COMPLIANCE ORGANISATION COMPLIANCE IM MITTELSTAND ▶ Kultur & Werte versus Standards & Normierung ▶ Compliance ist Kommunikation ▶ ISO Seiten 3 – 4 | 6 Seiten 5 | 11 19600 ▶ Compliance im Einkauf als Wettbewerbsvorteil RECHT & HAFTUNG BEST PRACTICE ▶ Managerhaftung ▶ Risikoanalyse Seiten 7 | 10 | 13 Seiten 12 | 15 ▶ Product Compliance ▶ Kartellrechtliche Compliance HandelsblattJournal Sonderveröffentlichung von Handelsblatt und Euroforum im kommunalen Unternehmen ▶ Smart Risk Assessment im börsennotierten Unternehmen Mai 2015 www.handelsblatt-journal.de Zukunftsstrategien COMPLIANCE Strukturelle und operative Herausforderungen Cyber Spionage als Bedrohung für Unternehmens-Know-how S. 8 – 9 2 INHALT | IMPRESSUM Die Themen dieser Ausgabe MEINUNGSBILD PRODUCT COMPLIANCE Kultur- und wertebasierte Compliance durch Standards und Normierung – ein Widerspruch? 3 Der Whistleblower – Verräter oder Held? 4 Product Compliance – Eine internationale Industrieherausforderung 10 INTERVIEW MITTELSTAND Wirkungsvolle Compliance im Einkauf als Wettbewerbsvorteil im Mittelstand ISO 19600: Maßgeschneiderte Compliance-Lösungen für den Mittelstand 5 Compliance ist Kommunikation 6 Compliance-Risikoanalyse in kommunalen Unternehmen 15 HAFTUNG 11 RISIKOANALYSE Compliance geht auch effizient 12 Gefahr erkannt, Gefahr gebannt – Angelpunkte der kartellrechtlichen Compliance 13 7 Totgesagte leben länger CYBER SPIONAGE Wirtschaftsspionage als Bedrohung für Unternehmen mit innovativem Know-how 8 Impressum Herausgeber Euroforum Deutschland SE Prinzenallee 3 40549 Düsseldorf Tel.: +49 (0)211 / 96 86 – 37 60 Fax.:+49 (0)211 / 96 86 – 47 60 [email protected] www.handelsblatt-journal.de HandelsblattJournal Projektleitung (V.i.S.d.P.) Petra Leven, Euroforum Deutschland SE Redaktionsleitung Dr. Angela Spanaus, Euroforum Deutschland SE Art Direction & Layout Kommunikationsdesign Kosmalla, Köln [email protected] Druck Axel Springer SE Offsetdruckerei Essen-Kettwig Titelbild/Seite 2 © Maksim Samasiuk / fotolia.com Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 MEINUNGSBILD 3 Kultur- und wertebasierte Compliance durch Standards und Normierung – ein Widerspruch? Ein Plädoyer für den individuellen Weg von Ulrich Rothfuchs I n Deutschland kann glücklicherweise (noch) jedes Unternehmen individuell selbst entscheiden, welche organisatorischen Maßnahmen es für angemessen erachtet, um Compliance-Verstöße zu vermeiden. In Anbetracht der gerade wieder einmal besonders festzustellenden Motivation des Gesetzgebers, aktiv in die Organisation von Unternehmen einzugreifen, ist das für die unternehmerische Freiheit eigentlich ein paradiesischer Zustand. Auch die Diskussion über ein Verbandsstrafrecht ändert daran nichts. Nach der aktuellen Entwurfsfassung soll es keine Vorgaben zu bestimmten Organisationsmaßnahmen geben. Vor diesem Hintergrund ist es schwer verständlich, mit welcher Dynamik sich Unternehmensjuristen, Compliance-Verantwortliche, Berater und neuerdings auch untereinander konkurrierende Berufsverbände und Lehrstühle daranmachen, Standards und Best-Practice-Modelle für Compliance-Management-Systeme zu entwickeln. Auf Branchentreffs wird keine Gelegenheit ausgelassen, Vorschläge zu Inhalten repressiver Unternehmensrichtlinien und Kontrollprozesse zu diskutieren. Dabei werden alle Bereiche unternehmerischen Handelns von der Annahme ei- ner Tasse Kaffee beim Vertriebsgespräch bis hin zur Transaktionsabwicklung auf den Caymans einbezogen. Austausch unter Kollegen kann eine gute Sache sein. Wenn sich jedoch aus dem Austausch Standards oder Best-Practice-Modelle entwickeln, kommt kein Unternehmer im Rahmen seiner Organisationspflicht mehr daran vorbei. So hätten dann Unternehmensvertreter der eigenen unternehmerischen Freiheit beim Umgang mit Compliance einen Bärendienst erwiesen. Der Bundesverband der Unternehmensjuristen BUJ geht noch einen Schritt weiter, indem er dazu auffordert, die Grundelemente eines ComplianceManagement-Systems gesetzlich zu definieren. Wie ist dieser Hang zu Standards und Reglementierung zu erklären? Skandal als Triebfeder einer Standardisierung In Deutschland brachte der Siemens Skandal ab 2006 richtig Dynamik in die Entwicklung der Compliance Diskussion und das nicht nur innerhalb der eigenen Unternehmensgrenzen. Aufgrund veränderter Verfolgungspraxis der Staatsanwaltschaften gerieten viele namhafte deutsche Unternehmen in den Sog von Ermittlungen. Die überzogenen organisatorischen Maßnahmen der ums Überleben kämpfenden Siemens AG dienten anderen Unternehmen als eine Art Masterplan. So schossen innerhalb kurzer Zeit ComplianceOrganisationen in der deutschen Industrielandschaft wie Pilze aus dem Boden. Viele Unternehmen haben dabei mit völlig unangebrachter Personalausstattung und einer Flut von kleinteiligen und unsinnigen Regelwerken das vernünftige Maß verloren. Es ist nicht verwunderlich, dass Kritiker von „schwarzen Löchern“ in den Unternehmensorganisationen sprachen. Eines ist all diesen Unternehmen gemeinsam: Sie haben unter dem Druck von außen einen Prozess der Krisenbewältigung eingeleitet und kommunizieren ihre weitreichenden und mit großem Finanzaufwand eingeführten Organisationsmaßnahmen nach außen hin als eine Standard setzende Leistung. Aber kann es richtig und vernünftig sein, dass die Resozialisierungsmaßnahmen unter Beobachtung stehender Unternehmen zum Modell für die ganze deutsche Wirtschaft gemacht werden? Compliance Beratung als lukrativer Wirtschaftszweig Auf diesen Zug springen viele am Markt tätige Beratungsfirmen auf. Wesentliche Grundlage für deren Beratungsleistungen sind auch hier wieder „Compliance kann nur dann effektiv sein, wenn sie in die eigene, individuelle Unternehmenskultur eingebunden ist.“ Ulrich Rothfuchs, General Counsel & Chief Compliance Officer, DEKRA SE Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal 4 MEINUNGSBILD Das jüngste Beispiel hat mit der Norm ISO19600 zu tun, die kein Standard ist, sondern lediglich eine Empfehlung. Sie gibt einen Überblick über all das, was für ein Management System nutzbringend sein kann. ISO19600 ist eine Zusammenstellung verschiedener, allgemeiner Compliance Ansätze und Management Prinzipen, jedoch kein Leitfaden für eine vergleichbare Zertifizierung. Man muss kein Prophet sein um vorauszusagen, dass Beratungsunternehmen dennoch versuchen werden, die ISO19600 als Blaupause für eine rechtssichere Compliance-Organisation mit strafund zivilrechtlichen Privilegien zu verkaufen. Dies entspricht vielleicht dem Interesse einiger verunsicherter Unternehmen oder auch dem von Kollegen, die unvorbereitet zum Compliance Verantwortlichen gemacht wurden und nun mit schablonenhaften juristischem Denken verzweifelt nach der herrschenden Meinung suchen. Ob jedoch mit einem solchen Baukastensystem Menschen nachhaltig zu integrem Verhalten motiviert werden können, halte ich für höchst zweifelhaft. Der Königsweg lautet Individualität Weshalb sich Unternehmer in ihrer Entscheidungsfreiheit durch Übernahme vermeintlicher Standards selbst beschränken sollen, ist insbesondere dann nicht nachvollziehbar, wenn man sich die eigentlichen Erfolgsgaranten von Compliance vor Augen führt. Compliance kann nur dann effektiv sein, wenn sie in die eigene, individuelle Unternehmenskultur eingebunden ist. Einen allgemeingültigen Standard hierfür gibt es nicht. Integrität ist eine Wertehaltung von Menschen und nicht von Organisationsmodellen. Die Entwicklung eines Compliance-Wertebewusstseins aller Mitarbeiter erfordert Zeit und Augenmaß. Standardisierte Prozessabläufe dürfen hierbei kein Selbstzweck sein. Compliance ist Führungsaufgabe. Hierbei muss jedes Unternehmen seinen eigenen, individuellen Weg finden und konsequent gehen. Umso kritischer ist deshalb der Versuch zu bewerten, zertifizierte Compliance-ManagementSysteme als wesentliche Voraussetzung für eine Haftungsreduzierung bei der Bemessung von Sanktionen zu etablieren. Hierauf kann man mit den Worten des Philosophen Peter Sloterdijk antworten: „Nur Individuen können weise sein, Organisationen sind im günstigsten Fall gut konzipiert.