Herausgeber: Herausgeberbeirat:

Transkript

1 Jahrgang Dezember 2013 Seiten Herausgeber: School of Governance, Risk & Compliance Steinbeis-Hochschule Berlin Institute Risk & Fraud Management Steinbeis-Hochschule Berlin ZRFC Risk, Fraud & Compliance Prävention und Aufdeckung durch Compliance-Organisationen Lizenziert für Frau Dr. Antonia Steßl. Herausgeberbeirat: Prof. Dr. Dr. habil. Wolfgang Becker, Otto-Friedrich-Universität Bamberg RA Dr. Karl-Heinz Belser, Depré Rechtsanwalts AG RA Dr. Christian F. Bosse, Partner, Ernst & Young Law GmbH Management Prevention Compliance maßgeschneidert [Interview mit Peter Fissenewert, 246] Compliance-Kultur im Sinne IDW PS 980 [Schefold, 250] Herausforderung Compliance-Risiko [Adam, 254] Prof. Dr. Kai-D. Bussmann, Martin-Luther-Universität Halle-Wittenberg Detection Ethical Due Diligence und Aufsichtsrat [Ruter, 259] RA Bernd H. Klose, German Chapter of Association of Certified Fraud Examiners (ACFE) e. V. RA Dr. Rainer Markfort, Partner, Mayer Brown LLP Prof. Dr. Volker H. Peemöller, Friedrich-Alexander-Universität Erlangen-Nürnberg RA Christian Rosinus, Wirtschaftsstrafrechtliche Vereinigung e. V., Vorstand RA Prof. Dr. Monika Roth, Leiterin DAS Compliance Management, Hochschule Luzern RA Raimund Röhrich, Lehrbeauftragter der School of Governance, Risk & Compliance Dr. Frank M. Weller, Partner, KPMG AG Legal Profession Beilage Vollständige Sicherheit durch ein CMS nach IDW PS 980? [Schinz / Hager, 262] Die Berufung ThyssenKrupp [Prudentino, 268] NRW schlägt Verbandsstrafrecht für den Bund vor [Schefold, 273] Karrieremanagement für Compliance- Verantwortliche [Unterberger / Christof, 279] Jahresinhaltsverzeichnis 2013

2 GRC-Report ZRFC 6/ c GRC-Report Benchmark-Studie zum Compliance-Management Selbsteinschätzung Compliance-Kultur als Schlüssel zu einem wirksamen Compliance-Management-System Christoph Schenk und Antonia Steßl* börsenno erte Sehr gut Op mierungspoten al Handlungsbedarf 69 27,6 3,4 Der Trend setzt sich fort. Immer mehr legen ihren Fokus auf Compliance-Maßnahmen, die eine Akzeptanz des Compliance-Management-Systems auf Mitarbeiterebene sicherstellen sollen. Es wird jedoch auch deutlich, dass die Wirksamkeit ihrer bestehenden Methoden als weitaus besser einschätzen, als sie tatsächlich sind, um den rechtlichen Mindestanforderungen in den einzelnen Grundelementen eines Compliance-Management-Systems (gemäß IDW PS 980) nachzukommen. In diesem Beitrag werden die Entwicklungen dargestellt, etwaige Diskrepanzen diskutiert und Handlungsmöglichkeiten anhand der aktuellen empirischen Daten der Compliance-Studie aufgezeigt. 1. Zunehmende Bedeutung des Zusammenspiels zwischen Werte- und Kontrollorientierung Eine Compliance-Studie im Jahr zeigte, dass Compliance von vornehmlich als Legal Compliance wahrgenommen wird. Während zum damaligen Zeitpunkt nur 17 % der befragten angaben, dass der Begriff Compliance auch eine ethische Dimension mit Bezug zu Werten und Moral beinhaltet (ethische Compliance), zeigt eine aktuelle Compliance-Studie 2, dass die Bedeutung eines wirksamen Zusammenspiels von Werte- und Kontrollorientierung sowohl in börsennotierten mit 91 % als auch im Mittelstand mit 71 % signifikant zugenommen hat. Es ist anzunehmen, dass diese Entwicklung der Erkenntnis geschuldet ist, dass es nicht ausreicht, externe rechtliche Vorgaben ausschließlich in interne Richtlinien und Vorgaben