Assure. Effektive Assurance

Transkript

1 Assure Meinungen zum Umgang mit Risiken und Unsicherheiten / September 2012 Effektive Assurance Die Welt wird in Zukunft komplexer, das Umfeld härter, der Druck von politischer Seite weiter verstärkt. Steigende Anforderungen an Assurance-Funktionen bedeuten steigende Herausforderungen für Unternehmen. Zudem in dieser Ausgabe: Eurozone-Krise Korruption und Trading: eng befreundet? Wettbewerbsvorteil wahren kpmg.ch/assurance

2 Inhalt Effektive Assurance 4 Überprüfung der Compliance 8 Compliance als strategischer Erfolgsfaktor 12 Wie Compliance eine nachhaltige Unternehmensentwicklung sicherstellt Eurozone-Krise 15 Herausforderungen und Chancen im Gesundheitswesen 20 Mehrwert durch Tax Risk Management 22 Verwendung von missbräuchlichen AGB 28 Korruption und Trading: eng befreundet? 30 Wettbewerbsvorteil wahren 34 2

3 Wie können die Assurance-Funktionen die steigenden Ansprüche bewältigen? «Auch der externe Druck steigt. Die von politischer Seite geforderten Einschränkungen und Regulierungen nehmen in Zeiten der Krise weiter zu.» Gewiss, die Vorteile des technologischen Fortschritts der letzten Jahrzehnte sind mannigfaltig. Die heutigen Unternehmen sind effizienter und produktiver, als sie es noch vor einigen Jahren überhaupt zu träumen gewagt hätten. Was früher bisweilen Stunden, Tage und Wochen dauerte, wird heute in Sekunden und Minuten erledigt. Die Welt der Unternehmen ist schneller und die Distanzen sind kleiner geworden. So weit die Sonnenseite der Geschichte. Neben den Vorteilen sind die Gefahren des Wandels nur zu gut bekannt. Die gestiegene Komplexität der Prozesse aber macht deren Überwachung vielschichtiger und zuweilen aufwändiger. Auch die vermehrte internationale Vernetzung bringt eine Reihe von Risiken mit sich die aktuelle Situation im Euroraum zeigt dies nur allzu deutlich. Je anspruchsvoller Arbeitsprozesse werden, desto anspruchsvoller wird auch deren Aufsicht. Auch der externe Druck steigt. Die von politischer Seite geforderten Einschränkungen und Regulierungen nehmen in Zeiten der Krise da die Unternehmen grundsätzlicher Kritik an ihrer wettbewerblichen Funktionsweise ausgesetzt sind weiter zu. Der Umfang an regulatorischen Anforderungen steigt stetig, unter anderem auch im Bereich der Corporate Governance. Als direkte Folge dieser Entwicklungen gewinnen Assurance-Funktionen an Bedeutung und werden dementsprechend ausgebaut und weiterentwickelt, beispielsweise die interne und die externe Revision, das Risk Management und die Compliance. Sie sollen Risiken überwachen, Komplexität reduzieren und sicherstellen, dass die regulatorischen Anforderungen eingehalten werden. Die überwachenden Funktionen zu erweitern und auszubauen ist das eine deren reibungsloses Funktionieren sicherzustellen das andere. Die erweiterten Assurance- Strukturen sind verzweigter, die Verantwortlichkeiten und Rollen müssen teilweise neu definiert und der kontinuierliche Austausch muss sichergestellt werden. Wenn Assurance- Funktionen lediglich auf ihren eigenen, eingegrenzten Bereich fokussieren, droht nicht nur Ineffizienz, sondern sogar Ineffektivität. Kurz: Nur eine durchdachte Koordination der Assurance-Funktionen garantiert deren Wirksamkeit. In dieser Ausgabe des «Assure» befassen wir uns in mehreren Beiträgen mit den angesprochenen Herausforderungen. Es freut mich sehr, unter anderem eine Studie über die Assurance-Strukturen von ausgewählten Schweizer Unternehmen vorstellen zu können, die die KPMG in Zusammenarbeit mit der Universität St. Gallen (HSG) erarbeitet hat. «Assure» bietet ausserdem eine eingehende Analyse der möglichen Auswirkungen einer Eurokrise auf Schweizer Unternehmen und beantwortet Fragen nach möglichen unternehmerischen Strategien im Falle eines Zerfalls der Eurozone. Ein zusätzliches Augenmerk legt diese Ausgabe auf aktuelle Entwicklungen im Spitalmarkt und die Neuerungen im Bereich der AGB-Gesetzgebung. Die Welt wird komplexer, das unternehmerische Umfeld härter und die gesetzlichen Hürden höher. Steigende Anforderungen an Assurance-Funktionen bedeuten steigende Herausforderungen für Unternehmen. Nehmen wir sie an und entwickeln wir uns weiter. Let s move forward. Roger Neininger Head of Audit Assure / Vorwort / 3

4 Effektive Assurance Eine repräsentative Befragung von KPMG in Zusammenarbeit mit der Universität St. Gallen (HSG) hat untersucht, wie die einzelnen Assurance-Funktionen in Schweizer Unternehmen aufgestellt sind, inwieweit ihre Arbeit als effektiv eingeschätzt wird und welcher Grad an Koordination und Kooperation besteht. Luka Zupan Hintergrund Was ist Assurance? Assurance bezeichnet alle Aktivitäten im Bereich der Steuerung, Kontrolle und Überwachung, welche die Interessengruppen (meist Verwaltungsrat und Geschäftsleitung) dabei unterstützen, die mit den strategischen Zielen einhergehenden Risiken zu umgehen. Die klassischen Assurance-Funktionen sind die externe und die interne Revision, das Risikomanagement, die Compliance und das Management von internen Kontrollsystemen (IKS). Dabei können bezüglich der Organisation und Ausrichtung der Assurance-Funktionen zwischen den Unternehmen grosse Unterschiede bestehen. Üblicherweise lassen sich die Funktionen nach dem Grad ihrer organisatorischen Unabhängigkeit in drei Verteidigungslinien gruppieren. Die erste Linie besteht aus den einzelnen operativen Geschäftsbereichen, welche als Verantwortliche die Risiken im Rahmen der Geschäftstätigkeit kontrollieren und verwalten müssen. Die zweite Verteidigungslinie unterstützt die Geschäftsbereiche bei der Handhabung dieser Risiken z.b. durch Überwachungsaktivitäten. Die dritte Verteidigungslinie schliesslich verschafft dem Verwaltungsrat und der Geschäftsleitung durch ihre unabhängige und objektive Prüfung eine ausreichende Assurance, dass die wesentlichen Risiken genügend durch die Verantwortlichen der ersten und zweiten Verteidigungslinie gesteuert, kontrolliert und überwacht werden. Risiko & Kontrolle 1. Geschäftsbereiche Etabliertes Risiko- und Kontrollumfeld Risikodefinition- und beurteilung Risikomanagement- und berichterstattung Erste Linie Die erste Ebene des Kontrollumfelds sind die Geschäftsbereiche, welche die tagtäglichen Risikomanagement-Tätigkeiten durchführen. 2. Aufsichtsfunktionen Finanzwesen, Personal- und Risiko Management, IKS, Compliance 3. Unabhängige Assurance Interne Revision, externe Revision sowie andere unabhängige Prüfungsinstanzen Risiko & Kontrolle Strategisches Management Gestaltung der Richtlinien und Verfahren Operative Aufsicht Risiko & Kontrolle Hinterfragen von Prozessen / Richtlinien und Liefern von unabhängigen und neutralen Berichterstattungen VR, GL & Audit Committee Zweite Linie Aufsichtsfunktionen des Unternehmens (Finanzwesen, Personal- und Risikomanagement etc.) bestimmen die Richtung, definieren die Richtlinien und bieten Assurance. Dritte Linie Interne und externe Revision führen eine unabhängige Beurteilung der ersten und zweiten Ebene durch. Abbildung 1: Konzept der «Drei Verteidigungslinien» 4

