Branchen (zb Kreditinstitute und Versicherungen) lassen sich aus Spezialgesetzen konkrete Vorgaben für Compliance-Management-Systeme entnehmen, die jedoch nicht verallgemeinernd auf alle Aktiengesellschaften oder andere Rechtsformen übertragbar sind. 3.2 Organverantwortung des Aufsichtsrats Überwachungsverantwortung für Compliance im Allgemeinen Eine besondere Überwachungsverantwortung des Aufsichtsrats mit Blick auf Compliance bzw auf Compliance-Management- Systeme kennt das Gesetz nicht. Notwendig ist ein Rückgriff auf die allgemeinen aktienrechtlichen Vorschriften: Der Aufsichtsrat hat die gesamte Geschäftsführung (dh den Vorstand) zu überwachen ( 95 Abs. 1 AktG). Die Geschäftsführung des Vorstands muss dabei rechtmäßig, ordnungsmäßig und zum Wohle der Gesellschaft erfolgen. Dies umschreibt zugleich den Überwachungsmaßstab des Aufsichtsrats mit Blick auf das Handeln des Vorstands. Mithin ist es zunächst vorrangige Pflicht des Aufsichtsrats, die Rechtmäßigkeit des Vorstandshandelns selbst, also Verstöße von Vorstandsmitgliedern, zu überwachen. Keine unmittelbare Überwachungspflicht kommt dem Aufsichtsrat mit Blick auf die Rechtmäßigkeit des Handelns der Unternehmensmitarbeiter zu. Dies sicherzustellen, ist originäre Leitungsaufgabe des Vorstands welcher er unter anderem mit der Schaffung von Compliance-Strukturen nachkommen kann. Da es wie oben dargestellt zur Leitungsaufgabe des Vorstands gehört, rechtmäßiges Handeln in der gesamten Unternehmung sicherzustellen, obliegt es jedoch dem Aufsichtsrat zu überwachen, wie der Vorstand dieser Aufgabe nachkommt. Wurde durch den Vorstand zur Sicherstellung der Rechtmäßigkeit im Unternehmen ein Compliance-Management-System eingerichtet, ist es Aufgabe des Aufsichtsrats, dieses System auf seine Wirksamkeit und Angemessenheit zu überwachen (vgl Abschnitt 3.2.2). Hat der Vorstand dagegen von der Einrichtung eines Compliance-Management-Systems abgesehen, muss der Aufsichtsrat vom Vorstand eine exakte Darstellung verlangen, wie dieser anderweitig die Rechtmäßigkeit des Mitarbeiterhandelns sicherstellt. Der Aufsichtsrat darf sich bei seiner Beurteilung auf die Berichterstattung durch den Vorstand verlassen, die er insoweit unter Plausibilitätsgesichtspunkten zu würdigen hat. Gegebenenfalls muss er einen Sachverständigen (etwa den Abschlussprüfer) mit einer Prüfung gesondert beauftragen. Der Aufsichtsrat sollte dem Vorstand die Einrichtung eines angemessenen Compliance-Management-Systems empfehlen; verbindliche Anweisungen darf er insoweit jedoch nicht an den Vorstand richten Überwachung eines vorhandenen Compliance- Management-Systems Ein vom Vorstand eingerichtetes Compliance-Management- System hat der Aufsichtsrat bezüglich seiner Angemessenheit zu würdigen und bezüglich seiner Funktionsfähigkeit und Wirksamkeit zu überwachen ( 92 Abs. 4a AktG). So kann sich der Aufsichtsrat vergewissern, ob der Vorstand geeignete Vorkehrungen getroffen hat, damit dieser in allen relevanten Bereichen auf die Einhaltung der Rechtsvorschriften und internen Richtlinien achtet, deren Befolgung im Unternehmen angemessen gewährleistet und ihm alle wesentlichen Sachverhalte zur Kenntnis gelangen. Als Basis hierfür dient in erster Linie die Vorstandsberichterstattung nach 81 und 95 AktG. Weitere Spezifizierung für die Kommunikation zwischen Vorstand und Aufsichtsrat liefert weiters der Österreichische Corporate Governance Kodex (www.corporate-governance.at). Der Vorstand sollte dem Aufsichtsrat eine Systemdokumentation vorlegen sowie den Bericht des Chief Compliance Officer über aufgekommene und an den Vorstand gemeldete Verstöße, Zweifelsfälle und sich anbahnende Probleme. Bei Letzteren hat der Vorstand an den Aufsichtsrat auch zu berichten, welche Maßnahmen eingeleitet worden sind. Kann der Aufsichtsrat nicht aus eigener Anschauung und Kompetenz die Wirksamkeit des Compliance-Management-Systems beurteilen bzw reicht die zu diesem Zweck vorgelegte Dokumentation nicht aus, muss er sich eines Sachverständigen (zb des Abschlussprüfers) bedienen. Zudem sollte der Aufsichtsrat auch den Compliance-Beauftragten unmittelbar in Absprache mit dem zuständigen Vorstandsmitglied befragen können. Anlass hierzu besteht vor allem dann, wenn der Aufsichtsrat von Rechtsverstößen Kenntnis erlangt, die das Compliance- Management-System nicht aufgedeckt hat. Konnte sich der Aufsichtsrat auf Basis der Vorstandsberichte hingegen davon überzeugen, dass der Vorstand ein funktionierendes Compliance-Management-System eingerichtet hat, kann der Aufsichtsrat grundsätzlich ausgenommen von den vom Vorstand berichteten Rechtsverstößen und Zweifelsfällen von weitergehenden Nachfragen und Überwachungshandlungen absehen Überwachung von Einzelfällen Werden dem Aufsichtsrat vom Vorstand Rechtsverstöße bzw Zweifelsfälle berichtet (generiert aus dem Compliance-Management-System oder auf andere Weise aufgedeckt) oder lässt der Vorstandsbericht Fragen offen, muss sich der Aufsichtsrat bei bedeutsamen (zb strafbewehrten oder hohe Reputationsschäden auslösenden) Einzelfällen direkt mit dem Sachverhalt

9 Verantwortung für Compliance 9 auseinandersetzen und den gegebenenfalls bestehenden Rechtsverstoß aus eigener Anschauung beurteilen. Der Vorstand sollte deshalb dem Aufsichtsrat diese Einzelfälle in besonderer Weise offenlegen. Denkbar ist, dass solche Vorfälle in der allgemeinen Liste der bekannten Rechtsverstöße besonders hervorgehoben werden und dem Aufsichtsrat separat über den Sachverhalt und die eingeleiteten Maßnahmen berichtet wird; insbesondere muss durch den Vorstand auch eine Risikoeinschätzung für das Unternehmen erfolgen. Freilich wird sich der Aufsichtsrat auf die Beurteilung des Vorstands nicht allein verlassen können. Er wird den Sachverhalt gegebenenfalls durch Einschaltung eines Experten selbstständig und unabhängig würdigen müssen. Hierzu wird der Aufsichtsrat neben weiteren Informationen vom Vorstand selbst Unterlagen (Schriften und Bücher) der Gesellschaft einsehen, wie etwa die Ermittlungsergebnisse der internen Revision bzw des Chief Compliance Officer. Auch hier gilt: Ein unmittelbarer Zugriff auf das Compliance-Management-System, etwa durch Befragung des Compliance-Beauftragten, ist dem Aufsichtsrat nur in Abstimmung mit dem Vorstand gestattet. Gravierende Rechtsverstöße können den Aufsichtsrat zugleich veranlassen, eine Sonderprüfung des Compliance-Management-Systems anzustoßen Delegation der Überwachungsaufgabe Der Aufsichtsrat kann seine Überwachungsaufgabe in Teilen, nicht jedoch vollständig, einem Ausschuss übertragen. Mit Blick auf die Rechtmäßigkeit des Vorstandshandelns ist zu überlegen, dem Prüfungsausschuss die Überwachung der Wirksamkeit und Zweckmäßigkeit eines vom Vorstand eingerichteten Compliance-Management-Systems ebenso zu übertragen wie zumindest vorbereitend für das Plenum die Beurteilung einzelner (wesentlicher und vom Vorstand vorgetragener) Rechtsverstöße. Dies ist insbesondere sinnvoll, da dem Prüfungsausschuss auch die Überwachung des internen Kontrollsystems, des Risikomanagement-Systems und eines allfälligen internen Revisionssystems übertragen worden sind. In der Praxis wird diese Aufgabe deshalb auch häufig dem Prüfungsausschuss zugeordnet. Denkbar wäre aber auch, die Aufgabe an einen gegebenenfalls existierenden Risikoausschuss (so zb bei Banken) zuzuweisen oder einen Compliance- Ausschuss einzurichten. 3.3 Verantwortung des Abschlussprüfers Redepflicht des Abschlussprüfers im Rahmen der Abschlussprüfung 273 Abs. 2 und 3 UGB verpflichten den Abschlussprüfer (unverzüglich) zu berichten, ob bei der Prüfung Tatsachen festgestellt worden sind, die den Bestand des geprüften Unternehmens oder Konzerns gefährden oder seine Entwicklung wesentlich beeinträchtigen können oder die schwerwiegende Verstöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz, Gesellschaftsvertrag oder Satzung erkennen lassen. Weiters ist über wesentliche Schwächen bei der internen Kontrolle des Rechnungslegungsprozesses zu berichten. Bei börsenotierten Aktiengesellschaften erweitern sich diese Prüfungspflichten auf die vom Vorstand gemäß 92 Abs. 4a AktG einzurichtenden Internen Kontrollsysteme, das Risikomanagement-System und ein allfällig bestehendes internes Revisionssystem. Dem Prüfungsausschuss kommt in diesem Zusammenhang die Verantwortung für die Überwachung der Wirksamkeit der oben genannten Unternehmensstrukturen und -abläufe zu. Insofern hat der Abschlussprüfer bisher nur isolierte Pflichten. Zum einen obliegt ihm die oben beschriebene Redepflicht nach 273 Abs. 2 und 3 UGB, soweit er während seiner Prüfung von Unrichtigkeiten oder schwerwiegenden Verstößen Kenntnis erlangt. Seine Prüfung muss aber nicht darauf ausgelegt sein, alle Unrichtigkeiten und Verstöße zu identifizieren. Zum anderen betrifft die gesetzlich festgelegte Redepflicht wesentliche Schwächen im internen Kontrollsystem, wenn diese im Rahmen der Prüfung erkannt werden. Es gilt auch hier zu beachten, dass die Prüfung nur auf die Identifikation von Kontrollschwächen ausgerichtet ist, wenn das Prüfungsurteil sich auf funktionierende Kontrollen stützt. Dh ein erteilter uneingeschränkter Bestätigungsvermerk bedeutet nicht gleichzeitig, dass es ausgeschlossen ist, dass noch Schwächen im Kontrollsystem eines Unternehmens bestehen. Soll der Abschlussprüfer Stellung zu einem Compliance-Management-System nehmen, so könnte dies nur im Rahmen einer Erweiterung der Abschlussprüfung, die vertraglich festgelegt werden müsste, vorgenommen werden oder im Rahmen einer gesonderten Prüfung des Compliance-Management-Systems erfolgen Pflichten des Abschlussprüfers bei der Prüfung SECregistrierter Unternehmen Die US-amerikanische Börsenaufsicht, die Securities and Exchange Commission (SEC), hat Regeln für die Abschlussprüfung von SEC-registrierten Unternehmen aufgestellt, die gegebenenfalls auch bei der Abschlussprüfung von Unternehmen mit Sitz in Österreich zu beachten sind. Nach diesen Regeln, die im Exchange Act sec. 10A kodifiziert sind, muss der Abschlussprüfer unter anderem Prüfungshandlungen durchführen, die darauf gerichtet sind, mit hinreichender Sicherheit (reasonable assurance) solche unerlaubten Handlungen (illegal acts) aufzudecken, die eine direkte und wesentliche Auswirkung auf den Jahresabschluss haben. Die folgenden Regelungen sind dagegen US-spezifisch und gehen über die österreichischen bzw auch die internationalen Prüfungsstandards hinaus. Prüfungshandlungen und Bericht an das Management Wenn ein Abschlussprüfer im Rahmen seiner Abschlussprüfung oder auf andere Weise Hinweise auf eine unerlaubte Handlung erhält wobei es unbeachtlich ist, ob diese eine wesentliche Auswirkung auf den Jahresabschluss hat oder nicht, so ist der Abschlussprüfer verpflichtet, einzuschätzen (determine), ob es wahrscheinlich ist, dass eine unerlaubte Handlung vorliegt, und wenn dies der Fall ist, die Auswirkung der unerlaubten Handlung auf den Jahresabschluss abzuschätzen, einschließlich eventueller finanzieller Folgen wie Strafen, Bußgelder und mögliche Schadenersatzforderungen Dritter und so bald wie möglich die entsprechende übergeordnete Leitungsebene (appropriate level of the management)

