Compliance - DATAKONTEXT

Compliance
Schutzgebühr
19,- Euro
Korruption
Revisionssicheres Auditieren
Fehleranalyse
Aufklärungsquote
Wettbewerbsdelikte
Wirtschaftskriminalität
digitale Betriebsprüfung
Resilience Organisation Tatmittel Internet
Korruptionswahrnehmungsindex 2009
Jahrbuch 2010

FINANCEnetworx • HRnetworx • IT-SICHERHEITnetworx • LEGALnetworx • PEnetworx • RECRUITnetworx • SALESnetworx • TRAINERnetworx • WISSENnetworx • networx24
we connect competence.
Das Netzwerk für Personalentscheider.
Tauschen Sie sich zu
Compliance-Themen
in unserer Community aus!
• Kompetente Fachvorträge vor Ort
• Inspirierender Praxisaustausch
• Experten Online Community
• Networking mit anderen
Jetzt kostenfrei registrieren!
www.HRnetworx.info
Partner:

Compliance
Jahrbuch 2010

© 2010 DATAKONTEXT, eine Marke der Verlagsgruppe Hüthig Jehle Rehm GmbH
Heidelberg, München, Landsberg, Frechen, Hamburg
Das Compliance Jahrbuch erscheint jährlich im Herbst.
Betreuung und Kontakt:
Wolfgang Scharf
Tel. 0221/25086071
scharf@agentur-8020.de
www.datakontext.com
Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung
außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des
Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen,
Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Satz: III-satz, www.drei-satz.de

Werte – Wandel
Nicht erst seit der Finanzkrise diskutieren wir verstärkt über das Thema Werte.
Veränderungen in den Unternehmen, Klimawandel und das Wirtschaftsgefälle auf
dem Globus konfrontieren uns tagtäglich damit. Wir sind Teil dieser Wertewelt
und gestalten als Entscheider diese Wertekultur mit. Waren es früher eher die
Produkte, die ein Unternehmen attraktiv machten, so stehen heute die Ausstrahlung,
sein Image und die Reputation im Mittelpunkt. Kunden, Partner und Bewerber
informieren sich ausgiebig via Medien und Netzwerke über die Firmen.
Korruptionskandale, Datenschutzmißstände, fehlerhafte Abrechnungen und kriminelle
Aktivitäten können ein Unternehmen schnell in den Ruin treiben. Durch
die agressiv agierende Medienlandschaft stehen Firmen schneller am Pranger, als
ihnen lieb ist.
Saubere Westen zu haben, ist nicht mehr selbstverständlich. Deshalb sind alle Entscheider
in den Unternehmen aufgefordert, dafür zu sorgen, dass es zu keinen
Verstössen kommt. In unserer offenen Medienlandschaft können kleine Dinge
schon große Wirkung zeigen. Der Appell kann deshalb nur lauten: »Wehret den
Anfängen!«
Dieses Handbuch bietet erstmals Analysen und Zahlen. Es stellt Produkte vor und
zeigt Lösungswege. Praktiker informieren darüber wie sie das Thema managen.
Franz Langecker
Chefredakteur

Inhaltsverzeichnis
1 Wirtschaftskriminalität in Deutschland .......................................... 7
1.1 Statistisch erfasste Wirtschaftskriminalität ist rückläufig ............... 8
1.2 Betrug nimmt zu ......................................................................... 9
1.3 Registriert: Hohe materielle Schäden ........................................... 10
1.4 Schadensentwicklung Phänomenbereiche 2007–2008 ................ 11
1.5 Aufklärungsquote gestiegen ........................................................ 12
1.6 Tatmittel Internet ........................................................................ 12
1.7 Wettbewerbsdelikte .................................................................... 13
1.8 Fazit ............................................................................................ 14
2 Der Weg zu einer Resilience-Organisation ...................................... 15
2.1 Die Sicht der Unternehmensleitung ............................................. 16
2.2 Das Dilemma lösen ..................................................................... 16
2.3 Präventive und reaktive Tätigkeiten ............................................ 17
2.4 Umorganisation zur BRM-Abteilung ............................................ 18
2.5 Rolle der IT-Abteilung ................................................................. 19
2.6 Quintessenz ................................................................................ 20
3 Bekämpfung der Korruption lohnt sich ........................................... 21
3.1 Nach wie vor herrscht Unkenntnis über Verbot der
Auslandsbestechung .................................................................... 22
3.2 Antikorruptionsmaßnahmen lohnen sich ..................................... 22
3.3 Standards helfen integren Unternehmen im Kampf
gegen Korruption ........................................................................ 23
3.4 Korruptionswahrnehmungsindex 2009 ........................................ 23
4 Datamining, Rasterfahndung, Screening, Scoring zur
fraud detection – datenschutzrechtliche Zulässigkeit
und deren Grenzen ........................................................................... 26
4.1 Die Verfahren ............................................................................. 26
4.2 Gesetzliche Vorgaben für Kontrollmaßnahmen ............................ 27
4.3 Rechtsgrundlage ......................................................................... 27
4.4 Verhältnismäßigkeitsprinzip ........................................................ 28
4.5 Transparenz ................................................................................ 29
4.6 Verfahrensablauf ......................................................................... 29
4

Inhaltsverzeichnis
5 Interview mit Jürgen Grieger ........................................................... 31
6 Interview mit Rolf Rainer Jaeger ...................................................... 37
7 Revisionssicheres Auditieren mit dem Accenture Audit
und Compliance Tool ........................................................................ 41
7.1 HR-Stammdaten und Abrechnungsergebnisse prüfen .................. 42
7.2 Qualitätssicherung und Revisionssicherheit ................................. 42
7.3 Fehlerbehebung wird erleichtert ................................................. 44
7.4 Werkzeuge für die Stammdaten und Abrechnungsprüfung .......... 44
7.5 Fehleranalyse .............................................................................. 44
7.6 Aufgabe von HR: Prüfung von Berechtigungen und Rollen ........... 45
7.7 Organisationsmanagement ........................................................... 45
7.8 Reisekosten ................................................................................. 46
7.9 Fazit ........................................................................................... 47
8 Tools der Centric altro GmbH .......................................................... 48
8.1 Prüfung der Entgeltabrechnung – warum? .................................... 48
8.2 Unsere passende Standard-Lösung für die Entgeltabrechnung
mit SAP/HR ................................................................................. 49
8.3 Fazit nach vier Jahren ................................................................... 50
8.4 SV Sparkassenversicherung führt altro-Prüftools für die
Entgeltabrechnung ein ................................................................. 51
9 Die digitale Betriebsprüfung in der Praxis: Was Unternehmen
wissen müssen ................................................................................. 54
9.1 Rechtsgrundlagen AO, GoBs und GDPdU ..................................... 54
9.2 Welche Daten und Inhalte sind betroffen ..................................... 56
9.3 Wo steht die Finanzverwaltung .................................................... 57
9.4 Prüfungsvorbereitung/Ort ............................................................ 58
10 Was muss eine Compliance-Organisation leisten? ......................... 62
10.1 Wichtige Festlegungen vor dem Aufbau einer
Compliance-Organisation ............................................................. 62
10.2 Stakeholder und Einflußfaktoren .................................................. 64
10.3 Compliance-Zielkreuz .................................................................. 66
10.4 Compliance-Manager Netzwerk ................................................... 68
10.5 Inhalt (Richtlinien-Management) ................................................. 69
10.6 Schlussbemerkung ....................................................................... 69
5

Inhaltsverzeichnis
11 Accenture GmbH .............................................................................. 71
12 Centric altro GmbH .......................................................................... 73
13 Gesellschaft für Datenschutz
und Datensicherung e.V. .................................................................. 75
14 GISA GmbH ....................................................................................... 77
15 PricewaterhouseCoopers WPG AG .................................................. 79
6

1Wirtschaftskriminalität in Deutschland
1
Wirtschaftskriminalität wird erst seit einigen Jahren vom Bundeskriminalamt
auch statistisch erfasst, ein deutliches Signal für die zunehmende Sensibilisierung
und volkswirtschaftliche Bedeutung. Allerdings beträgt der Anteil der polizeilich
bekannt gewordenen Wirtschaftsstraftaten pro Jahr nur rund 1,4 Prozent. Denn
viele Unternehmen scheuen eine Anzeige und regeln die Delikte lieber intern –
aus Angst vor schlechter Publicity. Dabei ist die firmeninterne Bearbeitung der
Straftaten von Mitarbeitern in Unternehmen ist nicht geeignet, weitere unternehmensinterne
Straftaten zu verhindern. Unter anderem deshalb, weil die Mitarbeiter
oft unentdeckt in die nächste Position gelangen, in der sie solche oder ähnliche
Taten auf gleiche Weise fortsetzen, bis sie auch dort wieder »erwischt« werden
und in ihren Papieren als »Ersttäter« gelten. Der Strafregisterauszug eines solchen
Mitarbeiters bleibt lupenrein.
Trotz der geringen Fallzahl der erfassten Delikte bietet ein Blick auf die Polizeiliche
Kriminalstatistik (PKS) 1 des BKA interessante Aufschlüsse. Sie verdeutlicht
Trends und kann auch als Frühwarnsystem verstanden werden, beispielsweise um
auf neue Phänomene aufmerksam zu machen.
1 Das Bundeslagebild »Wirtschaftskriminalität« enthält in gestraffter Form die aktuellen Erkenntnisse
zu Lage und Entwicklung im Bereich der Wirtschaftskriminalität.
Grundlage für die Erstellung des Lagebildes sind die Daten aus der Polizeilichen Kriminalstatistik
(PKS) und dem kriminalpolizeilichen Nachrichtenaustausch. Es handelt sich um eine Darstellung
aus polizeilicher Sicht. In Deutschland existiert zur Beschreibung der Wirtschaftskriminalität keine
Legaldefinition. Die Polizei bedient sich daher bei der Zuordnung von Straftaten zur Wirtschaftskriminalität
des Katalogs von § 74c Abs. 1 Nr. 1 bis 6b des Gerichtsverfassungsgesetzes (GVG).
7

1
Wirtschaftskriminalität in Deutschland
1.1 Statistisch erfasste Wirtschaftskriminalität ist
rückläufig
Im Jahr 2008 wurden insgesamt 84.550 Fälle von Wirtschaftskriminalität polizeilich
registriert. Das bedeutet gegenüber dem Vorjahr einen Rückgang von 3,8 Prozent.
Im zweiten Jahr in Folge sind somit die Fallzahlen zurückgegangen.
BKA-Präsident Jörg Ziercke meint dazu: »Trotz der gegenüber den Vorjahren stark
gesunkenen Gesamtfallzahlen kann man nicht von einer Trendwende ausgehen.
Tatsache ist, dass die Wirtschaftskriminalität ein enormes Schadenspotenzial
birgt. Bei der Betrachtung des Schadens- und Gefährdungspotenzials sind nicht
nur die unmittelbaren monetären, sondern auch die mittelbaren Auswirkungen,
wie z.B. Wettbewerbsverzerrungen, Arbeitsplatzverluste und damit einhergehende
stärkere Belastungen der Sozialkassen sowie Vertrauensverluste im internationalen
Wettbewerb zu berücksichtigen.«
100.000
Fälle
95.000
95.887
90.000
89.224
87.934
85.000
84.550
80.000
81.134
2004
2005
2006
2007
2008
Jahr
Abbildung 1.1 Fallentwicklung Wirtschaftskriminalität 2004–2008
(Quelle: Bundeslagebericht 2008, BKA, Wirtschaftskriminalität)
Im zweiten Jahr in Folge sind die Fallzahlen im Bereich der Wirtschaftskriminalität
zurückgegangen. Der im Vorjahr auf Grund der globalen Wirtschafts- und
Finanzkrise für möglich gehaltene Anstieg der Delikte gerade in den Bereichen
Kapitalanlagebetrug und Börse ist bisher ausgeblieben. Jedoch gibt es seit Mitte
2008 erste Anzeichen für eine Zunahme der Fallzahlen zumindest im Bereich des
8

Betrug nimmt zu 1.2
Kapitalanlagebetrugs. Es bleibt abzuwarten, inwieweit sich diese Entwicklung auf
die Statistik in 2010 auswirkt, da die Bearbeitung von Verfahren im Bereich der
Wirtschaftskriminalität sehr personal- und zeitintensiv ist und erst nach Abschluss
der polizeilichen Ermittlungen – statistisch wirksam – in der PKS erfasst wird. Auffällig
ist der erhebliche Anstieg der Fallzahlen, bei denen als Tatmittel das Internet
genutzt wurde. Aufgrund der ständig weiterentwickelten technischen Rahmenbedingungen
und der daraus resultierenden begünstigten Tatgelegenheitsstruktur
wird in diesem Bereich auch in den kommenden Jahren mit weiter steigenden
Fallzahlen zu rechnen sein.
Auffallend ist auch, dass insbesondere im Bereich der Anlage- und Finanzierungsdelikte
trotz sinkender Fallzahlen ein Anstieg des verursachten Schadens zu verzeichnen
ist. Diese Entwicklung deutet auf ein höheres Schadensvolumen und
somit auf eine höhere Qualität der Einzelfälle hin. Ungeachtet der gesunkenen
Fallzahlen und des Rückgangs des registrierten monetären Gesamtschadens hat
die Wirtschaftskriminalität weiterhin ein hohes Schadens- und Gefährdungspotenzial
mit nicht nur unmittelbaren, sondern gerade auch mittelbaren Auswirkungen.
1.2 Betrug nimmt zu
Lediglich im Phänomenbereich »Wirtschaftskriminalität bei Betrug« sind steigende
Anzahl an Delikten registriert. Ob diese Entwicklung, welche bereits im
Berichtsjahr 2007 ansatzweise festgestellt wurde, auf statistische Auswirkungen
von einzelnen umfangreichen Ermittlungskomplexen mit einer Vielzahl einzelner
Straftaten zurückzuführen ist, oder sich hier ein Trend abzeichnet, kann nicht
letztendlich bewertet werden.
Die polizeilichen Daten können das tatsächliche Ausmaß der Wirtschaftskriminalität
jedoch nur eingeschränkt wiedergeben. Dies liegt zum einen daran, dass in
den polizeilichen Statistiken Wirtschaftsstraftaten nicht erfasst sind, die von
Staatsanwaltschaften oder von Finanzbehörden unmittelbar und ohne Beteiligung
der Polizei bearbeitet wurden (z.B. Arbeitsdelikte und Subventionsbetrug). Zum
anderen ist im Hinblick auf die Interessenlage der Opfer (z.B. bei Anlage von
Schwarzgeldern oder Befürchten eines Imageverlusts) von einem nur gering ausgeprägten
Anzeigeverhalten und damit verbunden von einem großen Dunkelfeld
auszugehen. Überdies lassen sich auf Grundlage polizeilicher Daten keine Aussagen
zur Qualität von Ermittlungsverfahren treffen, da einzelne Aspekte, wie zum
Beispiel eine lange Verfahrensdauer oder ein überdurchschnittlich großes Datenvolumen
in der statistischen Erfassung keine Berücksichtigung finden und jede
Straftat gleich gewichtet wird.
9

1
Wirtschaftskriminalität in Deutschland
Phänomenbereiche
Betrug
Insolvenzstraftaten
Anlage- und
Finanzierungsdelikte
Wettbewerbsdelikte
Kriminalität in Zm. Mit
Arbeitsverhältnissen
Betrug und Untreue
Kapitalanlagen
9.845
7.179
7.598
5.129
8.234
5.833
12.561
11.186
12.651
10.646
Jahr
2007
2008
44.417
46.808
0 10000 20000 30000 40000
50000
Fälle
Abbildung 1.2 Fallentwicklung Phänomenbereiche 2007 – 2008 (Quelle: Bundeslagebericht 2008,
BKA, Wirtschaftskriminalität)
1.3 Registriert: Hohe materielle Schäden
Der durch die Wirtschaftskriminalität verursachte registrierte Schaden belief sich
2008 auf 3,43 Milliarden Euro. Die Höhe der registrierten Schäden zeigt die
erheblichen Auswirkungen der Wirtschaftskriminalität. Verglichen mit dem Vorjahr
(4,12 Milliarden Euro) entspricht dies zwar einer Abnahme von 16,7 Prozent,
verdeutlicht aber die nach wie vor gravierenden Auswirkungen der Wirtschaftskriminalität.
Die rund 84.500 Fälle verursachen somit mehr als ein Drittel des in
der PKS ausgeworfenen Gesamtschadens in Höhe von rund 9,96 Milliarden Euro.
Zum Vergleich: Der in der Polizeilichen Kriminalstatistik registrierte Schaden aller
erfassten Delikte beträgt rund 10 Milliarden Euro. Somit hat die Wirtschaftskriminalität
einen Anteil von rund 34 Prozent an der Gesamtschadenssumme. Besonders
hohe Schäden werden im Bereich der Insolvenzdelikte und der Betrugsdelikte
registriert.
Das tatsächliche Schadenspotenzial der Wirtschaftskriminalität wird jedoch erst
deutlich, wenn man die nicht quantifizierbaren immateriellen Schäden betrachtet.
Wettbewerbsverzerrungen durch Wettbewerbsvorsprünge des mit unlauteren
Mitteln arbeitenden Wirtschaftsstraftäters, die gesundheitliche Gefährdung und
Schädigung Einzelner als Folge von Verstößen gegen das Lebens- und Arzneimit-
10

Schadensentwicklung Phänomenbereiche 2007–2008 1.4
telgesetz, das Arbeitsschutzrecht oder das Umweltstrafrecht, aber auch mögliche
Vertrauensverluste in die Funktionsfähigkeit der bestehenden Wirtschaftsordnung
machen beispielhaft deutlich, welches Schadenspotenzial die Wirtschaftskriminalität
in sich birgt. Hinzu kommt, dass in diesem Deliktsbereich ein hohes Dunkelfeld
vermutet wird, das unter anderem auf der mangelnden Anzeigebereitschaft
der Unternehmen beruhen dürfte. Der tatsächliche Schaden im Bereich der Wirtschaftskriminalität
liegt vermutlich um ein vielfaches höher, vermutet das BKA.
1.4 Schadensentwicklung Phänomenbereiche 2007–2008
Auffällig ist, dass trotz erneut sinkender Fallzahlen in den Bereichen Anlage- und
Finanzierungsdelikte sowie Betrug und Untreue im Zusammenhang mit Kapitalanlagen
eine Zunahme der registrierten Schäden zu verzeichnen ist. Die in der
PKS erfassten Schadenssummen können den durch die Wirtschaftskriminalität tatsächlich
verursachten Gesamtschaden jedoch nur teilweise abbilden. Neben den
entstandenen monetär darstellbaren Schäden müssen auch die durch das kriminelle
Handeln verursachten immateriellen Schäden betrachtet werden. Da diese
Schäden statistisch kaum zu beziffern sind und diesbezügliche Schätzungen stark
voneinander abweichen, ist eine belastbare Aussage hierzu nicht möglich.
Phänomenbereiche
Betrug
1.069
978
Insolvenzstraftaten
1.845
1.474
Anlage- und
Finanzierungsdelikte
233
336
Wettbewerbsdelikte
Kriminalität in Zm. Mit
Arbeitsverhältnissen
Betrug und Untreue
Kapitalanlagen
16
6
65
63
235
267
Jahr
2007
2008
500 1000 1500 2000
Schaden in Mio. Euro
Abbildung 1.3 Schadensentwicklung Phänomenbereiche 2007–2008 (in Mio. Euro) (Quelle: Bundeslagebericht
2008, BKA, Wirtschaftskriminalität)
11

