11. Frankfurter Symposium Compliance und Unternehmenssicherheit Frankfurt/Main 15. November 2012 Christian Strenger* Compliance-Überwachung durch den Aufsichtsrat * Aufsichtsrat der DWS Investment GmbH, Evonik Industries AG, Fraport AG, TUI AG Mitglied der Regierungskommission Deutscher Corporate Governance Kodex Akademischer Direktor, Center for Corporate Governance, HHL Leipzig Graduate School of Management
Agenda Christian Strenger I. Die Gesetzes- und Kodex-Vorgaben für Aufsichtsräte II. Was sind die praktischen Anforderungen an den Aufsichtsrat 1) Wie kann eine ausreichende Überwachungstätigkeit des Aufsichtsrats gesichert werden? 2) Wer hat den Aufsichtsrat zu informieren? 3) Wie ist der Rahmen der Überwachungsaufgabe abzustecken? 4) Welche Themen sind besonders zu verfolgen? 5) Welche externen Experten sind sinnvoll einzubeziehen? 6) Gibt es weitergehende Verpflichtungen des Aufsichtsrats? III. Fazit Anhang 2
I. Die Gesetzes- und Kodex-Vorgaben für Aufsichtsräte Compliance ist Kernaufgabe der Unternehmensleitung und hat umfassenden Eingang in die Rechtsprechung und den Kodex gefunden: AktG: 76 Abs.1, 91 Abs.2, 107 Abs.3 S.2, 111 Abs.1 DCGK: Tz. 3.4 Abs.2 S.1, 4.1.3, 5.3.2 Abs.1 S.1 Spätestens seit der Verabschiedung des BilMoG (2009) obliegt dem Aufsichtsrat die explizite Aufgabe, die Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems zu überwachen. Regelmäßig soll sich der Prüfungsausschuss auch mit Compliance-Fragen befassen (Tz. 5.3.2 DCGK). Die Verpflichtung des Aufsichtsrates (AR) ist darauf beschränkt, die vom Vorstand einzurichtenden Systeme zur Gewährleistung der Compliance durch ein unternehmensspezifisch adäquates Compliance-Management-System (CMS) zu überwachen. Das BilMoG verlangt die Prüfung der Wirksamkeit der genannten Systeme. Dies ist aber nicht als einmalige, sondern als Daueraufgabe zu verstehen und als Teil des Pflichtenhefts zu erfüllen. 3
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (I) Wie kann eine ausreichende Überwachungstätigkeit des Aufsichtsrats gesichert werden? Adäquate Informationsversorgung zur: Erläuterung des Systems und dessen Funktionsweise und Sicherung der laufenden Berichterstattung über das Funktionieren. Der Vorstand hat hierzu die generelle Verpflichtung (sog. Bringschuld) Aber: bei Vermutung unzureichender Informationen Holschuld des Aufsichtsrats Wer hat den Aufsichtsrat zu informieren? Berichterstattung des Vorstands gemeinsam mit dem hierfür verantwortlichen Compliance-Beauftragten bzw. dem Chief Compliance Officer Im Rahmen von Aufsichtsrats- bzw. Prüfungsausschusssitzungen berichten diese über ihre Arbeit und geben Auskünfte im Detail (üblich: jährlicher Gesamtbericht und unterjährige Information über aktuelle Compliance-Fälle sowie System-Änderungen). 4
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (II) Wie ist der Rahmen der Überwachungsaufgabe abzustecken? Die gesetzlich geforderte Wirksamkeitsüberwachung bezieht sich auf die Compliance-Systeme, d.h. eine umfängliche Prüfung des Aufsichtsrats im Unternehmen selbst ist weder verlangt noch rechtlich möglich. Der Aufsichtsrat hat sich aber zu vergewissern, dass die Unternehmensleitung die richtigen Ansätze für das Compliance-System hat. Wesentlicher Ausgangspunkt für die Ausgestaltung des Compliance- Management-Systems muss die unternehmensspezifische Erhebung des individuellen Risikoprofils des Unternehmens sein. Die Einhaltung der Gesetzesbestimmungen ist dem Gesellschaftsinteresse zwingend vorgeordnet: daher kein Ermessensspielraum der Business Judgement Rule des Aktiengesetzes; jedoch detaillierte Ausgestaltung eines auf das Unternehmensrisikoprofil angepasste System. 5