5 Die Studie In Zusammenarbeit mit der Universität St. Gallen (HSG) führte die KPMG qualitative Interviews mit Vertretern von 26 Schweizer Unternehmen unterschiedlicher Grössen und Branchen durch. Das Ziel dieser qualitativen Untersuchung bestand darin, die Assurance-Funktionen zu identifizieren und deren organisatorische Ausrichtung zu bestimmen; weiter erforscht die Studie, wie die Assurance- Prozesse aufgesetzt sind inkl. Formen der Kooperation und evaluiert den Grad der Zufriedenheit seitens der einzelnen Interessengruppen. Darüber hinaus beschreibt die Studie, wie Assurance- Kosten erfasst und kontrolliert werden und gibt einen allgemeinen Ausblick bezüglich der zukünftigen Ausrichtung. Assurance-Struktur Die Mehrheit der befragten Unternehmen bestätigte, dass die klassischen Assurance-Funktionen in ihrem Haus vorhanden sind. Weiter finden sich unter dem Assurance-Dach zum Teil neuere Funktionen wie beispielsweise Corporate Social Responsibility oder Gesundheit und Umweltschutz (Safety, Health and Environment), die neue, sich entwickelnde Risikofelder adressieren. Wenn unterschiedlichste Assurance- Funktionen bestehen, ist es entscheidend, ein klares Verständnis der jeweiligen Aufgaben und Zuständigkeiten zu besitzen. Die Studie stellt dazu fest, dass diese insbesondere für jene Assurance-Funktionen klar definiert sind, welche externen Standards unterworfen sind (z. B. IIA-Standards für die interne Revision oder regulatorische Vorgaben für das IKS). Eine Ausnahme bildet die Compliance, bei welcher die Rollen und Aufgaben oftmals nicht exakt festgelegt sind und eine Mischung von verschiedenen Tätigkeiten besteht. Gleichzeitig stellt die Studie fest, dass der Grad der Kooperation zwischen den einzelnen Assurance-Funktionen eher gering ausfällt. Zwar bestätigten fast 50% der Befragten, dass eine Koordination zwischen den Funktionen besteht, jedoch materialisiert sich diese meist in Form von informellen, Ad-hoc-Gesprächen. Nur eine Minderheit besitzt formelle Strukturen, die einen effektiven Austausch und eine Abstimmung ermöglichen. Dieser Mangel an Koordination führt oftmals zu Ineffizienzen und zu einer wesentlichen Verringerung der Zufriedenheit bei den Auditees. Ein Beispiel dafür, wie sich diese Mängel adressieren lassen, ist die Schaffung einer Koordinationsstelle, welche alle Assurance-Funktionen an einen Tisch bringt. Dieser Ausschuss hätte die folgenden Aufgaben: Abstimmung der Assurance-Agenda (z.b. Bestimmung, welche Funktion welche Risiken abdeckt) Abgleich der Planung (z.b. Terminierung der Assurance-Aktivitäten bei den Auditees) Steigerung des Informationsaustauschs (z.b. Austausch von Erkenntnissen; Diskussion der strategischen Unternehmensausrichtung und des Impacts auf die Assurance etc.) Diskussion der Risikosituation des Unternehmens sowie Identifizierung neu aufkommender und Neueinschätzung bestehender Risiken Die KPMG sieht auf diesem Gebiet eindeutigen Handlungsbedarf. Die Schaffung einer Koordinationsstelle erlaubt eine bessere Abstimmung der Assurance-Funktionen, eine stärkere Konzentration auf die wesentlichen Unternehmensrisiken und damit eine Steigerung der Effektivität des Assurance-Prozesses. Assurance-Prozess Neben der geringen Assurance-Koordination stellt die Studie auch eine fehlende Abstimmung und Kooperation beim eigentlichen Assurance-Prozess fest, also bei der Planung, Umsetzung und Berichterstattung. Der Informationsaustausch ist auch hier meist informell und auf die Mitteilung der Prüfungsdaten, Schwerpunkte und Zielgruppen reduziert. Für die Auditees entsteht dadurch häufig die Situation, gegenüber unterschiedlichen Funktionen dieselben Prozesse, Risiken und Kontrollaktivitäten erklären zu müssen. Insbesondere bei grossen Unternehmen (grösser Vollzeitäquivalenten) lässt sich als Antwort auf diese Herausforderung die Tendenz erkennen, dass der Planungsprozess formalisierter (z.b. einheitlicher Planungsprozess) und dadurch koordinierter (z.b. feste Abstimmung der Pläne) abläuft. Diese Entwicklung bei Grossunternehmen lässt sich auch dadurch erklären, dass die schiere Zahl der Assurance-Aktivitäten die Unternehmen dazu zwingt, einen effektiveren Planungsprozess zu etablieren. Eine weitere Herausforderung innerhalb des Assurance-Prozesses besteht darin, dass die meisten Assurance-Funktionen ein individuelles Risikoverständnis an den Tag legen. Dieses ist zwar hilfreich bei der Definition der eigenen Tätigkeit; es steht jedoch einem gesamtheitlichen Verständnis der wesentlichen Unternehmensrisiken im Wege und macht die Abstimmung der Assurance-Prozesse ineffektiv. Die Studie stellt fest, dass gewisse Unternehmen diesem Umstand durch eine konsolidierte Risikobeurteilung und Berichterstattung (beispielsweise an VR oder GL) entgegenwirken. Wider Erwarten verwenden die einzelnen Assurance- Funktionen diese konsolidierte Sichtweise jedoch nicht als Grundlage für die Ausgestaltung des eigenen Prozesses. Der Mangel an formeller Zusammenarbeit ist auch bei den konkreten Assurance-Aktivitäten erkennbar, wo nur eine geringe Anzahl von Unternehmen tatsächlich eine gemeinsame Ausführung aufweisen, die sich wiederum meist auf spezielle Projekte oder Initiativen beschränkt (siehe Abbildung 2 auf Seite 6). Weiter stellt die Studie fest, dass auch die Koordination zwischen den internen und den externen Assurance-Funktionen nur bedingt effektiv erfolgt und sich oft auf den Bereich der internen Kontrollen zur Finanzberichterstattung konzentriert. Bei Letzterem kann die Kooperation verschiedene Formen annehmen, bei- Assure / Effektive Assurance / 5