10 10 Verantwortung für Compliance hierüber zu informieren. Hierbei hat der Abschlussprüfer auch sicherzustellen, dass das Audit Committee oder bei Fehlen eines Audit Committee der Aufsichtsrat angemessen informiert wird. Dies ist nur in solchen Fällen entbehrlich, wenn klar erkennbar ist, dass die unerlaubte Handlung unbedeutend ist. Berichtspflicht bei Unterlassen von Abhilfe schaffenden Maßnahmen Wenn der Abschlussprüfer darüber hinaus feststellt, dass nach der Sicherstellung einer ausreichenden Berichterstattung an das Audit Committee oder an den Aufsichtsrat insbesondere im Fall von unerlaubten Handlungen, die eine wesentliche Auswirkung auf den Jahresabschluss des SEC-registrierten Unternehmens haben durch die Geschäftsleitung (senior management) keine Gegenmaßnahmen ergriffen werden und sie hierzu auch nicht vom Audit Committee oder Aufsichtsrat aufgefordert wurde, und es wahrscheinlich ist, dass als Konsequenz entweder kein uneingeschränkter Bestätigungsvermerk durch den Abschlussprüfer erteilt werden kann oder der Abschlussprüfer sogar sein Mandat niederlegen müsste, so hat der Abschlussprüfer die Pflicht, so bald wie möglich den Aufsichtsrat zu informieren. Es ist aber anzumerken, dass eine Niederlegung des Mandats nach österreichischem Recht in der Regel nicht in Frage kommt und vielmehr eine umfassende Berichterstattung zu erfolgen hat. Mitteilungen an die Securities and Exchange Commission Ein SEC-registriertes Unternehmen, dessen Aufsichtsrat vom Abschlussprüfer die oben genannten Informationen erhalten hat, muss die SEC innerhalb eines Geschäftstages nach Erhalt dieser Information hierüber informieren. Zudem hat es eine Kopie dieses Schreibens an die SEC an den Abschlussprüfer zu übersenden. Falls der Abschlussprüfer nicht innerhalb eines Geschäftstages eine Kopie dieses Schreibens von seinem Mandanten erhält, ist er verpflichtet, das Mandat niederzulegen oder innerhalb eines Geschäftstages der SEC eine Kopie seiner Stellungnahme an den Aufsichtsrat zur Verfügung zu stellen. Im Falle der Niederlegung des Mandats muss der Abschlussprüfer auf jeden Fall der SEC eine Kopie seiner Stellungnahme an den Aufsichtsrat zur Verfügung stellen. Auch hier gilt der oben gemachte Hinweis zur Niederlegung des Mandates durch einen österreichischen Abschlussprüfer.

11 Best-Practice-Maßstäbe für ein Compliance-Management-System 11 4 Best-Practice-Maßstäbe für ein Compliance-Management-System Die konkrete Ausgestaltung eines Compliance-Management-Systems ist, wie in Abschnitt 2.1 erläutert, wesentlich von der Organisation des Unternehmens selbst abhängig. Daher werden in der Literatur als Bewertungsmaßstäbe meist Grundprinzipien verwendet, an denen sich ein Compliance-Management-System messen lassen kann. Im Folgenden wird das KPMG 7x7-Modell vorgestellt, welches anhand von 7 Grundprinzipien mit jeweils sieben vertiefenden Teilaspekten eine Beurteilung erlaubt. 4.1 Das KPMG 7x7-Modell Das KPMG 7x7-Modell besteht zunächst aus den folgenden sieben Prinzipien: Prinzip 1: Es ist ein Pflichtenkanon implementiert worden, der alle unter Risikoaspekten relevanten Vorschriften enthält (Pflichtenkanon). Prinzip 2: Die Pflichten sind den jeweils verantwortlichen Personen im Unternehmen kommuniziert worden (Kommunikation). Prinzip 3: Es sind adäquate Kontrollsysteme zur Einhaltung der definierten Pflichten implementiert worden (Kontrollen). Prinzip 4: Pflichtkonformes Verhalten wird gefördert, abweichendes Verhalten wird nicht toleriert (Anreizmechanismen). Prinzip 5: Das Compliance-Management-System wird hinsichtlich der Wirksamkeit und Qualität überwacht (Wirksamkeitsüberwachung). Prinzip 6: Entdeckte Compliance-Verstöße und die Bewertung des Compliance-Management-Systems werden innerhalb eines definierten Berichtsweges an die zuständigen Stellen kommuniziert (Reporting). Prinzip 7: Das Compliance-Management-System wird auf Basis der Erkenntnisse aus dem Überwachungsprozess kontinuierlich verbessert (Verbesserung). Die Prinzipien werden im Folgenden anhand von jeweils sieben Teilaspekten weiter verfeinert. Die Bewertung der Teilaspekte kann auf Basis eines Maturity-Konzepts erfolgen, welches in Abschnitt 4.2 dargestellt wird. Zu Prinzip 1: Pflichtenkanon Es ist ein Pflichtenkanon implementiert worden, der alle unter Risikoaspekten relevanten Vorschriften enthält. (1) Die relevanten Normen wurden identifiziert. (2) Die Normen sind auf Grundlage einer Risikoanalyse hinsichtlich ihrer Bedeutung für das Unternehmen priorisiert. (3) Die Priorisierung der Risiken ist aus der Strategie und den Geschäftszielen des Unternehmens abgeleitet. (4) Die Ausprägung des Compliance-Management-Systems folgt den Ergebnissen der Risikoanalyse. (5) Die Struktur und die Strategie des Compliance-Management-Systems sind klar festgelegt und von der Unternehmensleitung freigegeben. (6) Es gibt ausreichende Ressourcen für Design, Umsetzung, Überwachung und Verbesserung des Compliance-Management-Systems. (7) Die Veränderungen in den Normen werden zeitnah erkannt und umgesetzt. Das Ziel des ersten Prinzips sowie seiner sieben Teilaspekte ist es, die sich aus den relevanten Normen ergebenden unternehmensindividuellen Risiken zu kennen. Da nicht jede Norm mit gleicher Wichtigkeit betrachtet werden kann, ist eine sinnvolle Priorisierung wesentlich für die Effektivität des Compliance- Management-Systems. Daneben muss eine Ausrichtung an der Strategie und den Geschäftszielen erfolgen, damit Compliance in die wesentlichen Prozesse und Abläufe integriert werden kann. Zu Prinzip 2: Kommunikation Die Pflichten sind den jeweils verantwortlichen Personen im Unternehmen kommuniziert worden. (1) Es gibt ein klares Bekenntnis der Unternehmensleitung zu effektiver Compliance und zur Wertorientierung des Unternehmens. (2) Die Unternehmenswerte sind allen Mitarbeitern bekannt und finden Eingang ins Tagesgeschäft. (3) Es gibt eine Compliance-Kultur und eine Infrastruktur zur Meldung von Verstößen. (4) Es gibt umfassende Richtlinien, Verfahrensanweisungen und Prozesse, die die Normen vereinfachen, in alle relevanten Sprachen übersetzen und so die Einhaltung fördern. (5) Die Verantwortlichkeiten für das Compliance-Management- System sind auf allen Ebenen klar definiert und zugeordnet. (6) Der Schulungs- und Trainingsbedarf, um Mitarbeitern die Erfüllung ihrer Pflichten zu ermöglichen, ist identifiziert und durch geeignete Schulungsmaßnahmen adressiert. (7) Das Compliance-Management-System wird intern so kommuniziert, dass es jedem Mitarbeiter bekannt und von

