Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Transkript

1 Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang zur Bescheinigung Die oben genannten Wirtschaftsprüfungsgesellschaften haben jeweils in gesondertem Auftrag der Deutsche Telekom AG die Wirksamkeit der zentral geführten Compliance Organisation sowie der dezentralen Compliance Organisationen bei ausgewählten Konzerngesellschaften der Deutsche Telekom AG geprüft. Dies beinhaltete die Prüfung der Angemessenheit des Designs des Compliance Management Systems - definiert in den von der Deutsche Telekom AG festgelegten Mindestanforderungen an ein Compliance Management System - und die Prüfung der angemessenen Umsetzung dieser Mindestanforderungen und Implementierungsvorgaben in den ausgewählten Konzerngesellschaften. Die Prüfung umfasste nicht Maßnahmen zur Sicherstellung der Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften in der Verantwortung des lokalen Managements sowie gezielte Prüfungshandlungen zur Aufdeckung und Aufklärung gesetzeswidriger Tatbestände. Über das Ergebnis der Prüfung haben PwC und Ernst & Young eine an die Deutsche Telekom AG adressierte Bescheinigung erstellt, die auf Wunsch der Deutsche Telekom AG der interessierten Öffentlichkeit zur Kenntnisnahme zugänglich gemacht werden soll. Die Prüfung und Berichterstattung von PwC und Ernst & Young erfolgten ausschließlich für Zwecke der Deutsche Telekom AG und sind nicht für Zwecke Dritter bestimmt. Dies bedeutet, dass PwC und Ernst & Young keine Verantwortung dafür übernehmen, ob die Prüfungstätigkeit und die Berichterstattung für die Zwecke eines Dritten tauglich oder ausreichend sind, und dass der Dritte erforderlichenfalls hierfür eigene Berater einschalten muss. Die Verantwortung von PwC und Ernst & Young für ihre Tätigkeit sowie den Inhalt der Bescheinigung ergibt sich ausschließlich aus dem jeweiligen Auftragsverhältnis mit der Deutschen Telekom AG und besteht danach allein dieser gegenüber. Eine Einbeziehung anderer Personen in den Schutzbereich des Auftragsverhältnisses ist weder gewollt noch vereinbart. Es besteht daher keine Verantwortung von PwC und Ernst & Young gegenüber Dritten, denen die Bescheinigung zugänglich gemacht wird. Die Bescheinigung gibt den Erkenntnisstand von PwC und Ernst & Young zum Zeitpunkt ihrer Erstellung wieder. Weder PwC noch Ernst & Young sind beauftragt, die Bescheinigung fortlaufend zu aktualisieren. Die Bescheinigung ist vertraulich zu behandeln. Es ist Verschwiegenheit über die Bescheinigung und deren Inhalt zu wahren. Ein Verweis auf die Veröffentlichung der Bescheinigung auf der Homepage ist hiervon nicht umfasst. 1

2 An die Deutsche Telekom AG Auftrag Als Abschlussprüfer der Deutschen Telekom AG (im Folgenden Deutsche Telekom ) wurden wir beauftragt, die Wirksamkeit der zentral geführten Compliance Organisation sowie der dezentralen Compliance Organisationen bei von der Deutschen Telekom und uns ausgewählten Konzerngesellschaften zu prüfen. Dies beinhaltet die Prüfung der Angemessenheit des Designs des Compliance Management Systems definiert in den von der Deutschen Telekom festgelegten und konzernweit gültigen Mindestanforderungen an ein Compliance Management System und die Prüfung der angemessenen Umsetzung dieser Mindestanforderungen und Implementierungsvorgaben in den ausgewählten Konzerngesellschaften. Nicht Gegenstand unserer Prüfung waren diejenigen Maßnahmen zur Sicherstellung der Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften, welche in der Verantwortung des jeweiligen Managements der Konzerngesellschaften und nicht in der Verantwortung der Compliance Organisation liegen. Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Das Compliance Management im Konzern Deutsche Telekom besteht aus einem strukturierten Zusammenspiel zwischen 1) der im Vorstandsbereich Datenschutz, Recht und Compliance (DRC) zentral geführten Compliance Organisation im Zentralbereich Group Compliance Management unter der Leitung des Chief Compliance Officers (im Folgenden "zentrale Compliance Organisation"), 2) den dezentralen Compliance Organisationen der jeweiligen Konzerngesellschaften, 3) organisatorischen Maßnahmen zur Einhaltung von Gesetzen und internen Regeln in der Verantwortung der Compliance Organisation und 4) Maßnahmen zur Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften in der Verantwortung des jeweiligen Managements. Das Compliance Management verfolgt das Ziel, durch die Etablierung einer konzernweiten Compliance Aufbau- und Ablauforganisation sowie durch im Zertifizierungshandbuch definierte Mindestanforderungen (vgl. Anlage zu dieser Bescheinigung) und Implementierungsvorgaben für die Konzerngesellschaften einen geeigneten Rahmen zu schaffen, um Risiken für wesentliche Compliance Verstöße (Gesetzes- und interne Regelverstöße) mit hinreichender Sicherheit zu erkennen, durch geeignete Maßnahmen zu minimieren sowie Reputations- und Haftungsschäden für die Gesellschaft und deren Organe und Beschäftigte zu vermeiden. 2