6 9% 6% 85% Immer / formalisiert Teilweise / projektbezogen / informell Keine Zusammenarbeit Abbildung 2: Kooperation von Assurance- Funktionen spielsweise vom einfachen Erfahrungsaustausch bis hin zur gemeinsamen Prüfung (Stichwort Testing). Dass keine weitergehende Zusammenarbeit erfolgt, lässt sich tendenziell aus der unterschiedlichen Ausrichtung der Assurance-Aufgaben ableiten: Die internen Funktionen schliessen den Finanzberichterstattungsprozess oftmals explizit von ihrer Zuständigkeit aus mit dem Argument, dass dieser Teil bereits durch die externe Revision abgedeckt sei. Hinsichtlich der Phase Berichterstattung zeigt die Studie auf, dass die Assurance- Adressaten umso mehr Berichte von unterschiedlichen Funktionen erhalten, je grösser, komplexer und internationaler das Unternehmen ausgerichtet ist. Diese schiere Menge an Informationen kann dazu führen, dass der Überblick verlorengeht bzw. kein klares Bild von der Effektivität der eigenen Corporate- Governance-Struktur mehr möglich scheint. Insbesondere Unternehmen, die eine zentrale Koordination der Assurance-Funktionen betreiben, wirken dem durch eine konsolidierte, an die jeweiligen Adressaten angepasste Berichterstattung (meist einmal im Jahr) entgegen. Hier ist anzumerken, dass einige Teilnehmer Bedenken in Bezug auf den Grad der Konsolidierung äusserten, welche in ihren Augen die Gefahr einer Verwässerung der Feststellungen birgt und zu einer zu vereinfachten Gesamtdarstellung der Assurance-Situation führen kann. Insgesamt weist die Studie nach, dass die Zufriedenheit bezüglich des Grads der Kooperation zwischen Assurance- Funktionen auf einem eher geringen Niveau liegt. KPMG ist deshalb der Ansicht, dass sich die Assurance- Struktur durch eine verstärkte Koordination effektiver und effizienter betreiben liesse. Mögliche Wege zur Verbesserung sind z.b. die Schaffung eines gemeinsamen Risikoverständnisses, die Abstimmung von Plänen und Zielen oder eine verstärkte Zusammenarbeit bei der Ausführung der Assurance-Arbeiten. Assurance-Kosten Die Assurance-Kosten lassen sich allgemein in drei Gebiete unterteilen: Kosten der externen und der internen Revision sowie Kosten von weiteren Assurance-Funktionen (siehe Abbildung Seite 7). Der Wirtschaftstrend zur Reduzierung der Gesamtkosten würde vermuten lassen, dass Unternehmen ihre Assurance-Aufwendungen detailliert erfassen. Tatsächlich aber zeigt die Studie, dass die deutliche Mehrheit der Befragungsteilnehmer über keinen gesamthaften Überblick über diese Kosten verfügt. Weiter sehen nur die wenigsten Unternehmen den Bedarf für eine transparentere Erfassung und Überwachung der Assurance-Kosten. Dies überrascht, da beispielsweise die Gebühren für externe Revisionsprüfungen beständig unter Druck sind und manche internen Revisionen gezwungen waren, ihre Personalstärke zu reduzieren. In dieser Hinsicht rät KPMG zu einer Gesamtdarstellung aller Assurance-Kosten einschliesslich einer Zuordnung zu den Risikofeldern. Dies erlaubt einen transparenten Vergleich zwischen den Assurance-Aktivitäten und dem dazugehörigen Aufwand und ermöglicht es jene Bereiche zu identifizieren, die einer stärkeren Berücksichtigung bedürfen. Ein derartiger ganzheitlicher Ansatz des Kostenmanagements ist zugleich auch ein entscheidendes Argument bei den Bemühungen um mehr Effektivität und Effizienz. Dadurch sind die einzelnen Funktionen gefordert, sich besser abzustimmen und stärker zusammenzuarbeiten, um Doppelspurigkeiten zu vermeiden und eine effektivere Konzentration auf wesentliche Risiken zu ermöglichen. Ausblick für Assurance Obwohl eine deutliche Mehrheit der Befragten ihre Assurance-Funktionen als effektiv bzw. teilweise effektiv wahrnehmen, sehen fast zwei Drittel Bedarf, ihre Assurance-Strukturen weiter zu verbessern. Dies geht Hand in Hand mit der Ansicht von KPMG, dass die Ausrichtung von Assurance-Funktionen kontinuierlich den sich verändernden Bedingungen angepasst und weiterentwickelt werden muss. In diesem Zusammenhang wurden die folgenden Projekte und Initiativen erwähnt (siehe Abbildung Seite 7): Schaffung einer formalen Koordinierungsfunktion, welche die Zusammenarbeit der Assurance-Funktionen unterstützt Neugestaltung der Assurance-Strukturen mit dem Ziel, alle Funktionen unter einem gemeinsamen Dach zu vereinen Auslagerung von Assurance-Funktionen an wesentliche Produktions- und Vertriebsstandorte Einsatz von Applikationen zur Unterstützung von gemeinsamen Assurance-Aktivitäten (z.b. technische Plattform für Planung, Umsetzung und Berichterstattung). Obwohl die grosse Mehrzahl der befragten Unternehmen Verbesserungsbedarf im Bereich der Assurance sehen, hapert es oft bei der effektiven Umsetzung solcher Initiativen. Nach Ansicht von KPMG ist das Assurance-Portfolio wiederkehrend kritisch zu hinterfragen, um sicherzustellen, dass die Strukturen in einem immer komplexer werdenden Geschäftsumfeld den Erwartungen der Stakeholder weiterhin gerecht werden. Damit eine erfolgreiche Entwicklung der Assurance sichergestellt ist, muss seitens der Aufsichtsgremien (Stichwort Audit Committee) eine klare Führung und Unterstützung gewährleistet sein, damit ein derartiger Wandel erfolgreich gestaltet werden kann. 6

7 Im Kurzüberblick In dieser Studie sind die Ergebnisse aus 33 qualitativen Interviews mit unterschiedlichen Assurance-Leitern in 26 Schweizer Unternehmen verschiedener Grösse und Komplexität zusammengefasst. Die wichtigsten Erkenntnisse lauten: Die klassischen Assurance-Funktionen sind etabliert; neue Assurance- Dienstleister decken Themenbereiche wie Nachhaltigkeit oder Gesundheit und Umweltschutz ab. Der Informationsaustausch spielt sich hauptsächlich auf informeller Ebene ab; nur wenige Teilnehmer berichten von der Existenz einer formellen Koordinierungsfunktion. Hinsichtlich der Koordinierung der einzelnen Assurance-Funktionen besteht grosses Potential für Verbesserungen, z.b.: gemeinsames Risikoverständ-nis, Abstimmung der Planung und Durchführung oder konsolidierte Berichterstattung. Die befragten Unternehmen bewerten ihr Assurance-Portfolio als effektiv bzw. teilweise effektiv. Bei Unternehmen ohne zentrale Koordinationsstelle ist der Grad der Zufriedenheit signifikant tiefer. Die Gesamtkosten von Assurance sind selten bekannt und werden selten in Bezug auf die wesentlichen Risiken und Assurance-Aktivitäten erfasst; eine Überwachung der Gesamtkosten der Assurance wird nicht als Priorität angesehen. Bei der Ausgestaltung der Assurance- Funktionen gilt es, dem sich schnell verändernden Geschäftsumfeld sowie neuen, sich entwickelnden Risiken grosse Aufmerksamkeit zu schenken. Luka Zupan Senior Manager, Head Internal Audit, Risk and Compliance Services 2% 2% 4% 2% 6% 47% Externe Revision Interne Revision Risikomanagement Compliance IKS-Koordination Qualitätsmanagement 15% 18% 39% 27% Keine aktuellen Projekte / Initiativen Organisatorische Verbesserungen Verbesserungen im Assurance- Prozess Initiativen im Bereich Tool- Implementierung 37% Übrige Abbildung 3: Aufteilung der durchschnittlichen Assurance-Kosten Abbildung 4: Initiativen im Bereich Assurance-Funktionen Assure / Effektive Assurance / 7

8 Überprüfung der Compliance Steigende Anforderungen an Compliance-Organisationen Hans-Ulrich Pfyffer Fabian Winterberg Compliance als «Nice to Have»? Unternehmungen sind mit einer steigenden Komplexität der gesetzlichen sowie internen und externen regulatorischen Rahmenbedingungen konfrontiert. Die Wirksamkeit der Compliance-Organisation und des Compliance-Management-Systems ist heutzutage ein unabdingbarer Bestandteil einer guten Corporate Governance. Dadurch können unter anderem Verstösse gegen interne und externe Regelungen adressiert werden, um beispielsweise finanziellen Schaden, strafrechtliche Konsequenzen und Reputationsverlust zu vermeiden oder in Schranken zu halten. Das Spektrum der potentiellen Risiken reicht von einem marginalen, einzelnen, nicht regelkonformen Verhalten ohne schwerwiegende Konsequenzen bis hin zu Praktiken, die zu einer Existenzbedrohung des ganzen Unternehmens führen können. Unter dem Begriff Compliance wird die Einhaltung von Regeln (gesetzliche Bestimmungen und externe sowie interne Richtlinien) verstanden. Entsprechend der breiten Definition sind auch die Themengebiete innerhalb der Compliance mannigfaltig (z.b. Datenschutz, Betrug, Korruption, Geldwäsche, Kartellrecht, Patentrecht, Umweltrecht). Insbesondere innerhalb des Themengebietes Korruption haben sich die schweizerischen Regulatorien zwar langsam, jedoch Schritt für Schritt verschärft. Die Öffentlichkeit sowie die Regulatoren erhöhen stetig ihre Anforderungen an die Sicherstellung der Compliance durch die Unternehmensleitung. Seit dem Inkrafttreten von Art. 102 StGB (Strafrechtliche Verantwortlichkeit von Unternehmen) im Oktober 2003, in Zusammenhang mit Art. 322 StGB (Bestechung von Amtsträgern), sind Unternehmungen vermehrt in der Pflicht, alle erforderlichen und zumutbaren organisatorischen Vorkehrungen zu treffen, um Bestechungszahlungen an fremde Amtsträger zu verhindern. Dies bedeutet, dass ein eingeführtes Compliance-Regelwerk nicht ausreichend ist, wenn diese eigenen Regeln nicht mit der notwendigen Beharrlichkeit durchgesetzt werden. Konsequenterweise häufen sich Praxisbeispiele, in denen Strafbefehle erlassen, bzw. Bussen ausgesprochen werden. Die dadurch zusätzlich entstehende öffentliche Präsenz kann sich essentiell negativ auf das Unternehmen auswirken. Wie stark ist das Unternehmen exponiert? Auf welchen Ebenen und mit welchen finanziellen Auswirkungen würde ein Reputationsverlust das Unternehmen treffen? Jedes Unternehmen muss sich darüber Klarheit verschaffen, ob der derzeitige Aufwand für die Ausgestaltung und die Aufrechterhaltung der Compliance den potentiellen Risiken gerecht wird. Anforderungen an das Compliance- System Die Anforderungen an eine angemessene Compliance-Organisation und ein adäquates Compliance-Management- System sind vielfältig definiert. Gemein- 8