zu übertragen. Vielmehr sind zunehmend bestrebt, ihr Compliance-Management in eine entsprechende Compliance-Kultur zu betten. mi elständische Ausgestaltungsgrad börsenno erte mi elständische 8,8 6,2 33,3 1.1 Ambivalenz zwischen geschätzter und tatsächlicher Compliance-Kultur 43,8 Doch genau an dieser Stelle zeigt die aktuelle Studie eine Ambivalenz auf. Einerseits bekräftigten befragte Compliance- Verantwortliche die Bedeutung dieses Zusammenspiels, andererseits wird deutlich, dass die Befragten die Ausgestaltung der Elemente, die für eine wirksame Compliance-Kultur notwendig sind (im Widerspruch zu den vorhandenen Vorkehrungen), weitaus wirksamer einschätzen als sie tatsächlich sind, um den rechtlichen Mindestanforderungen in den einzelnen Grundelementen eines Compliance-Management-Systems (gemäß IDW PS ) nachzukommen. In der nachfolgenden Grafik wird der Unterschied zwischen der selbst geschätzten Wirksamkeit der unternehmensinternen Compliance-Kultur und der er in der Studie erfassten vorhandenen Existenz der einzelnen Bestandteile dieses Elements aufgezeigt. Dieses Ergebnis verdeutlicht: ffden Übergang von einem juristisch-betriebswirtschaftlichen Compliance-Ma- 85,3 63,4 Sehr gut Op mierungspoten al Handlungsbedarf 3,3 Abb. 1: Überblick über die Ambivalenz zwischen Selbsteinschätzung und tatsächlichem konzeptionellen Ausgestaltungsgrad der Compliance-Kultur * Christoph Schenk (WP / StB) ist der verantwortliche Compliance-Assurance-Partner der KPMG AG Wirtschaftsprüfungsgesellschaft in der Region Süd. Kontakt: ChristophSchenk@kpmg.com. Dr. Antonia Steßl ist im Bereich Assurance Services der KPMG AG Wirtschaftsprüfungsgesellschaft tätig und spezialisiert auf Compliance-Management-Systeme. Kontakt: astessl@kpmg.com. 1 Compliance Modeerscheinung oder Chefsache? Wie sich deutsche Großkonzerne der Herausforderung stellen. 2011, KPMG AG WPG. 2 Die Befragung wurde mittels eines standardisierten, quantitativen Fragebogens mit 49 Fragen zu den einzelnen Elementen des Compliance-Management-Systems durchgeführt. Compliance- Verantwortliche von über 70 nahmen an der Studie teil. Wahlweise wurden die Antworten mittels eines onlinebasierten Tools, in Papierform oder in einem persönlichen Gespräch erfasst. Die Auswertung erfolgte mit Methoden der empirischen Sozialforschung. Analyse des aktuellen Stands der Ausgestaltung von Compliance-Management-Systemen in deutschen. 2013, KPMG AG WPG (im Erscheinen). 3 IDW PS 980, Stand: , IDW Fachnachrichten 4 / 2011, S ,9

3 ZRFC 6/ dung 2 Compliance Kultur Compliance Kommunikation Compliance Management Abb. 2: Überblick über die Compliance-Bestandteile zur Einführung eines Compliance-Management-Systems nagement hin zu einem umfassenden, integrierten Compliance-Management- System, in dem auch der Wandel in den Köpfen der Mitarbeiter und Geschäftspartner begleitet wird. ffdie Existenz zahlreicher Optimierungsmöglichkeiten in der Ausgestaltung eines wirksamen Compliance-Managements. Im nachfolgenden Beitrag werden diese beiden Feststellungen diskutiert und mögliche Handlungsempfehlungen gegeben. Information Kenntnis der Compliance Vorgaben und Erwartungen Verstehen Nachvollziehen der Notwendigkeit der Compliance Vorgaben Abb. 3: Darstellung des Change-Management-Prozesses Akzeptanz Integration der Compliance Vorgaben in den Geschäftsalltag 1.2 Mehr als eine organisationsinterne Umsetzung von rechtlichen