1
Wirtschaftskriminalität in Deutschland
1.5 Aufklärungsquote gestiegen
Im vergangenen Jahr lag die Aufklärungsquote bei der Wirtschaftskriminalität bei
95% und war damit deutlich höher als bei der Gesamtkriminalität (mit 55%). Aufgeklärt
gilt ein Fall dann, wenn das Opfer den Geschädigten kennt.
In den nächsten Jahren erwartet das BKA durch die öffentliche gewordene »Bankenkrise«
eine Zunahme der Verfahren im Bereich Kapitalanlagebetrug und Börsendelikte,
die sich statistisch auswirken werde.
1.6 Tatmittel Internet
Straftaten aus dem Bereich der Wirtschaftskriminalität werden immer häufiger
mit Hilfe des Internets begangen. Aus diesem Grund wird das Internet als »Tatort«
seit dem Jahr 2004 gesondert in der Polizeilichen Kriminalstatistik erfasst.
Häufigkeit der Verwendung
des Internets als Tatmittel
20.000
15.000
10.000
5.000
0
2005
2006
2007
2008
Jahr
Abbildung 1.4 »Tatort« Internet 2005 – 2008 (Quelle: Bundeslagebericht 2008, BKA, Wirtschaftskriminalität)
Die Anzahl dieser Fälle ist im Jahr 2008 gegenüber dem Vorjahr um 77 Prozent
auf 16.437 gestiegen. Dies bedeutet, dass im Jahr 2008 bei mehr als jedem fünften
Fall von Wirtschaftskriminalität das Internet genutzt wurde. Auch im Bereich der
12

Wettbewerbsdelikte 1.7
Organisierten Kriminalität (OK) sind Wirtschaftsdelikte von zentraler Bedeutung.
Rund 17 Prozent aller 2008 gemeldeten OK-Fälle wiesen Merkmale der Wirtschaftskriminalität
auf.
1.7 Wettbewerbsdelikte
Unter Wettbewerbsdelikten werden alle Deliktsformen im Zusammenhang mit Verstößen
gegen das Gesetz gegen den unlauteren Wettbewerb (UWG), Urheberrechtsbestimmungen
sowie gegen das Wettbewerbsrecht nach dem StGB verstanden.
10000
Fälle
8000
6000
4000
2000
0
2004
2005
2006
2007
2008
Jahr
Abbildung 1.5 Fallentwicklung Wettbewerbsdelikte 2004–2008 (Quelle: Bundeslagebericht 2008,
BKA, Wirtschaftskriminalität)
Im Jahr 2008 wurden 5.139 Wettbewerbsdelikte registriert. Nach einem stetigen
Anstieg in den letzten drei Berichtsjahren sind die Fallzahlen nunmehr annähernd
auf das Niveau des Jahres 2004 zurückgegangen. Beim registrierten Schaden ist
gegenüber dem Vorjahr ein Rückgang von 16 Millionen Euro auf etwas über sechs
Millionen Euro festzustellen. Die Fälle der Produkt- und Markenpiraterie bilden
im Bereich der Wettbewerbsdelikte mit Abstand auch im Jahr 2008 den Schwerpunkt.
In diesem Deliktsbereich sind neben der Polizei die Zollbehörden im Rahmen
der Überwachung des grenzüberschreitenden Warenverkehrs zuständig. Da
der Großteil der gefälschten Waren im Ausland (z.B. China, Thailand und Hongkong)
hergestellt und nach Deutschland importiert wird, fällt ein zahlenmäßig
großer Bereich der Bekämpfung der Produkt- und Markenpiraterie in die Zustän-
13

1
Wirtschaftskriminalität in Deutschland
digkeit des Zolls. Insofern spiegeln die Statistik der registrierten Schutzrechtsverletzungen
die tatsächliche Situation nur unzureichend wider. Ein möglicher
Grund für den starken Rückgang der polizeilich bekannt gewordenen Fälle könnten
auch hier verstärkte Aktivitäten der Zolldienststellen sein.
1.8 Fazit
Auch wenn die Polizeiliche Kriminalstatistik nur die offiziell angezeigten Delikte
erfasst, so kann sie doch als »Spitze des Eisbergs« bezeichnet werden. Allerdings
werden über 80 Prozent der Fälle laut Bundeskriminalamt nicht entdeckt.
Das wahre Ausmaß der Wirtschaftskriminalität verbirgt sich hinter einer hohen
Dunkelziffer. Viele seriöse Schätzungen und Studien kommen deshalb zu weit
höheren Schadenssummen als das BKA. So schätzt die Weltbank den jährlichen
Schaden allein durch Korruption weltweit auf ein bis vier Billionen US-Dollar oder
zwölf Prozent der weltweiten Bruttowirtschaftsleistung. Aufschluss gibt auch eine
Studie von 2009 von PricewaterhouseCoopers (PwC), nach dem der durch Wirtschaftskriminalität
entstandene finanzielle Verlust durchschnittlich 5,57 Millionen
Euro je betroffenem Großunternehmen liegt. Schwerer als der finanzielle Schaden
zählen oft der Vertrauensverlust im internationalen Wettbewerb und die Schädigung
der deutschen Wirtschaft. Insofern haben Unternehmen bei der Bekämpfung
von Wirtschaftskriminalität nicht nur eine Eigenverantwortung wahrzunehmen,
sondern ohne Frage auch eine volkswirtschaftliche Verantwortung.
Christiane Siemann
14

2Der Weg zu einer Resilience-Organisation
2
Business Resilience Management umfasst Governance, Risk, Compliance und Security
Governance, Risiko Management, Compliance, Security – dies alles sind Bereiche, die
nicht zur Wertschöpfung eines Unternehmens beitragen, und dennoch zur Zeit ganz
oben auf der Management-Agenda stehen sollten. Diese Aufgaben können erfolgreich
und mit Augenmaß umgesetzt werden, wenn die verantwortlichen Abteilungen und die
Prozesse zusammen gelegt werden.
Autor: Prof. Dr. Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement
an der FH Brandenburg.
Für jedes einzelne der Aufgabenfelder Good Corporate Governance, Risiko
Management, Compliance und Unternehmenssicherheit (kurz: GRCS) gibt es
Gründe, sie in einer Organisation einzuführen. Die Motive reichen von eher idealistisch
geprägten Zielen, beispielweise einer ethisch vorbildlichen Unternehmensführung,
über pragmatische Schadensbegrenzung (wie etwa Konformität zu
Gesetzen) bis hin zu reinen finanziellen Beweggründen, wie im Fall des Risikomanagements.
Hinter den unterschiedlichen Motivationen stehen in den meisten
Unternehmen auch unterschiedliche Beteiligte, die das Thema »treiben« und für
die Durchsetzung in der Organisation verantwortlich sind. Gemeinsamer Nenner
aller Aktivitäten ist, dass sie – in der Regel – nicht wertschöpfend, sondern werterhaltend
ausgerichtet sind. Natürlich ist es nicht ausgeschlossen, dass die GRCS-
Aktivitäten auch zur Wertschöpfung beitragen, dies ist aber doch eher selten und
liegt nicht in der Natur dieser Tätigkeiten (Risiken zu vermeiden bzw. zu minimieren
statt Risiken einzugehen).
Ungeachtet der verschiedenen Motivationen und Stakeholder haben die genannten
Bereiche eine große Schnittmenge: Die tatsächlichen präventiven Schutzmechanismen,
die Reaktions- und Reportingfähigkeit, die netzwerkartige Struktur im
Unternehmen, und die Art und Weise, wie diese Themen in den Geschäftsbereichen
das Tagesgeschäft beeinflussen wollen. Da die verschiedenen Themenberei-
15

2
Der Weg zu einer Resilience-Organisation
che oft unabhängig voneinander in einem Unternehmen etabliert werden, sind die
Abteilungsleiter oft mit sehr ähnlichen Fragestellungen konfrontiert, und die Mitarbeiter
mit ähnlichen, eventuell auch in Teilen widersprüchlichen, Handlungsanweisungen
zum »Schutz« des Unternehmens traktiert. In aller Regel führt die
Vielfalt der Vorgaben- und Reportingsysteme zur Unwirksamkeit derer und in aller
Regel zur weitgehenden Ignoranz dieser Strukturen – zumal, wie anfangs bemerkt,
diese Tätigkeiten alle nicht zur Wertschöpfung der Unternehmung beitragen.
2.1 Die Sicht der Unternehmensleitung
Für die Unternehmensführung ist eine Verteilung der Aktivitäten auf verschiedene
(Stabs-)Abteilungen in den meisten Fällen nicht wünschenswert. Dahinter
steht der grundsätzliche Gedanke, dass Unternehmenslenker immer zwischen
wertschöpfenden und werterhaltenden Tätigkeiten die Balance halten müssen,
und je nach Situation und strategischer Ausrichtung mal den einen und mal den
anderen Bereich stärker betonen. Eine Verteilung der Governance-, Risk Management-,
Compliance- und Security-Aktivitäten, die aufgrund ihrer Natur eher werterhaltend
sind, erschweren einen Veränderungsprozess im Unternehmen; die
Verteilung der werterhaltenden Tätigkeiten auf verschiedene Abteilungen und
Prozesse stärkt die organisationsinhärente Trägheit. Damit ist das Unternehmen
deutlich schwieriger zu lenken. Somit ist die Unternehmensführung auch daran
interessiert – aus strategischen Gründen, weniger aus Gründen, die mit den Zielen
der GRCS-Aktivitäten verbunden sind –, diese unkontrollierbare Vielfältigkeit der
Kontroll-Aktivitäten einzudämmen. Ein weiterer Grund ist rein pragmatischer,
finanzieller Natur: Da alle GRCS-Aktivitäten in der Regel nicht wertschöpfend
sind, stellen sie Opportunitätskosten dar, also Investitionen, mit denen man auch
den Umsatz vorantreiben könnte. Entsprechend hoch ist die Motivation, die Ausgaben
für GRCS in der Summe möglichst gering zu halten, und dies kann man am
besten durch die gemeinsame Bearbeitung der Thematiken.
2.2 Das Dilemma lösen
Es gibt zwei Lösungen aus diesem Dilemma. Die erste – einfachere – könnte wie
folgt aussehen: Andere Vorgabensysteme werden zu Gunsten von einem einzelnen
aufgegeben. Der Vorteil: Eine starke Stabsaufgabe kann sich durchsetzen
(etwa Compliance), die anderen werden mehr oder weniger aufgegeben und nur
»pro Forma« weitergeführt. Dies mündet in zwei Problemen: Zum einen droht die
Gefahr, bestimmte Aspekte schlichtweg zu ignorieren (etwa die Sicherheitsmaßnahmen,
die man Kunden vertraglich zugesichert hat), zum anderen besteht das
16

Präventive und reaktive Tätigkeiten 2.3
Risiko, die rechtlichen oder betriebswirtschaftlichen Folgen dieser Auswahl tragen
zu müssen. Damit ist gemeint, dass der mehr oder minder bewusste Verzicht
auf bestimmte Risiko-, Sicherheits- oder Compliance-Betrachtungen mittelfristig
zu finanziell deutlich spürbare Folgen führen kann. Dieser »einfache« Weg ist also
nur etwas für risikoorientierte Unternehmer – und findet sich oft im Mittelstand.
Die zweite – und aus meiner Sicht richtige – Lösung ist die Zusammenführung all
dieser sehr ähnlichen Aktivitäten unter einem Dach mit Namen GRCS oder, wie ich
es nennen möchte, Business Resilience Management (BRM); also einer Abteilung,
die eine nachhaltige Existenz der Unternehmung zum Ziel hat. Eine solche Abteilung
ist per Definition nicht primär wertschöpfend, versucht aber derart auf das
Unternehmen Einfluss zu nehmen, dass die Ziele zur nachhaltigen Existenz (und
dazu gehören Risikomanagement, Compliance, ethisches Verhalten und auch
Schutz vor Wirtschaftsspionage) eingehalten werden. Die Vorteile dieser Lösung
liegen auf der Hand: Es können viele Synergien und damit auch tatsächliche Einsparungen
erzielt werden, da die Anzahl der Stabsabteilungen drastisch reduziert
wird. Zudem wird die Durchsetzungskraft im Unternehmen deutlich erhöht, da
nun das Management »mit einer Stimme« im Bezug auf Verhaltensregeln spricht.
Eine zentral, homogen aufgestellte BRM-Abteilung hat zudem den Vorteil, dass
sich widersprechende Vorgaben frühzeitig erkannt und bewusste Entscheidung
getroffen werden können, bevor entsprechende Maßnahmen eingeführt werden
oder eventuell sogar Schäden aufgetreten sind. Ein typisches Beispiel hierfür ist die
im angelsächsischen Raum oft geforderte Kontrolle über alle E-Mails, während im
deutschsprachigen Raum dem oft andere Interessen (wie Nicht-Nachvollziehbarkeit
bestimmter Aktivitäten oder Datenschutz-Vorgaben) entgegen stehen. Letztlich
ist ein solches Setup am ehesten dazu geeignet, auch bei den wertschöpfenden
Aktivitäten zu unterstützten, statt sie einzuschränken oder gar gleich zu verbieten.
Klassisches Beispiel: Blackberry-Nutzung für vertrauliche Informationen oder
Instant Messaging mit Kunden. Dafür ist allerdings auch unabhängig vom organisatorischen
Setup eine gute Beziehung zu den internen Kunden erforderlich.
2.3 Präventive und reaktive Tätigkeiten
Die Aufgaben einer BRM-Abteilung lassen sich grob in präventive und reaktive
Tätigkeiten gliedern. Zu den präventiven Tätigkeiten zählen:
Vorgabenmanagement: Ermitteln der verbindlichen internen Verhaltensvorgaben
(ähnlich wie bei einer Security Policy), und zwar aus Gesetze, Verträge und
Schutzziele; Auflösen von Konflikten in den Anforderungen (Beispiel: Compliance
mit Datenschutzgesetzen und SoX) und Formulieren von Kontrollmaßnahmen,
die Vorgaben umsetzen.
17

2
Der Weg zu einer Resilience-Organisation
Aufbau- und Ablauforganisation: Verwendung und Aufbau einer Organisation, die
in die operativen Bereiche, Abteilungen und Standorte hineinreicht; Entscheidung
über zentrale oder dezentrale Berichtswege; Definition von Arbeits-, Entscheidungs-
und Informationsgremien.
Awareness: Durchführen von Maßnahmen, um die Mitarbeiter von der Sinnhaftigkeit
der Maßnahmen zu überzeugen, dazu zählen Werbeaktivitäten, aber auch
Schulungen und auch die Darstellung von Konsequenzen von Nichteinhaltung.
Reporting: Strukturierung der regelmäßigen Berichte zur Geschäftsführung, Statusermittlung
gegenüber den gewählten Vorgaben, Gestaltung von Form und Auswahlkriterien
etwa Vorfälle, Vorkommnisse, Entwicklungen der Unternehmensrisiken
und Projektfortschritte.
Die reaktiven Tätigkeiten umfassen:
Vorfallsmanagement: Umgang mit Meldungen von Verstößen, Whistleblowing,
Einsatz von Ombudsleuten, Erfassung und Auswertung von Statistiken zu Vorfällen.
Betrugsmanagement: Umgang mit tatsächlichen Betrugsfällen, »Amnestie«- und
»Kronzeugen«-Regelungen, aber auch Umsetzung von Konsequenzen bei Verstößen
gegen das Vorgabenmanagement.
Krisenmanagement: Aufbau von alternativen Entscheidungsstrukturen für den
Krisenfall, Üben von Szenarien und Notfallabläufen.
Die Ermittlungen von Vorfällen oder Betrugsfällen sollten – um die Unabhängigkeit
sicherzustellen – der internen Revision oder gleich externen Behörden übergeben
werden. Eine BRM-interne Ermittlung führt in der Regel früher oder später
zu Argumentationsschwierigkeiten, weil viele Vorfälle in gewisser Weise die Existenz
der Abteilung rechtfertigen.
2.4 Umorganisation zur BRM-Abteilung
Aufgrund der detaillierteren Darstellung wird nun ersichtlich, welche Überschneidungen
tatsächlich zwischen den Bereichen Governance, Risk, Compliance und Security
bestehen. Die Herausforderung besteht nun darin, eine solche Zusammenführung
zu realisieren. Eine Voraussetzung per se ist, dass die Mitarbeiter in einer solchen
Abteilung ein hohes Vertrauen der Unternehmensführung genießen müssen.
Ein pragmatischer Ansatz besteht darin, einem Stabstellenleiter seines Vertrauens
die Gesamtverantwortung zu übergeben und die Umorganisation innerhalb seiner
neuen Abteilung zu überlassen. Das gestaltet sich nicht risikofrei, denn alle bisherigen
Verantwortlichen von vorgabenrelevanten Abteilungen fühlen sich in ihrem
Bemühen, die Unternehmung zu schützen, verprellt. Ein gutes Changemanagement
ist entsprechend erforderlich.
18