12 12 Best-Practice-Maßstäbe für ein Compliance-Management-System diesem auch verstanden ist. Das Compliance-Management- System wird ebenfalls extern an die Stakeholder des Unternehmens kommuniziert. Durch das Prinzip Kommunikation sollen den Mitarbeitern mithilfe geeigneter Maßnahmen die Umsetzung der Compliance-Anforderungen ermöglicht und die tatsächliche Umsetzung von Compliance-Maßnahmen gefördert werden. Weiterhin wird nach innen und außen die Bedeutung von Compliance demonstriert. Zu Prinzip 3: Kontrollen Es sind adäquate Kontrollsysteme zur Einhaltung der definierten Pflichten implementiert worden. (1) Die Kontrollen auf Unternehmensebene (entity-level controls) unterstützen auch das Compliance-Management- System. (2) Die internen Kontrollen berücksichtigen klassische Kontrollprinzipien (Funktionstrennung, Vier-Augen-Prinzip, Need-toknow-Prinzip). (3) Die Kontrollintensität orientiert sich an den identifizierten und priorisierten Compliance-Risiken. (4) Die Kontrollen sind in die bestehenden Prozesse, Abläufe und Systeme integriert. (5) Der Aufbau und die Angemessenheit (Design) der Kontrollen werden in regelmäßigen Abständen evaluiert. (6) Die zuverlässige Durchführung und Wirksamkeit (Effektivität) der Kontrollen werden in regelmäßigen Abständen überprüft. (7) Es werden aufdeckungsorientierte Prüfungshandlungen zur Erkennung von Frühwarnindikatoren in Hinblick auf Compliance-Verstöße durchgeführt. Kontrollen kommt eine hohe Bedeutung zu, da sie das Ziel verfolgen, die subjektive und objektive Entdeckungswahrscheinlichkeit bei Compliance-Verstößen durch eine entsprechende Ausgestaltung der Kontrollstrukturen im Unternehmen zu erhöhen. Hierdurch werden Mitarbeiter zusätzlich zur Compliance angehalten und die Wichtigkeit der Maßnahmen wird erneut unterstrichen. Zu Prinzip 4: Anreizmechanismen Pflichtkonformes Verhalten wird gefördert, abweichendes Verhalten wird nicht toleriert. (1) Das Compliance-Management-System steht mit der Unternehmensstrategie und den Geschäftszielen in Einklang. (2) Das Unternehmen hat ein definiertes Wertegerüst. (3) Die Werte des Unternehmens werden aktiv in das operative Geschäft integriert. (4) Die Compliance-Ziele stehen gleichberechtigt neben finanziellen Zielen. (5) Die Compliance-Ziele finden Eingang in die Personalführungssysteme. (6) Die Anreiz- und Sanktionsmechanismen sind unabhängig von der Hierarchie. (7) Die Regelverstöße werden sanktioniert. Durch dieses Prinzip und seine sieben Teilaspekte soll die völlige Gleichstellung von Compliance- und finanziellen Zielen im Unternehmen erreicht werden. Solchermaßen kann sich eine Integritätsstrategie im Unternehmen entwickeln, die neben dem Erfolg im operativen Geschäft die unbedingte Bindung an Recht und Gesetz als Entscheidungsdeterminanten verankert. Zu Prinzip 5: Wirksamkeitsüberwachung Das Compliance-Management-System wird hinsichtlich der Wirksamkeit und Qualität überwacht. (1) Es gibt einen Plan zur regelmäßigen Überwachung des Compliance-Management-Systems. (2) Der Plan definiert Prüfungsschritte, Zeiträume, einzusetzende Ressourcen und die Art der zu erhebenden Informationen. (3) Die Art der Überwachung ist geeignet, um Probleme zu identifizieren und zu lösen, eine Aussage über die Effektivität des Compliance- Management-Systems zu treffen, zu prüfen, ob die Compliance-Ziele erreicht wurden. (4) Die Indikatoren für die Bewertung des Compliance-Management-Systems sind definiert und aussagekräftig. (5) Es werden Aussagen getroffen zur Güte der Trainings, der Angemessenheit der Kontrollen und der zur Verfügung stehenden Ressourcen, der Aktualität des Pflichtenkanons sowie zur Reaktionszeit des Compliance-Management- Systems auf entdeckte Missstände. (6) Die Prüfung der Wirksamkeit basiert auf einer hinreichenden Informationsgrundlage; hierfür werden auch Informationen von Mitarbeitern, Kunden, Lieferanten, Behörden und andere relevante Informationen aktiv in die Betrachtung einbezogen. (7) Die Sammlung von Informationen wird auf verschiedene Arten durchgeführt, zb definierte Reports, Hotlines, Diskussionen, Workshops, Audits und Reviews, Fragebögen, Interviews etc. Ziel der Wirksamkeitsüberwachung ist es, ein Compliance- Management-System zukunftsorientiert zu gestalten und auf diese Weise Compliance-Verstöße möglichst zu vermeiden. So wird auch die Informationsgrundlage dafür geschaffen, das Compliance-Management-System kontinuierlich zu verbessern. Zu Prinzip 6: Reporting Entdeckte Compliance-Verstöße und die Bewertung des Compliance-Management-Systems werden innerhalb eines definierten Berichtsweges an die zuständigen Stellen kommuniziert. (1) Die relevanten Personengruppen des Unternehmens (Vorstand, Aufsichtsrat, Prüfungsausschuss, Chief Compliance Officer, betroffene Linienmanager etc.) werden über alle für sie relevanten Compliance-Verstöße unterrichtet. (2) Es gibt definierte Eskalationskriterien sowie festgelegte Reportingintervalle für die einzelnen Zielgruppen des Compliance Reporting. Für wesentliche Verstöße existiert ein Ad-hoc-Reporting. (3) Das Compliance Reporting folgt einheitlichen Dokumentationsvorgaben. (4) Die Vollständigkeit der Informationen ist durch geeignete Prozesse und Systeme sichergestellt. (5) Sämtliche Informationen sind an einer Stelle zentral verfügbar. (6) Das regelmäßige Compliance Reporting ist in die normalen Reportingsysteme eingebunden.

13 Best-Practice-Maßstäbe für ein Compliance-Management-System 13 (7) Der Compliance Report enthält neben Verstößen auch Informationen zu wesentlichen Änderungen von Normen, eine Einschätzung zur Effektivität und dem aktuellen Stand des Compliance-Management-Systems, die Ergebnisse aus dem Überwachungsprozess sowie vorgesehene Maßnahmen zur weiteren Verbesserung des Compliance-Management-Systems. Durch das Reporting sollen alle Adressaten des Compliance- Management-Systems mit den für sie relevanten Informationen versorgt werden. Auf diese Art wird auch im Top-Management ein bleibendes Bewusstsein für Compliance und den Stand des Compliance-Management-Systems geschaffen. Zu Prinzip 7: Verbesserung Das Compliance-Management-System wird auf Basis der Erkenntnisse aus dem Überwachungsprozess kontinuierlich verbessert. (1) Es werden entsprechende Studien durchgeführt, um Verbesserungspotenzial durch externe Vergleiche zu identifizieren (externes Benchmarking). (2) Herausragende Compliance-Leistungen von Einzelnen, Teams, Abteilungen oder Business Units werden honoriert und als Vorbild auf andere Bereiche übertragen (internes Benchmarking). (3) Die Bewertung des Compliance-Management-Systems wird durch kompetente und unabhängige Personen durchgeführt. (4) Es werden Empfehlungen zur weiteren Integration von Compliance in die Geschäftsprozesse sowie zur Verbesserung des Systems in Hinblick auf die weitere Risikominimierung formuliert. (5) Der Chief Compliance Officer autorisiert und koordiniert die Verbesserungsvorschläge. (6) Die Verantwortung für die Umsetzung der Verbesserungsmaßnahmen ist klar definiert und wird nachverfolgt. (7) Die Häufigkeit und Tiefe der Bewertungen (intern/extern) ist angemessen. Die Ziele des Prinzips Verbesserung liegen darin, das Compliance-Management-System entlang eines Reifegradmodells (Maturity-Konzept, siehe Abschnitt 4.2) zu entwickeln. Hinweisgeber für bestehendes Optimierungspotenzial sind hier die definierten Indikatoren, der interne und externe Vergleich sowie die Auditierung durch unabhängige Experten. Die im Standard PS 980 vom deutschen Institut der Wirtschaftsprüfer definierten sieben Grundelemente eines Compliance- Management-Systems lassen sich mit dem 7x7 Modell wie folgt in Einklang bringen:

14 PS 980 Grundsätze Compliance-Kultur KPMG 7x7 Modell Pflichtenkanon Identifizierte Normen sind auf Grundlage einer Risikoanalyse hinsichtlich ihrer Bedeutung für das Unternehmen priorisiert. Kommunikation Compliance-Kultur und Infrastruktur zur Meldung von Verstößen sowie klare Bekenntnis der Unternehmensleitung zu effektiver Compliance und zur Wertorientierung des Unternehmens. Kontrollen Die Kontrollen auf Unternehmensebene (entity-level-controls) unterstützen auch das Compliance-Management- System. Anreizmechanismen definiertes Wertegerüst, Das Unternehmen hat ein das in den Anreizsystemen berücksichtigt wird. Wirksamkeits- Die Compliance-Kultur Überwachung stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Reporting Die relevanten Personengruppen des Unternehmens werden über alle für sie relevanten Compliance-Verstöße unterrichtet. Verbesserung Die Bewertung des Compliance-Management- Systems wird durch kompetente und unabhängige Personen durchgeführt. Compliance-Ziele Die Priorisierung der Risiken ist aus Strategie und den Geschäftszielen des Unternehmens abgeleitet. Relevante Normen wurden identifiziert. Die Unternehmensziele sind allen Mitarbeitern bekannt und finden Eingang ins Tagesgeschäft. Die internen Kontrollen berücksichtigen Kontrollprinzipien (Funktionstrennung, Vier-Augen-Prinzip, Need-to-know-Prinzip) und unterstützen die Zielerreichung. Das CMS steht mit der Unternehmensstrategie und den Geschäftszielen in Einklang. Compliance-Ziele finden Eingang in die Personalführungssysteme. Prüfung der CMS Zielerreichung. Es gibt festgelegte Eskalationskriterien sowie Reportingintervalle für die einzelnen Zielgruppen des Compliance Reporting. Für wesentliche Verstöße gibt es ein Ad-Hoc-Reporting Es werden entsprechende Studien durchgeführt, um Verbesserungspotenzial durch externe Vergleiche zu identifizieren. Compliance-Organisation Es gibt ausreichend Die Ausprägung Ressourcen für Design, des Compliance- Umsetzung, Überwachung Management-Systems und Verbesserung des CMS. folgt den Ergebnissen der Risikoanalyse. Die Verantwortlichkeiten für das CMS sind auf allen Ebenen klar definiert und zugeordnet. Die Kontrollen sind in die bestehenden Prozesse, Abläufe und Systeme integriert. Der Aufbau und die Angemessenheit der Kontrollen werden regelmäßig evaluiert. Die Werte des Unternehmens werden aktiv in das operative Geschäft integriert. Die Anreiz- und Sanktionsmechanismen sind unabhängig von der Hierarchie. Plan zur regelmäßigen Die Indikatoren für die Die Prüfung der Überwachung des Bewertung des Compliance- Wirksamkeit erfolgt auf CMS, dieser definiert Management-Systems sind einer hinreichenden Prüfungsschritte, Zeiträume, definiert und aussagekräftig. Informationsgrundlage, einzusetzende Ressourcen. Informationen von Mitarbeitern, Kunden, Lieferanten, Behörden Das Compliance Reporting folgt einheitlichen Dokumentationsvorgaben. Regelmäßiges Reporting ist in die normalen Reportingsysteme eingebunden. Der Chief Compliance Officer autorisiert und koordiniert die Verbesserungsvorschläge. Compliance-Risiko Verfahren zur systematischen Risikoerkennung und Berichterstattung sind definiert und kommuniziert. Die Kontrollintensität orientiert sich an den identifizierten und priorisierten Compliance- Risiken. Die Compliance-Ziele stehen Das Compliancegleichberechtigt neben Programm umfasst die bei finanziellen Zielen. festgestellten Compliance- Verstößen zu ergreifenden Maßnahmen. Vollständigkeit der Informationen durch geeignete Prozesse und Systeme. Empfehlungen zur weiteren Integration von Compliance in die Geschäftsprozesse sowie zur Verbesserung des Systems in Hinblick auf weitere Risikominimierung Compliance-Programm Grundsätze und Die Struktur und die Maßnahmen werden Strategie des CMS sind eingeführt, die auf die klar festgelegt und von Begrenzung der Compliance- der Unternehmensleitung Risiken und Vermeidung von freigegeben. Verstößen ausgerichtet sind. Der Schulungs- und Klare und verständliche Trainingsbedarf der Kommunikation der Mitarbeiter zur Erfüllung Unternehmenswerte und ihrer Pflichten, ist identifiziert der Elemente des CMS an und durch geeignete alle Mitarbeiter (Richtlinien, Schulungsmaßnahmen Verfahrensanweisungen, adressiert. und Prozesse sind vorhanden). Es werden aufdeckungsorientierte Prüfungshandlungen zur Erkennung von Frühwarnindikatoren in Hinblick auf Compliance- Verstöße durchgeführt. Das Compliance-Programm Sämtliche Compliancewird zur Sicherstellung einer Informationen sind an einer personenunabhängigen Stelle zentral verfügbar. Es Funktion des CMS ist festgelegt, wie und an dokumentiert. wen Compliance-Verstöße berichtet werden. Die Verantwortung für die Umsetzung der Verbesserungsmaßnahmen ist klar definiert und wird nachverfolgt. Compliance- Kommunikation Verantwortlichkeit und Die zuverlässige Zuständigkeit von Kontrollen Durchführung und sind klar definiert und Wirksamkeit (Effektivität) werden an alle Mitarbeiter der Kontrollen werden in kommuniziert. regelmäßigen Abständen überprüft. Herausragende Compliance- Leistungen von Einzelnen, Teams Abteilungen oder Business Units werden honoriert und als Vorbild auf andere Bereiche übertragen Werden im Rahmen der Überwachung Schwachstellen im CMS bzw Verstöße festgestellt, werden diese dem Management berichtet bzw sanktioniert. Ergebnisse der Überwachung des CMS sowie die daraus abgeleiteten Verbesserungsmaßnahmen werden kommuniziert. Compliance-Überwachung und -Verbesserung Die Veränderungen in den Normen werden zeitnah erkannt und umgesetzt. Festgestellte Schwachstellen im CMS bzw Verstöße werden an das Management bzw die hierfür bestimmten Stellen im Unternehmen berichtet. Erfüllung von Compliance Vorgaben werden überprüft und überwacht. Festgestellte Regelverstöße werden sanktioniert. Es werden Aussagen getroffen zur Güte der Trainings, der Angemessenheit der Kontrollen, CMS- Ressourcen, der Aktualität des Pflichtenkanons, Reaktion auf Missstände. Ein CMS-Report enthält neben Verstößen Informationen zu wesentlichen Änderungen von Normen, Effektivität und Stand des CMS, Resultate aus Überwachungsprozess und Verbesserungsmaßnahmen Angemessenheit und Wirksamkeit des CMS werden überwacht. Aus den Ergebnissen werden Verbesserungsmaßnahmen abgeleitet.

