Thesenpapier Risk & Compliance Compliance Modeerscheinung oder Chefsache? Wie sich deutsche Großkonzerne der Herausforderung stellen
Im Rahmen einer aktuellen Compliance Benchmark-Erhebung befragte KPMG im DAX 30 gelistete sowie ausgewählte weitere Unternehmen zu Organisation, Ausgestaltung und Funktionsfähigkeit ihrer Compliance Management Systeme (CMS). Die Ergebnisse zeigen, dass Compliance längst keine Modeerscheinung mehr ist, sondern bereits fest in den Organisationsstrukturen der großen deutschen Unternehmen verankert wurde. Dr. Oliver Engels Partner Risk & Compliance Die befragten Unternehmen befassen sich intensiv mit dem Thema Compliance und haben entsprechende Verantwortlichkeiten und Abteilungen etabliert. Auch wenn die Ausgestaltung der Compliance Management Systeme im Detail sehr individuell erfolgt, setzen sich alle Unternehmen mit den wichtigen Elementen auseinander: Risikoermittlung, Implementierung vielfältiger Compliance-Prozesse sowie Kommunikation und Mitarbeitertraining. Mehr als zwei Drittel der befragten Unternehmen schätzen dabei ihre Compliance-Systeme bereits jetzt als gut bis sehr gut ein. Dieses Thesenpapier zeigt die Kernergebnisse der Compliance Benchmark-Erhebung auf und skizziert Handlungsempfehlungen für die Weiterentwicklung von Compliance-Systemen. Gern diskutieren wir die Ergebnisse mit Ihnen und stehen Ihnen mit unserem Compliance-Know-how zur Verfügung. Ausgestaltung der Erhebung Die Erhebung wurde mittels eines standardisierten Fragebogens mit 40 Einzelfragen zu Compliance-Aspekten durchgeführt und durch persönliche Gespräche ergänzt. Insgesamt sind die Angaben von 24 Compliance-Verantwortlichen in die Auswertung eingegangen. 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Wesentliche Ergebnisse der Erhebung Compliance ist Chefsache Compliance wird verstärkt als originäre Aufgabe des Vorstands angesehen 45 Prozent der befragten Unternehmen haben bereits ein eigenes Vorstandsressort Compliance eingerichtet oder die Zuständigkeit direkt dem Chief Executive Officer (CEO) zugeordnet. Die zunehmende Relevanz von Compliance zeigt sich auch darin, dass in fast der Hälfte aller befragten Unternehmen (46 Prozent) der Chief Compliance Officer (CCO) ausschließlich für Compliance verantwortlich ist. Bei Unternehmen mit mehr als 100.000 Mitarbeitern liegt dieser Wert sogar deutlich höher: Zwei von drei Unternehmen haben hier einen CCO mit ausschließlicher Compliance- Zuständigkeit. Aufgaben des Chief Compliance Officer (CCO) bei Unternehmen mit über 100.000 Mitarbeitern (Angaben in Prozent) Quelle: Compliance Benchmark-Erhebung, KPMG 2011 36 Compliance bedeutet Beratung und Koordination Die Aufgabenschwerpunkte der Compliance-Verantwortlichen sind bei den Unternehmen überwiegend präventiv ausgelegt: Beratung von Mitarbeitern Durchführung von Schulungen und Sensibilisierungsmaßnahmen Erstellung von Richtlinien Dabei vernachlässigen die Unternehmen jedoch nicht die Aufklärung möglicher Compliance-Verstöße. So haben alle befragten Unternehmen ein Hinweisgebersystem eingerichtet, zum Beispiel in Form einer Hotline (71 Prozent), als E-Mail-Postfach (58 Prozent) oder mithilfe eines externen Ombudsmanns (54 Prozent). Die überwiegende Mehrheit stuft dieses System als hilfreich oder sogar sehr hilfreich ein, auch wenn Unternehmen einräumen, eine Vielzahl gegenstandsloser Anschuldigungen zu erhalten. Bei Verdachtsfällen ermittelt in der Regel die Interne Revision, während Compliance eine koordinierende Funktion übernimmt. Lediglich in einem Viertel der befragten Unternehmen führen die Compliance-Abteilungen routinemäßige, anlassunabhängige Compliance-Audits durch. KPMG, Deutschland 64 Nimmt auch andere Aufgaben im Unternehmen wahr