3 Verantwortung der gesetzlichen Vertreter der Deutschen Telekom AG Das Management der Deutschen Telekom ist im Hinblick auf ihr Compliance Management für die Vorgabe einer Compliance Strategie, für die Umsetzung einer angemessenen Compliance Organisation als auch für die Sicherstellung der Einhaltung der Gesetze und interne Regeln in den Konzerngesellschaften verantwortlich. Die Einrichtung eines konzernweiten Compliance Management Systems, bestehend aus zentraler Compliance Organisation und dezentralen Compliance Organisationen sowie Maßnahmen zur Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften, liegt insgesamt in der Gesamtverantwortung des Vorstandes der Deutschen Telekom AG. Verantwortung des Wirtschaftsprüfers Unsere Aufgabe ist es, auf der Grundlage unserer Prüfung eine Beurteilung zum 31. Dezember 2010 über die Wirksamkeit der zentral geführten Compliance Organisation und der dezentralen Compliance Organisationen der ausgewählten Konzerngesellschaften im Hinblick auf die Angemessenheit des Designs des Compliance Management Systems der Deutschen Telekom (sog. Mindestanforderungen) und die angemessene Umsetzung dieser Mindestanforderungen und Implementierungsvorgaben in den ausgewählten Konzerngesellschaften abzugeben. Der Fokus unserer Prüfung liegt hierbei in dem Bereich Anti-Korruption/Korruptionsbekämpfung. Wir haben unsere Prüfung unter Beachtung des International Standards on Assurance Engagements (ISAE 3000) vorgenommen. Danach haben wir die Berufspflichten einzuhalten und die Prüfung unter Beachtung des Grundsatzes der Wesentlichkeit so zu planen und durchzuführen, dass eine hinreichende Sicherheit darüber erlangt wird, dass das Design des Compliance Management Systems der Deutschen Telekom (Mindestanforderungen) angemessen ist und die von der Deutschen Telekom definierten Mindestanforderungen in der zentral geführten Compliance Organisation und in den dezentralen Compliance Organisationen der jeweiligen Konzerngesellschaften entsprechend den Implementierungsvorgaben angemessen umgesetzt wurden. Gegenstand der Prüfung war die Compliance Organisation. Die Prüfung umfasste nicht operative Fachbereiche wie bspw. Vertrieb, Einkauf, etc. Die Beurteilung der Maßnahmen zur Sicherstellung der Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften, welche in der Verantwortung des jeweiligen Managements und nicht in der Verantwortung der Compliance Organisation liegen, war nicht Bestandteil unseres Auftrags. Entsprechend umfasste der Auftrag auch keine Untersuchungen, ob Verstöße gegen Gesetze und interne Regeln vorgekommen sind oder verhindert wurden. 3

4 Der Auftrag wurde in zwei Phasen abgewickelt: Phase 1: Prüfung der Angemessenheit der von der Deutschen Telekom im Zertifizierungshandbuch definierten Mindestanforderungen und Implementierungsvorgaben zur Umsetzung eines Rahmens für das Compliance Management. Die Beurteilung erfolgte gegen die geforderten Bestandteile eines Compliance Management Systems gemäß US Sentencing Guideline Manual und weiteren ausgewählten wesentlichen Prinzipien von Leading Compliance Standards (Australian Standard Compliance Programs, ZfW Compliance Program Monitor, Transparency International Principles for Countering Bribery). Die Bestandteile des Compliance Managements der Telekom entsprechen auch den im IDW EPS 980 Entwurf vom 11. März 2010 in Kapitel 4 geforderten Grundelementen eines Compliance Management Systems. Diese Phase umfasste die begleitende Prüfung der Deutschen Telekom bei der Festlegung des Designs des Compliance Managements Systems auf Konzernebene, insbesondere die Beurteilung des Umfangs und der Eignung der Telekom-Mindestanforderungen sowie die Eignung der Vorgaben zum Self Assessment. Phase 2: Prüfung der angemessenen Umsetzung der Mindestanforderungen und Implementierungsvorgaben der Deutschen Telekom für das Compliance Management System im Hinblick auf die Wirksamkeit der Compliance Organisation zum 31. Dezember 2010 in ausgewählten operativen Einheiten (Compliance-Strukturen und Prozesse). Der Schwerpunkt der Prüfung war die angemessene Umsetzung der im Zertifizierungshandbuch definierten Mindestanforderungen an die Elemente und Kategorien des Compliance Management Systems. Die Auswahl der folgenden zu prüfenden Konzerngesellschaften erfolgte gemeinsam mit der Deutschen Telekom nach Wesentlichkeits- und Risikogesichtspunkten: Deutsche Telekom AG, Bonn, T-Systems International GmbH, Frankfurt, Telekom Deutschland GmbH, Bonn, Hrvatski Telekom d.d., Zagreb/Kroatien, OTE S.A., Athen/Griechenland, Slovak Telekom, a.s., Bratislava/Slowakei, 4