Rolle der IT-Abteilung 2.5
Eine andere, geschickte Form der Umorganisation könnte so aussehen, dass die
betroffenen Abteilungen gemeinsam in einem Projekt beauftragt werden, eine
BRM-Abteilung zu entwerfen. Dabei soll für die Teilaufgaben jeweils die Abteilung
federführend ausgewählt werden, die am meisten Erfahrung vorzuweisen
hat. Beispiel: Vorgabenmanagement und Reporting werden durch das Risikomanagement
abgedeckt, Awareness und Krisenmanagement durch die Unternehmenssicherheit
etc. Operative Aufgaben sollten anderen Abteilungen zugeordnet
werden (etwa der Werksschutz dem Facility Management). Synergien und eventuelle
Einsparungen können identifiziert werden und Empfehlungen für den weiteren
Einsatz von nun freiwerdendem Personal sollten gemeinsam erarbeitet
werden. Es ergibt sich automatisch eine neue Organisation mit Aufgaben, bei
denen sich die bisherigen Kompetenzträger einbringen können. Bei der Besetzung
der Leitung – der Vertrauensposition – liegt bei der Geschäftsführung.
2.5 Rolle der IT-Abteilung
Der IT-Abteilung kommt bei der Umsetzung eine erhebliche Rolle zu, da inzwischen
fast alle Prozesse im Unternehmen elektronisch unterstützt werden. Die
schwierigste Aufgabe ist, die richtige Auswahl von IT-gestützten Kontrollen zu
treffen. Zum einen sind diese in der Regel aufwändig und durchaus mit hohen
Kosten verbunden, zum anderen muss jede Kontrolle auf ihre Auswirkung bezüglich
der Compliance gesehen werden. Daher ist die IT-Abteilung frühzeitig bei der
Auswahl der Kontrollen und natürlich der Umsetzung mit einzubeziehen. Die großen
Software-Hersteller haben das erkannt und setzen auf so genannte »GRC Suites«,
also Familien von Anwendungen, die den Aufbau, die Durchführung, die
Prüfung und auch die Dokumentation von Kontrollen zum Fokus haben, ergänzt
um die Anwendungen für den Kernbereich, also Risikomanagement, Kontrollmanagement,
Fraud Management. Es zeigt sich, dass IT-BRM (oder IT-GRCS) eine
strategische Aufgabe für den CIO eines Unternehmens ist. Dennoch sollte davon
Abstand gehalten werden, dem CIO die Verantwortung für die gesamten BRM-
Aktivitäten zu übergeben; zu viele relevante, für interne Kontrollen maßgebliche
Prozesse liegen in seiner Verantwortung.
Vorstandsverantwortung
An wen soll der neue Chief GRCS / BRM Officer berichten? Die Antwort fällt leider
nicht eindeutig aus. Auf der einen Seite sind die meisten Controlling-Aktivitäten
beim Finanzvorstand, also bietet sich dieser als eine natürliche verantwortliche
Person an – zudem er oft auch Rechtsabteilung und Risikomanagement bereits verantwortet.
Dennoch ist er nicht die beste Wahl, da er selbst – ähnlich zum CIO –
viele kontrollintensive Prozesse verantwortet und sich damit quasi selbst kontrol-
19

2
Der Weg zu einer Resilience-Organisation
lieren würde. Eine bessere Wahl ist – sofern dies in Unternehmen so aufgesetzt
wird – eine direkte Berichtslinie an den Chief Operating Officer, der für das Tagesgeschäft
verantwortlich ist und damit die »trägen« Elemente des Unternehmens
verantwortet. Gibt es ein solches Setup (noch) nicht, so ist der Vorstandsvorsitzende
immer noch die beste Wahl, um die Balance zwischen werterhaltenden und
wertschöpfenden Tätigkeiten direkt steuern zu können. Sollte eine organisatorische
Zuordnung zum Bereich des Vorstandsvorsitzenden nicht möglich, nicht
opportun oder nicht gewollt sein, so ist sicherzustellen, dass zumindest eine fachbezogene
direkte Berichtslinie zum CEO existiert. Dies stellt die erforderliche
Rückendeckung durch die Unternehmensleitung sicher.
Eine Reihe von Funktionen, die sich in der GRCS-Organisation wiederfinden, benötigen
unabhängig davon eine – gesetzlich vorgeschriebene – direkte Berichtslinie
zum Vorstand, dazu zählen beispielweise Datenschutz-, Informationssicherheitsund
oder Geheimschutzbeauftragter. Diese Aspekte sollten beim organisatorischen
Setup und der Verantwortungsgestaltung entsprechend bedacht werden.
2.6 Quintessenz
Die aktuellen Skandale in der Presse zu Datenschutz, Betrug, Korruption und Wirtschaftsspionage
zeigen, dass wir diesen Bereich der Unternehmensführung als
Gesellschaft im Zeiten der digitalen Kommunikationswege noch nicht im Griff
haben. Eine Vereinheitlichung der betroffenen Bereiche kann zu einer besseren
Wahrnehmung und einer stärkeren Umsetzung im Unternehmen führen. Das Ziel
dabei ist die Herausbildung einer Stabsfunktion »Business Resilience Management«,
die die notwendigen Tätigkeiten synergetisch zusammenführt und zu einer
schnellen, besseren Entscheidungsfähigkeit durch die Unternehmensleitung führt.
Prof. Dr. Sachar Paulus ist Professor für Wirtschaftsinformatik,
insbesondere Unternehmenssicherheit und Risikomanagement
im Fachbereich Wirtschaft der FH Brandenburg und leitet dort
das Kompetenzzentrum für Qualifizierung im Bereich Sicherheit.
Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen
zu Sicherheit tätig, unter anderem als Leiter der
Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat
SAP als Vorstandsmitglied in den beiden Vereinen »Deutschland
Sicher im Netz« und »TeleTrusT«. Paulus ist Mitglied der ständigen Interessenvertretung
der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur)
und des Forschungsbeirats »RISEPTIS« für Vertrauen und Sicherheit im Future
Internet der Europäischen Kommission. Er engagiert sich für sichere Software-Entwicklung
und ist Vorstandsvorsitzender des Vereins ISSECO e.V.
20

3Bekämpfung der Korruption lohnt sich
3
Korruptionsermittler, ob Rechtsanwälte, Detekteien, Ermittlungsbehörden, Ombudsmänner
oder selbst ernannte Aufklärer, leiden in Deutschland derzeit nicht
unter einer Auftragsflaute. Der Markt für sie wächst, nicht immer zum Gefallen
der offiziellen Strafermittler. Doch das Signal ist deutlich: Das Ausmaß der Korruption
wird unterschätzt.
Vom Ausstellen überhöhter Rechnungen und der Gründung von Scheinfirmen bis
zur direkten Bestechung: Korruption lebt. Die Antikorruptionsorganisation Transparency
International stellt jährlich den »Global Corruption Report« vor, 2009 mit
dem Schwerpunktthema Privatwirtschaft. Dem Bericht zufolge führt das enorme
Ausmaß globaler Korruption – Bestechung, Preiskartelle und unzulässige Einflussnahme
auf die Politik – zu immensen Kosten und verhindert eine nachhaltige Entwicklung.
Der Bericht zeigt, wie korrupte Praktiken den fairen Wettbewerb
unterminieren, wirtschaftliches Wachstum hemmen und letztlich die Existenz der
Unternehmen gefährden. Korruption führt zudem zu sinkender Arbeitsmoral
sowie zu Vertrauensverlust bei Kunden und Geschäftspartnern. Gleichzeitig steigen
die Risiken, erwischt zu werden; so müssen Unternehmen wegen korrupter
Praktiken allein in den letzten zwei Jahren Milliarden an Bußgeldern zahlen.
Huguette Labelle, Vorsitzende von Transparency International: »Eine Kultur
unternehmerischer Integrität sichert Investitionen, steigert den Geschäftserfolg
und fördert Stabilität. Insbesondere in einer Zeit, in der wir uns von einer historischen
Krise erholen, muss Integrität gefördert werden.« Zahlreiche Fälle im
Bericht dokumentieren, wie Manager, Mehrheitsaktionäre und andere Wirtschaftsakteure
die ihnen anvertraute Macht zu ihrem privaten Vorteil missbrauchen
– zum Nachteil von Eigentümern, Investoren, Arbeitnehmern und der
Gesellschaft insgesamt. Allein in Entwicklungs- und Transformationsländern leisten
Unternehmen an korrupte Politiker und Regierungsbeamte nach Schätzungen
von Vereinten Nationen und Weltbank Bestechungszahlungen in Höhe von jährlich
bis zu vierzig Milliarden US-Dollar.
21

3
Bekämpfung der Korruption lohnt sich
3.1 Nach wie vor herrscht Unkenntnis über Verbot der
Auslandsbestechung
In Deutschland wurde 1999 die OECD-Konvention zur Auslandsbestechung in
nationales Recht umgesetzt. Aber erst mit dem Siemens-Skandal im Herbst 2006
wurde eine breite Debatte in deutschen Unternehmen über Auslandsbestechung
und Korruptionsprävention in Gang gesetzt. Seitdem hat sich bei vielen Unternehmen
einiges getan. Dennoch haben im vergangenen Jahr in einer Umfrage immer
noch über 80% von Managern in Deutschland, aber auch in Frankreich, Großbritannien
und USA angegeben, nicht mit den Regelungen zum Verbot der Auslandsbestechung
vertraut zu sein. Hier ist weitere Aufklärung nötig.
Deutsche Firmen haben gerade wegen ihres umfangreichen internationalen
Geschäfts eine besondere Verantwortung, so Transparency Deutschland. Neben
Bestechungszahlungen im Großen sind es auch die Schmiergeldzahlungen (»Facilitating
Payments«) im Kleinen, die den Teufelskreis der Korruption aufrecht
erhalten. Peter von Blomberg, stellvertretender Vorsitzender von Transparency
Deutschland: »Die Zeiten, in denen die Unternehmen in Deutschland das ›Ob‹ von
Antikorruptionsmaßnahmen diskutiert haben, müssen vorbei sein. Ausreden gelten
nicht mehr. Die einzige Frage, die immer noch bei vielen Unternehmen
gestellt werden muss, ist die nach dem ›Wie‹.«
3.2 Antikorruptionsmaßnahmen lohnen sich
Integrität im Wirtschaftsverkehr zahlt sich aus. Studien zeigen, dass Unternehmen,
die Maßnahmen gegen Korruption ergreifen und ethische Richtlinien einführen,
bis zu fünfzig Prozent weniger von Korruption betroffen sind, und die
Wahrscheinlichkeit, Unternehmensaufträge zu verlieren, ist geringer als bei Firmen,
die sich nicht gegen Korruption schützen. Eine integre Unternehmenspolitik
zieht vertrauensvolle und loyale Mitarbeiter an, die wichtige Voraussetzungen für
den Unternehmenserfolg sind. Und Organisationen müssen ihrer Verantwortung
gerecht werden. Die Vorschläge im Bericht richten sich zunächst an Unternehmen.
Sie müssen nicht nur Verhaltenskodizes und Antikorruptionsprogramme
verabschieden, sondern sie müssen diese auch organisatorisch umsetzen, ihre
Mitarbeiter darin schulen und sie leben. Dazu gehört, dass über diese Maßnahmen
– möglichst standardisiert – öffentlich berichtet wird. Obwohl fast 90 Prozent
der 200 weltweiten Spitzenunternehmen Verhaltenkodices eingeführt haben,
überwachen dem Global Corruption Report zufolge weniger als die Hälfte deren
Einhaltung und Umsetzung.
22

Korruptionswahrnehmungsindex 2009 3.4
3.3 Standards helfen integren Unternehmen im Kampf
gegen Korruption
Ein gemeinschaftliches Vorgehen (»collective action«) auf der Grundlage von
international anerkannten Standards hilft Unternehmen bei der Definition und
Umsetzung integrer Verhaltensweisen. Die »OECD-Leitsätze für multinationale
Unternehmen«, zu deren weltweiter Durchsetzung sich mittlerweile 41 Industriestaaten
bekennen, enthalten ein weites Spektrum von Standards für verantwortungsvolles
unternehmerisches Verhalten. Mit diesem umfassenden Ansatz, aber
auch mit konkreten Handlungsempfehlungen bieten sie Unternehmen eine praktikable
Unterstützung für die Korruptionsbekämpfung. Transparency Deutschland
kritisiert, dass die beim Bundeswirtschaftsministerium angesiedelte Nationale
Kontaktstelle für die OECD-Leitsätze durch eine restriktive und umstrittene Auslegung
der Regularien verhindert, dass sich diese Leitsätze ihren Potenzialen entsprechend
zu einem Instrument unternehmerischer Verantwortung entwickeln.
Zum Bereich des Lobbyismus hat Transparency Deutschland einen »Verhaltenskatalog
für verantwortliche Interessenvertretung« vorgelegt, der Unternehmen zur
Orientierung dient.
3.4 Korruptionswahrnehmungsindex 2009
Der Korruptionswahrnehmungsindex (CPI) von Transparency misst den Grad der
bei Beamten und Politikern wahrgenommenen Korruption 1 . Eine Reihe von Staaten
der EU und Westeuropas gehören zu den Ländern mit den höchsten Punktwerten
im Korruptionswahrnehmungsindex 2009.
Int. Rang
Regionaler
Rang
Land
CPI Wert
2009
Vertrauens-
Intervall
Zahl der
Umfragen
2 1 Dänemark 9.3 9.1–9.5 6
3 2 Schweden 9.2 9.0–9.3 6
5 3 Schweiz 9.0 8.9–9.1 6
Tabelle 3.1 Ranking Länder
1 Die Mehrzahl der 180 untersuchten Länder hat auf einer Skala von 0 (als sehr korrupt wahrgenommen)
bis 10 Punkten (als wenig korrupt wahrgenommen) weniger als fünf Punkte erzielt. Es ist
ein sogenannter zusammengesetzter Index, der sich auf verschiedene Experten- und Unternehmensumfragen
stützt.
23

3
Bekämpfung der Korruption lohnt sich
Int. Rang
Regionaler
Rang
Land
CPI Wert
2009
Vertrauens-
Intervall
Zahl der
Umfragen
6 4 Finnland 8.9 8.4–9.4 6
6 4 Niederlande 8.9 8.7–9.0 6
8 6 Island 8.7 7.5–9.4 4
11 7 Norwegen 8.6 8.2–9.1 6
12 8 Luxemburg 8.2 7.6–8.8 6
14 9 Deutschland 8.0 7.7–8.3 6
14 9 Irland 8.0 7.8–8.4 6
16 11 Österreich 7.9 7.4–8.3 6
17 12 Großbritannien 7.7 7.3–8.2 6
21 13 Belgien 7.1 6.9–7.3 6
24 14 Frankreich 6.9 6.5–7.3 6
27 15 Zypern 6.6 6.1–7.1 4
27 15 Estland 6.6 6.1–6.9 8
27 15 Slowenien 6.6 6.3–6.9 8
32 18 Spanien 6.1 5.5–6.6 6
35 19 Portugal 5.8 5.5–6.2 6
45 20 Malta 5.2 4.0–6.2 4
46 21 Ungarn 5.1 4.6–5.7 8
49 22 Polen 5.0 4.5–5.5 8
52 23 Tschechische Republik 4.9 4.3–5.6 8
52 23 Litauen 4.9 4.4–5.4 8
56 25 Lettland 4.5 4.1–4.9 6
56 25 Slowakische Republik 4.5 4.1–4.9 8
63 27 Italien 4.3 3.8–4.9 6
71 28 Bulgarien 3.8 3.2–4.5 8
71 28 Griechenland 3.8 3.2–4.3 6
71 28 Rumänien 3.8 3.2–4.3 8
Tabelle 3.1 Ranking Länder (Forts.)
24

Korruptionswahrnehmungsindex 2009 3.4
Der Index zeigt allerdings auch, dass Europa trotz allem weit davon entfernt
bleibt, vollkommen korruptionsfrei zu sein und viele Errungenschaften nicht dauerhaft
gesichert sind. Um das Bewusstsein für Integrität und Verantwortung zu
erhöhen und um sicherzustellen, dass sowohl die einzelnen Länder als auch die
EU den Erwartungen und Hoffnungen ihrer Bürger gerecht werden, bedarf es
nachhaltiger Bemühungen und Maßnahmen im Kampf gegen die Korruption.
Die höchste Punktzahl im CPI 2009, also Anzeichen für wenig bis keine Korruption,
haben Neuseeland (9,4 Punkte), Dänemark (9,3), Singapur (9,2), Schweden
(9,2) und die Schweiz (9,0). Dies zeugt von politischer Stabilität, einer langen Tradition
von Konfliktlösungsmechanismen und soliden politischen Institutionen.
Doch die Industrieländer, insbesondere die Finanzzentren, in denen durch Korruption
erlangte Gelder versteckt werden können (sog. Schattenfinanzzentren),
haben keinen Grund sich zurückzulehnen. Gerade in Industrieländern haben häufig
die an korrupten Geschäften beteiligten Unternehmen ihren Sitz. Daher sollte
auch Deutschland seine Anstrengungen verstärken, so Transparency.
Deutschland ist unverändert auf Platz 14 zu finden und befindet sich damit im
Mittelfeld von vergleichbaren Staaten. Sylvia Schenk, Vorsitzende von Transparency
Deutschland: »Deutschland trägt als führende Exportnation und politisches
Schwergewicht eine besondere Verantwortung weltweit. Wir haben
Handlungsbedarf im Strafrecht, beim Thema Anti-Korruptionsregister und dem
Schutz von Hinweisgebern.«
Christiane Siemann
25

4
4Datamining, Rasterfahndung, Screening,
Scoring zur fraud detection –
datenschutzrechtliche Zulässigkeit
und deren Grenzen 1
4.1 Die Verfahren
Als Maßnahmen zur Überprüfung der Compliance im Personalbereich werden
unterschiedliche Verfahren zur Aufdeckung von straf- und arbeitsrechtlich relevantem
Verhalten angewandt. Die Zielrichtung der Verfahren ist die gleiche. Datamining
beinhaltet Verfahren, um aus der Menge der zu den unterschiedlichen
Zweckbestimmungen gespeicherten Personaldaten neue Erkenntnisse herauszufiltern.
Ziel kann es auch sein, Hinweise auf Fälle von Korruption zu erhalten. Ein
Weg der Filterung bildet die Rasterfahndung, indem die personenbezogenen
Informationen nach definierten Ergebnissen und Auffälligkeiten durchsucht werden.
Mitarbeiter, die die gesuchten Merkmale haben, bleiben im Raster hängen.
Eine Variante der Rasterfahndung ist das Screening. Der aus dem medizinischen
Bereich stammende Begriff beschreibt gleiche Vorgänge, nämlich das gezielte
»Aussieben« von Massendaten. Ein weiterer Schritt ist es, aus den Erkenntnissen
über eventuell korrupte Mitarbeiter allgemeine Erfahrungswerte zu ermitteln, an
denen dann der einzelne Mitarbeiter gescort wird. Ein Beispiel bilden unter den
Bezeichnungen »lost prevention« oder »fraud detection« geführte Programme, die
ein typisches Profil von Beschäftigten an Kassen erstellen, um dann an dem Verhalten
einzelner Beschäftigter festzustellen, wer mit welchem Verdachtswert von
dem typischen Profil abweicht.
Dass derartige Verfahren einen weiteren Schritt zu einer lückenlosen Leistungsund
Verhaltenskontrolle der Beschäftigten eröffnen, steht außer Frage. Gleichwohl
sind sie auch im Personalwesen im Bereich der Bekämpfung von Korrup-
1 Auszug aus Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl., Datakonext,
Frechen 2010.
26