“ HandelsblattJournal Der Whistleblower – Verräter oder Held? von Dr. Angela Spanaus D as Wort „Whistleblower“ hätte auch zum „Wort des Jahres 2013“ erklärt werden können. Seine Verwendung in den Medien stieg seit den Enthüllungen von Edward Snowden rasant an. Zuvor war es nahezu unbekannt, zumal es zum englischen „Whistleblower“ (abgeleitet von: „to blow the whistle“, „in die Pfeife blasen“) kein wirklich treffendes deutsches Äquivalent gibt. Im Englischen hat „to blow the whistle“ die übertragene Bedeutung: „Aufdecken von Fehlverhalten“. Im Deutschen kann man jemanden „verpfeifen“. Das ist allerdings im Gegensatz zum englischen Begriff vollkommen negativ besetzt. Möchte man die eher positive Konnotation wiedergeben, wäre der „Whistleblower“ zu übersetzen mit: „Skandalaufdecker“ oder „Hinweisgeber“. Der Whistleblower ist eine Person, die – allgemein gesprochen – wichtige Informationen aus einem geheimen oder geschützten Zusammenhang an die Öffentlichkeit bringt. Er handelt per definitionem uneigennützig; sein Anliegen ist, erkannte Missstände für die Allgemeinheit transparent zu machen. Er ist oft die einzige Quelle für Journalisten, die politische Affären oder Wirtschaftsskandale aufdecken wollen. Der Whistleblower als Informant muss für sich selbst eher mit negativen Auswirkungen rechnen. Bei sehr brisanten Themen kann sogar sein Leben durch die Weitergabe der Informationen in Gefahr geraten. Die Öffentlichkeit sieht den Whistleblower deshalb oftmals als Helden. Der demokratische Dr. Angela Spanaus, Redaktion Handelsblatt-Journal Rechtsstaat ist in der Tat darauf angewiesen, dass es Menschen gibt, die den Mut aufbringen, ihre Insiderkenntnisse über Missstände an die richtigen Adressaten weiterzugeben. Diese positive Sicht bezieht sich aber meistens auf das „externe“ Whistleblowing. Edward Snowden, ehemalige technischer Mitarbeiter der US-amerikanischen Geheimdienste gilt NSA und CIA als schlimmer Nestbeschmutzer und Verräter. Für die Öffentlichkeit dagegen ist er der mutige Held, der die Existenz von Programmen amerikanischer und britischer Geheimdienste öffentlich machte und so die Welt vor der Totalüberwachung des Internets bewahrte. Für Compliance-Verantwortliche ist diese Art des externen Whistleblowings natürlich der Albtraum. Ihr Augenmerk richtet sich aber vor allem auf das „interne“ Whistleblowing“. Für Unternehmen werden interne Hinweisgeber immer wichtiger. Doch haben Mitarbeiter, die Missstände aufdecken, zumindest in Deutschland immer noch ein schlechtes Image. Das kann berechtigt sein, wenn ein Kollege nur deshalb verpfiffen wird, um einen Konkurrenten aus dem Rennen zu schlagen. Oder nur gezielt von eigenen Fehlern abgelenkt werden soll. Aus rechtlicher Sicht sind die Motive ohnehin nicht entscheidend. Wichtig ist, dass der Mitarbeiter sich mit seinen Hinweisen zunächst an seinen Arbeitgeber wendet und nicht voreilig zum externen Whistleblower wird. Denn es gehört zu den Treuepflichten eines Arbeitnehmers, betriebsinterne Angelegenheiten nicht einfach publik zu machen. Der Arbeitgeber seinerseits sollte ein hohes Interesse daran haben, Hinweise von internen Whistleblowern zu bekommen. Denn so lassen sich Missstände wie beispielsweise Betrug oder Korruption noch rechtzeitig abstellen, bevor vielleicht die Staatsanwaltschaft darauf aufmerksam wird. Es fehlt aber in vielen Unternehmen an Strukturen, um internes Whistleblowing einerseits zu fördern, andererseits aber auch in die richtigen Bahnen zu lenken. Das Whistleblower-Netzwerk e. V. bietet Compliance-Praktikern Lösungsansätze, wie sie mit dem Thema Whistleblowing umgehen können und fordert überdies einen effektiven gesetzlichen Schutz von Hinweisgebern in Deutschland (www.whistleblower-net.de). Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 Illustration: © Gstudio Group / fotolia.com Standards und vermeintlich in der Wirtschaft feststellbare Best-Practice-Ansätze. Schaut man ins Impressum einiger dieser Firmen, findet man die Kollegen aus den Skandalunternehmen der ersten Stunde wieder. Man sieht sich um, was in der Wirtschaft so gemacht wird und bastelt daraus ein Beratungskonzept. MITTELSTAND 5 Advertorial ISO 19600: Maßgeschneiderte Compliance-Lösungen für den Mittelstand von Jens Hartke & Johanna Wedemeier I m Dezember 2014 wurde die ISO-Norm 19600 zur Implementierung und kontinuierlichen Verbesserung wirksamer Compliance Management Systeme (CMS) veröffentlicht. Die ISO-Norm richtet sich an alle Organisationsformen, unabhängig von Größe oder Rechtsform. Sie definiert kein zertifizierbares Pflichtenheft mit Mindestanforderungen, sondern stellt einen flexiblen Leitfaden mit Empfehlungen zur Ausgestaltung eines CMS dar. Insbesondere der deutsche Mittelstand kann die zugrundeliegenden Grundsätze der Flexibilität und Verhältnismäßigkeit begrüßen. Mittelständische Unternehmen stehen zunehmend vor denselben Herausforderungen und Risikofeldern wie Großunternehmen. Ihre personellen, organisatorischen und finanziellen Ressourcen sind aber regelmäßig limitiert. Der Standard berücksichtigt dies ausdrücklich, wenn er feststellt, dass Größe, Struktur, Natur und Komplexität der Organisation insbesondere bei der Festlegung des Compliance-Programms, der Zuweisung der Compliance-Zuständigkeiten und Ressourcen sowie dem Umfang der Dokumentation und Informationsbeschaffung zu beachten sind. Mittelständler können so den ComplianceAnforderungen mit weniger stark formalisierten Organisations- und Kontrollstrukturen begegnen. Durch die Integration des CMS in bereits vorhandene Governance-Strukturen kann die Implementierung ressourcenschonend vollzogen und „Compliance-Bürokratie“ vermieden werden. Der ISO 19600 betont ausdrücklich die Rolle des Leaderships bei der Schaffung einer ComplianceKultur, die wiederum entscheidend ist für ein wirksames Compliance Management. Mittelständische Unternehmen mit einer inhabergeprägten Werte- und Führungskultur haben hier einen Vorteil, den sie im Rahmen der CMS-Implementierung nutzen sollten. Wenn Unternehmensinhaber die Einhaltung von Gesetzen und internen Richtlinien erkennbar „leben“, erhöht dies die Akzeptanz seitens der Mitarbeiter und die Wirksamkeit des CMS. Die Betonung von Flexibilität und Beachtung gerade auch der Stärken von weniger komplexen Organisationen kann helfen, eine im Mittelstand oft vorhandene Skepsis gegenüber Überwachungs- und Informationssystemen sowie Formalisierungs- und Dokumentationspflichten zu überwinden. Der Berufsstand der Wirtschaftsprüfer sieht in der neuen ISO-Norm eine Ergänzung ihres eigenen anerkannten Prüfungsstandards IDW PS 980. Die ISO-Norm könnte als globaler Standard und Teil der etablierten ISO-Landschaft zu mehr Einheitlichkeit und Transparenz bei der globalen Compliance-Umsetzung beitragen. Ein Großteil mittelständischer Unternehmen ist international tätig und wird mit immer komplexer werdenden Wertschöpfungsketten, steigender Regulatorik und Digitalisierung sowie Anforderungen von ausländischen Geschäftspartnern und Lieferanten konfrontiert. Ohne systematische Compliance-Maßnahmen kann es schwer fallen, alle relevanten Gesetze und Regelungen vollumfänglich zu überblicken und nicht unwissentlich dagegen zu verstoßen. ISO 19600 kann hier gerade dem Mittelstand wertvolle Hinweise bieten. Infobox ◾ Gemäß aktueller Rechtsprechung erfordert die Organisationspflicht der Geschäftsleitung bei entsprechender Gefährdungslage die Einrichtung eines auf Schadensprävention und Risikokontrolle angelegten ComplianceManagement-Systems (CMS). ◾ Die internationale ISO-Norm 19600 gibt Compliance-Verantwortlichen Empfehlungen zu der Einrichtung und kontinuierlichen Verbesserung eines CMS. ◾ Mittelständische Unternehmen können insbesondere die zugrundeliegenden Grundsätze der Flexibilität und Verhältnismäßigkeit begrüßen. Jens Hartke, Senior Manager, Governance & Assurance Services der KPMG AG WPG in Hannover ISO 19600 Johanna Wedemeier, Senior Associate, Governance & Assurance Services der KPMG AG WPG in Hamburg Good Governance Flexibilität Verhältnismäßigkeit Transparenz Nachhaltigkeit Universalität Grundsätze eines CMS nach ISO 