Vorgaben Es ist offenkundig, dass Compliance-Management auf einen durch gesetzliche Normen Abbildung erzeugten 3 Handlungsdruck zurückgeht. müssen sicherstellen, dass diese externen Vorgaben innerhalb des s und im Rahmen sämtlicher Geschäftstätigkeiten eingehalten werden. Aus diesem Grund ist es nicht überraschend, dass Compliance- Verantwortlichkeiten innerhalb eines s überwiegend durch Juristen ausgeführt und auch entsprechend in der Organisationsstruktur eingeordnet werden. Dieser Ursprung erklärt auch die daraus gewachsenen Maßnahmen, die Einhaltung dieser Normen durch Anreiz- und Kontrollmechanismen 4 sicherzustellen. Diese klassischen Methoden zur Durchsetzung von Normen, die Vorgaben in bestimmte Prozesse implementieren und deren Einhaltung kontrollieren und etwaige Verstöße sanktionieren, sind wesentliche Bestandteile eines Compliance-Managements. So ist es essentiell, dass Gesetzesvorgaben in Richtlinien überführt werden, die genau festlegen, in welchen unternehmensinternen Arbeitsabläufen welche Rechtsrisiken durch bestimmte Kontroll-, Genehmigungs- oder sonstige regulatorische Maßnahmen geregelt werden. Diese Festlegungen und Definitionen relevanter Risiken und entsprechender Vorgaben innerhalb eines s sind elementar, um einen Überblick über die Risikoexposition eines s zu haben und um damit einen wesentlichen Beitrag zur Erfüllung der rechtlichen Sorgfalts- und Überwachungspflichten leisten zu können. Doch um die daraus abgeleiteten Compliance-Maßnahmen wirksam und nachhaltig sicherzustellen, ist es empfehlenswert, die Pfade der juristisch-normativen und betriebswirtschaftlich-prozessualen Perspektive zu verlassen und um Change- Management-Überlegungen, die diese Bestrebungen unterstützen können, zu erweitern. Denn objektiv betrachtet ist die Einführung eines Compliance-Management-Systems ein Veränderungsprozess innerhalb eines s, der durch strategische und unternehmensführungsspezifische Maßnahmen begleitet werden kann, um eine Akzeptanz der Änderungen herbeizuführen. So gesehen, sind die Vermittlungs- und Kommunikationsstrategien der Neuerungen und die damit vermittelte Kultur, die Antriebsräder um das Compliance-Management in Gang zu bringen und am Laufen zu halten. 2. Compliance braucht ein wirksames Change-Management Veränderungen in können nicht ausschließlich mit der Definition von rechtlichen Vorgaben und einer entsprechenden Übertragung in Richtlinien bewirkt werden. Der Prozess findet in den Köpfen der Mitarbeiter statt. Um ein Compliance-Mindset zu entwickeln, wird empfohlen, den Veränderungsprozess durch eine Compliance-Kommunikation zu begleiten, um daraus schließlich eine entsprechende Compliance-Kultur zu schaffen. Change-Management-Experten raten dabei insbesondere zu einer transparenten, frühzeitigen und umfassenden Kommunikation mit allen Betroffenen. Kommunikation von Compliance ist eine der zentralen, präventiven Maßnahmen im Compliance-Management. Um zu erreichen, dass Maßnahmen akzeptiert und von den betroffenen Mitarbeiter gelebt werden, sollte sichergestellt werden, dass die Vorgaben und damit verbundenen Verhaltenserwartungen in Compliance-relevanten Prozessen bekannt sind und auch verstanden werden. 4 Graeff, P. / Steßl, A.: Effektives Compliance: Ursachen, Hindernisse und Lösungsvorschläge, in: Stark, C. / Lahusen, C. (Hrsg.), Korruption und neue Staatlichkeit, Norderstedt 2010, S. 70.