Rechtsgrundlage 4.3
tion, Betrug oder Unterschlagungen, aber auch zur Ermittlung allgemeiner
Sicherheitsrisiken nicht per se unzulässig. Eine generelle Unzulässigkeit lässt sich
aber auch aus § 32 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG) ablesen. Eindeutig
ist aber auch, dass ihr Einsatz sehr schnell an datenschutzrechtliche Grenzen
stößt.
4.2 Gesetzliche Vorgaben für Kontrollmaßnahmen
Dem Arbeitgeber sind derartige Kontrollmaßnahmen, wenn auch ohne
Detaillierung im Einzelnen, ggf. gesetzlich vorgegeben (§ 91 Abs. 2 AktG, §
43 Abs. 2 GmbHG, § 317 Abs. 4 HGB). Als generell geltende Norm ist § 130
OwiG von Gewicht. Verletzt der Unternehmer nämlich schuldhaft seine
Pflicht zur Verhinderung von gegen den Betrieb gerichteten Straftaten oder
Ordnungswidrigkeiten, handelt er selbst ebenfalls ordnungswidrig, wenn die
Zuwiderhandlung bei gehöriger Aufsicht verhindert oder wesentlich
erschwert worden wäre (§ 130 Abs. 1 OWiG). Compliance-Regelungen, die
auf die Einhaltung zunächst der Gesetze und nachfolgend auch unternehmensinterner
Regelungen abzielen, erfordern ebenfalls Maßnahmen, damit diese
Gesetztestreue auch Betriebswirklichkeit ist. Whistleblower-Regelungen spielen
hierbei genauso eine Rolle wie unternehmensinterne Kontrollverfahren.
Vorgabe hierfür ist für international tätige Unternehmen der Sarbanes-Oxley-Act
der USA, der jedoch in Deutschland nicht als Eingriffsnorm herangezogen werden
kann (vgl. BAG, RDV 2009, 25).
4.3 Rechtsgrundlage
Die automatisierte Verarbeitung der Mitarbeiterdaten unterliegt dem Verbot mit
Erlaubnisvorbehalt des § 4 Abs. 1 BDSG, d.h., der Arbeitgeber muss sich auf eine
Norm, die sein Vorgehen rechtfertigt, berufen können. Die aufgezeigten speziellen
Kontrollpflichten kommen als spezielle Erlaubnisnorm hierfür nicht in
Betracht, da sie zwar Kontrollen im Allgemeinen festschreiben, über dazu ggf.
erforderliche automatisierte Datenabgleiche aber nichts aussagen. Sie sind jedoch
die Grundlage für das »berechtigte Interesse«, das den Arbeitgeber nach dem
BDSG zu diesbezüglichen Verarbeitungen berechtigten kann. Die maßgebende
Norm findet sich in § 32 Abs. 1 bzw. § 28 Abs. 2 BDSG.
§ 32 Abs. 1 S. 1 BDSG gestattet derartige Verfahren zunächst und primär, wenn es
im Rahmen der Zweckbestimmung des (Arbeits-)Verhältnisses erforderlich ist.
27

4
Datamining, Rasterfahndung, Screening, Scoring zur fraud detection
Für die Erfüllung der Zweckbestimmung des Vertrages sind auch Maßnahmen
erforderlich, mit denen der Arbeitgeber die Einhaltung der mit dem Arbeitnehmer
vereinbarten Arbeitspflichten kontrolliert, d.h., der Vertragszweck berechtigt
auch zur Ermittlung von gegen die Pflichten des Vertrages sprechendem Verhalten.
Die Befugnis des Arbeitgebers beschränkt sich daher nicht nur auf die sich
unmittelbar aus dem Arbeitsvertrag ergebenden Erforderlichkeiten. Dies gilt
für den Bereich der fraud detection jedenfalls, wenn das Arbeitsverhältnis auf
Grund der Funktion des Mitarbeiters – ggf. nach Einholung entsprechender
Verpflichtungen im Arbeitsvertrag oder per verbindlicher Complianceregelung
– ausdrücklich zu entsprechendem Verhalten verpflichtet.
Eine erst nach Eingehung der Vertragsbeziehung neue Zweckbestimmung der
Nutzung der Konto- und Adressdaten zum Zwecke der fraud detection wäre auch
an § 32 Abs. 1 BDSG zu messen. Erheblich ist jedoch, dass in beiden Zulässigkeitsvarianten
bei der Ermittlung der durch den vertraglichen Zweck gebilligten Verarbeitungen
die berechtigten Interessen des Arbeitgebers gegen die schutzwürdigen
Belange der Arbeitnehmer abzuwägen bleiben.
4.4 Verhältnismäßigkeitsprinzip
Auch bei bejahtem arbeitgeberseitigem Informationsinteresse ist dem Verhältnismäßigkeitsprinzip
Rechnung zu tragen. Die Kriterien die das BAG für die
Zulässigkeit offener und ggf. auch geheimer Videoüberwachung aufgestellt hat,
geben den Maßstab vor.9a Dabei ist zu unterscheiden, ob das Screening präventiven
Zwecken dient, d.h. auf Grund einer betriebswirtschaftlichen Analyse
aller Geschäftsprozesse ermittelten Gefährdungslage erfolgt, oder ob repressiv
tatsächlichen Anhaltspunkten einer Straftat nachgegangen werden soll. Hier
sind die Voraussetzungen in § 32 Abs. 1 S. 2 BDSG vorgegeben. Davon hängt
auch der in die Untersuchung einzubeziehende Personenkreis ab (vgl. aber
auch BVerfG, RDV 2009, 113, wonach bei einer staatsanwaltschaftlichen Datenerhebung
bei einem Kreditkarteninstitut gegenüber Betroffenen, bei denen
bei einem Datensuchlauf »kein Treffer erzielt wurde«, kein Eingriff in das informationelle
Selbstbestimmungsrecht erfolgte).
Die aus § 32 Abs. 1 S. 1 BDSG in Risikobereichen erfolgende präventive Kontrolle
soll ja erst dazu dienen, Tatsachen zu ermitteln, die auf einen Strafverdacht hindeuten
und gezielte Einzelmaßnahmen unter den Kriterien des § 32 Abs. 1 S. 2
BDSG rechtfertigen.
28

Verfahrensablauf 4.6
Bei präventiver Überwachung kann ausnahmsweise auch eine Gesamtüberwachung
vorgenommen werden. Diese muss berechtigt sein, wenn für die Ermittlung
des in die Analyse einzubeziehenden Personenkreises erst noch eine weitere
datenschutzrechtlich relevante Erhebung von Daten erforderlich wäre. Eine Konkretisierung
des Personenkreises anhand der betrieblichen Organisationsdaten
kann jedoch nicht wegen des Arbeitsaufwands als unzumutbar gesehen werden.
Eine Vollkontrolle wird regelmäßig nicht gerechtfertigt sein. Auswertungen müssen
möglichst in pseudonymisierter Form erfolgen und dürfen erst im Verdachtsfall
personalisiert werden (§ 3a BDSG).
4.5 Transparenz
Keine Gründe sprechen dafür, derartige Verfahren »geheim« durchzuführen.
Die Gefahr, entdeckt zu werden, wird vielmehr ein nützlicher Abschreckungseffekt
sein. Bei einem präventiven Screening genügt zunächst eine allgemeine
Bekanntmachung und dann ggf. eine konkrete Information bei der Anhörung
eventueller Verdächtigter. Bei repressivem Ermitteln ist es ggf. geboten, die Information
der Betroffenen erst nach Abschluss der Untersuchung durchzuführen.
4.6 Verfahrensablauf
An der Durchführung der Recherche bzw. Analyse sind Betriebsrat und Datenschutzbeauftragte
zu beteiligen. Das Verfahren ist zu dokumentieren. Die maßgebenden
Entscheidungsschritte sollten in einem zu diesem Zweck eingerichteten
Kontrollgremium erfolgen.
Vgl. insgesamt die von Albers, entwickelten Vorgehensphasen (Compliance der Compliance:
Elektronische Analyseverfahren personenbezogener Daten zur Prävention und
Aufdeckung geschäftsschädigender Handlungen in Unternehmen, Forschungsbericht
Ausgabe 6, 2009 des Fachbereichs Wirtschaft der FHS Düsseldorf)
Phasen eines solchen Recherche- und Analyseverfahrens sind:
Phase 1: Festlegung des Recherche- und Analysezwecks
Phase 2: Identifikation geeigneter Indikatoren
Phase 3: Definition der abzugleichenden Datenbestände
Phase 4: Bereitstellung eines geeigneten Softwaretools bzw. Einsatz einer geeigneten
Abfragesprache
29

4
Datamining, Rasterfahndung, Screening, Scoring zur fraud detection
Phasen eines solchen Recherche- und Analyseverfahrens sind:
Phase 5: Extraktion anonymisierter bzw. pseudonymisierter Daten aus den betrieblichen
Datenbeständen
Phase 6: Durchführung des Datenabgleichs
Phase 7: ggf. Reduktion der Schnittmenge im Ausschlussverfahren durch Anwendung weiterer
Indikatoren
Phase 8: Personalisierung der generierten Verdachtsfälle
Phase 9: Klärung der Verdachtsfälle
Prof. Peter Gola, Vorstandsvorsitzender der Gesellschaft für Datenschutz und
Datensicherung (GDD) e.V., Bonn
Beitrag entnommen aus: Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz,
978-3-89577-550-5
30

5Interview mit Jürgen Grieger
5
Wie kann es dazu kommen, dass in Organisationen mit hoher Reputation und
ansonsten rechtschaffenden Mitarbeitern, wirtschaftskriminelle Handlungen vorkommen,
und zwar nicht nur einmalig, sondern regelmäßig und systematisch?
Mit diesem Phänomen setzt sich Jürgen Grieger, Wissenschaftler an der Freie Universität
Berlin, auseinander. Ein Interview über die Bedingungen von Wirtschaftskriminalität
und Korruption.
Welche Umstände führen zu wirtschaftskriminellen bzw. korrupten
Handlungen?
Grieger: Den einschlägigen Forschungsergebnissen zur Folge lassen sich drei
Bereiche benennen, die man als Ursachenkomplexe von Wirtschaftskriminalität
identifiziert hat: Die Umwelt, die Organisation und die Handelnden. Wenn beispielsweise
in der Umwelt von Unternehmen ein starker Konkurrenzdruck
herrscht, kann dies ein Korruption fördernder Faktor sein. Aber auch eine geringe
Regulierung und die schwache Durchsetzung von Recht – wenn also Normen nur
selten auf ihre Einhaltung überprüft werden – befördern Korruption. Die Organisationsforschung
kommt zu der Aussage, dass eine große Organisation, die in
ihren Abläufen und Zuständigkeiten nur wenig überschaubar ist, einen Anreiz für
korruptes Handeln bildet, da die Entdeckungswahrscheinlichkeit gering ist.
Ebenso sind geringer wirtschaftlicher Erfolg und insbesondere starker Leistungsund
Erfolgsdruck, der auf den Mitarbeitern lastet, häufig Anlass für korrupte
Handlungen. Als dritten Bereich sind die Mitarbeiter zu nennen. Hier ist ein
geringes moralisches Bewusstsein in Verbindung mit Ängsten, Erwartungen oder
hohe Zielvorgaben nicht zu erreichen, ausschlaggebend für korruptes Handeln.
Grundsätzlich müssen aber entsprechende Motivationen von Handelnden und
»günstige« Gelegenheiten zusammen kommen, damit Korruption in Organisationen
entstehen kann.
31

5
Interview mit Jürgen Grieger
Mein Ansatz zur Erforschung von Korruption betrachtet Organisationsprozesse,
denn das Handeln von Mitarbeitern ist ohne Blick auf Rahmenbedingungen nicht
sinnvoll zu untersuchen. Diese Bedingungen ermöglichen und begrenzen Handeln.
Korruption ist ein Phänomen, das in bestimmten organisatorischen Kontexten entsteht
und ohne Betrachtung dieser speziellen Kontexte nicht zu verstehen ist.
Welchen Anteil haben die Organisationen, welchen die handelnden
»Delinquenten«?
Grieger: Unter bestimmten Bedingungen üben Organisationen sehr starken Druck
auf ihre Mitarbeiter oder auf Arbeitsgruppen aus, so dass die betroffenen Personen
Handlungen vornehmen, die sie unter anderen Umständen nicht vornehmen
würden. Wichtig ist, dass diese Personen für sich keine anderen Möglichkeiten
mehr sehen, mit dem Druck umzugehen, dass für sie Korruption folglich der Ausweg
aus einer aktuellen Zwangslage ist. Daraus darf man aber nicht den Schluss
ziehen, dass Täter nur Opfer widriger Umstände sind. Natürlich tragen die Handelnden
immer eine gewisse Verantwortung, vor allem wenn ihnen bewusst ist,
dass ihr Handeln Regeln oder Gesetze verletzt. Der Verweis auf problematische
Organisations- und Geschäftsverhältnisse ist nicht ausreichend.
Wie sieht der Druck in Organisationen aus?
Grieger: Druck auf Mitarbeiter entsteht meistens, wenn hohe und kaum erreichbare
Ziele vorgegeben werden. Wenn es dann von »oben« Signale gibt, dass bei
der Erreichung der Vorgaben die Wahl der Mittel nicht von Belang ist, und man
auch nicht so genau wissen will, wie Geschäfte im Detail ablaufen, dann werden
Mitarbeiter geradezu genötigt, sich illegaler Mittel zu bedienen.
Man muss sich Korruption als einen Prozess vorstellen. In unübersichtlichen Strukturen
funktioniert die hierarchische Kontrolle oft nicht gut. Marktnahe Abteilungen
werden nicht hinreichend kontrolliert und es gibt gewisse Routinen, wie in
»schwierigen Fällen« bei der Akquise von Aufträgen vorgegangen wird, um erfolgreich
zu sein. Hierüber gibt es bei vielen Mitarbeitern ein Wissen, aber eben auch
ein »Nicht-Wissen Wollen«. Am Beispiel des Siemensfalls lässt sich zeigen, dass für
bestimmte Geschäfte der Einsatz von besonderen Aufwendungen erforderlich war.
Die Praktiken des Bestechens waren ausgefeilt, hoch entwickelt und sind von nicht
wenigen Vorgesetzten gedeckt worden. Beispielsweise mussten zur Abwicklung
von Geschäften ganz bestimmte, an sich banale Vorgänge, wie die Beschaffung von
Geldbeträgen in bar, ihre Verbuchung und die persönliche Übergabe, genau geregelt
sein. Dies zeigt, dass es keine vereinzelten Taten waren, sondern komplexe
Prozesse, die routiniert und erfahren bewältigt wurden. Und wenn es in Unternehmen
solche Routinen gibt, dann würde ich als Organisationswissenschaftler sagen,
dass etwas mit der Struktur von Unternehmen nicht in Ordnung ist.
32

Interview mit Jürgen Grieger 5
Das heißt, Unternehmen sind empfänglich für Korruption und nicht der
Einzelne?
Grieger: Es gibt für Korruption besonders empfängliche Abteilungen, das sind
prinzipiell eher die marktnahen, wie der Einkauf oder der Verkauf, in dem Güter
und Dienstleistungen beschafft oder abgesetzt werden. Korruption bedeutet
dann, dass ein Leistungstausch nur unter bestimmten Bedingungen, etwa nur bei
Zahlung zusätzlicher »Vergütungen« zu Stande kommt. Täter bereichern dabei
häufig nicht sich selbst, sondern handeln im wohlverstandenen Interesse für das
eigene Unternehmen. Korruption sagt deshalb eine ganze Menge über Organisationen
aus. Man kann dieses Phänomen auch als Organisationspathologie bezeichnen,
da korrupte Handlungsweisen fest in den Strukturen verankert sind und die
Mitarbeiter zu einer Art Doppelspiel zwischen Wahrheit und Vertuschung genötigt
werden. Solche Zumutungen an das Personal sind nicht einfach hierarchisch
durchsetzbar, sondern erfordern eine Kultur des Schweigens und Verschweigens.
Bei Siemens gab es ein elaboriertes System, wie man Kick-backs organisiert. Hiervon
wussten relativ viele Mitarbeiter, aber möglicherweise gab es im Vorstand
lange Zeit kein ernsthaftes Interesse, an diesem »Erfolgsmodell« etwas zu ändern.
Wie lässt sich Korruption im Unternehmen bekämpfen?
Grieger: Systematische Korruption ist nicht von heute auf morgen zu unterbinden.
Im Grunde müsste man die Kultur einer Organisation verändern. Dabei hilft es
nicht weiter, einfach nur Regeln aufzusetzen, sondern man muss dort ansetzen, wo
Korruption zur Selbstverständlichkeit geworden ist, d.h. im alltäglichen Handeln.
Vor allem muss man den Beschäftigten Möglichkeiten zeigen, andere Geschäftspraktiken
– also erfolgreiche Routinen – zu entwickeln. Ein Beispiel: Bis 1998
konnten deutsche Unternehmen Schmiergeldzahlungen im Ausland noch als Aufwendungen
von der Steuer absetzen. Dann änderte sich die Gesetzeslage, aber die
Praxis korrupter Geschäfte ging weiter, weil es keine erprobten alternativen Praktiken
gab. Die Frage, die Unternehmen damals – aber auch noch heute – beantworten
müssen, lautet: Wie sehen die Möglichkeiten aus, Aufträge auf legalem Wege
zu bekommen? Wer Korruption bekämpfen will, muss genauer verstehen, wie
Korruption entsteht, wie ihre Voraussetzungen zustande kommen. Wer etwas
gegen Korruption im eigenen Unternehmen tun möchte, muss sich die Routinen
und die dahinter stehenden sozialen Prozesse anschauen – ein in vermutlich vielen
praktischen Fällen schmerzhafter Erkenntnisprozess. In diese Routinen und Prozesse
werden die Mitarbeiter hinein sozialisiert, weshalb in der Managementwissenschaft
das Sozialisationsmodell zur Erklärung von Korruption großen Anklang
findet. Wer Korruption praktisch bekämpfen will, der muss hier ansetzen.
33