19600:2014, Ziff.1 Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 www.kpmg.com HandelsblattJournal 6 MITTELSTAND Advertorial Compliance ist Kommunikation Mitarbeiter halten sich an Regeln, wenn sie diese nachvollziehen können. Dies wird nur durch gezielte Kommunikation erreicht. von Stephanie Müller D Darf ich meinen Geschäftspartner zum Mittagessen einladen oder bringe ich ihn damit in Verlegenheit oder gar Schwierigkeiten? Was ist erlaubt und was „gehört“ sich heutzutage in unserer Geschäftswelt? Nicht nur korruptionsanfällige Berufsgruppen werden mittlerweile zu „Compliance-Themen“ informiert. Mitarbeiter aller Ebenen und Branchen sehen sich regelmäßig mit neuen Richtlinien zu verschiedenen Compliance-relevanten Themen konfrontiert. Häufig sind sie verunsichert, weil nicht klar ist, was genau regelkonformes Verhalten ist und welche rechtlichen Konsequenzen zu befürchten sind. Doch woher kommt diese Verunsicherung und geringe Akzeptanz der Mitarbeiter? Eine Ursache könnte in der Umsetzung und der Formulierung der Compliance-Maßnahmen liegen. Compliance ist traditionell Aufgabe der Unternehmensjuristen oder der Revisionsabteilungen. Die Einführung eines Compliance-Programms bedeutet jedoch immer auch eine Veränderung der Unternehmenskultur. Diese wird generell von der Unternehmensführung getragen. Die Steuerung der Kultur ist Aufgabe der Unternehmenskommunikation, weshalb diese Abteilung frühzeitig in die Umsetzung von Compliance-Projekten einbezogen werden muss. Häufig erfolgt dies allerdings gar nicht, zu spät oder nur unzureichend. Die Folge: Notwendige Maßnahmen werden nicht sinnvoll und zielführend begleitet und umgesetzt. Dabei fordert der Prüfungsstandard PS 980 des Instituts der deutschen Wirtschaftsprüfer (IDW), dass Mitarbeiter über das Compliance-Programm und Ihre Rolle und Verantwortlichkeiten informiert werden. Denn nur so können sie ihre Aufgabe im Compliance-Management-System (CMS) Stephanie Müller, Compliance Communication Consultant bei der digital spirit GmbH, Berlin HandelsblattJournal ausreichend verstehen und sachgerecht erfüllen. Auch die seit 2015 in Kraft getretene internationale ISO Norm 19600 bestätigt, dass der „Tone from the top“ und angemessene Kommunikation ausschlaggebend sind für ein erfolgreiches Compliance-Management-System. Denn nur, wenn Mitarbeiter und Geschäftspartner über alle unternehmensinternen Regeln, Pflichten, Verantwortlichkeiten, Rollen und Berichtswege der Compliance-Organisation informiert werden, können sie diese verstehen, unterstützen und einhalten. Erst dann werden Compliance-Grundsätze fester und selbstverständlicher Bestandteil der täglichen Arbeit aller Arbeitnehmer. Zielgruppen für Compliance-Kommunikation Mitarbeiter bilden die größte und wichtigste, aber auch eine sehr heterogene Zielgruppe für Compliance-Kommunikation. Heterogen allein schon aus dem Grund, dass einige Abteilungen, wie Vertrieb oder Einkauf, stärker von wirtschaftskriminellen Handlungen betroffen sind, als beispielsweise die Produktion. Auch aus anderen Gründen, wie Ausstattung der Arbeitsplätze oder Standorten, ist bei der Ansprache der Mitarbeiter stark zu differenzieren: Wer muss zu welchem Thema und in welchem Umfang informiert werden? Welche Kanäle stehen zur Verfügung? Welche Maßnahmen werden zum Ziel führen? Führungskräfte sind in zweierlei Hinsicht auf Compliance-Kommunikation angewiesen. Einerseits müssen sie ihrer persönlichen Verantwortung gerecht werden und sich rechtskonform verhalten. Andererseits müssen sie mit ihren Mitarbeitern in Dialog treten, ihre Aufgabe als Multiplikatoren wahrnehmen und sie motivieren, Richtlinien ebenfalls zu befolgen. Eine weitere wichtige Zielgruppe sind die Geschäftspartner, auch „Dritte“ genannt. Darunter fallen Partnerunternehmen, Zulieferer, Kooperationspartner, Subunternehmer und freie Mitarbeiter. Dritte sind wichtig für die ComplianceStrategie, weil ihr Fehlverhalten beispielsweise nach dem UK Bribery Act Haftungsrisiken mit sich bringt und sie darüber hinaus erheblichen Reputationsschaden anrichten können. Auch die Öffentlichkeit hat Interesse an den Compliance-Aktivitäten eines Unternehmens. Besonders börsennotierten Unternehmen ist anzuraten, ihren Investoren und Fremdkapitalgebern nachweisen zu können, dass sie ComplianceMaßnahmen eingeführt haben und diese nach- verfolgen. Auch Kunden des jeweiligen Unternehmens möchten ein „gutes Gefühl“ haben, wenn sie eine Geschäftsbeziehung eingehen. Compliance-Kommunikation muss nicht nur zielgruppengerecht sein. Wichtig ist auch, welche Inhalte wie kommuniziert werden, und dass vor allem Mitarbeiter über mindestens drei verschiedene Kanäle mit dem Thema in Berührung kommen. Ob ein Unternehmen noch ganz am Anfang eines Compliance-Programms steht oder bereits mittendrin ist – ein zielgruppenorientiertes, angemessenes Kommunikationskonzept sollte Compliance-Maßnahmen stets begleiten: Von Anfang an, konsequent und regelmäßig. Fazit Kommunikation ist die Basis bei der Einführung, Vermittlung und Verankerung eines ComplianceProgramms. Nicht nur direkte Kommunikationsmaßnahmen, in Form von Mitarbeiterzeitung, Intranet oder Newsletter, sind hier maßgeblich. Auch eine positive (indirekte) ComplianceKommunikation von Führungskräften und Com pliance-Verantwortlichen an Mitarbeiter spielt eine übergeordnete Rolle. Nur so lassen sich Compliance-Werte in der Unternehmens kultur nachhaltig festigen. Deshalb ist es essentiell, Kommunikations-Spezialisten von Anfang an in die Entwicklung eines neuen Compliance-Management-Systems mit einzubinden. Denn Compliance-Richtlinien müssen einfach, einheitlich und eingängig sein, damit sie verstanden und akzeptiert werden. Über digital spirit digital spirit ist im deutschsprachigen Raum der führende Anbieter für Compliance-Training, -Beratung und -Kommunikation als Full-Service aus einer Hand. Unter der Marke COMFORMIS unterstützt digital spirit den deutschen Mittelstand beim Aufbau und Betrieb eines wirksamen Compliance-Managements. digital spirit mit Sitz in Berlin ist Teil der britischen Unternehmensgruppe Idox plc. www.compliance.idoxgroup.com Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HAFTUNG 7 Advertorial Totgesagte leben länger Die Auferstehung von Haftungsansprüchen gegen Manager in neuem Gewand von Dr. Hansjörg Scheel & Dr. Vera Rothenburg D ie Anforderungen an Vorstandsmitglieder und Geschäftsführer sind in den letzten Jahren ständig verschärft worden. Deshalb steigt die Zahl der Fälle stark an, in denen Manager auf Haftung in Anspruch genommen werden können. In solchen Fällen suchen die betroffenen Manager häufig nach Wegen, den Haftungsfall still und leise zu beerdigen. Häufig lebt die Haftung jedoch wieder auf – mit zusätzlichen Schäden und neuen Haftungsschuldnern. Das Warten auf den Eintritt der Verjährung beendet die Haftungsdiskussion in der Mehrzahl der Fälle nicht: In Gesellschaften mit einem Aufsichtsrat stellt sich nach Eintritt der Verjährung regelmäßig die Frage, ob nicht die Mitglieder dieses Organs für das Verjährenlassen der Ansprüche haften. Der (neue) Vorstand muss dann prüfen, ob der Aufsichtsrat pflichtwidrig handelte, als er die Haftungsansprüche gegen den (früheren) Vorstand verjähren ließ. In einem mehrstufigen Konzern können die Vorstandsmitglieder der Muttergesellschaft sogar verpflichtet sein, Haftungsansprüche gegen sich selbst als Geschäftsführer einer Tochtergesellschaft geltend zu machen. Wer das Vermögen der Muttergesellschaft mittelbar schädigt, indem er zulässt, dass Ansprüche gegen das Management der Tochtergesellschaft verjähren, handelt pflichtwidrig. Dr. Hansjörg Scheel, Partner Gleiss Lutz Dr. Vera Rothenburg, Partner Gleiss Lutz „Das Warten auf den Eintritt der Verjährung beendet die Haftungsdiskussion in der Mehrzahl der Fälle nicht.