4 GRC-Report ZRFC 6/ Abbildung 4 Compliance Schulungsmaßnahmen Bestandteil des Einstiegsprogramms Verhaltensrichtlinie Compliance Helpdesk Kommunikation der Compliance Strukturen Intranetauftritt Kommunikationskampagnen Integration in laufende Arbeitsprozesse keine der genannten Maßnahmen 2,9 12,9 38,7 45,2 51,6 58,1 55,9 Abb. 4: Überblick über Compliance-Kommunikationsmaßnahmen in deutschen Dateiname.ppt Top-Management Führungskräfte Abbildung 6 Trainingsmaßnahmen für das Management Tone from the Top Kommunikation Self Assessment der Führungsebene Bestandteil der jährlichen Zielvereinbarung keine der Maßnahmen skultur Personalpolitik 2,9 9,7 22,6 Sanktionierung Aufsichtsorgan 23,5 25,8 41,2 51,6 54,8 64,7 73,5 79,4 85,3 Abb. 5: Überblick über die Bestandteile von Compliance-Kultur in Anlehnung an den IDW PS 980 Abb. 6: Überblick über vorhandene Compliance-Maßnahmen in befragten deutschen 85,3 91,2 Die aktuelle Compliance-Studie zeigt auf, dass fast alle befragten mindestens eine Kommunikationsmaßnahme entwickelt haben. Nachfolgend wird ein Überblick über die wichtigsten Maßnahmen einer gelingenden internen Compliance-Kommunikation und deren Ausgestaltungsmöglichkeiten gegeben. Auf die Kommunikation mit externen Dritten, auf die der Prüfungsstandard IDW PS 980 eingeht, wird aus Platzgründen hier nicht weiter eingegangen. 2.1 Präventive Funktion einer wirksamen Compliance- Kommunikation Es gibt eine Vielzahl an Kommunikationsmaßnahmen, die herangezogen werden können, um Wissen über bestehende und neue Compliance-Vorgaben und damit verbundene Verhaltenserwartungen zu vermitteln. Mitarbeiter sollten dahingehend sensibilisiert werden, um angemessen und korrekt handeln zu können. Compliance-Kommunikation ist also eine der zentralen präventiven Maßnahmen zur Verhinderung von Compliance-Verstößen. Es ist empfehlenswert, die entsprechenden Inhalte im Rahmen von Schulungsmaßnahmen zu kommunizieren. Hierbei ist natürlich zu differenzieren, für welche Mitarbeitergruppen welche Inhalte relevant sind. So ist beispielsweise eine Schulung zum allgemeinen Verhaltenskodex für alle bedeutsam, ein Training zu kartellrechtlichen Risiken hingegen ist nur für ausgewählte Abteilungen notwendig. Darüber hinaus sollten die zentralen Informationen zu allen Compliance-Themen auch jederzeit zugänglich sein, etwa im Intranet. Es wird empfohlen, auch Mitarbeitern bei alltäglichen Fragen beratend zur Seite zu stehen und ihnen durch die Einrichtung einer Art Helpdesk die Möglichkeit zu geben, bei Unsicherheiten bzgl. des erwarteten Verhaltens eine klare Orientierung zu erlangen. Zudem sollten aktuelle Informationen zu Compliance-Themen und -Neuerungen fortlaufend kommuniziert werden, um Nichtbefolgung aufgrund von Nichtwissen zu vermeiden. Die nachfolgende Grafik zeigt, welche Kommunikationsmaßnahmen in den befragten mittelständischen und börsennotierten vorhanden sind.