5
Interview mit Jürgen Grieger
Nehmen Unternehmen eine sogenannte Organisationspathologie in Kauf?
Grieger: Ich bin davon überzeugt, dass die meisten Unternehmen rechtschaffend
agieren und Korruption nicht zulassen würden. Aber Korruption entsteht auf
schleichendem Wege und wird oft erst spät erkannt. Korruption wird solange
Bestand haben, wie es Unternehmensleitungen gibt, die – aus welchen Gründen
auch immer – kein wirkliches Interesse an Aufklärung haben. Häufig ändert sich
erst dann etwas, wenn Unternehmen von der Staatsanwaltschaft oder der Öffentlichkeit
zu Maßnahmen gezwungen werden.
Aber niederschwellige Wirtschaftskriminalität wird aktiv angegangen, indem
Kontrollen verschärft werden, damit Buchhalter oder die Sekretärin erwischt
werden? Ist das nur ein Alibi, um sich als sauber zu präsentieren?
Grieger: Von Korruption reden, heißt über systematisch korruptes Verhalten zu
sprechen. Es ist häufig Auslegungssache, ob man den Restaurantbesuch eines Kunden
oder die Einladung zum Golfspiel als Korruption interpretiert oder nicht.
Doch größere Probleme als solche »Freundschaftsgesten« verursacht die schleichende
Normalisierung wirtschaftskriminellen oder korrupten Handelns in Organisationen.
Das ist dann der Fall, wenn Bestechung oder vergleichbare Straftaten
für die Handelnden in ihrem täglichen Alltag zur selbstverständlichen Normalität
werden. Dann kann es passieren, dass Handelnden gar nicht mehr bewusst ist,
dass sie etwas Problematisches tun. Das liegt zum einen daran, weil sie gelernt
haben, dass man »es« immer schon so gemacht hat. Zum anderen – das sind oft
gehörte Standardargumente, mit denen man sich die Welt »schön« redet – wird
Korruption als »Notwendigkeit« betrachtet, weil man sonst nicht zum Geschäftsabschluss
kommt, Arbeitsplätze in Gefahr geraten und die Bestechungsgelder zahlende
Konkurrenz den Auftrag erlangt. Wissenschaftler bezeichnen solche
Formen des Selbstbetrugs als Rationalisierung, mit der man kriminelles Handeln
vor sich selbst und im Kreis der Teammitglieder rechtfertigt.
Was bedeutet das für das Selbstverständnis der handelnden Personen?
Grieger: Am Fall Siemens kann man sehen, dass die Mitarbeiter nicht in die eigene
Tasche wirtschafteten und eigennützig höchstens in dem Sinne handelten, dass sie
ihre Karriere befördern wollten, indem sie für das Unternehmen Werte schufen.
Eine solche Kultur ändert man nicht von heute auf morgen, auch nicht alleine
dadurch, dass der Chief Compliance Officer schärfere Regeln erlässt und die Mitarbeiter
zu Ethik-Schulungen verpflichtet. Eine Umstrukturierung gelingt nur
dann, wenn eine attraktive Zukunftsvision entwickelt wird und die Mitarbeiter
auf den Weg dorthin begleitet werden.
34

Interview mit Jürgen Grieger 5
Was kann das Management tun?
Grieger: Führungskräfte müssen glaubhaft und persistent die Werte vermitteln,
die für sauberes Wirtschaften stehen. Und dies muss auch vorgelebt werden und
das heißt: Konsequent handeln, die Treppe »von oben nach unten« fegen und
nicht nur einzelne Täter auf unteren Hierarchieebenen exemplarisch zur Verantwortung
ziehen. Richtlinien und Governance reichen dabei nicht aus, den wohlfeilen
Worten müssen Taten folgen.
Will man Korruption bekämpfen, dann muss es für die Mitarbeiter vor allen Dingen
möglich sein, auf legalem Wege erfolgreich zu sein. Zudem gelingt sauberes
Wirtschaften nur dann, wenn es mit Belohnungen und für den Fall von Zuwiderhandlungen
mit Sanktionen verknüpft ist. Eine systematische Herangehensweise
bedeutet, Korruption als Delikt bewusst zu machen, Kontrollen zu installieren
und kriminelle Handlungen auch anzuzeigen. Ein Code of Conduct gehört heute
zum guten Ton, den hat inzwischen jedes Unternehmen.
Entscheidend ist aber die Frage, was dahinter steht, genauer: Werden die
propagierten Werte und Regeln auch gelebt und durchgesetzt, haben sie im
Alltagshandeln, in Routinen Bedeutung oder gibt es eine Doppelmoral in
Unternehmen?
Grieger: Meiner Einschätzung nach wird man auf absehbare Zeit nicht zu einem
Idealbild von Korruptionsfreiheit in der Wirtschaft kommen. Schaut man in Organisationen
hinein, dann kann man tatsächlich häufig zu dem Schluss gelangen,
dass viele ambitionierte Ziele mit legalen Mitteln kaum erreicht werden können –
und diese Ziele werden immer von oben vorgegeben. Der Druck, der auf den
Kapitalmärkten erzeugt wird und der auf den Karrieren der Top-Manager lastet,
der kommt in Unternehmen letztlich immer dort an, wo die Umsätze generiert
werden müssen.
Gibt es Hinweise darauf, dass der Wirtschaftskriminalität hierzulande nicht
genügend Aufmerksamkeit zuteil wird?
Grieger: Korruption ist kein neues Phänomen, aber es ist heute stärker ins Licht
der Öffentlichkeit gerückt als früher. Und dazu haben sicherlich die großen Korruptionsfälle
der letzten Jahre beigetragen. Politik und Wirtschaft schauen allerdings
weder gern hin noch sprechen sie viel darüber. Und auch in der Ausbildung
der angehenden Entscheider mangelt es an Seminaren, die sich mit entsprechenden
Themen beschäftigen. So stehen im BWL-Studium, wo die künftigen Manager
ausgebildet werden, die Themen Wirtschaftskriminalität und Unternehmensethik
nicht auf dem Lehrplan. Wir führen in Deutschland zwar die Diskussion darüber,
das Fach Ethik in der Managementausbildung zu etablieren. Aber nur eine ver-
35

5
Interview mit Jürgen Grieger
schwindend kleine Minderheit von Lehrstühlen bietet das Thema derzeit in der
Lehre an und in Studienordnungen ist es – anders übrigens als in amerikanischen
Business Schools – kaum verankert. So erlernen die späteren Entscheider in Wirtschaft
und Gesellschaft zwar das betriebswirtschaftliche Instrumentarium. Eine
kritische Auseinandersetzung über die Grenzen zügellosen Erwerbsstrebens findet
nicht statt.
Veröffentlichungen: Grieger, J.: Korruption und Kultur bei der Siemens AG – Eine
Handlungs-Struktur-Analyse. In: Graeff, P. /Schröder, K./Wolf, S. (Hrsg.): Der Korruptionsfall
Siemens. Analysen und praxisnahe Folgerungen des wissenschaftlichen
Arbeitskreises von Transparency International Deutschland. Baden-Baden 2009, S.
103-130. Grieger, J.: Corruption in Organizations. Some Outlines for Research. Working
Paper No. 203, Department of Economics and Social Sciences, University of Wuppertal,
Wuppertal 2005.
Kontakt: Priv.-Doz. Dr. Jürgen Grieger, Freie Universität Berlin, Fachbereich Wirtschaftswissenschaft,
Arbeitsbereich Personalpolitik. E-Mail: juergen.grieger@fu-berlin.de
36

6Interview mit Rolf Rainer Jaeger
6
»Unternehmen verzichten auf die Abschreckungswirkung. Die firmeninterne
Bearbeitung und Erledigung der Straftaten von Mitarbeitern in Unternehmen
ist allein nicht geeignet, weitere unternehmensinterne Straftaten zu verhindern.
Ab einer bestimmten Erheblichkeitsschwelle kann nur empfohlen werden,
sich den Strafverfolgungsorganen anzuvertrauen«, erklärt Rolf Rainer
Jaeger (Leitender Kriminaldirektor und stellvertretender Bundesvorsitzender
des BDK, Bund Deutscher Kriminalbeamter, Berlin). Vor allen Dingen auch,
damit die Betriebe nicht sich selbst und anderen schaden.
Welche Alternativen gibt es, wenn Unternehmen dem Betrug auf der Spur sind?
Rolf R. Jaeger: In der Praxis zeigen sich Varianten. In kleinen und mittleren Unternehmen
begibt sich der Chef oft selbst ans Werk, ohne dass er über die notwendigen
Qualifikationen für Ermittlungen verfügt. Er macht sich zum eigenen
Chefermittler. Häufiger anzutreffen und bei größeren Unternehmen die Regel ist
die Einschaltung einer Detektei oder einer Ermittlungsorganisation; und es gibt es
auf dem Markt Anwälte, die sich auf Ermittlungen in strafrechtlich relevanten
Sachverhalten spezialisiert haben, sowie Unternehmen, die Aufgaben der Wirtschaftsprüfung
und Ermittlungen anbieten. Die spezialisierten Kriminaldienststellen
werden nur beauftragt, wenn Widerstand von den Beschuldigten oder
Kunden zu erwarten ist, die Mittel der privaten Ermittler nicht ausreichen oder
der Schaden so groß ist, dass auch dem Unternehmen eine strafrechtliche Intervention
unausweichlich erscheint. Die seltene Einschaltung der Strafverfolgungsbehörden
führt jedoch letztlich zu einem größeren Schaden für die gesamte
Wirtschaft.
37

6
Interview mit Rolf Rainer Jaeger
Unternehmen haben Angst vor öffentlicher Reaktion. Kann die Polizei
Ermittlungen geheim halten?
Rolf R. Jaeger: Die Polizeiarbeit ist darauf ausgerichtet, insbesondere in bedeutsamen
Strafverfahren die Ermittlungen geheim zu halten. Schließlich soll auch der
Tatverdächtige davon erst erfahren, wenn das Beweisgebäude steht. Oft müssen
verdeckte Maßnahmen getroffen werden. Die Polizei kann auch bei ihrer Pressearbeit
Sachverhalte aus überwiegenden Interessen geheim halten oder so verallgemeinernd
darstellen, dass Bezüge zu betroffenen Unternehmen nicht hergestellt
werden können. Wenn eine Straftat allerdings zur Anklage gelangt, kann in
Gerichtsverhandlungen die Öffentlichkeit oft nicht ausgeschlossen werden. Hier
können aber Absprachen mit der Staatsanwaltschaft und den Gerichten getroffen
werden, dass Unternehmensinteressen nicht gefährdet und Unternehmensgeheimnisse
nicht öffentlich gemacht werden müssen.
Aber alle wollen, dass es geräuschlos über die Bühne geht?
Rolf R. Jaeger: Da ist sehr problematisch – vor allem bei den Vereinbarungen mit
Mitarbeitern. Es ist nicht ungewöhnlich, dass ihnen bei Unterschlagungen, Betrügereien
und Geheimnisverrat ein Angebot zur fristgerechten Kündigung unterbreitet
wird, wenn sie zur Aufklärung ihrer Taten und zur Schadenswiedergutmachung
beitragen. Dazu gehört häufig auch, dass kriminelle Taten in Arbeitszeugnissen
verschwiegen werden. So gelangen Mitarbeiter, die schon eine nicht unerhebliche
kriminelle Energie an den Tag gelegt haben, unentdeckt in die nächste Position, in
der sie solche oder ähnliche Taten auf gleiche Weise fortsetzen, bis sie auch dort
wieder »erwischt« werden und in ihren Papieren als »Ersttäter« gelten. Der Strafregisterauszug
eines solchen Mitarbeiters bleibt lupenrein.
Gehen die Entscheider davon aus: Einmal erwischt, für immer geheilt?
Rolf R. Jaeger: Wie will man das feststellen? Dieses »Spiel« des betrügerischen
Arbeitnehmers kann er bis an das Ende seiner Berufslaufbahn betreiben. Die
Betriebe nehmen es offensichtlich in Kauf, dass der kriminelle Mitarbeiter seine
Taten beim neuen Arbeitgeber modifiziert und noch erfolgreicher gestaltet, da auch
das nächste Unternehmen möglicherweise wieder private Ermittler beauftragt.
Und wenn das kriminelle Verhalten nur ein einmaliger Ausrutscher war?
Rolf R. Jaeger: Vergessen Sie nicht die firmeninternen Auswirkungen! In der Regel
ahnen viele im Unternehmen, dass ein Kollege nicht »ganz sauber« gearbeitet hat.
Oder aber der Arbeitnehmer hat seine kriminellen Handlungen gegenüber seinen
engsten Kollegen nicht verschwiegen. So findet er Nachahmer. Diese werden cleverer
zu Werke gehen. Sie wissen, dass im schlimmsten Fall der Aufdeckung auch
für sie nur eine einvernehmliche Kündigung zu erwarten ist – und ein Arbeits-
38

Interview mit Rolf Rainer Jaeger 6
zeugnis, mit dem sie sich problemlos auch wieder bei anderen Unternehmen
bewerben können.
Kann der bisherige den neuen Arbeitgeber nicht telefonisch informieren?
Rolf R. Jaeger: Zum einen erfährt er häufig gar nicht, bei wem der Mitarbeiter in
ein neues Arbeitsverhältnis eintritt. Zum anderen umfassen die Deals auch, dass
bei telefonischen Nachfragen eines zukünftigen Arbeitgebers die Unwahrheit
gesagt und damit der kriminelle Hintergrund der Beendigung des Arbeitsverhältnisses
verschwiegen wird. Auf diese Weise »produzieren« Unternehmen das kriminelle
Personal, das ihnen oder anderen weiterhin schaden wird. Sie haben an
einem generalpräventiven normalen strafrechtlichen Ermittlungsverfahren kein
Interesse.
Aber die Straftaten werden doch aufgeklärt?
Rolf R. Jaeger: Für die umfassende Aufklärung von Straftaten, die von mehreren
oder gar vielen Mitarbeitern in einer Organisation vorgenommen werden, fehlen
den privaten Ermittlern meistens die Kompetenzen, die Ermächtigungsnormen
und die Möglichkeiten für Eingriffe insbesondere außerhalb des Unternehmens.
Bestimmte Tat- und Tätergeflechte können nur schwierig und mit großem Kostenaufwand
von privaten Ermittlungsorganisationen aufgedeckt werden. Die Kripo
arbeitet für die Unternehmen kostenfrei, sie erfüllt nur ihren gesetzlichen Strafverfolgungsauftrag.
Private Ermittlungsfirmen entdecken nicht alle verdächtigen Personen oder
Netzwerke?
Rolf R. Jaeger: Diese Firmen arbeiten nicht auf der Basis der Ermächtigungsnormen
der Strafprozessordnung. Sie orientieren sich oft nicht an Datenschutzgesetzen
– was jüngste Veröffentlichungen über die Aktivitäten von Ermittlern in
Großunternehmen zeigen –, sondern sie nutzen ihre Kompetenzen im Betrieb, um
ihre Fälle einer möglichst schnellen Lösung zuzuführen. Ermittlungsorganisationen
sind »polizeifreie Räume«, aus denen Taten meist nicht an die Polizei übermittelt
werden. Gegen diese Täter kann auch die Strafjustiz keine Maßnahmen
treffen. Private Ermittlungen, private Beweisführung und Urteilsfindung – damit
Exekutive und Judikative – bilden eine Gewalt in Abstimmung mit der Geschäftsführung
von Unternehmen, die die Rolle der Justiz übernehmen.
Das Unternehmen wird zu einem rechtsfreien Raum?
Rolf R. Jaeger: Wenn die Strafverfolgungsbehörden nicht eingeschaltet werden,
bilden Unternehmen in Abhängigkeit von der Stärke der Ermittlungsorganisation
eine Art Staat im Staate – mit scheinbar rechtsfreien und rechtsmittelfreien Räumen.
Das kann und sollte sich ein Staat wie die Bundesrepublik Deutschland
39

6
Interview mit Rolf Rainer Jaeger
eigentlich nicht leisten. Das Unternehmen bezahlt eine Ermittlungsorganisation,
die letztlich nicht oder oft nur mit fragwürdigen Rechtseingriffen wie Observationen
und Einsatz technischer Mittel in der Lage ist, erhebliche Diebstähle, Unterschlagungen
und Fälle von Wirtschaftskriminalität aufzudecken. Unternehmen
wären auch aus finanziellen Gesichtspunkten oft besser beraten, wenn sie auf die
Ermittlungskompetenz der Polizei vertrauen würden.
Unternehmen verzichten auf die Abschreckungswirkung polizeilicher
Ermittlungen?
Rolf R. Jaeger: Kriminelle Mitarbeiter mögen zwar wenig begeistert sein, wenn sie
ihr Arbeitsverhältnis wegen ihrer Kriminalität beenden müssen. Sie fürchten sich
aber deutlich mehr vor polizeilichen Ermittlungen, Durchsuchungen an ihrer
Wohnadresse, Beschlagnahmen von Beweismitteln, Gewinnabschöpfungsmaßnahmen
und dem öffentlichen Gerichtsverfahren als vor firmeninternen Ermittlungen,
aus denen sie mit problematischen Deals, aber letztlich doch unbescholten herauskommen.
Das hat keine Abschreckungswirkung auf Nachahmer.Das Interview
führte Christiane Siemann.
40