“ Und selbst wenn niemand mehr in Anspruch genommen werden kann – auch nicht wegen des Verjährenlassens eines Anspruchs – dürfen sich die aktuellen Manager nicht in falscher Sicherheit wiegen. Denn ihre Aufarbeitungspflichten nach vergangenen Haftungsfällen sind nicht zu vernachlässigen. Es gilt der Grundsatz, dass man aus Fehlern der Vergangenheit lernen muss. Stellen die aktuellen Geschäftsleiter beispielsweise fest, dass es in ihrem Unternehmen kein Compliance-System gab, das geeignet war, Straftaten zu verhindern, müssen sie unverzüglich ein solches System einrichten. Andernfalls begehen sie einen eigenständigen Pflichtverstoß, der eine Haftung begründen kann. Unerheblich ist, wie weit der ursprüngliche Haftungsfall zurück liegt und ob die damaligen Verantwortlichen noch im Amt sind. ßert, begehen Manager auch, wenn sie einen Haftungsfall in der Bilanz kaschieren wollen. Werden beispielsweise Abschreibungen aus einem Fehlinvestment unterlassen, ist der Haftungsfall nicht mit dem Verjährenlassen der ursprünglichen Pflichtwidrigkeit erledigt, sondern besteht in Gestalt eines Anspruchs wegen falscher Jahresabschlüsse in neuem Gewand fort. Er kann sogar Jahre später noch einmal – wiederum in neuem Gewand – aufleben und dem aktuellen Management zum Verhängnis werden. Denn sobald amtierende Geschäftsleiter Bilanzierungsfehler in Jahresabschlüssen früherer Jahre erkennen, müssen sie handeln. Um eine eigene Haftung zu vermeiden, können sie verpflichtet sein, den Jahresabschluss zu berichtigen oder bei besonders schweren Fehlern gar neu aufzustellen. Eine sekundäre Pflichtwidrigkeit, die nicht nur eine neue Verjährungsfrist in Gang setzt, sondern den entstandenen Schaden weiter vergrö- Ein beliebtes Mittel, um Haftungsprobleme „unter den Teppich zu kehren“, sind auch (Gefälligkeits-)Gutachten, die bescheinigen, dass kei- Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 ne Haftungsansprüche gegen das Management bestehen. Begründet ein Gremium seine Entscheidung, keine Haftungsansprüche geltend zu machen, mit einem solchen Gutachten, droht den Mitgliedern des Gremiums eine eigene Haftung, wenn das Gutachten nicht den vom Bundesgerichtshof aufgestellten hohen Anforderungen genügt. Der Haftungsfall kommt wieder zum Vorschein, wenn sich herausstellt, dass das Gutachten nicht von einem unabhängigen Berater erstellt wurde, die Auftraggeber den Sachverhalt falsch oder unvollständig mitgeteilt haben, oder sie das Gutachten keiner sorgfältigen Plausibilitätskontrolle unterzogen haben. Wer in Kenntnis des Haftungsfalls versucht, Ansprüche auf eine der dargestellten Arten zu beerdigen, sollte nicht nur wissen, dass er bis zu zehn Jahre länger in der zivilrechtlichen Haftung steht, sondern, dass auch Strafbarkeit droht (z.B. wegen Untreue) und dass er bei diesen Pflichtwidrigkeiten nicht durch die D&O-Versicherung geschützt wird. Wer heutzutage Haftungsansprüche ungeschickt vergräbt – sei es in falschen Jahresabschlüssen, in Gefälligkeitsgutachten oder durch Verjährenlassen – schaufelt eine Grube, die für ihn selbst noch viele Jahre lang strafrechtlich, haftungsmäßig oder karrierebezogen zum Reinfall werden kann. Zur Person/Kanzlei Dr. Hansjörg Scheel und Dr. Vera Rothenburg sind Partner im Stuttgarter Büro der Kanzlei Gleiss Lutz. Sie beraten im Gesellschaftsrecht/ M&A und insbesondere auch bei ComplianceFragen. Hier unterstützten sie vor allem bei der Durchführung von internen Ermittlungen und der Beratung von Vorstand und Aufsichtsrat zu ihren Pflichten. Gleiss Lutz ist eine der anerkannt führenden, international tätigen Anwaltskanzleien Deutschlands. Als Full Service-Kanzlei berät Gleiss Lutz Mandate mit einem starken, fachgebietsübergreifenden Compliance-Team. www.gleisslutz.com HandelsblattJournal 8 CYBER SPIONAGE Wirtschaftsspionage als Bedrohung für Unternehmen mit innovativem Know-how Ein Interview mit Michael George, Leiter Cyber-Allianz-Zentrum, Bayerisches Landesamt für Verfassungsschutz Erschwerend für die kleinen und mittleren Unternehmen kommt hinzu, dass sie weder finanziell noch personell in der Lage sind, sich eigene Sicherheitsabteilungen leisten zu können. Oft besteht auch noch die irrige Meinung: „Wir sind nur ein kleiner Zulieferer – wer soll sich denn für uns interessieren?“. Aber genau hier, bei den weniger gesicherten und weniger aufmerksamen Unternehmen, kann der Angreifer eine wichtige Lücke finden. Know-how-Schutz mit „IT-Sicherheit“ abgedeckt werden soll – doch dies reicht bei weitem nicht aus und ist aus unserer Sicht falsch adressiert, da ein ganzheitliches Sicherheitskonzept mehr umfasst und Regelungen/Entscheidungen getroffen werden müssen, deren Verantwortung auf Geschäftsführungsebene liegen sollte. Welche Schutzmaßnahmen empfehlen Sie Unternehmen? Ja – erstens durch die Anzahl und zweitens aufgrund der Qualität der Angriffe. Diese sind besonders erfolgreich je zielgerichteter sie ausgeübt werden. Dabei lassen sich Angreifer immer neue Wege und Methoden einfallen, um an die gewünschten Informationen heran zu kommen. Derzeit wird beispielsweise eine Methode beobachtet, die ihre Anlehnung im Tierreich findet: die sogenannte Watering-Hole-Attacke. Dabei geht der Angreifer von der Annahme aus, dass es bestimmte Webseiten oder Systeme gibt, die das Opfer mit sehr hoher Wahrscheinlichkeit früher oder später aufsuchen muss. Dem Gedanken folgend, greift man also das Opfer nicht direkt an, sondern infiziert das „Wasserloch“. Michael George, Leiter Cyber-Allianz-Zentrum, Bayerisches Landesamt für Verfassungsschutz Herr George, ist aus Ihrer Sicht Wirtschaftsspionage ein ernstzunehmendes Problem in erster Linie für die Großunternehmen oder betrifft es auch kleinere Firmen? Die Bedrohungslage gilt für große wie für kleine Unternehmen gleichermaßen – entscheidend ist nicht die Firmengröße oder -struktur, sondern ob innovatives Know-how vorhanden ist, speziell im Hochtechnologie-Bereich. Branchen wie Anlagenbau, Automotive, Chemie, Luft-und Raumfahrt, Bio-Tech, IT, und viele andere, in denen Deutschland international führend ist, sind für Angreifer von Interesse. Jedes Unternehmen, das einen eigenen Forschungs- und Entwicklungsbereich hat – und sei es noch so klein – ist ein lohnenswertes Ziel und daher potentielles Opfer. Wir raten Unternehmen zu gezielten Maßnahmen wie beispielsweise Verschlüsselung, Netzwerksegmentierung, Awareness-Schulungen für Mitarbeiter und dazu, bereits bei der Produktauswahl Sicherheitsthemen zu berücksichtigen. Dies erfordert jedoch seitens der Unternehmen ein ganzheitliches Schutzkonzept, dessen Grundlage die Klassifizierung der Betriebsinformationen ist. Wenn anhand der Klassifizierung die Schutzwürdigkeit festgelegt ist, müssen die entsprechenden Schutzmaßnahmen und organisatorischen Regelungen darauf abgestimmt werden. Wenn z.B. die IT-Abteilung nicht weiß, welche Daten kritisch sind, kann sie diese auch nicht gezielt schützen. Das gleiche gilt natürlich für Mitarbeiter – denen aus unserer Sicht die wichtigste Rolle beim Thema „Know-how-Schutz im Unternehmen“ zukommt. In unseren Gesprächen mit Unternehmen stellen wir immer noch häufig fest, dass der Bereich Hat die digitale Bedrohung für Unternehmen generell zugenommen? Daneben ist die Spear-Phishing-Email weiterhin eine bevorzugte Technik. Mittels geschickter Social-Engineering-Taktiken wird versucht, den Empfänger der gefälschten Email zu einer Aktion, wie etwa das Öffnen eines Dateianhanges oder der Besuch einer präparierten Webseite, zu bewegen, mit dem Ziel, den internen Rechner des Opfers mit einer Schadsoftware zu infizieren. SpearPhishing ist häufig Teil eines gezielten, komplexen „Die Bedrohungslage gilt für große wie für kleine Unternehmen gleichermaßen – entscheidend ist […] ob innovatives Know-how vorhanden ist.