Compliance im Betrieb

Transkript

1 Compliance im Betrieb Konzeption eines Compliance-Management-Systems (CMS) in der Unternehmensgruppe Stadtwerke Mainz AG unter Berücksichtigung des IDW Prüfungsstandards PS 980 1

2 Begriffsdefinition und rechtliche Situation: 1. Definitionen: Unter Compliance wird die Einhaltung aller externen und internen Regeln einschließlich der gesellschaftlichen Wertvorstellungen durch ein Unternehmen, seine Organe und Mitarbeiter verstanden. Das Compliance-Management, auch als Compliance-Organisation bezeichnet, beschreibt die Verfahrensabläufe, die dazu dienen, die Einhaltung der Compliance im Unternehmen zu gewährleisten. 2. (Keine) Pflicht zur Einführung eines Compliance-Managements: Derzeit besteht noch keine unmittelbare rechtliche Pflicht zur Einführung eines Compliance-Managements. Allerdings gibt es eine Reihe von Vorschriften, die auf Teilbereiche des Compliance-Managements Bezug nehmen. Das Fehlen eines effektiven Compliance-Managements kann jedoch zur Begründung einer zivilrechtlichen oder strafrechtlichen Haftung des Organs führen. 2

3 Grundelemente eines Compliance-Management-Systems (CMS) 1. Hintergrund: Angelehnt an den Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer vom (Entwurf) Standard beschreibt umfassenden Rahmen für Compliance-Systeme und ist mittlerweile die Soll-Vorschrift, gegen die WP s künftig die Angemessenheit und Wirksamkeit von Compliance-Systemen spiegeln bzw. prüfen werden 2. Grundelemente eines Compliance-Management-Systems gemäß PS 980 Compliance-Kultur Compliance-Ziele Compliance-Organisation Compliance-Risiken Compliance-Programm Compliance-Kommunikation Compliance-Überwachung und Verbesserung 3

4 I. Compliance-Kultur Verhaltenskodex der Stadtwerke Mainz AG (Code of Conduct) Verbindliche Ethikrichtlinie für Führungskräfte und Mitarbeiter Mission-Statement der Unternehmensleitung betont Notwendigkeit der Einhaltung von gesetzlichen und hausinternen Regelungen aktive Einforderung ethischer Verhaltensweisen 4

5 II. Compliance-Ziele Einhaltung gesetzlicher, satzungsmäßiger und unternehmensinterner Vorgaben zwecks Gewährleistung eines ordnungsgemäßen Handelns Vermeidung von Haftungsrisiken der Unternehmensführung und des Aufsichtsrates Sicherstellung der Beständigkeit des Geschäftsmodells Reputationsschutz / Vermeidung von Imageschäden 5

6 III. Compliance-Organisation bei SWM 1. In RIR zugeordnete Compliance-Elemente: (im Sinne eines integrierten Qualitätsmanagements) Innenrevision Compliance Risikomanagement (gemäß 91 Abs.2 AktG) Gleichbehandlungsprogramm (gemäß 7 a Abs.5 EnWG) Datenschutz gem. BDSG (seit ) 2. Weitere Compliance-Einheiten in der SWM-Organisation: Sicherheitsingenieur/Abfallbeauftragter diverse weitere Beauftragte (gemäß gesetzlicher Anforderungen) 6

7 III. Compliance-Organisation 3. Formale Aspekte resultierend aus 130 OWiG (Organisationsverschulden): Schaffung von konkreten Präventionsmaßnahmen zwingend erforderlich offizielle Bestellung des Compliance-Beauftragten: - Delegation der Aufgabe in Schriftform mit eindeutiger Beschreibung der wahrzunehmenden Aufgaben; - Nachvollziehbarkeit der Regelung, d.h., es muss klar sein, welche Pflichten übernommen werden; - kein Organisationsnebel zulassen, indem die Aufgabe z.b. an mehrere Mitarbeiter delegiert wird D&O-Versicherung für Compliance-Beauftragten Maßnahmen dienen dem Ziel, Organisationsverschulden zu vermeiden 7

8 IV. Compliance-Risiken Kernelemente des CMS aus risikoorientierter Sicht: (SWM-spezifische Handlungsfelder) 1. Korruptionsprävention: Beschaffungs-Compliance (Einkauf und Verdingung): Vergabecompliance Lieferantencompliance - z.b. keine Abhängigkeiten zulassen - Code of Conduct für Lieferanten Bau-Compliance: rechtssichere, transparente Abwicklung des Kernprozesses Planung, Ausschreibung, Vergabe, Ausführung und Abrechnung von Netzbaumaßnahmen Instrument: prozessbegleitende bzw. nachträgliche Baurevision 8

9 IV. Compliance-Risiken 2. Weitere Kernelemente des CMS: IT-Compliance/IT-Sicherheit Bestandsaufnahme der vorhandenen Struktur Neuausrichtung IT-Revision (z.b. ext. Datenverarbeitung durch C+C) Datenschutzcompliance (seit 10/2011) neu: verstärkter Arbeitnehmerdatenschutz / Auftragsdatenverarbeitung Harmonisierung innerhalb der Unternehmensgruppe Produkthaftung Trinkwasserverordnung Ausfallzeiten Versorgung Notfallplan erarbeiten für mögliche Hausdurchsuchungen Interne/externe Kommunikation im Krisenfall 9

10 V. Compliance-Programm Spenden- und Sponsoringrichtlinie wurde erlassen neue Geschenkerichtlinie erstellt (im Rahmen des Leitfadens Korruptions-Prävention ) - 35 Wertgrenze Verbesserung des Internen Kontrollsystems (IKS) Einkaufs- und Verdingungsprozesse Stammdatenverwaltung (Funktionstrennung) Massendatenanalyse mit Revisionssoftware IDEA 10

11 V. Compliance-Programm Perspektivisch: Einführung eines externen Ombudsmannes/ Hinweisgebersystems? ermöglicht anonyme Hinweise zugesicherte Straffreiheit für Hinweisgeber externe Ausprägung sinnvoll (z.b. Rechtsanwalt) Perspektivisch: Mitgliedschaft bei Transparency International (TI)? Vorteile: Außenwirkung / Reputations- bzw. Imagegewinn Informationsaustausch, Regionalgruppen Pflichten: Anerkennung der Satzung sowie des Verhaltenskodex Kosten: bis zu p. a. 11

12 VI. Compliance-Kommunikation Mission-Statement durch RIR zur Bekanntmachung des Themas - z.b. als Extrablatt der Inform (zusammen mit Beitrag des VS) - Laminierte Merkkarte zum Thema Geschenkerichtlinie Schulung betroffener Mitarbeiter - insbesondere aus gefährdeten Bereichen (Einkauf, Bauleiter, Planung) - Ansprechpartnerregelung für Zweifelsfälle in der Tagespraxis Energiewirtschafts-Compliance (Gleichbehandlung; 7a Abs. 5 EnWG) - seit 2005 bei SWM implementiert - regelmäßige Schulungen und Berichte an BNetzA FAQ-Seite im Intranet einrichten Betriebsvereinbarung zur Massendatenanalyse 12

13 VII. Compliance-Überwachung und Verbesserung Regelmäßige Compliance-Audits durch RIR mit dem Ziel der stetigen Verbesserung des etablierten Systems (Monitoring) Prävention und Aufdeckung in einer Abteilung gebündelt Erarbeitung einer Gefährdungsanalyse / eines Risikoatlasses Angemessene Kontrolldichte? 13