Elektronische Hinweisgebersysteme - Anforderungen, Einsatzbereiche, Best Practices

Transkript

1 Elektronische Hinweisgebersysteme - Anforderungen, Einsatzbereiche, Best Practices 1 vertraulich

2 Business Keeper AG Die Pioniere Gründungsjahr: 2001 Mitarbeiter: 65 Standort: Berlin Vorstand: Kai Leisering, Kenan Tur Aufsichtsrat: Dr. Arno Morenz (Vorsitzender) Prof. Dr. Uwe Hellmann, Erik Masing Kunden (Auszug) und Anwendungsbereiche: Unternehmen Verwaltung Gesundheitswesen Anti-Korruptionsorganisationen Kirche/ Betreuungseinrichtungen Sport 2 vertraulich

3 Hinweisgeberschutz oft unzureichend 3 vertraulich

4 Willkommen in der neuen Welt wer die Wahl hat Medien/ Presse suchen den nächsten Skandal Social-Media befördert Verbreitung Leak-Plattformen bieten sich an Behörden suchen publikumsträchtige Fälle 4 vertraulich

5 Warum ein Hinweisgebersystem? Zufall minimieren Informationen aus dem Unternehmen besser nutzen und kontrollieren Presse Informationsfluss extern Polizei Hinweise sollen gezielt ans Unternehmen gehen Hinweisgebern ein internes Ventil mit niedriger Hemmschwelle bieten Integre Mitarbeiter unterstützen Hemmschwelle gering Hemmschwelle hoch Entdeckungswahrscheinlichkeit erhöhen Medienneutrale interne Klärung Hinweisgebersystem Informationsfluss intern Vorgesetzte 5 vertraulich

6 Zunehmende Regulierungen und Anforderungen ISO Compliance Management Systems EU: Empfehlung CM/Rec(2014)7 des Europarats HUN: Act CLXV on Complaints and Public Interest Disclosure SRB: Hinweisgeberschutzgesetz FRA: LOI Sapin II BRA: Clean Companies Act DEU: Kreditwesengesetz 25a FRA: Délibération de la CNIL n IND: Whistleblowers Protection Bill UKR: Anti-Corruption Strategy OECD-Leitsätze für multinationale Unternehmen IRL: Protected Disclosures Act Wolfsberg Anti-Corruption Guidance LUX: Moyens de lutte contre la corruption IND: Companies Act Basel II / MaRisk USA: Sarbanes-Oxley Act SVN: Integrity and Prevention of Corruption Act EU: Richtlinie 2013/36/EU USA: Dodd-Frank Act United Nations Convention against Corruption ROU: Whistleblower Protection Act GBR: Whistleblowing Arrangements Code of Practice OECD-Grundsätze der Corporate Governance African Union Convention on Preventing and Combating Corruption USA: Whistleblower Protection Act ICC Guidelines on Whistleblowing SVK: Act No. 307/2014 GBR: Public Interest Disclosure Act DEU: Deutscher Corporate Governance Kodex Inter-American Convention against Corruption GBR: Bribery Act FRA: Lignes Directrices EU: Strafrechtsübereinkommen über Korruption des Europarats DEU: Gesetz über Ordnungswidrigkeiten 130 EU: Zivilrechtsübereinkommen über Korruption des Europarats ESP: Código Penal United Nations Global Compact AUT: Bankwesengesetz 99 DEU: KonTraG / Aktiengesetz 91 Abs. 2 USA: Foreign Corrupt Practices Act bis 2000 bis 2010 bis 2014 bis vertraulich

7 Entdeckung von Betrugsdelikten Hinweis 39% 42% 43% Interne Revision 17% 14% 14% Prüfung durch Management 13% 16% 15% Durch Zufall 6% 7% 7% Konto-Abstimmung 6% 7% 5% Dokument-Überprüfung 4% 4% 4% Externe Revision 4% 3% 3% Polizei 2% 2% 3% Überwachung/Monitoring 2% 3% 2% IT Kontrollen 1% 1% 1% Geständnis 1% 1% 2% Übrige 6% 1% 1% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% Quelle: Report to the Nations 2016, ACFE 7 vertraulich