“ HandelsblattJournal Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 CYBER SPIONAGE 9 und nachhaltigen Angriffsversuchs auf Unternehmen, sogenannter Advanced Persistent Threat (APT). Ziel dieser Angriffe ist der Zugang zum internen Rechnernetz eines Unternehmens oder einer Behörde, um dort an vertrauliche Informationen zu gelangen. Häufig ermöglichen unentdeckte Sicherheits lücken in Netzwerkprodukten den Angreifern Zugang ins Netzwerk – wie Meldungen aus den letzten Wochen bestätigen. So sind schwerwiegende Schwachstellen u.a. bei Modellen der Firmen AVM, Linksys und Netgear durch Pressemitteilungen bekannt geworden. Können Sie kurz schildern, wie es zur Gründung des Cyber-Allianz-Zentrums kam und was Sie Unternehmen anbieten können? Die Gründung des Cyber-Allianz-Zentrums im Juli 2013 resultiert aus den Erfahrungswerten unserer Arbeit im Wirtschaftsschutz. Zum einen bemerken wir seit einigen Jahren, dass es immer mehr elektronische Angriffe auf bayerische Unternehmen gibt. Zum anderen wissen wir nicht genau, was dort im Detail passiert. Darüber hinaus äußern sich Firmen nur zögernd aus Angst vor Reputationsverlust, sollten solche Vorkommnisse öffentlich werden. WirtschaftsWoche Konferenz 19. und 20. Mai 2015, München Zukunftsstrategien Compliance Management Wir sind daher an die Unternehmen herangetreten und haben nach konkreten Bedürfnissen und Wünschen gefragt. Dabei kam heraus, dass sie sich sehr wohl einen staatlichen Ansprechpartner wünschen, aber Vertraulichkeit höchste Priorität besitzt. Die können wir bieten, weil wir beim Verdacht auf Straftaten nur in Ausnahmefällen die Strafverfolgungsbehörden informieren müssen. Das nennt man im Fachjargon „Opportunitätsprinzip“. Uns geht es in erster Linie um Erkenntnisgewinn. Die Vertraulichkeit des Sachverhalts bleibt somit gewahrt, das Heft des Handelns in der Hand des Unternehmens. Sparen Sie 200,- € Gutschein c od e 3711HBJO P1900112-2 00 wiwo.konfe re n z. de/ complianc e/anmeldu ng Zum anderen ist es den Unternehmen wichtig, einen konkreten Nutzen daraus zu ziehen, wenn sie einen Vorfall bei uns melden. Daher werden gemeldete Sachverhalte erst analysiert und bewertet sowie das Ergebnis und mögliche Empfehlungen an das betroffene Unternehmen zurückgegeben. Danach werden Erkenntnisse anonymisiert und an andere Unternehmen weitergegeben, damit diese prüfen können, ob sie auch angegriffen wurden. Konzeption und Organisation: Kontakt für betroffene Unternehmen: Michael George Bayerisches Landesamt für Verfassungsschutz Leiter Cyber-Allianz-Zentrum Info-Telefon: +49 (0) 2 11 / 96 86 – 35 77 http://wiwo.konferenz.de/compliance Tel.: 0 89 / 31 201 222 E-Mail: [email protected] Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal 10 PRODUCT COMPLIANCE Product Compliance – Eine internationale Industrieherausforderung von Prof. Dr. Thomas Klindt E s war eine schöne Vertriebsidee: Ein per Fernsteuerung bedienbarer Milchaufschäumer, bei dem der Aufschäumbecher zugleich als Trinkbecher serviert werden konnte. Das Ganze in knalligen Farben, b2b-freundlichen Messstrichen und haptisch in der 3-D-Gestalt eines japanischen Manga-Comicgirls. Gesagt, getan: In großer Stückzahl geordert, in Fernost gefertigt und über Rotterdam eingeschifft, beginnt ein stationärer wie online-Handel, der mit Twitter-Kampagnen guerillaartig unterstützt wurde. Der Absatz im EU-Raum boomt; längst werden nach und nach außereuropäische Staaten erobert und beliefert, von Israel über Südafrika und Japan bis zu Lateinamerika. Dann aber passieren seltsame Dinge: Diverse Marktüberwachungsbehörden aus dem EU-Raum melden sich mit amtlichen Monierungen: Eine irische Verbraucherschutzbehörde bemängelt die Giftigkeit und mangelnde Lebensmittelechtheit der knallbunten Farben, die ja immerhin mit den Lippen in Berührung kommen. Eine slowakische Behörde hat die elektromagnetische Verträglichkeit des Stromfelds am Gerät gemessen und rügt nun Verstöße gegen die europäische EMV-Vorschrift. Eine spanische Behörde wiederum hält die Manga-Figur aufgrund ihrer gesamten Anmutung für ein Kinderspielzeug, vermisst eine CE-Kennzeichnung und hält das ganze spielzeugrechtlich für gefährlich. Ein österreichisches Eichamt rügte die fehlende eichrechtliche Maßsicherheit der Messstriche. Und als schließlich auch noch eine südafrikanische Netzbehörde die fehlende funkrechtliche Zulassung der Fernbedienung rügt, ist der Geschäftsführung klar, dass irgendetwas ganz fürchterlich schief gelaufen ist. Aus dem vermeintlichen Power Seller ist ein Problemkind geworden; die verführerischen Gewinnmargen sind von Rechtsstreitigkeiten mit Behörden, Verbraucherschutzorganisationen und Produktrückrufen aufgefressen. Händler listen wieder aus, Wettbewerber mahnen ab. Zu nah an die Sonne gekommen und schnell verglüht. Rechtsanwalt Prof. Dr. Thomas Klindt ist Partner der Kanzlei Noerr LLP „Aus dem vermeintlichen Power Seller ist ein Problemkind geworden; die verführerischen Gewinnmargen sind von Rechtsstreitigkeiten mit Behörden, Verbraucher schutzorganisationen und Produktrückrufen aufgefressen.“ die im In- wie Ausland geltenden Produktgesetze einhalten. Und davon gibt es sehr viele; nur eines nicht zu kennen, kann für eine Amtsintervention schon ausreichen. Ganz vorrangig handelt es sich um Vorschriften, die der Benutzersicherheit dienen, also echte Produktsicherheit gewährleisten. Dies können humantoxische Gefährdungen sein, mechanische Risiken des Produkts, die Verwendung nicht zugelassener Inhaltsstoffe, Stromschlagrisiken oder mangelnde Bedienungshinweise. Es können aber auch Produktvorschriften sein, die mehr dem medialen Umweltschutz im Lebenszyklus dienen, indem bestimmte Produktelemente gar nicht mehr verwendet werden sollen. Dies kann Fragen bestimmter Stoffsubstanzen ebenso wie das Batterierecht, Elektronikschrott-Vorschriften oder den Gentechnikeinsatz bei Lebensmitteln betreffen. Aber auch an ganz anderer Stelle kann der Gesetzgeber Anlass gesehen haben, für Produkte bestimmte Vorgaben zu machen. Unser Beispiel zeigt, dass etwa im EMV-Bereich gesetzliche Vorgaben zwingend sind; genauso gilt dies für funk- und telekommunikationstechnische Gerätschaften. Das Eichrecht schließlich wird gerne komplett unterschätzt. Und als nächste gesetzliche Regelungsfamilie zeigen sich am Horizont schon Vorschriften zur Barrierefreiheit und zum altersgerechten Benutzen von Produkten. Man bedenke: In der EU sind diese Vorschriften wenigstens noch harmonisiert und damit für über 30 Staaten einheitlich synchronisiert. Verlässt man im Vertrieb indes die EU, gilt es sofort, von Land zu Land, von Vertriebsregion zu Vertriebsregion zu ermitteln, welche gesetzlichen Vorschriften zwingend für die Produkte gelten. Verfehlt man sie, erzeugt man „nicht-legale“ Produkte. Und das wird nicht gutgehen. © papsk525/fotolia.com Vorschriften sollen echte Produktsicherheit gewährleisten Diese Sonne heißt: Product Compliance. Viel zu oft übersehen exportorientierte Unternehmen, dass Produkte im In- wie Ausland nur dann erfolgreich vertrieben werden können, wenn sie HandelsblattJournal Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 INTERVIEW 11 Wirkungsvolle Compliance im Einkauf als Wettbewerbsvorteil im Mittelstand Ein Interview mit Güray Karaca, Kerkhoff Risk and Compliance GmbH Einkauf und Beschaffung sind in besonderer Weise von haftungs- und kartellrechtlichen Risiken betroffen. Wo lauern die größten Gefahren und wie kann man effektiv vorbeugen? GüK: Laut einer Studie zur Wirtschaftskriminalität aus dem Jahr 2013 werden 50 % der strafbaren Handlungen in einem Unternehmen im Bereich des Einkaufs bzw. der Materialwirtschaft verübt. Da sprichwörtlich der „Gewinn im Einkauf“ liegt, geht das größte Gefahrenpotential von den eigenen Mitarbeitern im Unternehmen aus. Beispielsweise, wenn ein Einkäufer mit Lieferanten oder anderen Marktteilnehmern Preisabsprachen trifft, um sich damit einen persönlichen Vorteil zu verschaffen. Gerade im Mittelstand ist das interne Kontrollsystem (IKS) oftmals noch mangelhaft oder nicht hinreichend ausgeprägt. Die Erkenntnis für die Notwendigkeit eines Compliance Management Systems (CMS) ist bei kleineren und mittleren Unternehmen noch nicht durchgängig vorhanden, obwohl diese Unternehmen mindestens genauso betroffen sind wie große Konzerne. Mit einem auf das jeweilige Geschäftsmodell angepassten CMS bzw. IKS lassen sich geeignete Vorkehrungen treffen, um das Haftungsrisiko der Geschäftsführer und Vorstände sowie finanziellen Schaden für das Unternehmen erheblich zu reduzieren. Nicht zu unterschätzen ist auch der Reputationsschaden, den ein Unternehmen durch ein in der Öffentlichkeit kommentiertes Verfahren erleiden kann. Was muss im Zusammenspiel von Einkäufer und Lieferant beachtet