15 Best-Practice-Maßstäbe für ein Compliance-Management-System Maturity-Konzept Ein Compliance-Management-System wird wesentlich auf die Änderung von Prozessen und Verhalten abzielen und idealerweise adaptiv gestaltet sein. Das heißt insbesondere, dass ein Compliance-Management-System die operativen Abläufe des Unternehmens durchdringen muss und durch Rückmeldungen aus dem System kontinuierlich verbessert wird. Damit durchläuft das System verschiedene Reifegrade, die mittels eines Maturity-Konzepts durch Maturity-Levels dargestellt werden können. Um eine Bewertung des Compliance-Management- Systems zu ermöglichen, werden den oben definierten Teilaspekten der Grundprinzipien die folgenden Ausprägungen zugeordnet, die zb in einem fünffarbigen Schema visualisiert werden können: Nicht existent: Es sind keinerlei Aktivitäten des Unternehmens beobachtbar. Initial: Es gibt bereits erste Bemühungen, diese sind jedoch nicht in einen strukturierten Prozess eingebunden. Definiert: Die Bemühungen folgen einem fest vorgegebenen Prozess. Normiert: Zusätzlich sind Wie definiert, nur dass darüber hinaus Kriterien für die Güte definiert wurden. Optimiert: Wie normiert, nur dass darüber hinaus bestehendes Optimierungspotenzial identifiziert und das Compliance-Management-System beständig an neue Veränderungen angepasst wird. Das verwendete Maturity-Konzept macht klar, dass ein effektives Compliance-Management-System nicht am Reißbrett entworfen werden kann. Vielmehr wird es nach der Implementierung Änderungen durch die systemische Rückkopplung erfahren müssen. Ein Compliance-Management-System durchläuft so iterative Reifungsprozesse, die zur Verbesserung des Gesamtsystems führen. Nur wenn sich Unternehmen der Aufgabe stellen, für das Compliance-Management-System Messgrößen und Gütekriterien zu definieren, kann am Ende eine Aussage zur Effektivität des Compliance-Management- Systems als solchem stehen. 4.3 Compliance-Organisation Im Folgenden sollen neben den entwickelten Grundprinzipien organisatorische Voraussetzungen für die Umsetzung eines Compliance-Management-Systems vertiefend diskutiert werden. Dabei sind zwei zentrale Zielsetzungen zu verfolgen: Zum einen muss die Organisation geeignet sein, eine im Zweifel auch gerichtlich anerkannte Prävention hinsichtlich der Rechtskonformität und Integrität des unternehmerischen Handelns zu schaffen. Dies umfasst auch die Absicherung der Unternehmensorgane vor Haftungsansprüchen. Zum anderen muss die Organisation praktikabel und effizient sein. Vor diesem Hintergrund gilt es die Frage zu beantworten, welche Aufbauorganisation angemessen und praktikabel ist, um ein wirksames Compliance-Management-System im Unternehmen zu verankern. Bei der Gestaltung des Compliance-Management-Systems und seiner Organisation ist auch die Größe, Komplexität und Risikostruktur des jeweils betrachteten Unternehmens zu berücksichtigen. Die nachfolgend entwickelten Empfehlungen für eine Compliance-Organisation sind grundsätzlich jedoch für alle Unternehmen anwendbar und damit skalierbar. Die Berücksichtigung der individuellen Eigenheiten der Unternehmen erfolgt bei der konkreten Umsetzung und Ausgestaltung der hier vorgestellten Modellkomponenten, insbesondere bei der Frage der Ressourcenausstattung Aufgaben der Geschäftsleitung Die Gesamtverantwortung für Compliance trägt die Geschäftsleitung und somit der Vorstand. Sie kommt dieser Verantwortung durch eigenes rechtskonformes und ethisches Handeln sowie durch aktive Kommunikation der Bedeutung der Compliance an alle Mitarbeiter des Unternehmens nach. Diese aktive Kommunikation hat eine Vielzahl von Aspekten. Insbesondere gehören hierzu: das eigene sichtbare Bekenntnis zu den festgelegten Regeln und Unternehmenswerten; das Bekenntnis, Compliance mit der Unternehmensstrategie und den Geschäftszielen in Einklang zu bringen; die Klarstellung, dass Compliance-Ziele und deren Erreichung gleichberechtigt neben finanziellen Zielen stehen; der Wille zur Umsetzung der Compliance-Ziele in den Kernprozessen sowie in den Führungs- und Steuerungsinstrumenten des Unternehmens; die Motivation der Mitarbeiter zur Teilnahme an der Verbesserung des Compliance-Management-Systems durch Honorierung von Compliance-Leistungen und die Schaffung einer Atmosphäre, in der die Meldung von Compliance-Verstößen als Pflicht jedes Einzelnen empfunden wird. Die Ernsthaftigkeit von Compliance muss sich dabei in der Schaffung einer entsprechenden Compliance-Organisation manifestieren. Als wesentliche Bestandteile einer solchen Organisation sind die Etablierung eines Compliance-Beauftragten (Chief Compliance Officer) sowie die Einrichtung eines Compliance Committee zu nennen. Darüber hinaus ist sicherzustellen, dass der Chief Compliance Officer über eine ausreichende Anzahl gegebenenfalls zusätzlicher Mitarbeiter verfügt Aufgaben des Chief Compliance Officer Der Chief Compliance Officer bildet die Schlüsselposition für die Einrichtung und die dauerhafte Aufrechterhaltung eines Compliance-Management-Systems. Während die Geschäftsleitung über die Einrichtung und Art der Ausgestaltung des Compliance-Management-Systems entscheidet, liegt die Verantwortlichkeit des Chief Compliance Officer in der Implementierung und methodischen Weiterentwicklung des Compliance-Management-Systems. In dieser Rolle kommen ihm im Wesentlichen folgende Aufgaben zu: Information und Beratung der Geschäftsleitung: Der Chief Compliance Officer informiert die Geschäftsleitung im Rahmen einer regelmäßigen Berichterstattung über die Compliance-Aktivitäten im Unternehmen und über compliancerelevante Themen aus dem Unternehmensumfeld. Er

16 16 Best-Practice-Maßstäbe für ein Compliance-Management-System berichtet zudem über seine Maßnahmen zur Überwachung der Funktionsfähigkeit des Compliance-Management-Systems. Neben dieser periodischen Berichterstattung informiert er die Geschäftsleitung über aufgedeckte Verstöße gegen rechtliche Vorgaben und Verletzungen von Verhaltensregeln. Der Chief Compliance Officer fungiert als zentraler interner Berater der Geschäftsleitung in allen Fragen der Compliance. Gestaltung des Compliance-Informationssystems: Der Chief Compliance Officer übernimmt in Abstimmung mit der Geschäftsleitung die methodische Konzeption des Compliance-Management-Systems und dessen Umsetzung im gesamten Unternehmen. Zentrale Aufgabe ist hierbei die Sicherstellung einer angemessenen Information innerhalb des Gesamtunternehmens. Dies umfasst Training und Schulung der Mitarbeiter in compliancerelevanten Fragestellungen durch den Chief Compliance Officer wie auch die Gestaltung des Informationsflusses aus dem Unternehmen zu dem Chief Compliance Officer. Sinnvoll ist in diesem Zusammenhang auch eine Hotline, bei der Informationen zu Compliance nachgefragt werden können. Alle Mitarbeiter im Unternehmen müssen über einen vertraulichen Kommunikationskanal an den Chief Compliance Officer verfügen. Dies wird zb durch die Einrichtung einer Whistle-blower-Hotline sichergestellt. Dabei kann die Kommunikation direkt an den Chief Compliance Officer oder an einen externen Dienstleister, im Regelfall eine beauftragte Anwaltskanzlei, erfolgen. Überwachung der Einhaltung von Compliance-Vorgaben: Die Überwachung der Einhaltung gesetzlicher und unternehmensinterner Vorgaben ist nicht alleinige Aufgabe des Chief Compliance Officer, sondern obliegt allen Verantwortlichen im Unternehmen. Dem Chief Compliance Officer kommt die Aufgabe zu, durch gezielte eigene Maßnahmen die Wirksamkeit der Überwachung und die Verlässlichkeit der Einhaltung der Vorgaben zu verbessern. Die bisher gemachten Ausführungen zur Funktion des Chief Compliance Officer und seinen Hauptaufgaben enthalten noch keine Aussagen darüber, ob die Funktion eine Vollzeitstelle, eine Mindestanzahl von Mitarbeitern, eine rein zentrale Organisation oder die Einrichtung dezentraler Compliance Officers erfordert. Diese konkrete Ausgestaltung der Funktion des Chief Compliance Officer muss in Abhängigkeit von Größe, Struktur und Komplexität des Unternehmens sowie unter Berücksichtigung des Compliance-Risikos der Branche und des Geschäftsmodells erfolgen. Eine bestimmte Entscheidung über die Ausübung dieser Gestaltungsparameter kann daher nicht per se als wirksames bzw nicht wirksames Compliance- Management-System eingestuft werden. Die Beurteilung der Wirksamkeit der gewählten Organisationsform kann nur unter Mitberücksichtigung der Art des Unternehmens und seines Geschäftsmodells erfolgen. Dennoch lassen sich die folgenden allgemeinen Leitsätze formulieren: Ein zentraler Chief Compliance Officer ist zu etablieren. Die Funktion kann dabei auch parallel zur Ausübung anderer Aufgaben im Unternehmen erfolgen, soweit keine Interessenkonflikte entstehen. Denkbar ist insbesondere eine Ansiedlung beim Risikomanagement, bei der Rechtsabteilung oder gegebenenfalls auch im Controlling. Dagegen sollte die Funktion des Chief Compliance Officer nicht durch die interne Revision wahrgenommen werden, da dieser als prozessunabhängiger Instanz die Aufgabe der Überwachung der Wirksamkeit des gesamten Compliance-Management- Systems zukommt. Ebenso ist zu vermeiden, die Position des Chief Compliance Officer durch einen Verantwortlichen aus einem Compliance-Risikobereich (zb einer operativen Geschäftseinheit) zu benennen. Der zentrale Chief Compliance Officer sollte durch dezentrale Compliance Officers unterstützt werden. Durch die Schaffung solcher dezentralen Funktionen werden die Informationsversorgung des zentralen Chief Compliance Officer und die Verankerung des Compliance-Management-Systems im gesamten Unternehmen gefördert. Das Fachwissen und die Einbindung der dezentralen Compliance Officers in die operativen Prozesse und die vorherrschende Geschäftspraxis wird so für das Compliance-Management-System genutzt. Der Aufbau solcher dezentralen Funktionen erfolgt unter Berücksichtigung der Compliance-Risikostruktur im Unternehmen. Unternehmensbereiche mit hohen Compliance- Risiken sollten demnach primär mit dezentralen Compliance Officers ausgestattet sein. Bei der Frage, auf welche Mitarbeiter eine solche dezentrale Funktion übertragen werden soll, sind grundsätzlich dieselben Maßstäbe anzulegen wie für die Besetzung des Chief Compliance Officer. Denkbare organisatorische Zuordnungen sind auch hier das Risikomanagement, die Rechtsabteilung oder das Controlling. Keinesfalls sollte die Compliance-Verantwortung mit einer Linienverantwortung verbunden werden, um mögliche Interessenkonflikte zu vermeiden. Die dezentralen Compliance Officers können disziplinarisch direkt dem Chief Compliance Officer oder der Bereichsleitung unterstellt werden. Die disziplinarische Anbindung an die Bereichsleitung birgt jedoch Risiken für die notwendige Unabhängigkeit der Compliance-Funktion. Wird dennoch diese Organisationsform gewählt, so sollte zumindest ein direkter Berichtsweg an den zentralen Chief Compliance Officer vorgesehen werden. Teilweise werden in der Praxis auch Mischformen diskutiert, bei denen die