8 Quellen von Hinweisen Mitarbeiter 52% 59% Kunden 18% 22% Anonym 14% 15% Übrige 7% 13% Lieferanten 10% 10% Aktionäre/Eigentümer Konkurrenten 3% 4% 2% 2% 0% 10% 20% 30% 40% 50% 60% Quelle: Report to the Nations 2016, ACFE 8 vertraulich

9 Best Practice: Elektronische Hinweisgebersysteme Quelle: EY, Excisting Practice in Compliance 2016: Stand und Trends zum Integritäts- und Compliance-Management in Deutschland, Österreich und Schweiz 9 vertraulich

10 Trends Hinweisgebersysteme Ich suche Rat Das Hinweisgebersystem als Kommunikationskanal 10 vertraulich

11 Trends Hinweisgebersysteme Schwerpunkt Datenschutz Wissen was passiert 11 vertraulich

12 Datenschutz-Zertifizierungen des BKMS Systems Erfolgreicher Abschluss von zwei freiwilligen Datenschutz-Zertifizierungen Erstes und einziges zertifiziertes Hinweisgebersystem weltweit Träger der vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) verliehenen Datenschutz-Gütesiegel: Die Prüfung des BKMS Systems ergab u.a.: beispielhafte Erfüllung datenschutzrechtlicher Vorgaben hervorragende Sicherstellung der Vertraulichkeit der Daten durch sehr differenzierte Zugriffsrechte vorbildliche Gewährleistung der Datensicherheit durch technisch-organisatorische Maßnahmen 12 vertraulich

13 Penetration oder Penetration? Regelmäßige manuelle Penetrationstests Von unabhängigen IT-Experten durchgeführt und zertifiziert Penetrationstests erfolgen nach aktuellen OWASP Top 10-Standards Zusätzliches White Box-Testing mit Einsicht in den Quellcode der Anwendung Zertifikat bestätigt, dass keine sicherheits-relevanten Schwachstellen vorhanden sind Zudem Stichproben im Quellcode der Anwendung zur Prüfung der gängigen Programmierstandards Fortdauernde Weiterentwicklung der Anwendungssicherheit Automatisierte Tools sind aber nur in Lehrbuchszenarien wirksam Frank Rustemeyer, Director System Security bei der HiSolutions AG. 13 vertraulich

14 Weitere Trends Hinweisgebersysteme Integration Von der Einzelanwendung zur integrierten Plattform Sicherheit Umfassender, technisch garantierter Schutz der Hinweisgeber Keine automatisierten Pen-Tests sondern manuelle Hackertests Zugriffssicherheit Zugriff auf Meldungsdaten nicht durch Anbieter oder Dritte trotz Dialog Zertifizierung Datenschutz und IT-Sicherheit unabhängig zertifiziert Flexibilität Schnelle Anpassung bei akuten Fällen Individualität durch Best Practice Schnelle Einführung auf Basis von bewährten Vorgehensweisen, individuelle Ausgestaltung 14 vertraulich

15 Bekanntmachung des Hinweisgebersystems Quelle: EY, Excisting Practice in Compliance 2016: Stand und Trends zum Integritäts- und Compliance-Management in Deutschland, Österreich und Schweiz 15 vertraulich

16 Kommunikationsmaßnahmen am Beispiel der Merck KGaA 16 vertraulich

17 Kommunikationsbeispiel Boehringer Ingelheim 17 vertraulich

18 Kommunikationsbeispiel Axel Springer SE 18 vertraulich

19 Warum Sicherheit so wichtig ist 19 vertraulich

20 Kontakt Herzlichen Dank für Ihr Interesse! Kenan Tur Gründer und Vorstand Business Keeper AG Bayreuther Straße Berlin Tel. +49 (0) Fax +49 (0) Web Möchten Sie den Newsletter der Business Keeper AG zu den Themen Whistleblowing, Wirtschaftsethik, CSR und Compliance erhalten? 20 vertraulich