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (III) Welche Themen sind besonders zu verfolgen? Vom Vorstand vorgelebte unternehmenseigene Compliance-Kultur Klare Compliance-Regeln und Standards Verständliche und präzise Regelungen für Antikorruption, Geschenke, Spenden und Sponsoring Prävention als wesentliches Ziel der Compliance-Tätigkeit Klare Verantwortlichkeiten für die Compliance Aufgaben Ausstattung des Bereichs Compliance mit angemessenen qualitativen und quantitativen Ressourcen 6
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (IV) Welche Themen sind besonders zu verfolgen? Mehrstufige Aus- und Fortbildung der Mitarbeiter Ausreichende Zusammenarbeit mit anderen Abteilungen Fachlicher Informationsaustausch durch Kontakte zu Peer Group-Firmen zur Sicherung von Best Practice -Standards Ausreichend anonymisiertes Hinweisgebersystem Wirksame Sanktionen und eine Nulltoleranz-Politik bei Verstößen Befriedigendes Compliance-Verhalten als Bestimmungsfaktor für die variable Vorstandsvergütung 7
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (V) Welche externen Experten sind sinnvoll einzubeziehen? Der WP hat aufgrund seiner kontinuierlichen Prüfungshandlungen im Unternehmen einen erheblichen Informations- und Erkenntnisvorsprung. Daher sollte sich der AR durch regelmäßige Kommunikation (Teilnahme des WPs an Prüfungsausschusssitzungen) bestätigen lassen, dass die vom Vorstand eingerichteten Compliance-Systeme und -Prozesse einschließlich zielgerichteter Kontrollen wirksam sind. Systemüberprüfung (z.b. nach IDW Prüfungsstandard 980) durch einen dritten externen Berater (in der Regel wiederum Wirtschaftsprüfer-Firmen) inkl. einer Peer Group-Analyse. Der AR hat eine externe Prüfung durch Dritte insbesondere dann unverzüglich anzusetzen: wenn es Ansatzpunkte dafür gibt, dass offensichtliche Mängel in der grundsätzlichen systematischen Ausgestaltung des CMS vorliegen oder schwerwiegende Verstöße nicht umgehend behoben bzw. intern sanktioniert wurden. 8
II. Was sind die praktischen Anforderungen an den Aufsichtsrat (VI) Gibt es weitergehende Verpflichtungen des Aufsichtsrats? Ist ein aktiver oder früherer Vorstand in einen Compliance-Fall involviert, so kann der Aufsichtsrat sich nicht vornehm zurückhalten, sondern muss selbst etwaige Pflichtverletzungen untersuchen und auch prüfen, ob der Gesellschaft Haftungsansprüche zustehen (BGH-Entscheidung zu ARAG/Garmenbeck). Zur beispielgebenden Sicherung guter Compliance sollte sich der Aufsichtsrat eigene Compliance-Regeln geben und deren Relevanz im Rahmen der regelmäßigen Effizienzprüfung bestätigen. 9
III. Fazit Der AR muss ein hohes Interesse (u.a. wegen eigener Haftung) haben, dass ein erstklassiges Compliance-System mit hohem Wirkungsgrad und überzeugenden Sanktionsmechanismen existiert. Für seine systemische Überwachungsaufgabe muss er auf einen Compliancebewussten Vorstand und eine schlagkräftige Compliance-Mannschaft setzen. Regelmäßige Kommunikation zu diesem Thema, auch mit dem Wirtschaftsprüfer, ist zwingend zur Erledigung seiner Pflichten. Angemessene Kosten für anspruchsvolle Compliance sind deutlich niedriger als die direkten und indirekten Kosten eines nicht regelkonformen Verhaltens. 10