17 Best-Practice-Maßstäbe für ein Compliance-Management-System 17 Die Darstellung der Anforderungen zeigt in jedem Fall die Komplexität und Vielfalt der Aufgaben eines Chief Compliance Officer sowie die hohen Anforderungen an Integrität und Kommunikationsvermögen. Ein wirksames Compliance- Management-System erfordert daher in jedem Fall eine starke Managerpersönlichkeit als Leiter und Verantwortlichen der Compliance-Organisation Aufgaben des Compliance Committee Das Compliance Committee ist das interne Beratergremium für den Chief Compliance Officer. Aufgaben des Compliance Committee sind die Untersuchung und Bewertung von Compliance-Verstößen, die Überwachung der Wirksamkeit sowie die systematische Weiterentwicklung des Compliance- Management-Systems. Für die Einrichtung eines Compliance Committee sprechen insbesondere folgende Gründe: Leistungsbeurteilung der dezentralen Compliance Officers in Abstimmung zwischen Bereichsleitung und dem Chief Compliance Officer erfolgt und auf diese Weise gemeinsam über die Zielerreichung und den variablen Gehaltsbestandteil entschieden wird. Auf diese Weise wird eine einseitige Ausrichtung auf die Vorgaben der Bereichsleitung vermieden. Bei Unternehmen mit vielen Geschäftsbereichen bietet es sich an, die zentralen Vollständigkeitserklärungen, die durch die Geschäftsleitung zu leisten sind, durch entsprechende dezentrale Vollständigkeitserklärungen der Geschäftsbereiche unterlegen zu lassen. Bleibt abschließend die Frage nach der notwendigen Qualifikation eines Chief Compliance Officer zu klären. Angesichts der verfolgten Zielsetzung, ein rechtskonformes Verhalten im Unternehmen sicherzustellen, ist es naheliegend, die zentrale Funktion des Chief Compliance Officer mit einem Juristen zu besetzen. Dies entspricht vielfach auch der in der Unternehmenspraxis vorherrschenden Vorgehensweise. Wichtig ist jedoch zu betonen, dass angemessene Rechtskenntnisse nur einen Teil der notwendigen Qualifikation eines Chief Compliance Officer darstellen. Ebenso wichtig sind Kenntnisse und Fähigkeiten in den Bereichen der Kommunikation, der Gestaltung wirksamer Informationssysteme, bei der Beurteilung von Unternehmensprozessen und Kontrollsystemen, der Beurteilung von Mitarbeitern und personellen Beziehungen oder der Analyse von Geschäftsmodellen. Maßgebend wird auch hier das individuelle Compliance-Risikoprofil des einzelnen Unternehmens sein. Unternehmen, deren Compliance- Risiken primär in der Anwendung komplexer kartell- oder zollrechtlicher Bestimmungen liegen, bedürfen eines Juristen mit entsprechendem fachlichem Schwerpunkt. Bei anderen Compliance-Risiken wie beispielsweise der Korruption sind eher prozessuale als juristische Fähigkeiten und Kenntnisse erforderlich. Komplexität und Vielfalt der Compliance-Anforderungen: Die Sicherstellung der Compliance erfordert einerseits umfassende Kenntnisse zu der Vielfalt der gesetzlichen Normen, die es für das jeweilige Unternehmen zu beachten gilt. Die Dynamik der gesetzlichen Entwicklungen und die Internationalisierung der Geschäftstätigkeit der Unternehmen führen hier zu enormen Anforderungen an den Chief Compliance Officer. Zum anderen ist ein ausgeprägtes Wissen über das Geschäftsmodell und die (weltweiten) Geschäftsprozesse notwendig. Nur so können die vielfältigen Berührungspunkte zwischen der Geschäftstätigkeit und den bestehenden gesetzlichen Normen umfassend identifiziert werden, um dann auf Basis einer Risikoanalyse geeignete Vorsorgemaßnahmen zu entwickeln und umzusetzen. Das Compliance Committee bildet damit ein wesentliches Instrument, um ein möglichst umfassendes Know-how im Unternehmen für das Compliance- Management-System zu bündeln und zu nutzen. Um dieser Zielsetzung gerecht zu werden, sollten dem Compliance Committee insbesondere die folgenden Vertreter angehören: ein Jurist aus der Rechtsabteilung, insbesondere wenn der Chief Compliance Officer selbst nicht über die Qualifikation als Jurist verfügt, Leiter Controlling bzw Leiter Finanz- und Rechnungswesen, Leiter Risikomanagement zur Verbindung von Risiko- und Compliance-Management, Leiter interne Revision, Leiter Personal, Leiter Unternehmenskommunikation und Leiter Steuern. Notwendigkeit der Vernetzung des Compliance-Management-Systems im Unternehmen: Durch die Einbindung von Vertretern aus anderen Fach- und Geschäftsbereichen wird die Vernetzung und Verankerung des Compliance-Management- Systems im Unternehmen bzw Konzern gefördert. Damit wird dem Eindruck entgegengewirkt, das Compliance-Management würde ausschließlich von einem Compliance-Spezialisten in der Konzernzentrale betrieben, dem schnell das Image eines Feigenblattes anhaftet. Ein stark besetztes und im Gesamtunternehmen vernetztes Compliance Committee ist hier das Signal der Geschäftsleitung, die Wichtigkeit und den Willen zur Umsetzung des Compliance-Management-Systems zu verdeutlichen.

18 18 Best-Practice-Maßstäbe für ein Compliance-Management-System Abb. 2: Einordnung des Compliance-Managements in die Gesamtorganisation Compliance-Management/ Chief Compliance Officer Vorstand/ Geschäftsführung Meldestelle Compliancethemen Business Unit 1 Business Unit 2 Business Unit 3 Business Unit 4 Compliance Committee Dezentraler Compliance Officer Dezentraler Compliance Officer Dezentraler Compliance Officer Dezentraler Compliance Officer Risikomanagement Recht/Beteiligungsmanagement Finanzen/Steuern IT Personal QM Interne Revision Einordnung in die Gesamtorganisation Zur Einordnung der Compliance-Organisation empfiehlt sich die oben dargestellte Struktur. Das Compliance-Management unter Leitung des Chief Compliance Officer sollte als Stabsstelle unmittelbar der Unternehmensleitung zugeordnet werden. Damit wird die Unabhängigkeit des Chief Compliance Officer gewahrt und die Bedeutung des Compliance-Managements im Unternehmen betont. Gleichzeitig muss gewährleistet sein, das Compliance-Management als einen festen Bestandteil der Führungs- und Organisationsstrukturen in allen Unternehmensbereichen einzurichten. Dazu übernimmt der Chief Compliance Officer eine Koordinations- und Integrationsfunktion. Er bündelt und koordiniert alle compliancerelevanten Aktivitäten der übrigen Funktionen der Unternehmensüberwachung wie des Risikomanagements und der internen Revision. Gleichzeitig bindet er das Wissen und die Erfahrung der operativen Geschäftsbereiche über das Geschäftsmodell und die Prozesse im Unternehmen in die Gestaltung und Umsetzung des Compliance-Management- Systems ein. Das Compliance Committee bildet hierzu die Plattform zur Unterstützung und Umsetzung dieser Koordinations- und Integrationsfunktion. Weiterhin ist über eine zentrale oder dezentrale Organisation zu entscheiden, über die Einrichtung der Funktion eines Chief Compliance Officer und/oder eines Compliance Committee, über die Weisungs- und Informationsrechte der für Compliance verantwortlichen Personen, über die Ressortzuordnung sowie über Inhalte und Wege eines Compliance Reporting. Daneben ist zu überlegen, welche Mitarbeiter in welcher Weise geschult werden sollen und wie die Schnittstellen zu Bereichen mit angrenzenden Kompetenzen liegen sollen. 4.4 Integration bestehender Instrumente und Systeme Neben der Implementierung der dargestellten Kerninstrumente erfordert die erfolgreiche Umsetzung eines Compliance- Management-Systems auch die Einbindung und Nutzung bereits bestehender Systeme der Unternehmensüberwachung. Dies fördert nicht nur die Wirksamkeit des Compliance-Management-Systems, sondern senkt auch die damit verbundenen Kosten. Wesentliche Synergiepotenziale ergeben sich insbesondere aus einer Einbindung des Risikomanagementsystems, des internen Kontrollsystems sowie der internen Revision Risikomanagement Um den Vorgaben nach Führung der Gesellschaft mit der Sorgfalt eines ordentlichen Unternehmers nachkommen zu können ( 347 UGB sowie auch 70 AktG), muss der Vorstand in Abhängigkeit von Größe und Komplexität des Unternehmens für geeignete Strukturen zur Identifikation, Bewertung und Steuerung von Unternehmensrisiken schaffen. Mit dem URÄG 2008 wurde die entsprechende Überwachungsfunktion des Aufsichtsrates über das Risikomanagement auch explizit im Gesetzestext verankert. Das Risikomanagement-System hat sicherzustellen, dass bestehende Risiken erfasst, analysiert und bewertet werden, um Entscheidungen über deren Beseitigung, Milderung oder Tolerierung treffen zu können. Zwischen Compliance-Management-System und Risikomanagement bestehen methodische wie inhaltliche Parallelen. Die inhaltliche Verknüpfung ergibt sich aus dem Umstand, dass Compliance-Verstöße erhebliche Unternehmensrisiken und