9 sam beinhalten die verschiedenen Definitionen der Anforderungen jedoch die nachfolgenden Hauptpfeiler. Die Ausgestaltung im Detail richtet sich nach der Risikolage, Komplexität und Grösse des Unternehmens. Verantwortung Übergeordnete Festlegung der Verantwortung (inkl. Delegation) für Compliance. Unternehmenskultur Präsentes Bekenntnis des Unternehmens zur Compliance. Compliance-Organisation Eine wirksame Organisation aufgrund der Strategie und der Ziele, welche zudem die Compliance-Funktion in das Gesamt-Assurance-Rahmenwerk des Unternehmens einbettet. Compliance-Programm Effektive Instrumente, basierend auf einer breit abgestützten Risikoidentifikation und -beurteilung. Überwachung und Prüfung Die Zweckmässigkeit der Ausgestaltung und der Aufrechterhaltung wird regelmässig hinterfragt und Anpassungen werden zeitgerecht vorgenommen. Ist das Compliance-System zweckmässig? Die Gesamtverantwortung für die Compliance liegt beim höchsten Unternehmensorgan, beispielsweise beim Verwaltungsrat. Um dieser Verantwortung gerecht zu werden, ist eine Hinterfragung der Zweckmässigkeit des Compliance-Systems notwendig. Es liegt insbesondere im Interesse der Unternehmensleitung, den Stand der Ausgestaltung und Aufrecht erhaltung zu kennen sowie Lücken im System zu identifizieren und zu beurteilen, um schliesslich diese effizient schliessen zu können. Infolge wechselnder interner und externer Anforderungen und Risiken ist dieser Beurteilungsprozess periodisch durchzuführen. Assurance-Auftrag Auftragsgestaltung: Formal, standardbezogen (beispielsweise ISAE 3000, IDW PS ) Umfang ist i.d.r. eng definiert Berichterstattung ist standardisiert Mehrwert: Abgabe einer Zusicherung «Assurance»: Hohe Zusicherung (Positive Urteilsformulierung) Weniger hohe Zusicherung (Negative Urteilsformulierung) Abbildung 1: Externe Compliance-Beurteilung Nebst oder zusätzlich zu einer internen Beurteilung kann eine externe Beurteilung im Rahmen eines Assurance- oder Beratungsauftrages erfolgen. Während aus einem Assurance-Auftrag explizit eine Assurance (Testierung) vom Prüfer resultiert, ist der flexible Beratungsauftrag auf die Verbesserung und Weiterentwicklung des Compliance-Systems ausgerichtet. In Abbildung 1 sind wesentliche Unterschiede zwischen den externen Auftragsoptionen aufgelistet. Vorgehensweise für eine Beurteilung mit dem Ziel der Optimierung Als erster Schritt ist die Erkenntnis notwendig, dass die Beurteilung der Zweckmässigkeit des Compliance-Systems eines gewissen Initialaufwands bedarf. Die Unternehmensleitung sollte Initiator einer Beurteilung sein, bzw. klarstellen, dass eine Beurteilung und allfällig notwendige Verbesserungsmassnahmen die volle Unterstützung geniessen. In der ersten Beurteilungsphase ist die Aufnahme der bestehenden Organisation sowie der Regelungen und Instrumenten vorzunehmen. Dabei ist die Besprechung mit den Verantwortlichen betreffend Ausgestaltung und Aufrechterhaltung des Compliance-Systems unabdingbar; ebenso sind die Erwartungen der Anspruchsgruppen abzuholen. Beratungs-Auftrag Auftragsgestaltung: Minimale Anforderungen Massgeschneiderte/r Umfang und Berichterstattung Mehrwert: Unterstützung bei der Ausgestaltung Umsetzung oder Aufrechterhaltung möglich Fokus liegt auf der Identifikation von Optimierungspotentialen und Empfehlungen zur Verbesserung Benchmarking Diese Auslegeordnung dient in der zweiten Phase der Identifikation von Optimierungspotentialen in der Ausgestaltung und Aufrechterhaltung des Compliance-Systems. Dazu ist ein Abgleich mit «Good Practices» zu vollziehen. Die letzte Phase hat eine zielgruppengerechte, klare Berichterstattung zum Ziel, welche die mit den Verantwortlichen abgestimmten Feststellungen, Empfehlungen sowie Massnahmenpläne betreffend Optimierungspotentiale abbildet. Dies ist die Gelegenheit, Transparenz zu schaffen und vor allem auch Verantwortlichkeiten (und Termine) für die Umsetzung zu determinieren. Die Unternehmensleitung muss auf eine einfache Weise erkennen können, wo allfällige Schwachstellen existieren, welche Massnahmen für die Behebung notwendig sind, und gleichzeitig die Behebung überwachen können. Erkenntnisse aus durchgeführten Beurteilungen Obwohl die Ausgestaltung und Aufrechterhaltung des Compliance-Systems abhängig von den Charakteristiken des Unternehmens ist, haben sich aus den von uns durchgeführten Beurteilungen der Compliance-Systeme folgende Erkenntnisse/Schwachstellen herauskristallisiert: 1 IDW-Prüfungsstandard [Institut der Wirtschaftsprüfer in Deutschland e.v.]: Grundsätze ordnungsmässiger Prüfung von Compliance-Management Systemen (März 2011) Assure / Überprüfung der Compliance / 9

10 Klare Führung Das Compliance- System kann nur wirksam «leben», wenn eine klare Organisationsstruktur vorhanden ist und die Verantwortlichkeiten transparent definiert sind und auch entsprechend wahrgenommen werden. Transparente Kommunikation Durch eine Top-down-Kommunikation muss einem Mitarbeitenden klar sein, welche Anforderung von der Unternehmensleitung betreffend Compliance an ihn gestellt sind. Umgekehrt muss durch eine Bottom-up-Kommunikation die Unternehmensleitung adäquat über den Stand der Compliance auf dem Laufenden gehalten werden. Man sollte zudem nicht davor zurückscheuen, ein klares Bekenntnis zur Compliance auch nach aussen zu kommunizieren. Aktuelles Weisungswesen Eine Beurteilung des Compliance-Systems ist eine gute Gelegenheit, das Weisungswesen zu aktualisieren, zu konkretisieren, zu vereinfachen sowie Widersprüche zu eliminieren und Doppelspurigkeiten abzubauen. Integriertes Compliance-System Das Compliance-System ist ein wichtiger Bestandteil eines guten Corporate-Governance-Systems. Die Wirksamkeit und die Effizienz können gesteigert werden, indem das Compliance-System als integraler Bestandteil des Gesamt-Assurance- Rahmenwerkes verstanden wird und Schnittstellen zu anderen Assurance- Funktionen klar definiert werden. Stetiges Training und Sensibilisierung der Mitarbeitenden (und/oder Drittparteien) Die Wirksamkeit des Compliance-Systems kann nur aufrechterhalten werden, wenn die Mitarbeitenden regelmässig geschult und sensibilisiert werden. Je nach Risikolage des Unternehmens sollten auch enge Drittparteien (beispielsweise Lieferanten, Verkäufer / Agenten) in die Schulung einbezogen werden. Das «Übel» der Dokumentation Die Dokumentation der Ausgestaltung und Aufrechterhaltung muss verbessert werden. Dadurch wird einerseits eine grössere Transparenz für das Compliance-System geschaffen. Andererseits wird ein Nachweis für die Ausgestaltung und Aufrechterhaltung geliefert, welcher interne Untersuchungen erleichtert und insbesondere in allfälligen Strafverfahren ein absolut notwendiges Verteidigungswerkzeug darstellt. Hans-Ulrich Pfyffer Partner, Audit Fabian Winterberg Manager, Internal Audit, Risk & Compliance Services Fazit Die Wirksamkeit der Compliance- Organisation und des Compliance-Management-Systems sollte regel mässig überprüft werden. Dies fördert die kontinuierliche Weiterentwicklung der Compliance und ist auch eine Absicherung für die geschäftsführenden Organe. Dabei stehen dem Unternehmen mehrere Optionen offen. Im Minimum sollte regelmässig eine Selbstbeurteilung durchgeführt werden. Zusätzlich sollte die Compliance periodisch (beispielsweise alle drei Jahre) durch eine freiwillige, externe Beurteilung überprüft werden. Dabei kann es sich um eine massgeschneiderte Beurteilung im Rahmen eines Beratungsauftrages handeln mit der Priorität auf der Identifikation von Verbesserungspotentialen. Bei Compliance-Organisationen mit einem hohen Reifegrad empfiehlt sich die Durchführung einer Beurteilung durch einen unabhängigen Wirtschaftsprüfer mit dem Ziel, die Umsetzung der Aufsichts- und Organisationspflichten extern bestätigen zu lassen. 10