5 ZRFC 6/ Abbildung 7 Förderung einer positiven Compliance Kultur Messen der skultur Kooperation mit der Personalabteilung (HR) keine der Maßnahmen 2.2 Einbettung des Compliance- Managements in eine wirksame Compliance-Kultur Wann kann ein Compliance-Management- System als wirksam bezeichnet werden? Es kann erst dann also solches bezeichnet werden, wenn Compliance-Vorgaben integraler Bestandteil des Geschäftsalltags sind und alle Mitarbeiter Compliance verinnerlicht 8 haben. Compliance-Kultur Abbildung ist 5,9 22,6 32,3 35,3 35,5 der Grundpfeiler eines wirksamen Compliance-Management-Systems. An dieser Stelle wird deutlich, welche Bedeutung eine gute Compliance-Kommunikation hat, die eine wesentliche Grundlage für eine wirksame Compliance-Kultur darstellt. Das Entscheidende hieran ist jedoch, dass durch die Kultur beeinflusst wird, welche Bedeutung die Mitarbeiter eines s der Beachtung von Regeln beimessen. Damit 50 54,8 Abb. 7: Überblick über vorhandene Maßnahmen zur Förderung der Compliance-Kulur in befragten deutschen Funktionstrennung aller Compliance relevanten Funktionen Compliance Checks bei Einstellungen und Beförderungen Job Rotation in Compliance relevanten Funktionen keine der genannten Maßnahmen 6,7 9,4 18,8 23,3 33,3 46,9 Abb. 8: Überblick über vorhandene personalpolitische Maßnahmen zur Förderung einer positiven Compliance-Kultur in befragten deutschen 56,7 62,5 70,6 wird schließlich die Bereitschaft zu regelkonformen Verhalten festgelegt. So zeigten bereits andere Studien, dass etwa die Wahrnehmung ambivalenten Führungsverhaltens, also die Erkenntnis, dass sich die eigene Führungskraft nicht an die Compliance-Vorgaben hält, die eigene Bereitschaft zu einem ähnlichen Verhalten signifikant erhöht. 5 Auch der Prüfungsstandard (IDW PS 980) schreibt den gesetzlichen Vertretern, Führungskräften und Aufsichtsorganen eine entscheidende Rolle zu. Wenn diese ihrer Vorbildfunktion gerecht werden und Verstöße konsequent sanktioniert werden, dann ist ein erster Schritt auf dem Weg hin zu einer gelebten Compliance-Kultur gegangen worden. Nachfolgend werden die wesentlichen Maßnahmen vorgestellt, die im Rahmen der einzelnen Bestandteile einer Compliance-Kultur zur Akzeptanz eines Compliance-Management-Systems führen Top-Management/Führungskräfte In einem ersten Schritt sollte das Top-Management über Compliance-Themen und -Risiken informiert und hinsichtlich seiner Verantwortung sensibilisiert werden. Daran anschließen sollte eine klare und deutliche Kommunikation des Top-Managements, um sich zu den Grundsätzen normkonformen Verhaltens zu bekennen und diese innerhalb des s umzusetzen und zu leben vor allem aber auch gegenüber Geschäftspartnern und externen Dritten. Formale Möglichkeiten, um diese Verantwortung zu institutionalisieren, sind zum einen die Integration dieser Pflichten in die jährliche Zielvereinbarung und zum anderen die Überwachung dieser Vorgaben durch ein Self-Assessment skultur Mit der Beachtung der skultur als Bestandteil einer wirksamen Compliance-Kultur werden Verhaltensgrundsätze und -erwartungen in ein hineingetragen und gelebt. Dem liegt die Erkenntnis zu Grunde, dass eine gute skultur einen Grund- 5 Vgl. Steßl, A.: Effektives Compliance-Management in, Wiesbaden 2012, S. 199.