7Revisionssicheres Auditieren mit dem
Accenture Audit und Compliance Tool
7
Die große Nachfrage nach prozessorientierten Werkzeugen zeigt insbesondere in
der Wirtschaftskrise, dass in zahlreichen administrativen Bereichen Optimierungspotential
besteht.
Nicht selten werden Investitionen für Software in der Personalabteilung als erstes
Opfer von Sparmaßnahmen. Infolgedessen haben sich die administrativen Bereiche
eigene Werkzeuge in Form von SAP Standard Reports, Queries oder ergänzenden
Eigenentwicklungen geschaffen, um somit die Datenqualität von Stammdaten
oder Abrechungsergebnissen sicherzustellen. In den meisten Fällen resultiert das
in Listen, die aggregiert unterschiedlichen Sachbearbeitern zugeordnet werden.
Die Sachbearbeiter müssen diese Fehlerliste, oder im Extremfall bis zu fünf verschiedene
Listen, manuell abarbeiten und nachvollziehbar (z.B. für die Innenrevision
oder die Wirtschaftsprüfer) dokumentieren. Viele Unternehmen beschäftigen
sich erst dann ernsthaft mit der Suche nach einer Prozessunterstützung, wenn die
Wirtschaftsprüfer ein fehlendes IKS im jährlichen Prüfbericht vermerkt haben.
Je komplexer die Strukturen innerhalb eines Unternehmens, desto weniger sind
Fehler und fehlerhafte Prozesse zu vermeiden. Mit zunehmender Unternehmensgröße
bzw. Komplexität der Organisationsstrukturen steigt das Risiko weiter an.
Arbeitsplatzrichtlinien, Personalvereinbarungen und individuelle Absprachen
(z.B. in Verträgen) stellen hohe Anforderungen an HR-Management und -Abteilungen,
vor allem bei der Stammdatenerfassung/-änderung und Gehalts- oder Reisekostenabrechnung.
Wie können Personalverantwortliche zielgerichtet, wirksam und zugleich effizient
überprüfen, ob alle internen Standards, Gesetze und Regeln eingehalten werden?
Und das nicht nur innerhalb eines Landes, sondern über die Ländergrenzen
hinweg. Wie können Fehler und Fehlerquellen systematischer identifiziert und
beseitigt werden, ohne für jeden Sachverhalt ein zusätzliches Prüfprogramm zu
41

7
Revisionssicheres Auditieren mit dem Accenture Audit und Compliance Tool
entwickeln? Wie werden relevante Stichproben gezogen? Und welche Rolle spielt
die IT-Abteilung bei der Automatisierung, Kostenoptimierung und Verbesserung
dieser hohen Anforderungen?
7.1 HR-Stammdaten und Abrechnungsergebnisse prüfen
Die Integrität von Personaldaten und Abrechnungsergebnissen sowie die Nachvollziehbarkeit
von Änderungen sind wichtiger denn je. Unvollständige oder
fehlerhafte Daten können unmittelbar zu fehlerhaften Gehalts-, Bezüge- oder
Lohnabrechnungen oder zu mangelhaften Grundlagen für Personalentscheidungen
und -investitionen führen. Als Folge daraus entsteht oft ein erheblicher, wirtschaftlicher
Schaden der begrenzte Budgetspielräume (unnötigerweise) weiter
reduziert. Gerade auch für Personalabteilungen bietet sich eine herausragende
Möglichkeit, Revisionen wirtschaftlicher und mit stark vermindertem Aufwand
bei wesentlich höherer Revisionsqualität zu unterstützen. In kürzester Zeit können
lückenlose und zielgerichtet aufbereitete Datenanalysen bereitgestellt und
dokumentiert werden.
Die Qualitätssicherung von Personalstammdaten, Abrechnungsdaten, Reisekosten
und Prüfprozessen kann als entscheidender Hebel für Risikovermeidung, Kostensenkung
und Optimierung der HR-Performance genutzt und angesehen werden.
Die Herausforderung für das Personalmanagement besteht dabei u.a. darin, Systeme
einzusetzen und zu implementieren, deren Investitionsaufwand in einem
wirtschaftlichen Verhältnis zu Unternehmensanforderungen und Nutzen steht.
Gerade die Prüfung von Stammdaten und Abrechnung leidet in vielen Unternehmen
erheblich unter Einsparungen. Kaum ein Betrieb kann es sich beispielsweise
bei 500 bis 1.000 Personalakten pro Sachbearbeiter noch leisten, ein effektives
Vier-Augen Prinzip organisatorisch oder revisionssicher und nachvollziehbar
umzusetzen. Der Bedarf an Lösungen ist groß, die manuelle bzw. unproduktive
und sich wiederholende Arbeiten rund um Stammdaten und Gehaltsabrechnung
automatisieren und Abläufe in standardisierte Prozesse überführen können.
7.2 Qualitätssicherung und Revisionssicherheit
Leistungsfähige, vorkonfigurierte und schnell einsetzbare Softwarelösungen, wie
das Audit and Compliance Tool von Accenture, helfen bei der Qualitätssicherung
von Stammdaten und Abrechnungsergebnissen optimal. Die Anwendung zeichnet
sich dadurch aus, dass neben Stichproben für die Revision auch immer der gesamte
Datenbestand geprüft werden kann. Es lassen sich sehr einfach und durch den
42

Qualitätssicherung und Revisionssicherheit 7.2
Anwender selbst Abfragen und Prüfregeln definieren, die selbst komplexeste
Prüfanforderungen abdecken, die unterschiedlichste Kriterien verknüpfen, Schwellenwertüberschreitungen
identifizieren oder Vergleichswertberechnungen durchführen
und auswerten.
Das Tool und seine Prüfregeln sind individuell anpassbar und modular aufgebaut.
Neben den vielen vordefinierten Prüfroutinen lassen sich auch unternehmensspezifische
Prüfungen (kundenspezifisch programmierte oder angepasste lnfotypen)
problemlos abbilden. Die einfache Bedienbarkeit zeichnet die Anwendung aus
und kann ohne Programmieraufwand auf die individuellen Anforderungen einer
Organisation eingestellt werden.
Neu hinzugekommen ist der von den Prüfungsgesellschaften geforderte Nachweis,
welche Prüfungen zu welchem Zeitpunkt durchgeführt wurden. Dafür wird
mit jedem Prüflauf ein Abbild der aktuell genutzten Regel platzsparend mit den
Ergebnisdatensätzen abgelegt. Ein weiteres wichtiges Kriterium für Wirtschaftsprüfer
besteht darin, dass nachvollziehbar ist, wer einen bestimmten Datensatz
bearbeitet oder nachträglich geändert hat. Das Accenture Audit und Compliance
Tool schreibt nun eine Änderungshistorie für die einzelnen Ergebnisdatensätze.
Um die noch weitergehenden Anforderungen der Wirtschaftsprüfer zu erfüllen,
ist es zusätzlich möglich, einen Prüflauf komplett für Änderungen zu sperren.
Abbildung 7.1 Der modulare Aufbau des Accenture Audit and Compliance Tools erlaubt eine Prüfung
von Stamm- und Abrechnungsdaten, Travel- und Organisationsmanagementdaten, Rollen und
Berechtigungen sowie von System- und Profilparametern. Kontinuierliche Prüfprozesse führen zu
einer messbaren Steigerung Ihrer SAP HCM Datenqualität.
43

7
Revisionssicheres Auditieren mit dem Accenture Audit und Compliance Tool
7.3 Fehlerbehebung wird erleichtert
Über den im Accenture Audit and Compliance Tool integrierten Arbeitsplatz
erhalten Sachbearbeiter für die Stichproben, Warn- oder Fehlermeldungen automatisch
Hinweise und Arbeitsanweisungen, wie fallbezogen Korrekturen durchgeführt
werden können. Dies beschleunigt die Bearbeitung und Zuweisung zum
richtigen Sachbearbeiter erheblich. Korrekturen in Stammdaten sowie die Speicherung
des Status jeder einzelnen Meldung in der Datenbank ergeben eine nachvollziehbare,
revisionssichere Dokumentation und gewährleisten zudem eine
hohe Akzeptanz für den toolgestützten Prozess.
7.4 Werkzeuge für die Stammdaten und
Abrechnungsprüfung
Eine zuverlässige Prüfung und hohe Integrität der Personalstammdaten zielt vor
allem darauf ab, falsche oder unvollständige Daten zu berichtigen und zu ergänzen,
Redundanzen zu vermeiden und zu bereinigen, um damit einen konsistenten
Datenbestand zu gewährleisten. Hierunter fällt beispielsweise, ob die vom System
für einen Mitarbeiter erzeugte Lohnart Vertragsstatus und Konditionen widerspiegeln;
ob die Lohnart dem aktuellen Status (Mutterschaftsurlaub, Zeit- oder
unbefristeter Vertrag) entspricht; ob alle Mitarbeiter, die Anspruch auf bestimmte
freiwillige Leistungen des Unternehmens haben, diese auch korrekt erhalten (z.B.
Direktversicherung, Zuschüsse, etc.). Gerade in Kombination von Abrechnungsprozessen
mit fehlerhaften externen Daten bestehen erhebliche Risiken.
7.5 Fehleranalyse
Die Arbeitsoberfläche des voll in SAP integrierten Tools, als Schnittstelle zum
Benutzer unterstützt Sachbearbeiter mit vielen kontextbezogenen Funktionen bei
der Bearbeitung der identifizierten Fehler- und Warnmeldungen. Die Prüfaufgaben
können den zuständigen Sachbearbeitern zugeordnet werden. Der Arbeitsplatz
erlaubt unterschiedlichste Layouts, Filter für Prüfaufgaben (z.B. bestimmte
Fehlertypen oder Mitarbeitergruppen), Kommentare zu den einzelnen Prüfsätzen
und einen individuellen Zugriff (PA20, PA30, Simulation, Entgeltnachweis,
Abrechnungsergebnisse) auf die Stamm- oder Ergebnisdaten des betroffenen Mitarbeiters
über ein Kontextmenü.
44

Organisationsmanagement 7.7
7.6 Aufgabe von HR: Prüfung von Berechtigungen
und Rollen
Ein sicheres System ist das Ergebnis einer fehlerfreien Einrichtung und regelmäßigen
Prüfung von Parametern und Zugriffsberechtigungen. Auch dafür trägt die
HR-Abteilung die Verantwortung und unterliegt damit einer Auskunfts-, Kontrollund
Dokumentationspflicht über sämtliche Einstellungen und die ordnungsgemäße
Funktionsfähigkeit ihrer Personalsysteme. Das Audit and Compliance Tool
erstellt automatisch Ergebnisdokumente, die alle Systemparameterzustände zum
Zeitpunkt der Prüfung übersichtlich zusammenfassen – inklusive Interpretation
der Werte und Erläuterung bzw. Empfehlung alternativer Einstellungen. Es unterstützt
Regeln für die Passwortvergabe und -erneuerung. Ferner ermöglicht es,
Berechtigungen und Rollen, mit denen Benutzer Zugriff auf bestimmte Funktionen
im System erhalten, systematisch zu prüfen, unzulässige Berechtigungskombinationen
zu identifizieren, kritische Berechtigungsprofile und Transaktionsberechtigungen
auszumachen – und erleichtert mit transparenten Übersichten davon
abhängige Entscheidungsprozesse.
7.7 Organisationsmanagement
Ein Grundsatz der SAP Applikationen ist die Überprüfung der Dateneingaben vor
der Speicherung in der Datenbank. Dies stellt die Datenintegrität und -qualität
sicher. Business Applikationen wie das SAP HCM benötigen vielfältige von einander
unabhängige Daten zur Abbildung der verschiedenen Geschäftsprozesse und
deren Einzeltatbeständen. Das führt häufig zu Situationen, in denen Daten für sich
gesehen korrekt, aber im Zusammenwirken mit anderen Einzeltatbeständen
falsch, weil widersprüchlich, sind. Ob es zu einer solchen Widersprüchlichkeit
kommt, ist von der jeweiligen kundenspezifischen Umsetzung der Organisationsstruktur
abhängig. Eine generelle Überprüfung dieser Widersprüche ist problematisch,
da die Datenmenge zu groß ist, um alle denkbaren Datenkonstellationen mit
vertretbarem Kostenaufwand zu analysieren.
Stattdessen ist es kostengünstiger, Daten auf der Basis eines unternehmspezifischen
Regelwerkes zu auditieren und inkonsistente Daten zu identifizieren. Diese
Vorgehensweise bietet auch den Vorteil der Nachvollziehbarkeit des Daten-
Audits, da die Prüfergebnisse in einer dafür vorgesehenen Datenbank gespeichert
werden.
45

7
Revisionssicheres Auditieren mit dem Accenture Audit und Compliance Tool
Der Notwendigkeit einer hohen Datenqualität im Organisationsmanagement
(OM) wird zunehmend mehr Beachtung geschenkt, je mehr Module des SAP HCM
produktiv genutzt werden. Fehler in der Integration zu den Personalstammdaten
werden oft erst sehr spät oder gar nicht lokalisiert. Abhilfe schaffen auch hier nur
Eigenentwicklungen, denn der SAP Standard bietet für Prüfzwecke nur die Alternative
BI an.
Der Hauptzweck des Moduls zum Auditieren des SAP Organisationsmanagements
ist das Aufdecken falsch abgebildeter Strukturen der Unternehmensorganisation
durch z.B. fehlerhafte Zuordnung von Objekten oder von inkonsistenten Daten
zwischen SAP OM und den Mitarbeiterstammdaten (SAP PA).
Anders als bei der »flachen« Datenstruktur des SAP PA verhält es sich bei den hierarchisch
strukturierten Daten des SAP OM: Hier geht es nicht nur um die Selektion
einzelner Objekte und um die Analyse der objektbeschreibenden Daten,
sondern auch um die Selektion und Analyse der Beziehungen verschiedener
Objekte zueinander. Zum Auffinden der Objekte und evtl. untergeordneter
Objekte, die gemäß der genutzten Regel geprüft werden müssen, nutzt das OM
Modul die aus dem SAP OM bekannten Auswertungswege. Somit ist es möglich,
dass eine Regel durch den hierarchischen Objektbaum »navigiert«, um die mit
einer Regel verbundene Datenanalyse auf das jeweilige Objekt und die, sofern
erforderlich, zugeordneten Objekte anzuwenden.
Organisationen sind damit erstmalig in der Lage, alle Prüfaufgaben ohne Programmierkenntnisse
durch einfaches Customizing von Tabellen im Bereich SAP OM
wahrzunehmen. Die Ergebnisse der Auswertungen werden wie bei den vorherigen
Modulen in einer Datenbank gespeichert und im übersichtlichen Arbeitsplatz
zur Bearbeitung zur Verfügung gestellt.
7.8 Reisekosten
Die Aufgabe des Moduls Reisemanagement (TM) ist die Prüfung der für eine Reisekostenabrechnung
herangezogenen bzw. erzeugten Daten. Dazu gehören:
die Stammdaten des Reisenden (Infotypen)
die Rahmendaten einer Reise z.B. Reisebeginn, Reiseende, Zielland
die Detaildaten einer Reise z.B. Belege, Gesamtkosten einer Reise
Mit Hilfe des Prüfprogramms werden die Statusinformationen einer Reise gezielt
selektiert. Damit ist eine Prüfung der erfassten bzw. der berechneten Reisedaten
zu jedem Zeitpunkt des Reisekostenabrechnungsprozesses möglich. Bei Nutzung
46

Fazit 7.9
des Reisestatus kann auf diese Weise ein Reiseantrag oder eine Reise geprüft werden.
Wird der Abrechnungsstatus verwendet, können Reisen, die den Status
»offen«, »abzurechnen« oder »abgerechnet« haben, geprüft werden. Die Prüfung
der Reisedaten durch das Modul TM lässt sich damit flexibel in den internen Kontrollprozess
integrieren.
7.9 Fazit
Leistungsfähige Produkte wie das Accenture Audit und Compliance Tool helfen
Organisationen Risiken, die aus fehlerhaften und inkonsistenten Personalstammdaten
und Abrechnungsprozessen resultieren, maßgeblich zu senken. Sie bieten
hervorragende Möglichkeiten, komplexe Prüfprozesse zu automatisieren und vereinfachen,
um knappe und wertvolle Ressourcen in den Personalabteilungen vermehrt
für Tätigkeiten einzusetzen, die die Wertschöpfung des Unternehmens
beeinflussen. Sie helfen, Fehlerquoten bei der Datenerfassung sowie bei der
Abwicklung zu senken und die Qualität der Fehlerbehebung zu steigern. So werden
Prüfarbeiten rund um die Personalstammdaten, Gehaltsabrechnung, das
Organisationsmanagement und die Reisekosten optimiert, die Qualität der Kontrollen
wird auf ein neues Niveau gehoben.
Autor: Oliver Falk, Experte für SAP Human Capital Management mit Schwerpunkt
Revisionssicherheit von Personalabrechnungssystemen und Berechtigungen im
SAP ERP HCM. Im Heidelberger Office von Accenture verantwortet Oliver Falk
den Bereich Governance, Risk & Compliance.
47

8
8Tools der Centric altro GmbH
Die Barmenia Versicherungen in Wuppertal setzten bei der Prüfung der Entgeltabrechnung
auf Tools der Centric altro GmbH
8.1 Prüfung der Entgeltabrechnung – warum?
Die Entgeltabrechnung unterliegt als klassische Nebenbuchführung u.a. den
Grundsätzen ordnungsgemäßer Buchführung und den Grundsätzen ordnungsmäßiger
DV-gestützter Buchführungssysteme (GoBS). Durch systematische interne
Kontrollen ist sicherzustellen, dass eine ordnungsgemäße Abwicklung dieses Geschäftes
nachgewiesen wird.
Der für die Entgeltabrechnung zuständige Fachbereich trägt die primäre Verantwortung
für die Richtigkeit der Abrechnungsergebnisse. Dieser muss die Einrichtung
und Durchführung der entsprechenden Prüfverfahren selbst sicherstellen.
Das Risiko einer unrichtigen Entgeltabrechnung ist umso größer, je komplexer die
Abrechnungsmaterie ist. Insbesondere computergestützte Abrechnungsverfahren
beinhalten die Gefahr, dass Fehler nicht nur einzeln, sondern systematisch, also
bei allen gleich gelagerten Fällen, auftreten können. Dieses führt zu einer Potenzierung
des Risikos. Mögliche Folgen können die Über- bzw. Unterzahlung bei
Mitarbeiterbezügen, Haftung gegenüber der Finanzverwaltung bei fehlerhafter
Lohnsteuerberechnung in zahlreichen Fällen und/oder bei fehlerhafter Verbeitragung
die Zwangsübernahme von Arbeitnehmerbeiträgen sein.
Die finanziellen Risiken für ein Unternehmen können nur durch systematische
und regelmäßige Prüfungen aller Abläufe und Verarbeitungsschritte vermieden
werden. Sie sind unabdingbar, wenn die Richtigkeit und Integrität der verarbeitenden
Daten und Abrechnungsergebnisse sichergestellt sein soll.
48