III. Anhang (I) Christian Strenger Compliance-Verhältnisse bei DAX- und MDAX-Unternehmen (gem. Spencer Stuart Board Index 2012) Organisation mit Chief Compliance Officer im Konzern bei 90% der Firmen vorhanden und Compliance-Beauftragten in den Regionen oder Geschäftsbereichen (68%). Instrumente zur Durchsetzung regelkonformen Verhaltens, vor allem eigene Kodizes (93%), Richtlinien (92%) und Schulungen (77%) sowohl als Präsenzveranstaltungen wie auch online. Regelkonformes Verhalten wird kontrolliert durch Hinweisgebersysteme (73%). Auch systematische Prüfungen werden erwähnt, allerdings nur vereinzelt. 42% der einbezogenen Unternehmen haben weitere Einheiten im Rahmen der Compliance geschaffen, meist um Aktivitäten von Compliance, Rechtsabteilung und Interner Revision abzustimmen. Quelle: Spencer Stuart (2012): Der Spencer Stuart Board Index Deutschland 2012, S. 45 Grundgesamtheit: 60 Gesellschaften (DAX30, einige aus dem MDAX, SDAX und TecDAX sowie drei nicht börsennotierte AGs) 11
III. Anhang (II) Christian Strenger Management Werkzeuge Konzern Regional/ Gesch.Ber Weitere Einheiten Direkter Bericht an AR/PrüfungsA Kodizes Richtlinien Hinweisgebersystem Schulungen Sonstiges Adidas AG Allianz SE n.a. Aurubis AG n.a. n.a. n.a. n.a. n.a. BASF SE Bayer AG n.a. Compliance Teil der Zielvereinbarung BMW AG Group Compliance Committee Beiersdorf AG n.a. Bertelsmann SE & Co. KGaA Corporate Compliance Committee Bilfinger SE Compliance Ausschuss Celesio AG n.a. n.a. n.a. n.a. Commerzbank AG Regulatory Affairs Committee n.a. n.a. Continental AG n.a. Ausbildungsstudiengang Compl.-Officer Daimler AG Vorstandsressort Integrität und Recht Compliance Teil der Zielvereinbarung Deutsche Bank AG Anti Financial Crime Committee n.a. Deutsche Börse AG n.a. n.a. Deutsche Euroshop AG n.a. n.a. n.a. n.a. n.a. n.a. n.a. Deutsche Lufthansa AG n.a. Deutsche Post AG Compliance Committee n.a. Deutsche Telekom AG Compliance Committee Deutz AG n.a. 12
III. Anhang (III) Christian Strenger Management Werkzeuge Konzern Regional/ Gesch.Ber Weitere Einheiten Direkter Bericht an AR/PrüfungsA Kodizes Richtlinien Hinweisgebersystem Schulungen Sonstiges Douglas Holding AG Int. Compliance Meeting n.a. Drillisch AG n.a. n.a. n.a. n.a. n.a. n.a. n.a. EnBW AG Compliance Committee n.a. E.ON AG n.a. Evonik AG Compliance Committee n.a. n.a. n.a. n.a. Fraport AG n.a. n.a. Compliance Board n.a. n.a. n.a. Fresenius Medical Care AG & Co. KGaA Vorstand ist auch Chief Corporate Compliance Officer Fresenius SE & Co. KGaA n.a. n.a. Fuchs Petrolub AG n.a. Gerresheimer AG n.a. VV zuständig für Compliance Gerry Weber Int. AG CSR Team n.a. n.a. GfK SE Compliance Teil der Zielvereinbarung Hannover Rück AG n.a. n.a. n.a. n.a. HeidelbergCement AG Henkel AG & Co. KGaA Compliance Committee Compliance Teil der Zielvereinbarung Hochtief AG n.a. Hugo Boss AG n.a. n.a. n.a. Infineon Technologies AG Compliance Panel n.a. Jenoptik AG n.a. Compliance Board n.a. K+S Aktiengesellschaft Compliance Ausschuss n.a. 13
III. Anhang (IV) Christian Strenger Management Werkzeuge Konzern Regional/ Gesch.Ber Weitere Einheiten Direkter Bericht an AR/PrüfungsA Kodizes Richtlinien Hinweisgebersystem Schulungen Sonstiges Klöckner & Co. SE Externe Wirksamkeitsprüfung LANXESS AG n.a. n.a. LEONI AG n.a. Corporate Compliance Committee n.a. Linde AG MAN SE MERCK KGaA Compliance Committee Metro AG n.a. MorphoSys AG n.a. n.a. Code of Conduct Committee n.a. n.a. n.a. Münchner Rück AG n.a. Fraud Prevention Committee n.a. Rheinmetall AG Arbeitskreis Compliance RWE AG n.a. Salzgitter AG n.a. n.a. n.a. n.a. n.a. SAP AG n.a. n.a. SGL Carbon SE Ad-hoc-Committee Siemens AG Compl. Investigations, Compl. Legal Software AG n.a. Compliance Board n.a. n.a. n.a. n.a. n.a. Talanx AG ThyssenKrupp AG TUI AG n.a. Volkswagen AG Compliance-Kernteam n.a. 14