6 GRC-Report ZRFC 6/ Abbildung 9 Systematische Verbesserung von Prozessschwächen Strikte personenbezogene Sanktionierung Klare Maßnahmen bei Compliance Verstößen 25 29,4 53,1 71,9 100 oder als Bestandteil eines übergeordneten Code of Conduct. Eine strikt personenbezogene Sanktionierung bei Compliance-Verstößen hat unbedingt stattzufinden, um eine Einhaltung der Norm auf Dauer sicherzustellen. Es wird empfohlen, diese auch entsprechend transparent zu kommunizieren, um Glaubwürdigkeit herzustellen und Akzeptanz der Vorgaben durchzusetzen. Sanktionsrichtlinie keine der genannten Maßnahmen 0 12,5 11,8 15,6 Abb. 9: Überblick über vorhandene Sanktionsmaßnahmen zur Förderung einer positiven Compliance-Kultur in befragten deutschen Aufsichtsorgane Zur Erfüllung der gesetzlichen Sorgfaltsund Überwachungspflichten sollte abschließend das Aufsichtsorgan in das Compliance-Management eingebunden werden. Die aktuelle Studie zeigt, dass in ca. 50 % der mittelständischen und in ca. 60 % der börsennotierten die Einbindung des Aufsichtsorgans in Compliance-Überwachungsaktivitäten noch Entwicklungspotenzial hat. pfeiler der Compliance-Strategie im Besonderen darstellt. Ein unbedingt zu vermeidendes Risiko hierbei ist die Entstehung einer Diskrepanz zwischen den formulierten Grundsätzen, die eine Compliance- und skultur definieren sollen, und der tatsächlich gelebten Kultur. Hintergrund dieser Überlegungen ist vor allem auch die Erkenntnis, dass unzufriedene Mitarbeiter tendenziell eher dazu neigen, sich non-compliant zum Schaden des s zu verhalten. 6 Ein Gros der ist hier bereits tätig geworden. Es wird empfohlen, gezielt Maßnahmen zur Entwicklung einer positiven skultur zu entwickeln. Hierbei bietet es sich im Rahmen einer Mitarbeiterzufriedenheitsbefragung an, fördernde Elemente zu identifizieren und dabei auch Aspekte einer akzeptierten Compliance-Kultur zu analysieren Personalpolitik Mit diesem Subelement eines Compliance-Management-Systems geht es insbesondere darum, mithilfe institutionalisierter Prozesse und Verfahren zu gewährleisten, dass im Allgemeinen und bei Compliance-relevanten Funktionen im Besonderen integre Mitarbeiter eingesetzt werden. So sollte diese Fragestellung immer fester Bestandteil bei Einstellungs- und Beförderungsprozessen sein. Weitere wichtige Aspekte hierbei sind die Sicherstellung der Funktionstrennung. Insbesondere in Compliance-relevanten Funktionen sollten hierfür entsprechende Vorgaben und Kontrollen implementiert werden. Job-Rotation ist ein weiteres wesentliches Element der personalpolitischen Präventionsmaßnahmen. Beispielsweise gilt es Ablehnungen von Beförderungen, die mit einem Funktionswechsel verbunden wären, zu hinterfragen. Übergeordnetes Ziel hierbei ist es zu verhindern, dass nicht-integre Mitarbeiter für das tätig werden und darüber hinaus in den Funktionen keine Kontrolle über Compliance ausgeübt wird Sanktionierung Mit dem Aufstellen von Compliance-Vorgaben und Grundsätzen eng verbunden ist der Umgang mit Regelverstößen. Compliance-Normen können nur dann wirksam implementiert werden, wenn Verstöße dagegen entsprechend sanktioniert werden. Grundlage hierfür ist vor allem die Definition des Prozesses und die entsprechende Kommunikation gegenüber allen Mitarbeiter eines s. Dies kann mittels einer eigens dafür entwickelten Sanktionsrichtlinie erfolgen 3. Fazit Bei der Implementierung wirksamer Compliance-Management-Systeme wird es zunehmend wichtiger, neben formal-juristischen und betriebswirtschaftlich-prozessualen Überlegungen, die Akzeptanz der Compliance-Vorgaben auf Mitarbeiterebene in die Gesamtstrategie zu berücksichtigen. Die aktuelle Compliance-Studie zeigt auf, dass sich über die Notwendigkeit dieses integrierten Ansatzes durchaus bewusst sind, dass ihre Selbsteinschätzung bzgl. der Wirksamkeit ihrer vorhandenen Maßnahmen jedoch in Hinblick auf deren Ausgestaltungsmöglichkeiten in Anlehnung an den IDW PS 980 noch viel Entwicklungspotenzial aufweist. Zur Implementierung eines allumfassenden Compliance-Management-Systems wird ein Change-Management-Prozess empfohlen, der insbesondere auf den Ebenen der Compliance-Kommunikation und einer daran anschließenden Compliance-Kultur Möglichkeiten aufzeigt, um ein entsprechendes Mindset zu kreieren, welches Compliance innerhalb des s auf Dauer sicherstellt. 6 Vgl. Steßl, A.: Effektives Compliance-Management in, Wiesbaden 2012, S. 199.