Unsere passende Standard-Lösung für die Entgeltabrechnung mit SAP/HR 8.2
8.2 Unsere passende Standard-Lösung für die
Entgeltabrechnung mit SAP/HR
Zur Ergänzung unseres bestehenden Kontrollsystems zur Entgeltabrechnung
haben wir auf dem Markt eine Lösung zur Prüfung von Standard-Sachverhalten
gesucht. Dabei sind wir auf die Tools der Centric altro GmbH gestoßen.
Bereits seit 2005 setzen wir zur Prüfung unserer Abrechnung u.a. drei Programme
aus dem altro-QuSi-Paket ein:
Tool zum Verifizieren der Abrechnungsergebnisse (PLK)
Revisionstool für den Zahlungsausgang aus SAP/HR (REV)
Bearbeitung und Qualitätssicherung von Lohnarten (LGA)
Die für uns überzeugenden Argumente waren:
Vier Wochen kostenloses Testen
Kein aufwändiges Customizing vor dem »ersten« Einsatz
Einführung ohne Berater, (Probe-) Auslieferung erfolgt per E-Mail (Transportauftrag)
Möglichkeiten zum »aktiven« Mitgestalten (bei allgemeinen Sachverhalten, die
für alle Kunden von Interesse sind)
Regelmäßige Updates (bei Programmerweiterungen, gesetzlichen Änderungen)
Zeitnahe Informationen über Programm-Veränderungen/Weiterentwicklungen
im Online-Kundenbereich
Tool zum Verifizieren der Abrechnungsergebnisse (PLK)
Mehr als 600 Warn-/ Fehlermeldung voreingestellt
Selektionsmöglichkeit auf einzelne Warn-/ Fehlermeldungen
Prüfung gesetzlicher Sachverhalte
Lohnsteuer (z.B. Vollständigkeitsprüfung Elster, Wechsel der Steuermerkmale,
Gültigkeit der Gemeindeschlüssel)
Sozialversicherung (z.B. Prüfung Rechtskreis Ost/ West, Elterneigenschaft
PV, Gültigkeit der Krankenkasse)
DEÜV (z.B. fehlende RV-Nummer, falsche Tätigkeits- bzw. Personengruppenschlüssel)
Rentner (z.B. fehlende Versorgungsgrundlagen im IT 0012, obwohl Rentner
63 Jahre alt ist)
49

8
Tools der Centric altro GmbH
bAV (z.B. falsches Vertragsmodell im IT 0699, wenn ebenfalls eine Direktversicherung
nach altem Recht im IT0026 existiert)
Prüfung allgemeiner Standard-Sachverhalte
diverse Prozesse (z.B. Eintritte, Austritte, Wechsel der juristischen Person)
Plausibilitätsprüfungen (z.B. zwischen Stammdaten und Abrechnungsergebnissen)
Zusätzliche Auswertungsmöglichkeiten (z.B. Suche von fehlenden Lohnarten
– »wer hat nicht die Lohnart xxxx?«)
Dokumentationsmöglichkeiten der durchgeführten Prüfungen im System
Einbindung eigener Prüf-Maßnahmen über Customizing-Tabellen sowie ABAP-
Kundenincludes
Revisionstool für den Zahlungsausgang aus SAP/HR (REV)
Prüfung doppelter Bankverbindungen im Zahlungslauf SAP/HR
Diverse Auswertungsmöglichkeiten in Bezug auf die Auszahlungsbeträge
Bearbeitung und Qualitätssicherung von Lohnarten (LGA)
Überprüfung der Lohnarten-Schlüsselungen durch systematische und flexible
Kontrollmöglichkeiten
Möglichkeit des Lohnartenvergleichs bezogen auf Verarbeitungsklassen,
Kumulationen, Durchschnitte, Bewertungsgrundlagen und symbolische Kontierungen
Vergleichsmöglichkeit sowohl mit dem SAP Standardmandanten 000 als auch
zwischen den eigenen Systemen, z.B. zwischen Entwicklungs- und Produktivsystem
Verwendungsnachweis von Lohnarten in Schemen, Regeln, Bescheinigungen
und Transportaufträgen
8.3 Fazit nach vier Jahren
Die eingesetzten Prüf-Tools der Centric altro GmbH vermitteln unseren Mitarbeiterinnen
und Mitarbeitern der Entgeltabrechnung seit Jahren ein Gefühl von
Sicherheit. Eventuelle Fehler werden frühzeitig entdeckt und können somit noch
rechtzeitig vor dem Beenden der Abrechnung behoben werden. Zahlreiche
interne Prüf-Maßnahmen wurden mittlerweile als eigene Warnhinweise – ergän-
50

SV Sparkassenversicherung führt altro-Prüftools für die Entgeltabrechnung ein 8.4
zend zum PLK-Standard – hinterlegt. Die Qualität unserer Entgeltabrechnung hat
sich durch den Einsatz der altro-QuSi-Komponenten weiter verbessert.
Kundenprofil
Die Barmenia Versicherungen zählen zu den großen unabhängigen Versicherungsgruppen
in Deutschland. Das attraktive Produktangebot der Unternehmensgruppe
reicht von Kranken- und Lebensversicherungen über Unfall- und Kraftfahrzeugversicherungen
bis hin zu Haftpflicht- und Sachversicherungen. Über 3.800 Innenund
Außendienstmitarbeiter und eine Vielzahl von Maklern betreuen mehr als
eine Million Kunden und einen Bestand von zwei Millionen Versicherungsverträgen.
Qualifizierte Mitarbeiter, eine zukunftsorientierte, nachhaltige Unternehmensführung,
moderne Informations- und Kommunikationstechnik sowie ein
hohes Kunden- und Wachstumspotential sichern den Barmenia Versicherungen
einen vorderen Platz in der Versicherungsbranche. Weitere Informationen finden
Sie unter www.barmenia.de .
Kontakt: Peter Heyder, Barmenia Versicherungen, Abteilungsleiter Personalvergütung,
e-mail: peter.heyder@barmenia.de
8.4 SV Sparkassenversicherung führt altro-Prüftools für die
Entgeltabrechnung ein
Die Einrichtung eines internen Kontrollsystems ist in jedem Betrieb unabdingbar.
Seitens der Wirtschaftsprüfer wird eine IKS-Implementierung zwingend gefordert
bzw. vorausgesetzt, um eine wichtige und nachvollziehbare Buchführung sicherzustellen.
Diese Anforderung gilt auch für die Entgeltabrechnung.
Durch Informationen beim SAP HCM-Anwendertreffen der Versicherungsbranche
sind wir auf die Tools der Firma Centric altro aufmerksam geworden. Während
einer 4-wöchigen kostenlosen Testinstallation konnten wir uns mit der
Anwendung vertraut machen. Das Tool war ohne aufwändiges Customizing und
ohne Einweisung sofort einsatzfähig. Auch die Sachbearbeiter in der Gehaltsabrechnung,
die mit dem Test betraut waren, fanden sich schnell in den verschiedenen
Anwendungsprogrammen zurecht. Nach der »Probephase« beschlossen wir,
die Tools zum
Verifizieren der Abrechnungsergebnisse (PLK)
das Revisionstool für den Zahlungsausgang aus SAP HCM (REV)
51

8
Tools der Centric altro GmbH
die Bearbeitung und Qualitätssicherung von Lohnarten (LGA),
sowie das Tool zur Bearbeitung von Stammdaten (INF)
konzernweit an allen Standorten einzusetzen. Nach Installation der Tools im Juli
2008 haben wir dann im ersten Schritt »alte« Fehler korrigiert und eine »Bestandsbereinigung«
durchgeführt. Das System wurde schnell und ohne größere
Einweisung von allen Gehaltssachbearbeitern angenommen. Die anfänglichen
Schwierigkeiten in Bezug auf die Vielzahl der angezeigten Fehler und Hinweise
konnten rasch überwunden werden. In der Praxis überwogen rasch die Vorteile,
die durch die Behebung der Fehler/Hinweise zu einer sicheren und risikominimierten
Gehaltsabrechnung führen. Der Anspruch jedes Gehaltssachbearbeiters,
eine fehlerfreie Gehaltsabrechnung durchzuführen, konnte nahezu
erreicht werden.
Besonders hervorzuheben ist dabei das Tool zur Verifizierung von Abrechnungsergebnissen,
das mit einer zusätzlichen Dokumentation mit Hinweisen zur Behebung
von Fehlern ausgestattet ist. Der Gehaltssachbearbeiter hat die Möglichkeit,
direkt über die angezeigte Fehlernachricht in den Personalstamm zur Korrektur
oder Überprüfung des Fehlers zu gelangen und somit den Hinweis/Fehler sofort
abschließend im Vorfeld und nicht nachgelagert zu bearbeiten und die Bearbeitung
zu dokumentieren. Die Dokumentation der bereinigten Fehler/Hinweise
dient zur besseren Nachvollziehbarkeit der Bearbeitung und auch zur Kontrolle
des jeweiligen Sachbearbeiters durch die Führungskraft.
Ein weiteres wichtiges Tool dient der Bearbeitung und Qualitätssicherung von
Lohnarten: Es wird durch unsere DV-Koordinatoren intensiv genutzt und führt
ebenso wie das vorher aufgeführte Tool zur sicheren und schnelleren Neuanlage
und Bearbeitung von Lohnarten.
Die Vorführung der eingesetzten Tools überzeugte sowohl unsere interne Revision
als auch die Wirtschaftsprüfer.
In der Zukunft ist geplant, firmenspezifische Felder und Abfragen zu implementieren,
damit auch im Bereich der Administration und Auswertungen eine Steigerung
der Ergebnisse erzielt werden kann.
Rückblickend können wir nach einem Jahr Einsatz der Prüftools sagen, dass diese
obligatorisch durch jeden SAP HCM-Anwender eingesetzt werden sollten, um
52

SV Sparkassenversicherung führt altro-Prüftools für die Entgeltabrechnung ein 8.4
eine den Vorschriften der ordnungsgemäßen Buchführung (GoB) entsprechende
Sicherheit in der Gehaltsabrechnung zu erlangen.
SV SparkassenVersicherung Holding AG
Elke Maier
Gruppenleiterin Personaladministration Stuttgart und Karlsruhe
Die SV SparkassenVersicherung ist der Regionalversicherer in
Wer ist die SV SparkassenVersicherung?
Die SV SparkassenVersicherung ist der Regionalversicherer in Baden-Württemberg,
Hessen, Thüringen und Teilen von Rheinland-Pfalz: ein traditionsreiches und
zugleich modernes Unternehmen. Tief im Land verwurzelt und eng mit den Menschen
verbunden. Die SV SparkassenVersicherung bündelt das Versicherungsangebot
der Sparkassen-Finanzgruppe in Baden-Württemberg, Hessen, Thüringen und
Teilen von Rheinland-Pfalz.
In der privaten Wohngebäudeversicherung ist die SV die klare Nummer 1 in
Deutschland. Auch im Bereich der Lebensversicherung gehört sie in ihrer Region
zu den Marktführern. Ihren Kunden bietet sie über den reinen Versicherungsschutz
hinaus umfassende und maßgeschneiderte Serviceleistungen: zum Beispiel
das Risikomanagement. Damit unterstützt die SV ihre Kunden, spezielle Risiken
im Unternehmen oder zu Hause besser einzuschätzen und richtig zu versichern.
53

9
9Die digitale Betriebsprüfung in der Praxis: Was
Unternehmen wissen müssen
Immer noch werden Unternehmen bei einer Außenprüfung von den Anforderungen
der GDPdU 1 überrascht. Das Thema ist seit 2002 bekannt ist und betroffen
sind alle deutschen Unternehmen, die eine EDV-gestützte Buchführung durchführen.
Dennoch sind viele das Thema noch nicht angegangen. Das rächt sich spätestens
mit der nächsten Prüfungsanordnung. Die Prüfer fügen seit einigen Jahren
einen Fragebogen bei, mit dem sie sich vor dem Datenzugriff ein Bild über die IT-
Landschaft und Prozesse verschaffen möchten.
Das Prüfungsklima fällt rapide, wenn das zu prüfende Unternehmen darauf nicht
vorbereitet ist oder nur Papier vorlegen kann. In diesem Fall drohen schärfere
Sanktionen.
Der nachfolgende Artikel erläutert, worauf Sie achten sollten und wie Sie sich vorbereiten
können.
9.1 Rechtsgrundlagen AO, GoBs und GDPdU
Die Grundlage der Anforderungen liegen in den Änderungen der Abgabenordnung
(AO) in den §§ 146, 147, 200 vom 23.10.2000 die im Zuge des Steuersenkungsgesetzes
2000 durchgeführt wurden. Nach § 147 Abs. 6 AO ist der Finanzbehörde
das Recht eingeräumt, die mit Hilfe eines Datenverarbeitungssystems erstellte
Buchführung des Steuerpflichtigen durch Datenzugriff zu prüfen. Diese neue Prüfungsmethode
tritt neben die Möglichkeit der herkömmlichen Prüfung.
Das Recht auf Datenzugriff steht der Finanzbehörde nur im Rahmen steuerlicher
Außenprüfungen zu. Durch die Regelungen zum Datenzugriff wird der sachliche
1 (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen »GDPdU«, BMF-Schreiben
vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 -)
54

Rechtsgrundlagen AO, GoBs und GDPdU 9.1
Umfang der Außenprüfung (§ 194 AO) nicht erweitert; er wird durch die Prüfungsanordnung
(§ 196 AO, § 5 BpO) bestimmt. Gegenstand der Prüfung sind
wie bisher nur die nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen.
Das Recht auf Datenzugriff beschränkt sich ausschließlich auf steuerlich relevante
Daten. Hiervon auf jeden Fall betroffen sind die Daten der Finanzbuchhaltung,
der Anlagenbuchhaltung und der Lohnbuchhaltung.
Bei der Ausübung des Rechts stehen der Finanzbehörde drei Möglichkeiten zur
Verfügung.
Unmittelbarer Datenzugriff
»Z1«
Der Prüfer darf unmittelbar mittels »Lese-Zugriff« auf die Hard- und Software
des Unternehmens zugreifen. Er kann dabei mit den maschinellen Auswertungsmöglichkeiten
des Systems Daten filtern, sortieren, gruppieren, schichten
und auswerten. Der Steuerpflichtige kann steuerlich nicht relevante Daten
durch geeignete Zugriffsbeschränkungen abgrenzen. Alle erforderlichen Hilfsmittel
und Einweisungen müssen durch den Steuerpflichtigen erfolgen innerhalb
einer für einen sachverständigen Dritten angemessenen Zeit.
Mittelbarer Datenzugriff »Z2«
Der Prüfer kann von dem Steuerpflichtigen verlangen, dass er die Daten nach
seinen Vorgaben vor Ort maschinell im System auswertet oder von anderen
auswerten lässt. Die im DV-System vorhanden Auswertungsmöglichkeiten dürfen
hierbei verwendet werden.
Datenträgerüberlassung »Z3«
Der Prüfer kann vom Unternehmen fordern, dass ihm gespeicherte Unterlagen
auf einem Datenträger überlassen werden. Dazu existiert ein entsprechender
Beschreibungsstandard vom BMF. Die Rückgabe / Löschung des Datenträgers
erfolgt spätestens nach Bestandskraft der Prüfungsbescheide.
Die Finanzbehörde entscheidet selbst, von welcher Möglichkeit des Datenzugriffs
sie Gebrauch macht. Falls erforderlich kann sie auch mehrere Möglichkeiten in
Anspruch nehmen bzw. diese kombinieren. Der Prüfer hat zusätzlich die Möglichkeit,
sich Belege in Form von Papier zeigen zu lassen.
Mitwirkung des Steuerpflichtigen
Im § 200 AO wurde zudem durch einen Änderungserlass vom 16.01.2006 geregelt,
dass es verstärkte Mitwirkungspflichten des Steuerpflichtigen gibt. Dies
betrifft neben den Daten-Prüfungs-Möglichkeiten auch die Fähigkeit des Steuerpflichtigen,
die notwendigen Erklärungen oder Dokumentationen zu liefern. Ist
der Steuerpflichtige dazu nicht oder nur innerhalb unangemessen langer Zeit in
55

9
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen
der Lage, steht dem Prüfer die Verhängung von Sanktionen (ab 01.01.2009 bis zu
250.000 €) zur Verfügung. Für die Qualifizierung der steuerlich relevanten Daten
und die damit verbundene Einhaltung der Aufzeichnungs- und Aufbewahrungspflichten
ist ebenfalls das steuerpflichtige Unternehmen zuständig. Das trägt auch
die Kosten dieser Maßnahmen.
Datenschutz
Bei Verstößen gegen die Bestimmungen des Datenschutzes haftet der Steuerpflichtige.
Besonders im Personalbereich gibt es sensible und steuerlich irrelevante
Daten wie z.B. Mitarbeiterbeurteilungen, bestimmte Stammdaten, Verurteilungen,
Krankheiten etc. Aber auch Kunden, Lieferanten – und Bankdaten sowie
Betriebsgeheimnisse und Forschungsergebnisse fallen unter den Datenschutz.
GoBS (Grundsätze ordnungsmäßiger DV-gestützter
Buchführungssysteme)
Obwohl die GoBS bereits seit 1995 rechtwirksam ist und die GDPdU darauf referenziert,
haben noch viele Unternehmen damit Probleme, die dort beschriebenen
Anforderungen zu erfüllen. Hier findet man Vorschriften u.a. zur Datensicherheit,
Dokumentation, Prüfbarkeit und Datenwiedergabe. Die zeitnahe und lückenlose
Nachvollziehbarkeit und vor allem die Dokumentationen der IT Prozesse sind
kaum vorhanden. Besonders das Thema System- und Verfahrensdokumentation
ist selten vollständig und aktuell vorhanden.
9.2 Welche Daten und Inhalte sind betroffen
Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung
sowie weitere steuerlich relevante Daten aus anderen Datenverarbeitungssystemen.
Sind Aufbewahrungspflichtigen Unterlagen nach AO mit Hilfe eines DV
Systems erzeugt oder weiterverarbeitet worden, müssen diese in originär digitaler
und auswertbarer Form aufbewahrt und zur Verfügung gestellt werden. Das sind
z.B. Bücher u. Aufzeichnungen, Inventare, Eröffnungsbilanzen, Jahresabschlüsse,
Lageberichte, Konzernabschlüsse etc., sowie die zu ihrem Verständnis erforderlichen
Arbeitsanweisungen und sonstigen Organisationsunterlagen. Unterlagen die
in Papierform vorliegen und die Buchungsgrundlage bilden, müssen nicht digitalisiert
werden. Werden sie aufgrund von Prozesseinsparungen gescannt und digitalisiert,
(z.B. Rechnungseingangsprozesse), müssen die Anforderungen der GoBS
erfüllt werden und dem Prüfer in digitaler Form bereitgestellt werden. Die Praxis
zeigt, dass auch die Prüfungen damit effizienter werden. Das Bereitstellen von
56