11 Assure / Überprüfung der Compliance / 11

12 Compliance als strategischer Erfolgsfaktor Wie Compliance eine nachhaltige Unternehmensentwicklung sicherstellt Peter Kalberer Compliance ist heute aufgrund zahlreicher Vorfälle in aller Munde. Einerseits führen Verstösse gegen geltende Regeln immer wieder zu Verfahren mit entsprechender Wirkung in der Öffentlichkeit. Andererseits sind Interessenkonflikte immer wieder Anlass zu Berichterstattung in den Medien. Durch die zunehmende Regelungsdichte und die vermehrte Aufmerksamkeit der Öffentlichkeit sind die Risiken im Zusammenhang mit Compliance gestiegen. Mittels neuer Medien ist die Aufdeckung und Verbreitung von Vorfällen einfacher geworden, was das Reputationsrisiko für betroffene Firmen erhöht. Doch wie können die Herausforderungen angegangen werden und wie kann Compliance zum strategischen Erfolgsfaktor werden? Compliance als Teil der Unternehmenskultur Ein Verständnis von Compliance als technisches Regelwerk zur Einhaltung gesetzlicher Normen greift zu kurz. Compliance im umfassenden Sinne der ethischen Unternehmensführung und des legitimen Verhaltens aller Akteure bedingt eine darauf ausgerichtete Unternehmenskultur. Diese wird entscheidend durch die Haltung der obersten Verantwortlichen des Unternehmens, des Verwaltungsrates und der Geschäftsleitung, geprägt. Man spricht in diesem Zusammenhang auch vom «Tone at the Top», was der guten alten Vorbildfunktion entspricht. Unterstützt wird eine an ethischen Werten orientierte Unternehmenskultur durch eine gezielte und konsistente Personalpolitik. Bei der Auswahl, Förderung und Entlöhnung der Mitarbeitenden und vor allem der Führungskräfte sind Kriterien mit Bezug auf die angestrebte Unternehmenskultur und des gewünschten Verhaltens zu berücksichtigen. Risk Management Compliance Business Operations Internal Audit Internes Kontrollsystem Methodologie (Risk Assessment, Risikobewertung, Prozessbeschreibung, Kontrolldefinition) Unternehmensweite Massnahmen Massnahmen auf Prozessebene Abbildung 1: Integrierte Assurance 12

13 Business Operations Compliance Internal Audit Datenbasis Risk Management Internes Kontrollsystem Abbildung 2: Effizienz durch konsistente Datenbasis Einfluss auf Strategie und Geschäftstätigkeit Ethische Kriterien und Compliance haben auch einen wichtigen Einfluss auf die Strategie des Unternehmens. Es ist relevant und kann für die Zukunft des Unternehmens entscheidend sein, in welche Geschäftsfelder investiert wird. Dies zeigt sich deutlich am Beispiel der heute allgemein anerkannten Weissgeldstrategie der Banken. Wer sich frühzeitig darauf eingestellt hat, ist jetzt im Vorteil. Zur glaubwürdigen Umsetzung einer Strategie braucht es auch eine adäquate Zielsetzung. So müssen z.b. die finanziellen Ziele des Unternehmens oder einzelner Mitarbeitender an die neue Strategie angepasst werden. Dies kann kurzfristig schmerzliche Einbussen zur Folge haben. Doch gerade hier zeigt sich die Haltung der Unternehmensleitung deutlich. Hier wird die ernsthafte und glaubwürdige Ausrichtung auf eine ethische Geschäftstätigkeit sichtbar. Corporate Governance und Compliance Compliance als Funktion ist ein wichtiger Bestandteil der Corporate Governance. Gute Unternehmensführung zeichnet sich dadurch aus, dass die Organisation von Compliance eine effiziente Anpassung an sich ändernde rechtliche und regulatorische Rahmenbedingungen ermöglicht. Dies ist heute deshalb wichtig, weil die Menge und die Geschwindigkeit neuer Regulierungen zugenommen haben. Um die Effizienz in der Umsetzung zu gewährleisten, darf Compliance nicht isoliert betrachtet werden. Vielmehr sind die verschiedenen Assurance-Funktionen eines Unternehmens wie Risk Management, internes Kontrollsystem, interne Revision und Compliance integriert zu betrachten. Sie dienen alle demselben Ziel, Risiken für das Unternehmen rechtzeitig zu erkennen und Schäden zu vermeiden. Natürlich hat jede dieser Funktionen ihre eigenen Aufgaben und ihre spezifische Ausrichtung. Eine gute Koordination und Zusammenarbeit ermöglicht aber erhebliche Effizienzgewinne. Dies beginnt bei einer abgestimmten Methodik zur Erhebung von Risiken. Werden die Risiken in den einzelnen Geschäftsprozessen einheitlich erfasst, können Doppelspurigkeiten vermieden werden. Aber auch die Berichterstattung über Risiken und Massnahmen wird verständlicher und übersichtlicher. Dies wiederum erlaubt es dem Verwaltungsrat und der Geschäftsleitung, rechtzeitig steuernd einzugreifen. Wichtig ist in diesem Zusammenhang auch eine Kultur des Hinterfragens. Compliance muss kritische Fragen stellen und auf Risiken hinweisen können. Wird unternehmerisches Handeln durch Compliance fraglos sanktioniert, bleiben unter Umständen gefährliche Risiken unentdeckt. Die richtige organisatorische Einbettung von Compliance mit Zugang zur Geschäftsleitung und zum Verwaltungsrat ist dafür Voraussetzung. Um mit der Entwicklung des Unternehmens und der Regulierung Schritt zu halten, sind die Organisation und die Schwerpunktthemen von Compliance regelmässig zu überprüfen und anzupassen. Assurance-Konzept Eine gute Vernetzung der verschiedenen Assurance-Funktionen ist der erste Schritt zu einem kohärenten Assurance-Konzept. Neben der abgestimmten Methodik ist die Verwendung einheitlicher, qualitativ hochstehender Daten entscheidend. Sowohl als Grundlage zur Risikobeurteilung als auch zur Unternehmenssteuerung ist die Verwendung richtiger Daten unerlässlich. Oft wird diesem Umstand zu wenig Rechnung getragen und Entscheidungen werden auf der Grundlage ungesicherter Daten gefällt. Dies lässt sich durch die Einführung konsistenter Datenbanken als Basis eines koordinierten Assurance-Konzepts vermeiden. Compliance als Teil der Assurance sollte sich nicht nur auf unternehmensweite Massnahmen wie die Ausarbeitung interner Richtlinien, die Schulung von Mitarbeitenden und übergreifende Kontrollen beschränken. Die Einhaltung der Vorschriften muss auch auf Prozessebene durch organisatorische Massnahmen sichergestellt und kontrolliert werden. Dies erfordert eine vertiefte Analyse und ein gutes Verständnis der kritischen Geschäftsprozesse. Ebenso wichtig ist der frühzeitige Einbezug der Linienführung und der Prozessverantwortlichen. Nur in Zusammenarbeit mit diesen Stellen kann Compliance effizient und kostengünstig sichergestellt werden. Assure / Compliance als strategischer Erfolgsfaktor / 13