5 T-Systems ITC Iberia, S.A.U., Barcelona/Spanien, Telekom Shop Vertriebsgesellschaft mbh, Bonn, Deutsche Telekom Kundenservice GmbH, Bonn, Deutsche Telekom Netzproduktion GmbH, Bonn, Deutsche Telekom Technischer Service GmbH, Bonn, SC Romtelecom S.A., Bukarest/Rumänien, Cosmote S.A., Athen/Griechenland, Detecon International GmbH, Bonn, T-Mobile Czech Republic a.s., Prag/Tschechien, PTC Polska Telefonia Cyfrowa Sp.z o.o., Warschau/Polen, Magyar Telekom Nyrt., Budapest/Ungarn, Makedonski Telekomuniacii A.D., Skopje/Mazedonien, T-Mobile Macedonia A.D., Skopje/Mazedonien, Crnorgorski Telekom a.d., Podgorica/Montenegro, T-Mobile US Inc., Bellevue/USA. Prüfungsurteil Nach unserer Beurteilung sind die von der Deutschen Telekom im Zertifizierungshandbuch definierten Mindestanforderungen und Implementierungsvorgaben zur Umsetzung einer Compliance Organisation gemessen an den externen Anforderungen des US Sentencing Guideline Manuals und wesentlichen Prinzipien weiterer Compliance Standards (Australian Standard Compliance Programs, ZfW Compliance Program Monitor, Transparency International Principles for Countering Bribery) für die von der Telekom definierten Zwecke angemessen. Die Bestandteile des Compliance Managements der Deutschen Telekom beinhalten auch die gemäß IDW EPS 980 erforderlichen Grundelemente eines Compliance Management Systems (Entwurf vom / Kapitel 4). 5

6 Nach unserer Beurteilung aufgrund der Erkenntnisse aus der durchgeführten Prüfung ist die Compliance Organisation, bestehend aus der im Vorstandsbereich DRC zentral geführten Compliance Organisation (Group Compliance Management) unter der Leitung des Chief Compliance Officers und den dezentralen Compliance Organisationen der oben genannten Konzerngesellschaften sowie organisatorischen Maßnahmen zur Einhaltung von Gesetzen und internen Regeln in der Verantwortung der Compliance Organisation der oben genannten Konzerngesellschaften, im Hinblick auf die angemessene Umsetzung der von der Deutschen Telekom definierten Mindestanforderungen und Implementierungsvorgaben zum 31. Dezember 2010 wirksam. Ergänzender Hinweis Wir weisen ausdrücklich darauf hin, dass trotz wirksamer Umsetzung der von der Deutschen Telekom definierten Mindestanforderungen und Implementierungsvorgaben das Risiko von Compliance Verstößen nie gänzlich ausgeschlossen werden kann. Die Maßnahmen zur Einhaltung von Gesetzen und internen Regeln in den Konzerngesellschaften in der Verantwortung des lokalen Managements sowie gezielte Prüfungshandlungen zur Aufdeckung und Aufklärung gesetzeswidriger Tatbestände (z.b. Untreuehandlungen, Unterschlagungen, Datenschutzrechts- oder Wettbewerbsrechtsverstöße) waren nicht Gegenstand unserer Prüfung. 6

7 Anlage zur Bescheinigung: Mindestanforderungen der Deutschen Telekom an die Compliance Organisation Die Compliance Organisation der Deutschen Telekom verfolgt das Ziel, durch die Etablierung einer konzernweiten Compliance Aufbau- und Ablauforganisation einen geeigneten Rahmen zu schaffen, um Risiken für wesentliche Compliance Verstöße (Gesetzes- und interne Regelverstöße) mit hinreichender Sicherheit zu erkennen und durch geeignete Maßnahmen zu minimieren und damit Reputations- und Haftungsschäden für die Gesellschaft, deren Organe und Beschäftigte zu vermeiden. Zu diesem Zweck wurden von der Deutschen Telekom Mindestanforderungen 1 definiert, die sich an dem konzernweit gültigen Organisations- und Prozessmodell orientieren, und durch die Konzerneinheiten zu erfüllen sind. 1 Abgeleitet aus dem US Sentencing Guideline Manual und ausgewählten wesentlichen Prinzipien der folgenden Compliance Standards: Australian Standard Compliance Programs, ZfW Compliance Program Monitor und Transparency International Principles for Countering Bribery. Die Bestandteile des Compliance Managements der Telekom beinhalten auch die gemäß IDW EPS 980 erforderlichen Grundelemente eines Compliance Management Systems. 7

8 Wesentliche Elemente des Compliance Management Systems sind: geeignete personelle Ausstattung und Verankerung der Compliance Organisation in der Corporate Governance (Berichtslinien an Board und Aufsichtsrat, Interaktion und Reporting mit/an Management Gremien), die risikoorientierte Ableitung eines Compliance Programms, die konsequente Umsetzung über Richtlinien, Schulungen und Beratungsangebote sowie die Sicherstellung einer geeigneten Reaktion auf Compliance Verstöße. 8