19 Best-Practice-Maßstäbe für ein Compliance-Management-System 19 damit Bedrohungspotenzial darstellen (können). Die Konsequenzen reichen von Strafverfahren mit Unternehmensgeldbußen über Schadensersatzansprüche möglicher Geschädigter bis hin zum Imageschaden, der auch die zukünftige Geschäftstätigkeit in erheblichem Maße beeinträchtigen kann. Damit können Compliance-Risiken bei entsprechender Größenordnung auch Betrachtungsgegenstand eines unternehmensweiten Risikomanagement-Systems sein. In der Regel werden nicht alle Compliance-Risiken im Risikomanagement betrachtet werden. Auch methodisch bestehen deutliche Parallelen. Innerhalb des Compliance-Management-Systems gilt es, Compliance-Risiken durch bewusste oder unbewusste Verstöße gegen Normen zu identifizieren, zu analysieren und hinsichtlich Eintrittswahrscheinlichkeit, Schadenshöhe und gegebenenfalls Wichtigkeit (vgl Abschnitt 5.1) zu bewerten. Entsprechend den Ergebnissen der Risikobewertung werden Maßnahmen zur Gegensteuerung entwickelt und umgesetzt. Über die festgestellten Risiken und die ergriffenen Maßnahmen erfolgt ein regelmäßiges Reporting an die Geschäftsleitung, bei akuten Risiken ein entsprechendes Ad-hoc-Reporting. Die gleiche Methodik wird man auch bei einem Risikomanagement-System vorfinden. Damit drängt sich die Frage auf, ob bei Unternehmen, die bereits über ein Risikomanagement verfügen, überhaupt noch Handlungsbedarf hinsichtlich eines Compliance-Management-Systems besteht. Diese Frage ist aus heutiger Sicht eindeutig mit Ja zu beantworten. Ungeachtet der bestehenden inhaltlichen und methodischen Parallelen zwischen den beiden Begriffen ist festzustellen, dass die in der Unternehmenspraxis bestehenden Risikomanagement-Systeme wie oben beschrieben eine grundsätzlich andere Ausrichtung haben. Insofern ist nur teilweise von Überschneidungen auszugehen und die Einrichtung eines effektiven Compliance-Management-Systems bedarf deutlich zusätzlicher Anstrengungen. Hinsichtlich der organisatorischen Gestaltung eines wirksamen Compliance-Management-Systems und dessen Verbindung mit dem Risikomanagement bestehen grundsätzlich zwei Handlungsalternativen. Zum einen können die in Abschnitt 5.2 dargestellten Instrumente des Compliance-Management-Systems in ein bestehendes Risikomanagement-System integriert werden, um so das Risikomanagement hinsichtlich eines wirksamen Compliance- Management-Systems zu professionalisieren. In diesem Fall entsteht ein integriertes Risikomanagement- und Compliance- Management-System. Zum anderen kann ein aufbauorganisatorisch selbstständiges Compliance-Management-System eingerichtet werden, das über definierte Schnittstellen zum Risikomanagement verfügt und auf diese Weise die bestehenden Synergiepotenziale ausschöpft. Solche Schnittstellen bestehen insbesondere bei den folgenden Themen und Instrumenten: Regelmäßige Aktualisierung des Risikoprofils: Die regelmäßige Identifizierung der Compliance-Risiken sollte in die allgemeine Risikoabfrage durch das Risikomanagement einbezogen werden. Risikobewertung: Für die Bewertung der Compliance- Risiken sollten grundsätzlich die gleichen Methoden zum Einsatz kommen, die auch für die Einschätzung von Eintrittswahrscheinlichkeit und Schadenshöhe der übrigen Risiken im Risikomanagement verwendet werden, um die Vergleichbarkeit der Risiken zu gewährleisten. Reporting: Risiko- und Compliance-Management-System sollten einheitliche Berichtswege und Berichtsformate verwenden, um ein einheitliches Berichtswesen zu gewährleisten und das Aufkommen einer Reporting-Flut zu vermeiden Internes Kontrollsystem Unter einem internen Kontrollsystem (IKS) werden die vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind, zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften (vgl IDW-Prüfungsstandard 261, Textziffer 19). Die Bedeutung eines wirksamen Kontrollsystems zur Prävention und Aufdeckung von Compliance-Fällen ist offensichtlich. Die Verknüpfung zwischen Compliance-Management-System und IKS konzentriert sich auf die folgenden Fragestellungen: Verfügt das bestehende IKS über ausreichende und angemessene Kontrollen, um die festgestellten und bewerteten Compliance-Risiken abzudecken (Control Design)? Ist sichergestellt, dass die bestehenden Kontrollen zur Vermeidung oder Aufdeckung von Compliance-Fällen im gesamten Unternehmen wirksam durchgeführt werden (Control Effectiveness)? Das Compliance-Management-System bewirkt somit eine stetige Beurteilung und Überwachung der Bestandteile des IKS, soweit sie dem Kontrollzweck Compliance dienen. Hierzu gehört insbesondere auch die Implementierung der Kontrollen in den Geschäftsprozessen, zb durch Berücksichtigung in Arbeits- und Verfahrensanweisungen, Prozessdokumentationen sowie den vorgesehenen Freigabeprozessen. Wesentlich ist auch, dass die Kontrollen in den Systemen selbst abgebildet werden. Die Frage, welche Kontrollen ausreichend und angemessen sind, um Compliance-Risiken zu begegnen, kann abschließend nur unternehmensindividuell unter Berücksichtigung der jeweiligen Compliance-Risiken und der Besonderheiten der Prozesse im Unternehmen beantwortet werden. Für den Bereich Antikorruption ist insbesondere auf ein wirksames IKS im Vertriebs-, aber auch im Beschaffungsprozess zu achten. Beispielsweise können die folgenden Compliance-Kontrollen eingerichtet werden: Genehmigung von Geschäftsbeziehungen nach Screening; Vertragsprüfung; unabhängige Prüfung der Leistungserbringung; Überprüfung eines Verbots von Barzahlungen; Genehmigung von Banküberweisungen; Prüfung des unternehmensinternen Verrechnungsverkehrs; EDV-gestützte Prüfungen (Berechtigungen, Datenbestände, Belegjournale ) und Prüfungen durch die interne Revision.

20 20 Best-Practice-Maßstäbe für ein Compliance-Management-System Neben der Einrichtung solcher Kontrollen setzt ein wirksames IKS auch die Überwachung der tatsächlichen Durchführung der Kontrollen voraus. Dies kann systematisch und periodisch durch die jeweiligen Prozessverantwortlichen erfolgen. Darüber hinaus kann durch eine Zentralisierung der Zahlungsvorgänge eine einheitliche und wirksamere Kontrolle durchgeführt werden Interne Revision Der internen Revision kommt eine wichtige Rolle bei der Prävention und Aufdeckung von Compliance-Fällen zu. Ihr wesentliches Aufgabenspektrum im Rahmen des Compliance- Management-Systems stellt sich wie folgt dar: Information des Chief Compliance Officer: Erhält die Revision bei der Durchführungen von Prüfungen, die nicht notwendigerweise spezifische Compliance-Prüfungen sein müssen, Informationen über Compliance-Risiken, wird sie diese systematisch an den Chief Compliance Officer berichten. Die Revision fungiert somit als ständiges Radarsystem für Compliance-Risiken. Durchführung von Compliance-Prüfungen: Auf Vorschlag des Chief Compliance Officer wird die interne Revision durch den zuständigen Vorstand (in der Praxis meist der CEO oder CFO) mit der gezielten Durchführung von Compliance- Prüfungen beauftragt, um wesentliche Risikobereiche im Unternehmen einer unabhängigen Überprüfung vor Ort zu unterziehen oder um festgestellte Verdachtsmomente zu klären. Überwachung des Compliance-Management-Systems: Neben der Unterstützung des Chief Compliance Officers kommt der Revision als prozessunabhängiger Instanz im Unternehmen jedoch auch die Aufgabe zu, das Compliance- Management-System als solches in regelmäßigen Abständen auf dessen Wirksamkeit zu überprüfen und der Geschäftsleitung darüber zu berichten. Aus diesem Grund sollte das Compliance-Management-System organisatorisch nicht der internen Revision zugeordnet werden. Ergänzend wird die interne Revision die Überprüfung der Einhaltung der Compliance-Kontrollen als wiederkehrenden Bestandsteil in ihre Revisionsplanung aufnehmen. Die Durchführung dieser Aufgaben erfordert eine entsprechende Qualifikation der Revisionsmitarbeiter und den Einsatz geeigneter Prüfungstechniken. Ein wirksames Compliance-Management-System setzt somit auch voraus, dass die Mitarbeiter der Revision systematische Schulungen erhalten (siehe hierzu auch Abschnitt 5.3.3). 4.5 Überwachung, Messung und kontinuierliche Verbesserung Kernstück auf dem Weg zur Optimierung des Compliance- Management-Systems sind die regelmäßige Überwachung sowie die Messung der erreichten Qualität, um auf diese Weise die Grundlage für die kontinuierliche Verbesserung zu schaffen. Hierfür sind grundlegend der Ablauf der Überwachung, die Prüfintervalle, der Ressourceneinsatz sowie die zu erhebenden Informationen festzulegen. Themengebiete der Überwachung sind insbesondere: das Erfüllen der Compliance-Pflichten; die Aktualität der internen Regelungen; die Fortschritte in der Erreichung der gegebenen Compliance- Ziele; die Identifikation und Klärung noch bestehender Probleme und die Einschätzung der Effektivität des Compliance-Management-Systems. Zur Einschätzung der Effektivität des Compliance-Management- Systems zählen zum Beispiel Aussagen über die Güte und den Abdeckungsgrad von Schulungsmaßnahmen, die Angemessenheit der für Compliance-Aufgaben eingesetzten Ressourcen, die Aktualität der internen Regelungen sowie die Reaktionsgeschwindigkeit des Compliance-Management-Systems bei der Umsetzung identifizierter Optimierungspotenziale. Daneben ist aber auch zu prüfen, welcher Grad an Compliance damit erreicht wurde. Hierzu gehören die Zahl von Verstößen, von unerreichten Zielen und von Nichteinhaltung von Kontrollen oder Konsultationspflichten etc. Beide Bewertungsmaßstäbe hängen eng zusammen, da nur bei einer effektiven Organisation erwartet werden kann, dass die Aussagen zur erreichten Compliance auch verlässlich sind. Daher muss im Rahmen des Überwachungsprozesses dafür gesorgt werden, dass der Informationsstand zur Beurteilung der Aktivitäten möglichst vollständig ist und alle möglichen Informationsquellen genutzt werden. Hierzu gehören Mitarbeiter (zb Hotlines, Vorschlagswesen, persönliche Gespräche), Kunden und Lieferanten (zb Beschwerdemanagement, persönliche Gespräche) sowie grundsätzlich alle internen Datenbestände des Unternehmens. Daneben sollten auch die Informationen aus den Compliance Reports, den Compliance-Prüfungen sowie die Informationen aus Workshop-Diskussionen oder Mitarbeiterbefragungen hier einfließen. Für eine sinnvolle Nutzung der gesammelten Informationen ist weiterhin die Kategorisierung und strukturierte Ablage erforderlich. Hierzu bietet sich ein Datenbanksystem an. sinnvolle zu bildende Cluster können sich beispielsweise an betroffenen Organisationseinheiten, Art der Information, Informationsquelle etc. orientieren. Bei der Analyse der Daten ist insbesondere auch auf Querbezüge oder kumulative Aspekte zu achten. Beispielsweise sollte ein besonderes Augenmerk auf wiederkehrende Probleme gerichtet werden. Insbesondere