14 Fazit Wird Compliance im Unternehmen ganzheitlich und übergreifend betrachtet, bildet dies zusammen mit anderen Assurance-Funktionen einen strategischen Erfolgsfaktor. Ausschlaggebend ist eine durch die Unternehmensleitung geprägte ethische Geschäftskultur, verbunden mit einer professionellen und integrierten Umsetzung regulatorischer Vorschriften. An diesem Beispiel zeigt sich auch die enge Verknüpfung mit dem internen Kontrollsystem, welches ebenfalls neben unternehmensweiten Kontrollen die Risiken auf Prozessebene steuert. Ein gemeinsamer Ansatz von Compliance und Risk Management im Rahmen des internen Kontrollsystems ermöglicht eine zuverlässige Beurteilung der Risikosituation und der erforderlichen Massnahmen. Die gewonnenen Erkenntnisse können zudem auch zur Qualitätssicherung und zur Prozessoptimierung verwendet werden. Projektkoordination Die zahlreichen regulatorischen Neuerungen wie z.b. FATCA oder die Abgeltungssteuer werden häufig im Rahmen eines Projekts unternehmensintern umgesetzt. Dabei ist es sinnvoll, die Auswirkungen der neuen Regulierung auf die Geschäftsprozesse genauer zu betrachten. Viele der neuen Anforderungen bedingen neben organisatorischen Änderungen auch Anpassungen der IT-Systeme sowie eine Aktualisierung von Kundendaten. Eine gute und vorausblickende Projektkoordination kann dabei helfen, die Anforderungen verschiedener Einzelprojekte zusammenzufassen. Dadurch können in der Umsetzung erhebliche Zeit- und Kosteneinsparungen erzielt werden. Rolle des Verwaltungsrates Der Verwaltungsrat ist gemäss Aktienrecht für die Oberaufsicht über die Geschäftsführung zuständig. Dies namentlich im Hinblick auf die Compliance. Diese Aufgabe wird in der Regel im Verwaltungsrat dem Audit Committee zugeordnet, welches zuhanden des Gesamtverwaltungsrates die entsprechenden Geschäfte vorbereitet. Das Audit Committee erfüllt eine wichtige Funktion, indem es klare Vorgaben bezüglich des Grads und der Ausgestaltung der Assurance erlässt. Anforderungen an eine effiziente und nachvollziehbare Umsetzung von Compliance und anderen Assurance Funktionen erleichtern den damit betrauten Stellen ihre Aufgabe. Durch die regelmässige Traktandierung und Thematisierung an Verwaltungsratssitzungen erhalten diese Aufgaben das nötige Gewicht. Aber erst ein unzweideutiges Commitment des Verwaltungsrates zu Compliance und ethischer Unternehmensführung legt die Grundlage zu einer nachhaltigen Unternehmenskultur. Peter Kalberer Director, Management Consulting 14

15 Was sind die Implikationen eines potentiellen Eurozone-Zerfalls? Frank Wendt Schweizer Unternehmen haben seit geraumer Zeit die Entwicklung der Eurokrise beobachtet, wobei der EUR-Wechselkurs im Vordergrund der Diskussionen und die damit verbundenen Auswirkungen auf die Exportwirtschaft der Schweiz standen. Nachdem die Schweizerische Nationalbank (SNB) den Mindestwechselkurs EUR / CHF von 1.20 soweit erfolgreich verteidigt hat, ist die Aufmerksamkeit, vor dem Hintergrund der aktuellen Eurokrise-Entwicklung, auf die Zukunftsfähigkeit des Euros gerichtet. Dabei stellen sich fundamentale Fragen hinsichtlich der Zukunft Europas, die natürlich auch schweizerische Unternehmen betreffen. Dementsprechend versuchen Unternehmen die Eurokrise-Entwicklung und die damit verbundenen Auswirkungen besser zu verstehen. Gremien wurden dazu etabliert und Analysen liegen vor wobei der Entwicklungspfad des Euros und Europas, auch nach der Urteilsverkündung des Deutschen Bundenverfassungsgerichts, am 12. September 2012, hinsichtlich der Klage gegen das Euro- Rettungspaket, längst nicht klar ist. Eine wesentliche Frage aber bleibt noch offen, nämlich was Unternehmen heute tun sollten, um sich effektiv auf einen Austritt eines Eurozone-Mitgliedsstaates oder den mittelfristigen Zerfall der Eurozone vorzubereiten. Der Austritt eines Eurozone-Mitgliedsstaates wäre mit wesentlichen Konsequenzen auf verschiedenen Ebenen verbunden. Der Grad des Stressniveaus würde wesentlich davon abhängen, ob ein Austritt geordnet oder ungeordnet vollzogen wird. Dazu kommt, dass die unterschwelligen strukturellen Probleme des jeweiligen Landes ebenfalls weiter bestehen bleiben und damit weiterhin die Zukunftsfähigkeit beeinträchtigen. Der Vorteil, die Wettbewerbsposition durch eine Währungsabwertung des Austrittslandes zu verbessern, dürfte also begrenzt sein. Die möglichen Szenarien reichen somit von einem «Durchwurschteln» bis hin zu einer schweren Weltwirtschaftskrise. Wesentlich ist die geheim zu planende und effektiv durchzuführende Währungsreform und Redenominierung, um Spekulationen und Kapitalmarktverwerfungen zu vermeiden. Eine suboptimale Währungsumstellung birgt daher erhebliche Risiken für alle Beteiligten des Wirtschaftssystems. Was sind die Risiken für Unternehmen während einer Eurokrise? Ausgangspunkt einer Risikobetrachtung sind die anzunehmenden Basisszenarien. Grundsätzlich kann man unterscheiden: 1. Ein weiteres «Durchwurschteln» wie es seit knapp drei Jahren geschieht. Allerdings ist davon auszugehen, dass dieses ungeplante Vorgehen bald sein Ende finden wird, da jede Verzögerung mehr Geld in Anspruch nehmen wird und auch der European Stability Mechanism (ESM) begrenzt strapazierbar ist. 2. Es kommt zu geordneten Austritten, die in einem abgestimmten Verfahren ablaufen und die jeweilige Währungsreform beinhalten. Dies ist ein komplexes Unterfangen und bedarf der Geheimhaltung sowie einer gründlichen Vorbereitungsphase. Assure / Eurozone-Krise / 15

16 3. Es kommt zu ungeordneten Austritten, die zu chaotischen Prozessen führen und deren Konsequenzen nicht überschau- oder vorhersehbar sind. Die «Ansteckungsgefahr» für andere Länder ist imminent und ein Bank- Run, Kapitalmarktverwerfungen und soziale Unruhen sind wahrscheinlich. 4. Ein gesamter Eurozusammenbruch ist ggf. bei mehreren ungeordneten Austritten möglich und stellt den Worst Case dar. Die Folgen würden in einer Weltwirtschaftskrise deutlich und könnten zu einem nachhaltigen wirtschaftlichen Abstieg Europas führen. Dieses Szenario ist momentan nicht sehr wahrscheinlich, sollte aber im Rahmen der erwähnten Stressniveau- Analyse berücksichtigt werden. Diese Basisszenarien können weiter verfeinert und konkretisiert werden und dienen dazu, Risikofelder im Unternehmen zu identifizieren. Es empfiehlt sich, dass die Szenarien nicht zu detailliert werden, da sonst die Komplexität zunehmend steigt und dadurch die Implikationen unübersichtlich werden. Risikofelder können wie folgt klassifiziert werden: 1. Finanzrisiko 2. Rechts- / Vertragsrisiko 3. Transferrisiko 4. Kunden- / Lieferantenrisiko 5. Operationales Risiko 6. Absatz- und strategisches Risiko Basisszenarien «Durchwurschteln» Geordnete(r) Austritt(e) Ungeordnete(r) Austritt(e) Ungeordneter Zusammenbruch Abbildung 1: Risiken für Unternehmen Mitarbeiterrisiko Strategisches Risiko Absatzrisiko Finanzrisiko Eurokrise- Risiken Operationales Risiko Rechts- / Vertragsrisiko Transferrisiko Kunden- / Lieferanterisiko 1. Finanzrisiko Das Finanzrisiko wurde als erstes durch Unternehmen erkannt, weshalb Treasury eine führende Rolle in der Eurokrisen-Bewältigung eingenommen hat. Die folgenden Unterrisiken sind zu betrachten: a. Das Kontrahentenrisiko ist heute einem starken Veränderungsprozess unterworfen. Firmen verlagern das Treasury-Geschäft auf Banken ausserhalb der Eurozone oder umgehen Banken durch Anlagen bei der Europäischen Zentralbank (EZB) (bei einer vorliegenden Bankenlizenz) oder durch den Handel mit anderen Industrie- und Handelsunternehmen. Ebenfalls erfolgt ein zeitnahes Monitoring der Gegenparteien durch Credit Default Swap Spreads, um rechtzeitig Gegenmassnahmen ergreifen zu können. b. Die Währungsrisikostrategie muss mögliche Euroaustritte antizipieren und flexibel auf Veränderungen reagieren können; Währungsrisiko-Exposures müssen angepasst und Sicherungsgeschäfte eventuell aufgelöst werden. Ebenfalls gilt es, Auswirkungen auf das Hedge Accounting zu berücksichtigen. Wichtig ist, dass die operative Sicherungsstrategie auf eine rollierende Basis umgestellt wird. c. Das Finanzierungsrisiko bezieht sich auf die potentiell betroffenen Legal- Einheiten. Die Frage stellt sich, ob eine externe und lokale Finanzierung oder eine Inter-Company-Finanzierung verfolgt werden sollte. Für eine lokale Finanzierung sprechen die Vermeidung von Abwertungen von Inter-Company- Forderungen und mögliche Kapitalkontrollen dagegen stehen allerdings relativ hohe Finanzierungskosten, die durch Garantien reduziert werden müssten. Grundsätzlich muss man sich darauf vorbereiten Finanzierungspartner zu ersetzen und mit steigenden Finanzierungskosten sollte gerechnet werden. Dies beeinflusst schon heute die Finanzierungs- und Zinsrisikostrategie. d. Eine Währungsumstellung birgt Risiken durch eine Abwertung bei austretenden Eurozonemitgliedsstaaten sowie Aufwertungsrisiken bei verbleibenden Mitgliedsstaaten. Bei lokalen Einheiten betrifft dies alle Vermögensgegenstände und Verbindlichkeiten und die Kapitalisierung muss entsprechend angepasst werden. e. Das Redenominierungsrisiko ist ein weiteres wichtiges Element und wird im folgenden Text vertiefend aufgenommen. Die meisten Treasurer haben schon erste Analysen durchgeführt und sind gut aufgestellt. Bei vertraglichen Risiken bestehen meistens Restrisiken, die aber durch ein agiles Handeln im Eintrittsfall abgefangen werden können. 2. Rechts- / Vertragsrisiko Grundsätzlich besteht das Redenominierungsrisiko darin, dass in Euro denominierte Verträge teils in die neue Währung des Austrittlandes umgetauscht werden oder eben im Euro verbleiben. Grundsätzlich ist zu erwarten, dass lokale Verträge (zwischen zwei inländischen Vertragsparteien) im austretenden Mitgliedsland in die neue Währung konvertiert werden. Dazu führt der Grundsatz «Lex Monetae» der dem Staat die Währungshoheit im Staatsgebiet gibt. Allerdings gibt es Unklarheiten bei grenzüberschreitenden Verträgen, auch wenn diese in Euro denominiert sind; Vertragsrisikofaktoren für eine Redenominierung sind: 16