werden? GüK: Wenn der Einkäufer mit dem Lieferanten beispielsweise über eine neue Lieferbeziehung spricht, ist es ratsam, den Lieferantenauswahlprozess an nachvollziehbare und objektive Kriterien zu knüpfen. Ein Einkäufer sollte auch niemals allein eine Lieferantenauswahl bzw. Vergabeentscheidung treffen dürfen. Hier können ein 4-Augenprinzip, verbunden mit einer unternehmensweit gültigen Unterschriftenrichtlinie sowie die gelebte Funktionentrennung helfen, Risiken im Beschaffungsprozess zu minimieren. Ferner müssen alle wesentlichen Teilprozesse im Beschaffungsprozess, z.B. bei der lichen und menschlichen Ressourcen umgeht, wird vom Markt belohnt werden. Weiterhin ist zu bedenken, dass Unternehmen, welche bereits einmal auffällig geworden sind, z.B. wegen kartellrechtlicher oder anderer Compliance-Verstöße, von öffentlichen Ausschreibungen ausgeschlossen werden können. Andere Marktteilnehmer und das eigene Unternehmen verlieren Marktanteile. Güray Karaca, Geschäftsführer/Managing Director, Kerkhoff Risk and Compliance GmbH Beauftragung eines Lieferanten vollständig, hinreichend und nachvollziehbar dokumentiert sein. Ein weiteres hilfreiches Mittel, um keine Abhängigkeiten zwischen Einkäufer und Lieferant entstehen zu lassen, ist „Jobrotation“. Dies bringt zwar anfangs Mehrarbeit mit sich, da sich der Mitarbeiter immer wieder in neue Arbeitsgebiete einarbeiten muss, erhöht jedoch seine Flexibilität und dessen Motivation durch „Job Enrichment“. Sie sprechen von einem Wettbewerbsvorteil durch wirkungsvolle Compliance – können Sie das näher erläutern? GüK: Unternehmen, die Compliance als eine vorübergehende Modeerscheinung betrachten, werden eine böse Überraschung erleben. Compliance wird immer stärker in den Fokus der Kunden rücken, ähnlich wie beim CO2 Ausstoß in der Automobilindustrie oder einem ökologisch nachhaltigen Footprint. Diese Faktoren werden in der Kaufentscheidung bewusst sowie unterbewusst eine wichtige Rolle spielen. Wer will schon bewusst ein Markenhemd für 150 Euro kaufen, welches in Südostasien unter jeglicher Nichteinhaltung von Arbeitsschutzvorschriften hergestellt und auch noch von Kindern genäht wurde? Diejenigen Unternehmen, welche aktiv in ihrer Supply Chain auf ihre Lieferanten eingehen und diese hinsichtlich Compliance mit einbeziehen, werden sich einen Wettbewerbsvorteil verschaffen. Wer proaktiv und fürsorglich mit den natür- Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 Ich bin davon überzeugt, dass diejenigen Unternehmen, welche Compliance als Unternehmenswert definieren und fest in ihrer Unternehmenskultur verankern, gegenüber Wettbewerbern einen entscheidenden Vorteil erlangen. Und wer glaubt, Compliance sei teuer, der sollte einmal kritisch untersuchen, was seine aktuelle „NonCompliance“ kostet. Wie sollten Einkauf und Beschaffung mit dem Compliance Officer zusammenarbeiten? GüK: Respektvoll und partnerschaftlich! Hier geht es nicht darum, gegeneinander zu arbeiten, sondern miteinander. Beide Seiten sollten offen sein, sich respektieren und versuchen, gemeinsam das Beste für das Unternehmen hinsichtlich des Risikomanagements zu erzielen. Sobald einzelne Bereichsziele im übergeordneten Unternehmensziel integriert werden, kann eine Vertrauenskultur entstehen, welche erforderlich ist, um zielorientiert und erfolgreich zusammen zu arbeiten. Wo liegt der “Return on Compliance”? GüK: Erstens in einem deutlich verminderten Haftungsrisiko des Unternehmens sowie des Top Managements. Zweitens in der Vermeidung von Kosten für Bußgelder, Schadensersatzansprüche, Umsatzeinbußen oder schlechtere Konditionen. Und drittens in der Vermeidung von Reputationsschaden durch Negativschlagzeilen oder Verlust von Kunden und Partnern. www.kerkhoff-rc.com HandelsblattJournal 12 RISIKOANALYSE Compliance geht auch effizient Mit dem „Smart Risk Assessment“ Unternehmensrisiken adressieren von Dr. Florian Stork & Dr. Maik Ebersoll C ompliance muss effektiv sein: Der Erfolg eines Compliance-Management-Systems (CMS) beurteilt sich nicht zuletzt am Ausbleiben systematischer Regelverletzungen. Insbesondere in größeren Unternehmen hat Compliance jedoch bereits seine Pionierphase hinter sich gelassen und muss sich mehr und mehr auch ökonomisch rechtfertigen. Compliance muss daher auch effizient sein. Dr. Florian Stork LL.M. oec. ist Rechtsanwalt/Associate Senior Counsel – Compliance EMEA bei der Linde AG sowie Lehrbeauftragter an der Hochschule Fresenius (München). Er leitet die Praxisgruppe Kartellrecht und unterstützt bei der Linde Group die Strategie und Prozesssteuerung des Bereichs Compliance. Dabei kommt der Compliance-Risikoanalyse, bestehend aus Risikodefinition, -identifikation und -bewertung, eine überragende Bedeutung zu. Sie hilft mögliche Schwachpunkte zu identifizieren und eine grundlegende Fehlallokation von Ressourcen zu verhindern, die im operativen Unternehmensalltag meist nur schwer zu revidieren wäre. Die Risikoanalyse beantwortet die Frage, „ob“ und „wo“ risikosteuernde Maßnahmen überhaupt erforderlich sind. Wurden diese einmal ergriffen, können sie oft nur noch im Hinblick auf ihre Ausgestaltung, das „Wie“, optimiert werden. Eine umfassende und angemessene Compliance-Risikoanalyse erfordert ihrerseits einen erheblichen Ressourceneinsatz. Dieser lässt sich jedoch durch eine effiziente Ausgestaltung, z.B. in Form des „Smart Risk Assessment“, deutlich vermindern. Dr. Maik Ebersoll LL.M. (com.), Dipl.-Kfm., betreut als Head of Legal Operations in der global aufgestellten Rechtsfunktion der Linde Group die Bereiche Strategie, Organisation, Finanzen, Systeme & Prozesse, Personal und berät im Wirtschaftsrecht. Für die Compliance-Risikoanalyse gibt es verschiedene Ansätze. Der wiederkehrende, unmittelbare Austausch mit den „Risk Owners“, also Unternehmensmitarbeitern mit Ergebnis-, Prozess- und Führungsverantwortung, ist grundlegend. Strukturierte Interviews oder Workshops mit diesem Personenkreis sind ein sinnvoller, notwendiger und unverzichtbarer Ansatz, um die relevanten Informationen zu erheben. Sie sind allerdings für alle Beteiligten zeit- und damit ressourcenintensiv, insbesondere dann, wenn sie ausnahmslos in allen Unternehmensbereichen durchgeführt werden. Ein solches Vorgehen ist auch unter den Begriffen „Screening“ oder „Scoping“ bekannt und bildet in automatisierter Form eine geeignete Vorstufe zu den personalintensiveren Methoden der klassischen Risikoanalyse. Auf die Dialoge zwischen ausgewählten Unternehmensbereichen und Compliance-Personal wird nicht verzichtet; sie schließen sich auf einer zweiten Ebene an und bleiben auf die risikogeneigten Bereiche des Unternehmens beschränkt. Damit ermöglicht das „Smart Risk Assessment“ eine deutlich effizientere Risikoanalyse und einen fokussierten Austausch über die bestehende und zukünftige Risikolage zwischen Business und Compliance-Organisation. Entscheidend für die erfolgreiche Durchführung eines „Scoping“ ist die Zerlegung eines abstrakten Risikos wie „Korruption“ in die darin enthaltenen Einzelrisiken und deren Bewertung anhand geeigneter Indikatoren für die Eintrittswahrscheinlichkeit und mögliche Auswirkungen. Der Weg vom Gesamt- zum Einzelrisiko und zur Messung verlangt Fach- und Unternehmenskenntnis, da hierzu – wie übrigens auch bei jeder Frage im klassischen Risikointerview – Verknüpfungen von Unternehmensprozessen mit juristischem Wissen erforderlich sind. Für das Risiko „Korruption“ könnte eine einfache Zerlegung z.B. so aussehen: Einzelrisiko Indikator Datenquelle Regionales Korruptionsrisiko Korruptionsindex z. B. Corruption Perception Index (CPI) Transparency International Tatsächliches Korruptionsrisiko Substantiierte Korruptionsfälle Rechtsabteilung, Innenrevision Geschenke & Einladungen Relevante Buchungen/Registrierte Geschenke & Ein ladungen Buchhaltungsdaten/ Elektronisches Register für Geschenke & Einladungen Sponsoring & Spenden Relevante Buchungen/Registrierte Sponsoring & Spenden Buchhaltungsdaten/Elektronisches Register für Sponsoring & Spenden Drittbeteiligung Einsatz von Vermittlern Business Partner Due Diligence Datenbank/ Umsatzvolumen/-anteil und Kontakte über Vermittler Amtsträgerbeteiligung Amtsträgerkontakte Compliance Organisation Daten/Umsatzvolumen/anteil und Kontakte mit Amtsträgern … … … Smart Risk Assessment Will man nicht auf die Vorteile individueller Risikodialoge im Wege strukturierter Interviews oder Workshops verzichten, muss die Compliance-Risikoanalyse wirtschaftlicher ausgestaltet werden. Das „Smart Risk Assessment“ geht diesen Weg, indem es unternehmenseigene und öffentlich verfügbare Daten zur Priorisierung und Selektion risikogeneigter Unternehmensbereiche verwendet. Idealerweise werden hierzu zentral und dezentral erhobene Daten genutzt und elektronisch verarbeitet, die ohnehin bereits vorhanden sind. HandelsblattJournal Die Auswertung solcher Daten offenbart schnell die Risikotendenz jedes einzelnen Unternehmensbereiches. Mit Hilfe von Auswahlkriterien lassen sich anschließend diejenigen Bereiche bestimmen, die genauerer Analyse bedürfen und daher in die personalinten- Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 RISIKOANALYSE 13 sivere zweite Stufe der Risikoanalyse einbezogen werden sollten. Im Ergebnis verbindet das „Smart Risk Assessment“ den klassischen interaktiven Risikodialog mit den Vorteilen elektronischer, datengestützter Methoden. Gerade in großen Unternehmen mit einer Vielzahl von Unternehmensbereichen erlaubt es eine erhebliche Effizienzsteigerung. Diese wird erreicht, indem die ressourcenintensiven Risikodialoge auf die risikogeneigten Unternehmensbereiche beschränkt werden und risikoärmere nach hinten gestellt werden. Mit anderen Worten: Die knappen, wertvollen Ressourcen, wie z.B. die Arbeitszeit von Führungspersonal und Complianceverantwortlichen sowie die Investition in Risikosteuerungsmaßnahmen können durch das „Smart Risk Assessment“ auch in Zukunft auf die „lohnenden“ Risikoobjekte fokussiert werden. Zur Vertiefung sei auf die folgenden Publikationen verwiesen: Ebersoll/Stork, CCZ 2013, 129 ff. und Ebersoll/Stork, Controller Magazin, 2/2014, 41ff. Smart Risk Assessment Ebene 1: Elektronisch unterstütztes „Scoping“ – Umfassend, effizient und dokumentiert – Messung mit Hilfe interner und externer Daten Alle Unternehmensbereiche Auswahl – Festlegung der Interview-Kandidaten anhand definierter Auswahlkriterien – Plausibilitätscheck Eine Studie der Universität Gießen von Prof. Dr. Georg Götz, Dr. Johannes Paha, Daniel Herold & Marieke Funck I G., Herold, D. und Paha, J. (2015). „Forschungsprojekt Kartellrechts- Compliance: Wie Compliance-Maßnahmen Kartellrechtsverstöße verhindern und zum Unternehmenserfolg beitragen können.“ Erscheint in: FIW-Schriftenreihe Weitere Informationen finden Sie unter dem folgenden Link: http://goo.gl/mbUAgI Verfügbare Daten Identifikation von risikogeneigten Unternehmensbereichen Ebene 2: Interaktive Risikodialoge – Analyse des tatsächlichen Risikos durch strukturierte Interviews – Definition und Implementierung von Steuerungsmaßnahmen Gefahr erkannt, Gefahr gebannt – Angelpunkte der kartellrechtlichen Compliance 1 Götz, Alle Risikobereiche m Jahr 2014 verhängte das Bundeskartellamt erstmals Bußgelder i.H.v. mehr als 1 Mrd. EUR. Das höchste Einzelbußgeld i.H.v. 195,5 Mio. EUR entfiel dabei auf einen Zuckerhersteller. Bereits diese Zahlen belegen, dass Verstöße gegen das Kartellverbot einem Unternehmen massiv schaden können, zumal Kartellsünder außerdem mit Schadensersatzforderungen ihrer Kunden sowie mit Verfahrenskosten rechnen müssen. Zudem bindet die Verfahrensabwicklung erhebliche Managementressourcen. Eine Umfrage der Justus-Liebig-Universität Gießen1 zeigt, dass 82% der in Deutschland, Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 Österreich und der Schweiz befragten mittelständischen und großen Unternehmen Maßnahmen zur Eindämmung allgemeiner Risiken durchführen. 85% dieser Unternehmen stellen ganz gezielt auch auf kartellrechtliche Risiken ab. Innerhalb dieser Gruppe umfassen die häufigsten Maßnahmen Schulungen (93%), Verhaltensregeln (82%) und Kodizes (100%). Diese Maßnahmen zielen darauf ab, Informationsdefizite bei Mitarbeitern abzubauen und sie dadurch letztendlich von rechtswidrigem Verhalten abzuhalten. Diese Maßnahmen allein greifen allerdings zu kurz, da Kartelle nicht nur aus Unwissenheit gebildet werden. Absprachen über Preise oder Verkaufsgebiete werden teilweise als probates Mittel angesehen, um auf negative Entwicklungen im Marktumfeld des Unternehmens und dadurch bewirkte Gewinnrückgänge zu reagieren. So wurde das Kartell der Kunstauktionshäuser Christie‘s und Sotheby‘s als Reaktion auf eine Rezession im Kunstmarkt in den 1990er Jahren gebildet. In diesem Kontext offenbart sich bei den befragten Compliance Officers und Unternehmensjuristen eine augenscheinlich unzureichende Wahrnehmung der Bedeutung von Risikofaktoren im ökonomischen Umfeld. Während mangelhafte Informationen über das Kartellrecht von 85% der Befragten als Problem genannt wurden, identifizierten weniger als 40% der Teilnehmer Nachfrageänderungen als möglichen Auslöser für Verstöße gegen das Kartellverbot. Vorübergehende Gewinnsenkungen sowie ein schwankender Gewinn wurden nur von 24% der Studienteilnehmer zu den Risikofaktoren gezählt. HandelsblattJournal 14 RISIKOANALYSE Diese Wahrnehmung beeinflusst die Ausgestaltung der Compliance-Maßnahmen, die der Förderung rechtskonformen Verhaltens dienen sollen. Schulungen sind hierbei ein notwendiges Element. Dass diese Schulungen allein allerdings häufig nicht hinreichend sind, wird am Beispiel der gezielt begangenen Verstöße besonders deutlich. Da gleichzeitig eine flächendeckende Durchführung von Schulungen teuer ist, kann es sinnvoll sein diese auf Zeiten und Abteilungen zu konzentrieren, die durch ein besonders hohes Risiko für Verstöße gekennzeichnet sind. Screening als präventive Maßnahme Nicht nur im Hinblick auf kartellrechtlich relevantes Fehlverhalten geht es darum, drohende ökonomische Schieflagen mittels Maßnahmen des Risikomanagements bereits frühzeitig zu erkennen und durch gezieltes Gegensteuern zu vermeiden. Viele Entwicklungen wie z.B. Konjunktureinbrüche, Markteintritte neuer Wettbewerber und technologischer Wandel können von den Unternehmen aber nicht beeinflusst werden. Somit stellt sich die Frage, was Unternehmen zusätzlich tun können, um damit einhergehende Risiken zu vermeiden. Eine Maßnahme, die sowohl präventiv als auch aufdeckend wirkt, ist das sogenannte Screening. Dadurch können Verstöße nicht nur frühzeitig erkannt werden. Die Erwartung einer schnellen Aufdeckung wirkt zudem abschreckend und trägt zur Verhinderung von Verstößen gegen das Kartellverbot bei. In der Gruppe der Unternehmen, die Maßnahmen zur Eindämmung kartellrechtlicher Risiken durchführen, geben zwar 73% an, schon heute eine aktive Suche nach Fehlverhalten zu betreiben. In der konkreten Ausgestaltung dieser Maßnahmen besteht jedoch noch Optimierungspotential. „In der Gruppe der Unternehmen, die Maßnahmen zur Eindämmung kartellrechtlicher Risiken durchführen, geben 73% an, schon heute eine aktive Suche nach Fehlverhalten zu betreiben.