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

6.4.5 Compliance-Management-System (CMS)

6.4.5 Compliance-Management-System (CMS) Seite 1 6.4.5 6.4.5 System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein

Mehr

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 COMPLIANCE ASSURANCE Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 Ein wirksames CMS hilft Ihnen, Compliance Verstöße zu erkennen und Risiken präventiv zu begegnen. Wir prüfen die

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2 1.1. Definitionen 1. Grundlagen Risiko: Risiko bezeichnet die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Risiken sind Bestandteil jeder unternehmerischen

Mehr

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance Daimler Nachhaltigkeitsbericht 2014 Compliance 47 Compliance Compliance ist ein unverzichtbarer Teil der Integritätskultur bei Daimler. Für uns ist es selbstverständlich, dass wir uns an alle relevanten

Mehr

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980

Stellungnahme. Entwurf IDW-Prüfungsstandard/EPS 980 Stellungnahme Recht und Versicherung Entwurf IDW-Prüfungsstandard/EPS 980 Der Bundesverband der Deutschen Industrie repräsentiert 35 Mitgliedsverbände mit über 100.000 Industrieunternehmen und ca. 7,5

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Überblick über das Compliance Management System von Seves

Überblick über das Compliance Management System von Seves Überblick über das Compliance Management System von Seves 1. Chief Compliance Officer und Compliance-Beauftragte 2. Risikoanalyse und Risikobewertung 3. Unterlagen 4. Schulungen 5. Compliance-Bestätigungen

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

Compliance Management-Systeme

Compliance Management-Systeme RISK & COMPLIANCE Compliance Management-Systeme ADVISORY Compliance ein Thema mit wachsender Bedeutung für Ihren Unternehmenserfolg 3 Compliance ist das rechtmäßige Handeln von Unternehmen, ihren Organen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Compliance im Betrieb

Compliance im Betrieb Compliance im Betrieb Konzeption eines Compliance-Management-Systems (CMS) in der Unternehmensgruppe Stadtwerke Mainz AG unter Berücksichtigung des IDW Prüfungsstandards PS 980 1 Begriffsdefinition und

Mehr

Risikomanagement Aktueller Stand 2012

Risikomanagement Aktueller Stand 2012 Risikomanagement Aktueller Stand 2012 06. September 2012 1 Compliance Management im Krankenhaus 2 AGENDA I. Compliance eine Einführung 1. Eine Modeerscheinung? 2. Ziel 3. Notwendigkeit 4. Umsetzung von

Mehr

Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen

Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen Buch_145x230_WG_Soziale_Marktwirtschaft 06.05.2011 10:45 Seite 197 Compliance Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen Hubertus Eichler

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Governance und Compliance

Governance und Compliance Governance und Compliance DB-Konzern Compliance Wolfgang Schaupensteiner, CCO Wiesbaden, 13.11.2008 1 Compliance was ist das? Compliance Der Ursprung des Begriffs Compliance liegt in der Medizin: Compliance

Mehr

Sicherstellung von gesetzes- und richtlinienkonformem Handeln (Compliance) im WMF Konzern

Sicherstellung von gesetzes- und richtlinienkonformem Handeln (Compliance) im WMF Konzern Seite 1/11 Sicherstellung von gesetzes- und richtlinienkonformem Handeln (Compliance) im WMF Konzern Inhalt Seite 1 Zielsetzung, Begriffsbestimmungen und Gültigkeitsbereich 2 1.1 Compliance 2 1.2 Ziel

Mehr

Klöckner & Co SE. Compliance Management System 3.0. Corporate Compliance Office. A Leading Multi Metal Distributor. Ausgabe: Oktober 2013

Klöckner & Co SE. Compliance Management System 3.0. Corporate Compliance Office. A Leading Multi Metal Distributor. Ausgabe: Oktober 2013 Klöckner & Co SE A Leading Multi Metal Distributor Compliance Management System 3.0 Corporate Compliance Office Ausgabe: Oktober 2013 Agenda 01 Compliance Management System 3.0 02 Compliance Organisation

Mehr

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München

M&A im Streit. Compliance-Management-Systeme und Haftungsvermeidung. bei Pöllath & Partner am 08. November 2012 in München M&A im Streit bei Pöllath & Partner am 08. November 2012 in München Compliance Management Mittelstand GmbH www.cmm-compliance.com Seite 1 Woraus ergibt sich Notwendigkeit des Handelns? Es gibt (noch) keine

Mehr

Risikomanagement. der Softship AG

Risikomanagement. der Softship AG Risikomanagement der Softship AG Risikomanagement der Softship AG Wesentliche Merkmale des Risikomanagement- und des internen Kontrollsystems Um Risiken, die den Fortbestand der Gesellschaft gefährden,

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG IXOS SOFTWARE AG - Hauptversammlung 3.12.2003 IXOS Corporate Governance Peter Rau Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG Technopark 1 Bretonischer Ring 12 D-85630 Grasbrunn/München Tel.: +49.(0)89.4629.0

Mehr

Compliance in Kapitalgesellschaften

Compliance in Kapitalgesellschaften Bernd Schmidt Compliance in Kapitalgesellschaften Nomos Inhaltsverzeichnis Abkürzungsverzeichnis 13 1 Compliance 17 A Compliance in der Rechtsterminologie 18 B. Compliance als Bestandteil guter Corporate

Mehr

Certified Compliance Officer

Certified Compliance Officer Fachgebiet: Grundlagen Compliance Lehrbrief 1 Definition und Abgrenzung Compliance Grundlagen Mittelstand Rechtliche Grundlagen zu Compliance Organisatorische Grundlagen Corporate Governance und Compliance

Mehr

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion

Timo Boldt Berlin, 7. Mai 2014. Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion Timo Boldt Berlin, 7. Mai 2014 Alles neu für die Compliance? Erfahrungen mit der Umsetzung der neuen MaRisk-Compliance-Funktion v Agenda 1. Einleitung 2. Umsetzung der MaRisk-Compliance 3. Ausblick und

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

Compliance Die neuen Spielregeln der Veranstaltungswirtschaft. Prof. Dr. Peter Fissenewert. 6. März 2013 Business Travel MICE Day

Compliance Die neuen Spielregeln der Veranstaltungswirtschaft. Prof. Dr. Peter Fissenewert. 6. März 2013 Business Travel MICE Day 6. März 2013 Business Travel MICE Day 2 Interessenlage 2005: gering Interessenlage heute: extrem gestiegen Eine Studie aus dem Jahr 2011 zum Thema Erfolgsfaktoren im Mittelstand zeigt, dass das Thema Compliance-Management-Systeme

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Compliance-Management für mittelständische Unternehmen

Compliance-Management für mittelständische Unternehmen Laura von Marnitz Compliance-Management für mittelständische Unternehmen Ein Modell für die Praxis Verlag Dr. Kovac Hamburg 2011 Vorwort Abbildungsverzeichnis VII XIX 1 Corporate Compliance - Chancen und

Mehr

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008

Der kleine Risikomanager 1. Karin Gastinger 29.05.2008 Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Compliance Management System der Muster AG

Compliance Management System der Muster AG Compliance Management System der Muster AG 1. Zielsetzungen des Compliance Management System Der Verwaltungsrat (VR) der Muster AG (nachfolgend MAG) ist verantwortlich für die Oberleitung des Unternehmens.

Mehr

Setzen. Spiel! FACT BOOK DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN

Setzen. Spiel! FACT BOOK DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN Setzen Sie Ihr Image Nicht auf s FACT BOOK Spiel! DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN Wirksam und dauerhaft erfolge sichern Wirkungsvolles Risk- und Compliance Management System Mittelständische

Mehr

ökonomische und rechtliche Bedeutung Elemente eines CMS in der Struktur des IDW PS 980 Praxishinweise für die Umsetzung

ökonomische und rechtliche Bedeutung Elemente eines CMS in der Struktur des IDW PS 980 Praxishinweise für die Umsetzung www.nwb.de NWB Wirtschaftsprüfung Das wirksame Compliance- Management-System Ausgestaltung und Implementierung in Unternehmen ökonomische und rechtliche Bedeutung Elemente eines CMS in der Struktur des

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Corporate-Governance-Bericht 2014

Corporate-Governance-Bericht 2014 Corporate-Governance-Bericht 2014 Run Simple The Best-Run Businesses Run SAP Corporate-Governance-Bericht Gute Corporate Governance ist für die SAP grundlegend für eine verantwortungsvolle Unternehmensführung.

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

ERGO Rahmenrichtlinie Anti-Fraud-Management

ERGO Rahmenrichtlinie Anti-Fraud-Management ERGO Rahmenrichtlinie Anti-Fraud-Management Stand: 20.02.2008 Inhaltsverzeichnis Einleitung...3 1. Gegenstand der Richtlinie, Anwendungsbereich, Zielsetzung...4 2. Umsetzung...4 3. Definitionen...4 4.

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex - Standards zur Steigerung der Transparenz und Kontrolle - Stand: Oktober 2011 1 Präambel und Geltungsbereich Die Messe Düsseldorf GmbH erkennt ihre soziale Verantwortlichkeit

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH

TRANSPARENZBERICHT. ASSEKURATA Assekuranz Rating-Agentur GmbH TRANSPARENZBERICHT ASSEKURATA Assekuranz Rating-Agentur GmbH 2015 2 1 EINLEITUNG... 4 2 RECHTSSTRUKTUR UND BESITZVERHÄLTNISSE... 4 3 INTERNE KONTROLLMECHANISMEN... 4 4 ZUWEISUNG VON PERSONAL... 7 5 ARCHIVIERUNGSPOLITIK...