Ist ausschließlich für Compliance Management zuständig Infolge von Compliance-Verstößen werden Regelungslücken geschlossen und Sanktionen empfohlen (75 Prozent). Kernrisiken: Kartellrecht, Korruption und Datenschutz Die am häufigsten von den befragten Unternehmen genannten und mit der höchsten Priorität eingestuften Risikobereiche sind Verstöße gegen das Kartellrecht, Korruption und Verletzung von Datenschutz und IT- Sicherheit. Daneben lassen sich auch gewisse branchenspezifische Tendenzen erkennen: Während für die Chemie- und Pharmabranche die Bestimmungen des Umweltschutzes, der Produkthaftung oder der Arbeitssicherheit im Vordergrund stehen, spielt in der IT-, Telekommunikations- und Energiebranche der Schutz sensibler Kundendaten eine wesentliche Rolle. 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Compliance ist unternehmensindividuell Die Personalausstattung der Compliance-Organisation ist in der Regel von Größe und Komplexität sowie individueller Risikolage des Unternehmens abhängig. Insbesondere Unternehmen, bei denen in jüngerer Vergangenheit Compliance-Vorfälle öffentlich wurden, haben oftmals ihre Abteilungen personell aufgestockt und beschäftigen nun in der Regel mehr als 20 Mitarbeiter in der Konzernzentrale. Zum Vergleich: Die meisten anderen Unternehmen beschäftigen maximal 10 Mitarbeiter in der zentralen Abteilung und übertragen die dezentralen Compliance- Aufgaben verstärkt regionalen Führungspersonen. KPMG, Deutschland Compliance ist Teamwork Aufgrund der Komplexität und Vielfalt der Compliance- Anforderungen haben vier von fünf Unternehmen Knowhow gebündelt und ein sogenanntes Compliance Committee eingerichtet, das in der Regel mit Vertretern aus den Bereichen Interne Revision, Compliance, Personal, Recht und gegebenenfalls weiteren Mitgliedern besetzt ist. Aufgabe des Committees ist es vor allem, als Beratungsgremium den CCO zu unterstützen. Obwohl Datenschutz von den meisten Unternehmen als ein wesentliches Risiko angesehen wird, sind die Datenschutzbeauftragten lediglich bei einem Viertel der Unternehmen Teil des Compliance Committees. Vertreter welcher Abteilungen sind Mitglied des Konzern-Compliance Committees? (Angaben in Prozent, Mehrfachnennungen möglich) Quelle: Compliance Benchmark-Erhebung, KPMG 2011 Interne Revision Compliance-Abteilung Personal Recht Risikomanagement Internal Control (Verantwortlicher für das interne Kontrollsystem) Datenschutzbeauftragter Betriebsrat Sonstige Keine Angabe / nicht anwendbar 4 17 25 25 38 54 71 71 75 79 0 20 40 60 80 100 Compliance ist eine Kommunikationsaufgabe Unternehmen haben längst die Wichtigkeit einer guten Kommunikation ihrer Compliance-Maßnahmen erkannt und hierfür Informations- und Trainingskonzepte entwickelt. Alle befragten Unternehmen verfügen über Verhaltenskodizes (sogenannter Code of Conduct), in denen sie die wichtigsten Leitlinien und Verhaltensmaßstäbe festhalten. Vier von fünf Unternehmen schulen zudem ihre Mitarbeiter und Führungskräfte im Rahmen von Präsenzschulungen und/oder durch webbasierte Trainings beziehungsweise informieren sie im Intranet oder durch Mitarbeiterzeitschriften. Die größte Herausforderung in der Kommunikation von Compliance besteht nach wie vor darin, alle Mitarbeiter auf den verschiedenen Ebenen zu erreichen und ein konzernweites Compliance-Bewusstsein herzustellen. Compliance ist ein wirksames Element zur Haftungsvermeidung Nach eigener Einschätzung schreiten die Unternehmen in der Entwicklung und Implementierung ihrer Compliance- Systeme gut voran. Mehr als zwei Drittel der Teilnehmen der Erhebung haben ihre Compliance-Prozesse in über 60 Prozent der konsolidierten Unternehmenseinheiten eingeführt und schätzen die Qualität ihres CMS bereits jetzt als gut oder sehr gut ein. Über ein optimiertes CMS, das heißt ein System, das regelmäßig an veränderte oder neue Anforderungen angepasst wird, verfügt ein knappes Drittel der Befragten. Die überwiegende Mehrheit der Unternehmen (83 Prozent) betrachtet Compliance Management als ein wirksames Instrument zur Schadensprävention und Haftungsvermeidung. 