“ Grundsätzlich kann zwischen Screening-Ansätzen unterschieden werden, die strukturierte, quantitative Daten (z.B. Rechnungslegungsdaten) und solchen, die unstrukturierte, qualitative Daten (z.B. E-Mail Schriftverkehr) verwenden, um Verstöße gegen kartellrechtliche Vorschriften zu identifizieren. Bspw. kann ein in den Daten des internen Rechnungswesens beobachtbarer Anstieg der realisierten Margen in Absatzgebiet A auf einen Verstoß hindeuten, wenn in den Gebieten B bis D die Margen sinken und sich gleichzeitig Anzeichen für eine sich generell abschwächende Nachfrage ergeben. Jedoch ist zu bedenken, dass solche quantitativen Verfahren lediglich Hinweise, jedoch keine abschließende Evidenz über das Bestehen einer Absprache liefern können. kartellrechtlichen Bußgeldverfahren angewendet werden. Dabei wird der E-Mail Verkehr relevanter Mitarbeiter auf Hinweise auf Verstöße durchsucht. Bei einer Vorverlagerung der E-Discovery in den Compliance-Prozess sind drei Nebenbedingungen zu beachten. Erstens kann die Anwendung dieser Verfahren datenschutzrechtliche Bedenken wecken. Sie sollten daher nach Möglichkeit mit anderen Verfahren (z.B. Screening-Verfahren zur Analyse strukturierter Daten) kombiniert werden, um erst nach der Identifikation eines Anfangsverdachts eingesetzt zu werden. Ein nicht-ausufernder Einsatz dieser Methoden ist, zweitens, sinnvoll um nicht den Anschein einer Überwachungskultur im Unternehmen zu erwecken, die sich negativ auf die Motivation der Mitarbeiter auswirken kann. Drittens trägt ein zielgenauer Einsatz der vergleichsweise aufwändigen E-Discovery Methode zu einer höheren Kosteneffizienz der Compliance-Maßnahmen bei. An der Justus-Liebig-Universität Gießen forscht ein Team um Prof. Dr. Georg Götz und Dr. Johannes Paha zur kartellrechtlichen Compliance. Aktuell stehen dabei u.a. die angesprochenen qualitativen und quantitativen Screening-Verfahren im Fokus der Arbeit. Darüber hinaus befragen die Wissenschaftler im Rahmen einer Erweiterung der o.g. Umfragestudie nun nicht mehr nur Unternehmen im deutschsprachigen Raum, sondern weltweit. Dies erlaubt ein regional differenziertes Benchmarking der Compliance-Bemühungen, um hieraus Ansätze für eine weitere Effektivitätssteigerung zu entwickeln. Wenn Sie Compliance-Officer oder Unternehmensjurist sind, können Sie diese ComplianceForschung unterstützen. Die Gießener Volkswirte würden sich sehr freuen, wenn Sie ca. 30 Minuten Ihrer Zeit verwenden würden, um an der Umfrage teilzunehmen und über Ihre Erfahrungen und Erfolge im Feld der kartellrechtlichen Compliance berichten. Zur Umfrage: https://www.soscisurvey.de/ complianceproject/?q=34 Die E-Discovery Methode Konkrete Beweise können hingegen z.B. aus der geschäftlichen E-Mail Kommunikation isoliert werden. Dabei ist im Zuge des Compliance-Prozesses auch eine Anwendung von EDiscovery Verfahren denkbar, die heute bereits von Wettbewerbsbehörden und Kanzleien in HandelsblattJournal Prof. Dr. Georg Götz, Dr. Johannes Paha, Daniel Herold, Marieke Funck, Universität Gießen Universität Gießen Universität Gießen Universität Gießen Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 MITTELSTAND 15 Compliance-Risikoanalyse in kommunalen Unternehmen Schlüssel für den Erfolg eines Compliance Management Systems von Stefan Wilbert Mehrwert mit System schaffen Kommunale Unternehmen gehören den Bürgerinnen und Bürgern einer Gemeinde. Sie sind im täglichen Leben vieler Menschen verankert, indem sie Wasser und Energie liefern, Busse, Straßenbahnen und Schwimmbäder betreiben und für Sauberkeit und Winterdienst in einer Stadt sorgen. Die öffentlichen Erwartungen an kommunale Unternehmen und deren Verantwortliche sind hoch. Das Thema Compliance hat Relevanz. Compliance bedeutet mehr als die wortwörtliche Regeltreue. Einen Mehrwert gegenüber dem altbekannten Ziel des ordnungsgemäßen Handelns bietet erst ein Management System, also wenn viele einzelne Maßnahmen und Methoden zielgerichtet verknüpft sind. Mittlerweile liegen Normen und Standards für solche Systeme vor, die sie vergleichbar und bewertbar machen. Kein Wunder also, dass sie zunehmend auch in kommunalen Unternehmen eingesetzt werden. Ein Compliance Management System steht und fällt mit der Qualität der zugrunde liegenden Risikoanalyse. Formal geht es darum, Risiken – also mögliche negative Zielabweichungen – zu erkennen, zu analysieren und zu bewerten. Alle Maßnahmen sollten sich aus einer Risikoanalyse ableiten. In der Praxis geht es vor allem darum, einen informierten Blick auf das gesamte Unternehmen zu werfen und dabei das Wichtige vom weniger Wichtigen zu unterscheiden. So lassen sich blinde Flecken vermeiden und es lässt sich Akzeptanz für Compliance-Maßnahmen aufbauen. ■Vermeidung von Korruptionsrisiken, d.h. Vorteilsnahme/Vorteilsgewährung und Bestechung/Bestechlichkeit im geschäftlichen Verkehr sind ein Muss für die Compliance-Arbeit. ■Im Zusammenhang mit Korruptionsrisiken sollte der Umgang mit Amtsträgern analysiert werden. Amtsträger sind regelmäßige Geschäftspartner oder Gremienmitglieder kommunaler Unternehmen. Ebenso kommen auch Beschäftigte als Amtsträger in Betracht. ■ Spenden und Sponsoring-Maßnahmen gehören zum üblichen Repertoire von Marketing und Öffentlichkeitsarbeit. Darin liegen Potentiale für Korruption und steuerstrafrechtliche Delikte. ■Bei Nebentätigkeiten gerade von leitenden Mitarbeitern, etwa in Organpositionen von Wettbewerbern, können Konflikte zwischen privaten und dienstlichen Interessen auftreten. ■ Vergabeverfahren, also die Auftragsvergabe nach den Bestimmungen für öffentliche Auftraggeber, beinhalten das Risiko von Korruptionsdelikten und wettbewerbsbeschränkenden Absprachen. Übliche Compliance-Ziele sind die Abwehr von rufschädigenden Straftaten oder von hohen Schadensersatzforderungen. Diese Ziele liegen der folgenden Auswahl von Betrachtungsfeldern zugrunde. Ausgewählt sind hier nur solche Betrachtungsfelder, die unabhängig von Branche und operativer Ausrichtung einschlägig sind. Stadtwerke Köln ■Die Steuergesetze definieren zahlreiche Pflichten, deren Verletzung für Unternehmens- oder Konzernleitung strafrechtliche Folgen haben können. ■ Eine Verletzung kartellrechtlicher Vorgaben, sei es im Bereich der Fusionskontrolle, der wettbewerbsbeschränkenden Vereinbarungen oder des Missbrauchs einer marktbeherrschenden Stellung, kann Bußgelder in existenzgefährdender Höhe zur Folge haben. Risikoanalyse zielgerichtet durchführen ■ Schwächen im Datenschutz gefährden das Recht auf informationelle Selbstbestimmung von Beschäftigten sowie Kunden. Betrachtungsfelder priorisieren Kommunale Unternehmen sind üblicherweise auf einer Reihe von Märkten aktiv. Um die Risikoanalyse zu fokussieren, empfiehlt es sich, frühzeitig Schwerpunkte auf Themen und Rechtsgebiete zu setzen. Aus strukturellen Gemeinsamkeiten der Unternehmen (öffentlicher Eigentümer, lokale Märkte, Infrastrukturleistungen) lassen sich typische Betrachtungsfelder ableiten. Stefan Wilbert, „Ein Compliance Management System steht und fällt mit der Qualität der zugrunde liegenden Risikoanalyse.“ Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 Wer sein Compliance-Ziel eng definiert, kann den Analyseaufwand begrenzen. So lässt sich vorab etwa die Korruptionsprävention als einziges Ziel festlegen. Ebenso sind die Betrachtungsfelder in den operativen Unternehmensbereichen bei entsprechender Zielstellung zu erweitern, z.B. um Umweltschutz oder Regulierungsvorgaben. Jedes Betrachtungsfeld sollte mit den üblichen Methoden einer Risikoanalyse, wie Fragebögen, Workshops oder Interviews analysiert werden. Dabei müssen den identifizierten Risiken die bereits bestehenden Maßnahmen gegenübergestellt und deren Wirksamkeit abgeschätzt werden. Ein Handlungsbedarf für ein Compliance Management System ergibt sich nur dann, wenn Risiken nicht ausreichend abgesichert sind. Die Risikoanalyse beinhaltet erhebliche Arbeit bei einem breit aufgestellten kommunalen Unternehmen. Die Mühe lohnt sich. Sie ist notwendige Voraussetzung für ein methodisch belastbares und passgenaues Compliance Management System. HandelsblattJournal SAVE THE D AT 10 Jahre Co E! mpliance – Jetzt, heute und in Zuku nft 10 Jahre Handelsblatt Jahrestagung Compliance am 8. und 9. September 2015 in Düsseldorf http://veranstaltungen.handelsblatt.com/compliance Mareike Dierksmeier: 02 11.96 86 – 35 77 UNTERNEHMENSSTRAFRECHT UNTERNEHMENSKULTUR BEST PRACTICE RESSOURCEN & EFFIZIENZ ▶ Haftung & Sanktionen ▶ Gewinnabschöpfung ▶ Arbeitsrecht ▶ Datenschutz ▶ Führung & Kommunikation ▶ Karrieremanagement ▶ Frauen ▶ Interne Ermittlungen ▶ Hinweisgebersysteme ▶ Eskalationsstrategien ▶ Kennzahlen ▶ Standards ▶ Budgetierung Seiten 7 | 10 | 11 | 12 | 15 Seite 4 f. Seite 20 f. Seiten 5 | 19 HandelsblattJournal Sonderveröffentlichung von Handelsblatt und Euroforum September 2015 www.handelsblatt-journal.de COMPLIANCE Nutzen Sie das Journal zum Thema, um sich mit Ihrem Knowhow zu positionieren! Erscheinungstermin: 8. September 2015 – zur Eröffnung der Tagung. www.handelsblatt-journal.de Telefon: 02 11.96 86 – 3734 Return on Compliance Konzeption und Organisation:
© Copyright 2024 ExpyDoc