Mehr

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle GmbH 1. Public Corporate Governance Kodex des Bundes Die Bundesregierung hat am

Mehr

Aufgaben und Pflichten eines Direktors

Aufgaben und Pflichten eines Direktors Aufgaben und Pflichten eines Direktors In Deutschland besteht eine Kapitalgesellschaft grundsätzlich aus mehreren Organen, wie dem Vorstand, Aufsichtsrat, bzw. einem Beirat. Die jeweiligen Pflichten und

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Unternehmensbeschreibung

Unternehmensbeschreibung Pressemappe Artikel 13 Institut für Datenschutz & Compliance Unternehmensbeschreibung Artikel 13 wurde als Institut für Datenschutz & Compliance 2012 in Radebeul bei Dresden von Rechtsanwalt Thomas Weiß

Mehr

COMPLIANCERISKPROTECTION

COMPLIANCERISKPROTECTION COMPLIANCERISKPROTECTION Es ist nicht genug zu wissen, man muss auch anwenden; es ist nicht genug zu wollen, man muss auch tun. Johann Wolfgang von Goethe CoRP: NOT UND NOTWENDIGKEIT. Ertrinken Sie in

Mehr

Konzernrichtlinie Arbeits- und Gesundheitsschutz Umwelt- und Klimaschutz

Konzernrichtlinie Arbeits- und Gesundheitsschutz Umwelt- und Klimaschutz Konzernrichtlinie Arbeits- und Gesundheitsschutz Umwelt- und Klimaschutz Herausgeber AGUS Center / Konzernentwicklung Ansprechpartner Herr Dr. Polanz / Frau Dr. Bardelmeier Geltungsbereich HOCHTIEF-Konzern

Mehr

Corporate Compliance als zwingende

Corporate Compliance als zwingende Corporate Compliance als zwingende Geschäftsführungsaufgabe Dr. Jörg Viebranz GmbH Geschäftsführer Tag, Bonn 20. Mai 2014 www.comformis.de 20.05.2014 Gefahren von Non Compliance Mld Meldungen in den Medien

Mehr

Executive Summary. assurance services. Analyse des aktuellen Stands der Ausgestaltung von Compliance Management- Systemen in deutschen Unternehmen

Executive Summary. assurance services. Analyse des aktuellen Stands der Ausgestaltung von Compliance Management- Systemen in deutschen Unternehmen Executive Summary assurance services Analyse des aktuellen Stands der Ausgestaltung von Compliance Management- Systemen in deutschen Unternehmen 2 Vorwort Zum zweiten Mal bringen wir unsere Compliance-Benchmarkstudie

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Herausforderung gesetzlicher Mindestlohn

Herausforderung gesetzlicher Mindestlohn www.pwc.de Das Mindestlohngesetz verpflichtet Unternehmen seit dem 1. Januar 2015 zur Zahlung des gesetzlich festgelegten Mindestlohns. Hinzu kommen zahlreiche weitere Anforderungen. Wir unterstützen Sie

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein

Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis. Prof. Alexander Redlein, Dr. Barbara Redlein Compliance, Risikomanagement & Interne Kontrollsysteme in der Praxis Prof. Alexander Redlein, Dr. Barbara Redlein Begriffe: Compliance und Risikomanagement Compliance = Einhaltung aller externen und internen

Mehr

Best Practices im Compliance Management

Best Practices im Compliance Management Best Practices im Compliance Management Marion Willems Vortrag bei Pöllath & Partner München, den 08.11.2012 Agenda 1. Compliance Management zur Bekämpfung der Wirtschaftskriminalität 2. Definitionen Compliance

Mehr

ComPlianCe leitbild Präambel

ComPlianCe leitbild Präambel Compliance Leitbild Präambel Als Familienunternehmen legen wir Wert auf partnerschaftlichen Umgang mit unseren Kunden und Baupartnern. Unser oberstes Unternehmensziel, langfristige Gewinne zu erwirtschaften,

Mehr

Code of Conduct. Compliance in der NETZSCH-Gruppe

Code of Conduct. Compliance in der NETZSCH-Gruppe Code of Conduct Compliance in der NETZSCH-Gruppe Vorwort Liebe NETZSCH-Mitarbeiter! Compliance ist für uns mehr als ein Schlagwort. Die Gesellschafter und Geschäftsführer der NETZSCH-Gruppe wollen ein

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Verhaltenskodex der MAINGAU Energie GmbH

Verhaltenskodex der MAINGAU Energie GmbH Verhaltenskodex der MAINGAU Energie GmbH Dieser Verhaltenskodex ist der verbindliche Leitfaden für unser Handeln in allen, der MAINGAU Energie GmbH und deren Leistungen betreffenden Bereichen. Inhaltsverzeichnis

Mehr

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang

Mehr

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre,

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre, Bericht des Aufsichtsrats Sehr geehrte Aktionärinnen und Aktionäre, der Aufsichtsrat hat im abgelaufenen Geschäftsjahr die ihm gemäß Gesetz, Satzung und Geschäftsordnung obliegenden Aufgaben wahrgenommen

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

RWE Aktiengesellschaft. Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN.

RWE Aktiengesellschaft. Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN. RWE Aktiengesellschaft Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN. 2 INHALT RWE-Konzern INHALT VORWORT 3 GELTUNGSBEREICH 4 SECURITY-LEITBILD 5 SECURITY-STRATEGIE 6 SECURITY-RAHMEN 8 VERANTWORTUNG

Mehr

Die Rolle der HR-Organisation bei der erfolgreichen Implementierung eines effektiven CMS

Die Rolle der HR-Organisation bei der erfolgreichen Implementierung eines effektiven CMS Die Rolle der HR-Organisation bei der erfolgreichen Implementierung eines effektiven CMS Dipl.-Kffr., CCP Malgorzata B. Borowa Netzwerk Compliance Wien, 24. Oktober 2013 Małgorzata B. Borowa Dipl.-Kffr.,

Mehr

Leitlinien In der QM-Dokumentation sind zusammen mit den qualitätssichernden Maßnahmen auch die Verantwortlichkeiten zur Umsetzung festgelegt.

Leitlinien In der QM-Dokumentation sind zusammen mit den qualitätssichernden Maßnahmen auch die Verantwortlichkeiten zur Umsetzung festgelegt. Leitlinien In der QM-Dokumentation sind zusammen mit den qualitätssichernden Maßnahmen auch die Verantwortlichkeiten zur Umsetzung festgelegt. Seite 1 Selbstverpflichtung der Leitung Der Erfolg jedes QM-Systems

Mehr

3. In dieser Richtlinie bezeichnet der Ausdruck "Mitgliedstaat" die Mitgliedstaaten mit Ausnahme Dänemarks.

3. In dieser Richtlinie bezeichnet der Ausdruck Mitgliedstaat die Mitgliedstaaten mit Ausnahme Dänemarks. EU-Richtlinie zur Mediation vom 28.02.2008 Artikel 1 Ziel und Anwendungsbereich 1. Ziel dieser Richtlinie ist es, den Zugang zur alternativen Streitbeilegung zu erleichtern und die gütliche Beilegung von

Mehr

Organisationsverschulden

Organisationsverschulden Organisationsverschulden Bedeutung und Folgerungen für die Unternehmensorganisation DR. DIETRICH-W. DORN RECHTSANWALT UND NOTAR BERLIN DIETRICH.DORN@DORN-KRAEMER-PARTNER.DE 1 Organisationsverschulden Was

Mehr

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision

IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Deutsches Institut für Interne Revision (IIR) IIR Revisionsstandard Nr. 2 Prüfung des Risikomanagement durch die Interne Revision Ziel der Verlautbarung ist die Definition von Grundsätzen für die Prüfung

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Erfüllung der Anforderungen des URÄG

Erfüllung der Anforderungen des URÄG RISK ADVISORY SERVICES Erfüllung der Anforderungen des URÄG KPMG Dienstleistungsangebot Jänner 2009 ADVISORY URÄG Agenda 1 URÄG gesetzliche Rahmenbedingungen 2 KPMG Dienstleistungen - Überblick 3 KPMG

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Transparenz schafft Sicherheit

Transparenz schafft Sicherheit PwC Public Breakfast Transparenz schafft Sicherheit Graz 19. Mai 2010 Advisory Haben Sie einen Überblick darüber, welche Risiken in Ihrem Verantwortungsbereich bestehen und welche Kontrollen von Ihnen

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Leitlinien. zur. Beschwerdebearbeitung durch. Versicherungsunternehmen

Leitlinien. zur. Beschwerdebearbeitung durch. Versicherungsunternehmen EIOPA-BoS-12/069 DE Leitlinien zur Beschwerdebearbeitung durch Versicherungsunternehmen 1/8 1. Leitlinien Einleitung 1. Gemäß Artikel 16 der EIOPA-Verordnung 1 sowie unter Berücksichtigung von Erwägung

Mehr

COMPLIANCE PFLICHTPROGRAMM FÜR IHR UNTERNEHMEN. Was ist Compliance? Fachbereich Forensic & Internal Audit Services Über BDO

COMPLIANCE PFLICHTPROGRAMM FÜR IHR UNTERNEHMEN. Was ist Compliance? Fachbereich Forensic & Internal Audit Services Über BDO COMPLIANCE PFLICHTPROGRAMM FÜR IHR UNTERNEHMEN Was ist Compliance? Als Compliance wird das Einhalten und Befolgen von Gesetzen und Richtlinien, von vertraglichen Pflichten und freiwilligen Selbstverpflichtungen

Mehr

Compliance Der Mensch im Mittelpunkt. Colette Rückert-Hennen

Compliance Der Mensch im Mittelpunkt. Colette Rückert-Hennen Compliance Der Mensch im Mittelpunkt Colette Rückert-Hennen Vorstand Personal und Marke der SolarWorld AG Bonner Unternehmertag, 10.10.2011 Letzten Endes kann man alle wirtschaftlichen Vorgänge auf drei

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

STRAFRECHTLICHE VERANTWORTLICHKEIT VON UNTERNEHMEN - MANAGEMENTHAFTUNG 2.0?

STRAFRECHTLICHE VERANTWORTLICHKEIT VON UNTERNEHMEN - MANAGEMENTHAFTUNG 2.0? STRAFRECHTLICHE VERANTWORTLICHKEIT VON UNTERNEHMEN - MANAGEMENTHAFTUNG 2.0? Nein - Überlegungen zu zivilrechtlichen Auswirkungen einer Unternehmensstrafbarkeit Dr. Stefan Mutter Düsseldorf, 6.Mai 2014

Mehr

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler

EIOPA(BoS(13/164 DE. Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA(BoS(13/164 DE Leitlinien für die Beschwerdebearbeitung durch Versicherungsvermittler EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu

Mehr

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH Verhaltenskodex Einleitung Die hat einen Verhaltenskodex erarbeitet, dessen Akzeptanz und Einhaltung für alle Mitarbeiter als Voraussetzung zur Zusammenarbeit gültig und bindend ist. Dieser Verhaltenskodex

Mehr

Vergütungsbericht für das Geschäftsjahr 2014

Vergütungsbericht für das Geschäftsjahr 2014 Portigon AG Vergütungsbericht für das Geschäftsjahr 2014 Veröffentlichung auf Basis der freiwilligen Selbstverpflichtungserklärung der Portigon AG unter Bezugnahme auf die Instituts-Vergütungsverordnung

Mehr

Corporate- The Best-Run Businesses Run SAP

Corporate- The Best-Run Businesses Run SAP Corporate- Governance-Bericht 2013 The Best-Run Businesses Run SAP Corporate-Governance-Bericht Verantwortungsvolle Unternehmensführung Gute Corporate Governance ist für die SAP grundlegend denn als weltweit

Mehr

Die nachhaltige Implementierung eines Compliance-Systems

Die nachhaltige Implementierung eines Compliance-Systems Die nachhaltige Implementierung eines Compliance-Systems Praxisbeispiel SCHOTT AG 2 Agenda SCHOTT im Überblick Compliance@SCHOTT Die nachhaltige Implementierung eines Compliance-Systems SCHOTT im Überblick

Mehr

Bedeutung des BilMoG für die Interne Revision

Bedeutung des BilMoG für die Interne Revision Bedeutung des BilMoG für die Interne Revision München, 18. Juni 2010 Volker Hampel Geschäftsführer DIIR e.v. 1 Regulatorische Initiativen bringen seit Jahren Veränderungen - Vom KonTraG zum BilMoG - Basel

Mehr

Risk Advisory Services (RAS)

Risk Advisory Services (RAS) Risk Advisory Services ist ein Netzwerk von unabhängigen international ausgerichteten Prüfungs- und Beratungsunternehmen mit ca. 1200 Mitarbeitern an allen wesentlichen Standorten in Deutschland. In den

Mehr