17 1. Im Vertrag festgelegtes anzuwendendes Recht und die Jurisdiktion Probleme können sich ergeben, wenn diese im austretenden Eurozonemitgliedstaat liegt. 2. Aber auch wenn die Jurisdiktion im Ausland liegt, könnte bei Streitigkeiten und Durchsetzung einer Forderung der Ort der Zahlung und Leistungserbringung eine wesentliche Rolle spielen. 3. Der Sitz der Gegenpartei kann bei Kapitalkontrollen wesentlich sein. Grundsätzlich bedeutet das Prinzip «Lex Monetae» auch, dass eine Gegenpartei nicht gegen lokales Recht verstossen darf, auch wenn dies dazu führt, dass ein Vertrag nicht erfüllt werden kann. Dies führt insgesamt zu zwei Risiken: 1. Dem Redenominierungsrisiko: Insbesondere grenzüberschreitende Verträge sollten einer Analyse unterworfen werden, wenn diese wesentlich für den Geschäftserfolg sind. Allenfalls sind existierende Klauseln neu zu verhandeln und neue Standardklauseln für Neuverträge zu entwickeln. 2. Das Terminierungsrisiko besteht, wenn durch die Währungsumstellung Zahlungs- und Währungsbedingungen, «MAC» (Material Adverse Condition) oder «Force Majeur»-Klauseln ausgelöst werden können. Dadurch könnten Gegenparteien Verträge, die ökonomisch nicht mehr vorteilhaft sind, diese zu terminieren versuchen. Auch hier gilt es materielle existierende Verträge anzupassen und Neuverträge hinsichtlich Terminierungsklauseln anzupassen. 3. Transferrisiko Das Transferrisiko besteht darin, dass eine Vertragspartei im Austrittsland durch mögliche Kapital- und Währungskontrollen, die einer Kapitalflucht vorbeugen sollen, seine finanziellen Verpflichtungen mit dem Ausland nicht mehr vertragskonform erfüllen kann. Es ist realistisch, dass eine Währungsumstellung nicht geheim gehalten werden kann, was zum Risiko führt, dass Euroguthaben das Land rasant schnell verlassen, um einer Abwertung der einzuführenden Währung zuvorzukommen. Es ist daher realistisch, dass direkte oder indirekte Kapital- und Währungskontrollen zumindest kurzfristig etabliert werden. Dies kann zu Verzögerungen im Handelsund Zahlungsfluss führen und Unternehmen sollten dies in Liquiditätsplänen und in der Liquiditätsreserve berücksichtigen. 4. Kunden- / Lieferantenrisiko Das Kunden- und Lieferantenrisiko steigt in den Krisenländern Griechenland, Spanien und Portugal schon seit einiger Zeit und Unternehmen haben zum Teil Zahlungskonditionen und Risikostrategien angepasst. Bei einem Austritt Griechenlands aus der Eurozone ist das wie oben aufgrund der meist begrenzten Risiko-Exposure relativ gering. Ein Austritt Spaniens stellt aber eine andere Dimension dar und Vorbereitungen sind ratsam. Neben den forderungsbezogenen stellen die Supply- Chain-Risiken durch Lieferanten die wesentlichen Risikopositionen dar. Gegenmassnahmen liegen in strengeren Zahlungsbedingungen und Forderungseinholungsverfahren sowie in der Verbreiterung der Lieferantenbasis insbesondere ausserhalb der Krisenstaaten. 5. Operationales Risiko Das operationale Risiko greift in die Unternehmensprozesse und in die angewandten Systeme ein. Bei einem Austritt eines Eurozonenmitgliedsstaates müssen verschiedene Stammdaten angepasst werden dies bedarf der Fähigkeit, eine neue Währung einzurichten und aktivieren zu können. Implizierte kritische Systeme sind z.b.: In-House-Bank- und Zahlungsverkehrssysteme Fakturierungssysteme Bestandsführende Systeme Treasury-Systeme Planungssysteme etc. Dazu kommen neue regulatorische oder steuerliche Anforderungen an das Unternehmen, die abgebildet werden müssen. Unternehmen sind daher heute schon gut beraten, das Ausmass der notwendigen Veränderungen abzuschätzen und Anpassungsmassnahmen in die Wege zu leiten. «Natürlich unterstützen wir Kunden bei der Vorbereitung auf Kapitalverkehrskontrollen.» Häufig sind jetzt schon Verteidigungsmassnahmen möglich, die Umstellungen, falls notwendig, einfach machen und einen koordinierten Ablauf gewährleisten. 6. Absatz- und strategisches Risiko Neben den direkten sind auch indirekte Auswirkungen durch die eventuelle gesamtpolitische und -ökonomische Umgebung mit zu berücksichtigen. Je nach Szenarioannahmen ist mit Absatzeinbrüchen lokal, regional oder global zu rechnen. Unternehmen sind hier gefragt, Planungen mit entsprechenden Stressszenarien und Krisenpläne zu entwerfen. Es gilt, das Schiff grundsätzlich wetterfest zu machen und die Organisation vorzubereiten. In Krisen zählt ein koordiniertes Vorgehen und jeder an Deck muss seine Rolle und seine Verantwortlichkeit kennen. Neben den kurzfristigen Themen ergeben sich strategische Risiken, aber auch Chancen. Krisen führen zu veränderten Markt- und Wettbewerbsstrukturen. Dies bedeutet eventuell, dass Wettbewerber Geschäfte verlieren und dadurch neue Marktanteile gewonnen werden können oder sich Akquisitionsmöglichkeiten eröffnen. Grundsätzlich gilt es für Unternehmen, die Unternehmenspläne einer Szenarioanalyse zu unterwerfen und für verschiedene Szenarien und Stressniveaus gerüstet zu sein. Eventualpläne sind zu entwerfen, die auch über das eigene Unternehmen hinausgehen können. Assure / Eurozone-Krise / 17