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Unsere Handlungsempfehlungen Identifizierung von Compliance-Risiken Wichtige Grundlage eines jeden Compliance-Systems ist die Identifizierung der relevanten Compliance-Risiken. Dabei sollten Unternehmen vermeiden, sich pauschal auf die allgemein bekannten Risiken wie zum Beispiel Verstöße gegen das Kartellrecht zu fokussieren. Vielmehr sollten sie prüfen, welche konkreten Herausforderungen sich aus ihrer individuellen Geschäftstätigkeit ergeben. KPMG unterstützt Sie hierbei gern mit moderierten Workshops, Fragenkatalogen und Erfassungstools. Herausforderung Unser Angebot Etablierte Compliance- Organisation Eine konkrete Festlegung der Compliance-Funktionen im Unternehmen ist essenziell. So wird die Wirksamkeit des CMS unterstützt und möglichen Haftungsrisiken entgegengewirkt. KPMG kann Ihnen hier bei der Konzeption und dem Aufbau einer Organisationsstruktur behilflich sein und Sie bei der Erstellung von Anforderungsprofilen und Aufgabenbeschreibungen beraten. Definition von Compliance- Prozessen Definierte Prozesse sind Grundlage eines jeden funktionsfähigen und wirksamen Compliance- Systems. Wir unterstützen Sie gern bei der Definition und (konzernweiten) Implementierung verschiedener Compliance-Prozesse, wie zum Beispiel für Training und Kommunikation, Vertrags- und Richtlinienmanagement, Business Partner Screening, Umgang mit Verdachtsfällen, Verhalten bei Durchsuchungen etc. Optimiertes Compliance- Reporting Zielgerichtetes Reporting ermöglicht eine adäquate Unternehmenssteuerung. Hier besteht großer Nachholbedarf: Oft erhält der Vorstand drei oder mehrere verschiedene Berichtsformate mit unterschiedlichen Inhalten, was die Möglichkeiten zur adäquaten Unternehmenssteuerung erheblich erschwert. KPMG berät Sie gern bei der Definition von Berichtswegen, -frequenzen und -formaten sowie bei der Ausgestaltung eines integrierten Vorstands-Reportings, zum Beispiel durch Integration des Compliance Reportings in die Berichterstattung Ihres internen Kontrollsystems (IKS) oder Ihres Risikomanagementsystems (RMS). Wirksamkeit des Compliance Management-Systems Eine Prüfung des CMS nach dem Standard IDW PS 980 schafft größtmögliche Transparenz und sichert Vertrauen und Glaubwürdigkeit in die Außendarstellung eines Unternehmens. Zusammen mit unseren Kollegen aus dem Bereich Wirtschaftsprüfung können wir Sie bei der Vorbereitung auf eine derartige Prüfung unterstützen beziehungsweise vorbehaltlich der berufsrechtlichen Zulässigkeit im Einzelfall eine Prüfung Ihres CMS durchführen. 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International.
Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft Dr. Oliver Engels Partner, Risk & Compliance T +49 69 9587-1777 oengels@kpmg.com Jürgen Kunz Partner, Audit T +49 69 9587-3267 jkunz@kpmg.com Andrea Bretschneider Manager, Risk & Compliance T +49 30 2068-1528 abretschneider@kpmg.com www.kpmg.de Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. 2011 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzern gesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netz werks unabhängiger Mitglieds firmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, ange schlossen sind. Alle Rechte vorbehalten. Der Name KPMG, das Logo und cutting through complexity sind eingetragene Markenzeichen von KPMG International.