18 Welches sind die notwendigen Komponenten eines Reaktionsplans für Unternehmen im Krisenfall? Um mit der Eurokrise und einem potentiellen Zerfall effektiv umgehen zu können, ist es ratsam, eine Strategie und einen Rahmen vorzugeben, der das Denken und Handeln im Unternehmen strukturieren. Dies bedürfen der folgenden Komponenten: 1. Analyseprozess Der Umfang und die Auswirkungen des direkten und indirekten (verursacht durch Geschäftspartner) Risiko-Exposures auf das Unternehmen müssen definiert und einer Auswirkungsanalyse unterworfen werden. 2. Transitionsprozess Ein Prozess, der die Organisation von einem «Normal Modus» zu einem «Krisen- Modus» überführt. Dieser Prozess beginnt mit dem Monitoring der Eurokrise-Entwicklung und einer Einordnung der Ereignisse hinsichtlich eines vordefinierten Stressniveaus. Organisationsprozess Die organisatorische Komponente, die mindestens einen Beauftragten vorsieht, der den Krisenprozess verwaltet und eine im Krisenfall Notfallorganisation einberuft. Die Aufgabe des Monitorings obliegt meistens dem Treasurer oder dem Controller. 3. Aktionsprozess Beinhaltet den Einsatz der Handlungspläne, die für verschiedene Szenarien im Vorfeld exakt ausgearbeitet wurden und zum Einsatz kommen wenn der Transitionsprozess angestossen wird. Der Ansatz für die Analyse Komponente 1 Wie können Unternehmen nun die aufgezeigten Risiken strukturiert angehen? Aus unserer Praxis hat sich ein 3-Phasen Ansatz bewährt: In einem ersten Schritt wird eine Impact-Analyse (Risikofeldanalyse) durchgeführt und die Definitionen von angenommenen Szenarien und Stress-Niveaus werden vorgenommen. Letzteres ist wichtig, damit die Eventual- Massnahmen Verteidigungsmassnahmen Euro-Krise Analyse Organisation Treasurer / Controller Lieferanten Finanzpartner Kapitalmärkte Ereignis Screening Interpretation & Bewertung Normalmodus Eurokrise-Strategie und -Rahmen Von normalem zu Notfall-Modus Szenarien und Stressniveaus Von Notfall zu Normal-Modus VR / Management Eurokrise Beauftragter Krisenmodus Krisenauswirkung und -umfang: Chancen und Risiken Firm infrastructure Human resource management Technological development Procurement Service Inbound Operations Outbound Marketing logistics logistics & Sales gleichen Annahmen im Unternehmen verwendet werden und eine einheitliche Sprache vorliegt. Auf Basis einer ersten groben Risikofeldanalyse kann daraufhin in einer zweiten Phase eine detaillierte Analyse aufgebaut werden. Wichtig ist dabei, dass eine Eurokrise-Task- Force etabliert wird, die die Analyseergebnisse zusammenführt und somit Abhängigkeiten erkannt werden können. Margin Margin Krisenplan Notfallorganisation Kunden Vertriebskanäle Wettbewerb Abbildung 2: Eurokrise-Strategie und -Rahmen 18

19 Phase 1 Impact-Analyse Detaillierte und Scoping 2 Risikoanalyse 3 Umsetzung Massnahmen Kernfragen «Welche Szenarien erwarten wir und wo liegen unsere grössten Risiken?» «Was konstituiert unsere Risiken, was sind unsere Präferenzen und Massnahmen?» «Wie setzen wir effektiv und effizient Massnahmen um?» Ergebnisse Identifizierung der Eurokrise-Szenarien und Grobe Risikofeldanalyse Risikoauswirkungsanalyse und Massnahmenkatalog Umsetzung der definierten Massnahmen und Etablierung eines Regelprozesses Schritt 1 Verteidigungsmassnahmen Fixierung von heute vorzunehmenden Verteidigungsmassnahmen zur Verringerung der Auswirkung eines Eurozerfalls bzw. Austritts eines Euro-Landes Schritt 2 Geplante Eintrittsmassnahmen Durchführung von Massnahmen, Eventual- sowie Notfallplanungen beim Zerfall des Euro bzw. Austritt eines Euro-Landes Abbildung 3: Ansatz für die Erstellung einer Krisenplans Die wesentlichen Risiko-Exposures gilt es strukturiert zu identifizieren, und zwar per: a. Legal-Einheit (im Krisenland und hinsichtlich interner und externer Verflechtungen) b. Funktion (Treasury, Einkauf, Supply Chain, Controlling, Unternehmensplanung, Geschäftsführung) c. Risikoklasse (Finanzrisiko, Rechts- / Vertragsrisiko, operationales Risiko etc.) d. Aus Gruppensicht Danach gilt es, diese Risiko-Exposures mit den Szenarien zu verbinden, um die Auswirkungen zu antizipieren. Eine darauffolgende Bewertung dient dann als Basis zur Massnahmendefinition und -ergreifung: Neben der Risikoanalyse sind auch Massnahmen und die präferierten Ergebnisse zu definieren. Dabei gilt es, in einem ersten Schritt Verteidigungsmassnahmen und in einem zweiten Schritt geplante Eintrittsmassnahmen im Rahmen eines Krisenplans zu definieren. Erstere zielen darauf ab, bestehende Risiko-Exposures zeitnah zu reduzieren oder zu eliminieren. Massnahmen dieser Kategorie wurden vorher schon erwähnt, wie z.b. die Abänderung von Vertragsklauseln, das Austauschen von Kontrahenten im Finanzmanagement oder die Geschäftsverlagerung und Diversifizierung von Lieferanten. Geplante Eintrittsmassnahmen dagegen werden in sogenannten Krisenplänen niedergelegt und erst bei dem Ereignis eines Austritts durch eine Notfallorganisation potentiell ergriffen. Dabei ist es wichtig festzustellen, dass diese Massnahmen nicht zwingend ergriffen werden müssen, sondern vielmehr Handlungsoptionen darstellen, die abhängig von der Situation in Form und Inhalt ergriffen werden können. Als letzte Phase gilt es, Verteidigungsmassnahmen zeitnah umzusetzen sowie Krisenpläne und die dazu gehörenden Notfallorganisation zu entwickeln. Die Verantwortung und die notwendige Kontrolle erfolgen durch den Verwaltungsrat. Die Zuständigkeit liegt bei der Geschäftsführung. Frank Wendt Director, Management Consulting Assure / Foreword / 19

20 Herausforderungen und Chancen im Gesundheitswesen Michael Herzog Mit der neuen Spitalfinanzierung seit dem 1. Januar 2012 steht die ganze Branche des Gesundheitswesens vor einem Umbruch: Antworten auf die wichtigsten Fragen. André Zemp Welches sind die grössten Herausforderungen der Spitäler in der Schweiz? Die momentan wichtigste Herausforderung ist die Einführung der neuen Spitalfinanzierung gemäss Swiss DRG per 1. Januar Dies ist das neue Tarifsystem für stationäre akutsomatische Spitalleistungen, das gemäss der letzten Revision des Krankenversicherungsgesetzes die Vergütung der stationären Spitalleistungen nach Fallpauschalen schweizweit einheitlich regelt. Beim Fallpauschalen-System Swiss DRG wird jeder Spitalaufenthalt anhand von bestimmten Kriterien (Haupt- und Nebendiagnosen und weiteren Faktoren) einer Fallgruppe zugeordnet und pauschal vergütet. D.h., dass ein allfälliges Defizit nicht mehr von der öffentlichen Hand übernommen wird. Dazu kommen damit einhergehende Umstrukturierungen auf rechtlicher und organisatorischer Ebene. Viele Spitäler passen ihre Rechtsform den neuen Rahmenbedingungen an. Die gemeinnützige Aktiengesellschaft ist dabei die am häufigsten gewählte Organisationsform für die Führung eines Spitals. Auf organisatorischer Ebene führt die Abrechnung nach Fallpauschalen auch zu einer neuen Denkweise bezüglich interner Prozesse. Die abteilungsübergreifende Zusammenarbeit und die Vernetzung der verschiedenen Fachkompetenzen der einzelnen Bereiche im Spital sind positive Nebeneffekte der Erneuerung des Finanzierungs- und Kostenmanagements in einem Spitalbetrieb. Dieser ist auch heute noch in vielen Spitälern zu stark verwaltungsorientiert. Welche zusätzlichen finanziellen Herausforderungen stellen sich den Spitälern? Da die Anlagenutzungskosten neu Teil der Entschädigung sind, haben viele Spitäler die direkte Verantwortung für ihre Immobilien übernommen. Dies führt dazu, dass auch zukünftige Renovationen und Neubauten vom Spital selbst geplant und durchgeführt werden müssen. Als Konsequenz daraus muss eine Spitalorganisation ihre betriebswirtschaftlichen Kennzahlen transparenter und genauer aufarbeiten, um mit Finanzinstituten und anderen Geldgebern verhandeln zu können. Die Schweizer Spitallandschaft ist sehr heterogen und zeigt vor allem starke regionale Unterschiede auf. Die Regelung bringt Spitäler in Randregionen zunehmend in Bedrängnis, da sie zu wenig Fälle pro Leistungsgruppe aufweisen, um diese kosteneffizient behandeln zu können. Hier besteht ein Konflikt zwi- 20