Wo steht die Finanzverwaltung 9.3
Drucklisten oder Archivordnern wird minimiert und die Prüfung geht schneller.
Hierbei sollte beachtet werden, dass der Prüfer nur das sieht, was er sehen soll.
Bei einer Lohnprüfung sind es z.B.
Sach-, Lohn- und Gehaltskonten (auch für pauschalierte Beschäftigungsverhältnisse)
Lohnsteuerkarten bzw. elektronisch übermittelte Lohnsteuerdaten der Arbeitnehmer
Stundenaufzeichnungen (elektronische Daten der Zeiterfassung)
Kassenbuch Buchungsjournale (Lohnjournale)
Kontoauszüge zum Nachweis von Überweisungen an Arbeitnehmer und das
Finanzamt
Diese Aufzeichnungen und Daten werden in unterschiedlichen Systemen vorgehalten.
Dort müssen sie als steuerlich relevant klassifiziert und über den gesetzlichen
Aufbewahrungszeitraum originär digital aufbewahrt werden. Das betrifft
auch Daten und Datensätze die in originär digitaler Form in ein System eingeladen
werden, z.B. Daten aus Zeiterfassungssystemen, die für die Berechnung der
Lohnsteuer verarbeitet werden und im Lohnprogram verarbeitet werden.
Hier weitere Systeme und Beispiele:
Abrechnungssysteme (Nebenbücher)
Reisekosten (Spesen, Bewirtung, etc.)
Vorsysteme (Kassen, Automaten, Zeiterfassung, etc.)
MS-Office-Dateien (Word-Dokumente, Excel z.B. Rückstellungen, Reisekosten,
E-Mails, etc.)
Nach Inkrafttreten der GDPdU haben die Unternehmen von der Finanzverwaltung
immer wieder eine Liste mit steuerlich relevanten Systemen gefordert. Diese
kann es nicht geben, da jedes Unternehmen und Branche andere Prozesse haben
und ihre DV-Systeme unterschiedlich nutzen. So obliegt dem Unternehmen die
Qualifizierung ihrer steuerlich relevanten Daten.
9.3 Wo steht die Finanzverwaltung
Die Finanzverwaltung hat sich 2001 bundesweit für die Einführung und Nutzung
der Prüfungssoftware IDEA entschieden. In der ersten Phase 2002 wurden 700
Prüfer geschult. Mittlerweile sind alle Prüfer bundesweit geschult und setzen
57

9
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen
IDEA ein. Zwischenzeitlich haben auch weitere Prüfungsdienste wie z.B. der Zoll
(GDPdUZ) die Möglichkeiten der digitalen Prüfung für sich entdeckt. Zahlreiche
Urteile, die seit Inkrafttreten von den Finanzgerichten ergangen sind, bestärken
die Prüfungsdienste in ihrer Arbeit. Auch in unseren Nachbarländern wie Österreich,
Schweiz, Frankreich, Niederlande, Polen und selbst in den USA wird digital
geprüft. Aktuelle Fälle zeigen, dass die Prüfungsdienste nicht nur deutschlandweit
sondern auch länderübergreifend zusammenarbeiten.
Um sich auf die individuelle DV-Situation beim zu prüfenden Unternehmen einstellen
zu können, wird seit einigen Jahren mit der Prüfungsanordnung ein DV-
Fragebogen verschickt. Diese sind je nach Bundesland unterschiedlich umfangreich.
Der Fragebogen dient als Hilfslösung, weil nur wenige Unternehmen eine
System- und Verfahrensdokumentation vorweisen können. Um diese qualitativ
hochwertig zu bearbeiten, hat die Finanzverwaltung ca. 200 DV-Fachprüfer eingestellt.
Diese kommen zum größten Teil aus der IT der freien Wirtschaft und unterstützen
ihre Kollegen bei der Prüfung der Daten.
Aufgrund der Vielzahl an ERP- und steuerlich relevanten Systemen (z.B. Lohn)
liegt der Fokus bei den Prüfungen auf dem Z3 Zugriff (Datenträgerüberlassung).
Diese werden dann mit dem vertrauten Prüfungstool IDEA durchgeführt. Findet
der Prüfer dort Auffälligkeiten, wird er sich diese Vorgänge im System anschauen
oder vorlegen lassen. In der Regel wird das Unternehmen bereits mit der Prüfungsanordnung
aufgefordert, einen Datenträger zur Verfügung zu stellen.
Und hier fängt das Dilemma für die Unternehmen an, die nicht vorbereitet sind.
9.4 Prüfungsvorbereitung/Ort
Gesetzlich vorgeschriebener Prüfungsort ist das Unternehmen bzw. bei Auswertung
des Datenträgers die Finanzverwaltung. Dem Prüfer soll nach Möglichkeit
ein Arbeitsplatz mit PC zur Verfügung gestellt werden. Der PC sollte so eingerichtet
sein, dass der Prüfer nur im Lesezugriff auf die steuerlich relevanten Systeme
und deren Prüfungszeitraum zugreifen kann. Hier sind die Systemhersteller und
ihre IT Abteilung gefragt, diese speziellen Leserollen einzurichten. Der PC sollte
keinen Internet/Intranetzugang, e-Mail, CD-Laufwerk oder USB haben. Auch ist es
ratsam dem Prüfer einen Ansprechpartner zu benennen, der ihn betreut und Auskunft
erteilt. Aufgrund der Tatsache, dass er kein Verwertungsverbot hat, sollte er
möglichst vom Tagesgeschäft isoliert werden.
Hat der Prüfer einen Datenträger angefordert, so müssen sich auf diesem nur die
steuerlich relevanten Daten der Prüfungsjahre in dem bundeseinheitlich geforder-
58

Prüfungsvorbereitung/Ort 9.4
ten Format (ASCII oder CSV mit der Datensatzbeschreibung) befinden. In diesem
Zusammenhang haben sich 2002 das BMF und Audicon in Zusammenarbeit mit
einigen Softwareherstellern auf einen Beschreibungsstandard im XML Format
geeinigt. Hierbei werden die Strukturinformationen mitgeliefert, sodass der Prüfer
die Daten mit Hilfe vorgefertigter Makros verproben kann. Hier einige Makros
als Beispiel:
Geringfügig Beschäftigte, gleiche Bankverbindungen
Mehrere Dienstverhältnisse beim selben Arbeitgeber
Verbilligter Bezug von Waren und Dienstleistungen
Lohnsteuerklasse V und nicht verheiratet, oder II, keinen Kinderfreibetrag etc.
Lohnsteuerklasse II, keinen Kinderfreibetrag
Versorgungsbezüge
Prüfungsfelder im Personalwesen
Bruttolöhne, Sachbezüge, Trinkgelder, Ehegatten-Arbeitsverträge, Nutzung von
Dienstfahrzeugen (auch für private Fahrten), Fahrtkostenerstattungen, Nettolohnzahlungen,
pauschalierte Löhne (z.B. geringfügige Beschäftigungsverhältnisse,
Aushilfstätigkeiten, Teilzeitkräfte, Direktversicherungen, pauschalierte Fahrtkostenzuschüsse
usw.), Reisekostenerstattungen, steuerfreie Zuschläge für Sonn-, Feiertags-
und Nachtarbeit, Berechnung der Lohnsteuer, Barlohnumwandlungen,
Aufmerksamkeiten und Annehmlichkeiten, Aufwendungen für Betriebsfeiern,
Jubiläumszuwendungen, Geburtszuwendungen, Kinderbetreuungskosten, Belegschaftsrabatte,
Lohnkonto der Arbeitnehmer, hier insbesondere die Aufzeichnungspflichten.
Um diese Prüfungen vollziehen zu können, sind auch Daten in gleicher Form aus
anderen Systemen zur Verfügung zu stellen (Finanzbuchhaltung > Aufwandskonten,
Zeiterfassungsdaten, Reisekostensysteme etc.).
Besonders in der Lohnbuchhaltung muss die Einhaltung des Datenschutzes beachten
werden. Personenbezogene Informationen die nicht für Prüfungszwecke
benötigt werden, dürfen nicht zur Verfügung gestellt werden. Diese Frage tritt
besonders im Kontext der elektronischen Personalakte auf. Diese bedeuten eine
wesentliche Vereinfachung der Personalprozesse. Informationen zum Mitarbeiter
sind jederzeit und von jedem Ort auf Knopfdruck erhältlich. Das ist besonders für
verteilte Standorte eine wesentliche Verbesserung. Ein Berechtigungskonzept
unterstützt dabei die Einhaltung des Datenschutzes.
59

9
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen
Nach Inkrafttreten der GDPdU gab es besonders unter den Datenschützern eine
rege Diskussion, welche Daten der Finanzverwaltung bereitgestellt werden müssen.
Zwischenzeitlich gibt es Gerichtsurteile und Anforderungen, die Klarheit
gegeben haben. So wurden ab dem 1. Januar 2004 die Arbeitgeber verpflichtet,
jeweils bis zum 28. Februar des Folgejahres, die elektronischen Lohnsteuerbescheinigungen
des Vorjahres nach amtlich vorgeschriebenem Datensatz durch
Datenübertragung an die Finanzverwaltung zu übermitteln. Auch dieser Prozess
hat sich etabliert und wird von den Unternehmen gelebt.
Wie können Sie sich effektiv vorbereiten – Erfahrungen aus der Praxis
Die Umsetzung der GDPdU ist ein unternehmensweites und übergreifendes
Thema. Um sich effektiv und nachhaltig auf die digitalen Betriebsprüfungen vorzubereiten,
empfiehlt sich die Bildung einer internen Projektgruppe. In großen
Unternehmen ist die Arbeitsteilung stark ausgeprägt, nicht alle Beteiligten haben
Fachkenntnisse in Steuer- und Rechnungswesen oder der IT. Das ist einer der
Gründe, warum die Umsetzung der GDPdU in vielen Unternehmen nicht erfolgreich
umgesetzt wurde.
Das Competence Center GDPdU der GISA kennt dieses Problem. Über 60 Unternehmen
unterschiedlicher Größenordnungen und Branchen unterstützte die
GISA und brachte die Projekte effektiv zum Erfolg. Neben der Umsetzung der
rechtlichen Anforderungen stehen auch das Heben von Synergien und Mehrwerte
im Vordergrund. Zunächst sollte eine Ist-Aufnahme der vorhandenen Systeme
und Prozesse erfolgen. Erst nach dieser Analyse kann eine seriöse Empfehlung
abgegeben werden. Hier eine beispielhafte Vorgehensweise:
Die GISA-GDPdU-Pakete
GDPdU-
Workshop
GDPdU-
Check
GDPdU-
Projekt
GDPdU-
Audit
Information Ist-Aufnahme Realisierung Testprüfung
Zunächst wird ein GDPdU Workshop durchgeführt mit Vertretern der Geschäftsführung
und den Bereichen Steuern, Controlling, Finanz-Rechnungswesen, IT,
Lohn und Reisekosten, Datenschutzbeauftragte, Materialwirtschaft, Logistik etc.
Hier werden die rechtlichen Anforderungen vermittelt und die individuelle Situation
des Unternehmen reflektiert. Nachdem die Handlungsfelder lokalisiert sind,
wird das Projektteam zusammengestellt und ein Check durchgeführt. Hier werden
60

Prüfungsvorbereitung/Ort 9.4
alle betroffenen Prozesse und Systeme analysiert, bewertet und in einem Grobkonzept
dokumentiert. Als Ergebnis liegt dann eine Empfehlung für das weitere
Vorgehen bzw. eine Risikobewertung und Entscheidungsvorlage vor. Anschließend
folgt die Realisierung der Empfehlungen. Hier sollen möglichst vorhandene
Systeme zur Umsetzung genutzt bzw. durch Neueinführung Mehrwerte für das
Unternehmen geschaffen werden.
Das Audit Paket stellt eine simulierte Betriebsprüfung dar. Hier werden die Daten
bereits vor dem Jahresabschluss bzw. einer Betriebsprüfung auf Buchungsfehler
kontrolliert. Nachzahlungen und unnötig hohe Zinsen werden so vermieden.
Eine weitere Empfehlung ist die Etablierung eines GDPdU-Prozesses. Es empfiehlt
sich, einen GDPdU Beauftragten zu benennen. Ein GDPdU Projekt ist nur eine
Momentaufnahme der aktuellen Situation. Häufig ändern sich Organisationsstrukturen,
Konzernzugehörigkeiten oder auch Branchen- und Rechtsanforderungen.
Davon sind meist auch die IT Systeme betroffen. Auch hier ist die
Anforderung der Aufbewahrungspflichten von 10 Jahren eine ständige Herausforderung,
die angegangen werden muss.
Renato Herrmann, GISA GmbH
61

10
10Was muss eine
Compliance-Organisation leisten?
Die Bedeutung von Compliance, Governance und Risikomanagement war nie größer als
derzeit. Ebenso groß ist allerdings auch die Unsicherheit, wie eine Compliance-Organisation
aufgebaut sein soll und welche Aufgaben sie bewältigen können muss. Der nachfolgende
Beitrag gibt hierüber einen Überblick.
10.1 Wichtige Festlegungen vor dem Aufbau einer
Compliance-Organisation
Ziele
Vor den Festlegungen der Aufbauorganisation sollen für eine neu zu errichtende
oder zu verändernde Compliance-Organisation klar die Ziele definiert sein. Dies
ergibt die grundlegende Ausrichtung der zukünftigen Aufgaben. Die Ziele sind
zunächst stark davon abhängig, ob der Grund für die Errichtung oder Veränderung
in einer Krisensituation liegt oder der Prävention dient. Die Bandbreite
möglicher Ziele reicht von »Reduzierung zu erwartender Bußgelder«, über
»Schutz der handelnden Organe«, »Sicherung der Unternehmenswerte« bis zum
»Schutz der Mitarbeiterinnen und Mitarbeiter vor Sanktionen wegen Fehlverhaltens«.
Letzteres wird meistens verkürzt in »Abwenden von Fehlverhalten von
Mitarbeitenden«. Der Auftrag und somit die Zielsetzung einer zukünftigen Compliance-Organisation
hat verbindlich durch das Organ der Geschäftsleitung zu
erfolgen.
Organisationsform
In Anlehnung an die Struktur des Unternehmens sollte die Organisationsform
gewählt werden, die sich normalerweise aus der Kombination dreier Typen
zusammensetzt:
62

Wichtige Festlegungen vor dem Aufbau einer Compliance-Organisation 10.1
Zentrale Compliance Organisation
Dezentrale Compliance Organisation
Virtuelle Compliance Organisation
Die zentrale Organisation bündelt in konsistenter Form alle Aufgaben und Personen
an einem Ort und (in Konzernstrukturen) auch disziplinarisch bei der zentralen
rechtlichen Einheit (der Muttergesellschaft oder Holding). Die Tochtergesellschaften,
Teilkonzerne, Niederlassungen oder Landesgesellschaften folgen
dabei dieser zentralen Steuerung. Herausfordernd ist hierbei die fehlende disziplinarische
Gewalt zur Durchsetzung von Maßnahmen in den rechtlich selbständigen
Untergesellschaften. Der Grund für den zentralen Kern liegt in der
effizienten Nutzung von technischen und personellen Ressourcen für die Einzelaufgaben
sowie der Sicherheit, dass alle Compliance-Maßnahmen im Konzern
gleichartig durchgeführt werden.
Entsprechend sind bei der dezentralen Organisation die Compliance-Beauftragen
angestellt bei den einzelnen rechtlichen Einheiten und sind maximal berichtspflichtig
an einen zentralen Chief Compliance Officer (CCO), können jedoch nicht
disziplinarisch von ihm gesteuert werden. Dieses Manko kann beispielsweise
durch ein »Memorandum of Understanding« zwischen der Geschäftsleitung der
Tochtergesellschaft und dem CCO beseitigt werden oder auch durch eine gesellschaftsrechtliche
Regelung zwischen Mutter- und Tochtergesellschaft.
Die virtuelle Organisation bedient sich außer einer Leitungsfunktion keiner dedizierten
Personalressourcen, sondern verteilt die Compliance-Aufgaben über die
Gesellschaften und Bereiche hinweg. Die Verantwortung für Compliance-Themen
wird dort allokiert, wo diese laut Geschäftsordnung und Unternehmensstruktur
schon immer verankert war. Da allerdings auch hier die disziplinarische Gewalt
nicht an den CCO übergeht, ist er auf die vollständige Unterstützung durch Vorstand/Geschäftsführung
angewiesen. Dies ist für eine sach- und termingerechte
Abwicklung von Aufgaben eine zu meisternde Herausforderung.
Wie eingangs erwähnt sind diese drei Grundtypen nicht in Reinform anzutreffen,
sondern immer in einer ausgewogenen Mischform. Die frühzeitige Festlegung
bzw. Anlehnung an die Unternehmenskultur und -struktur ist empfehlenswert,
weil eine nachträgliche Änderung einen großen Aufwand und Akzeptanzverlust
bedeutet.
Abgrenzungen
In Abhängigkeit vom Vorhandensein eines Risikomanagements oder eines
Governance-Programms gilt es, die Compliance-Organisation mit beiden in ein
63

10
Was muss eine Compliance-Organisation leisten?
klares Verhältnis zu setzen. Hierbei gibt es kein vorgeschriebenes Modell. Mögliche
Varianten sind:
Risikomanagement als Funktion direkt unterhalb der Geschäftsleitung und als
»Identifikator« der Aufgaben einer untergeordneten Compliance-Organisation,
welche daraufhin den Governance-Rahmen setzt
Compliance als führende Rolle mit integriertem Risikomanagement und Governance-Aufgaben
Ein Governance-Programm in der Geschäftsleitung integriert und als zwei selbständige
Einheiten darunter Compliance und Risikomanagement
Eine weitere wichtige Aufgabenverteilung ist zwischen der Compliance-Organisation
und der internen Revision vorzunehmen. Fragen, die hierbei unter anderem
zu beantworten sind:
Wo endet die Prävention und wer übernimmt die Verantwortung für die
Detektion?
Wie bleibt die Unabhängigkeit der internen Revision unangetastet und in welcher
Form unterstützt diese dabei proaktiv das Gesamtsystem zu verbessern?
Kann die Compliance-Organisation ein Untersuchungs- oder Prüfungsmandat
der Revision erteilen?
Ist die Revision verpflichtet oder berechtigt, Revisionsberichte der Compliance-
Organisation zur Verfügung zu stellen?
Die Verankerung der Compliance-Organisation im Unternehmensaufbau erfolgt
meist als eine eigenständige Organisation innerhalb der Rechtsabteilung oder des
Rechtsressorts. Dies ist keine zwingende Voraussetzung aber üblich. Hierbei sind
ebenfalls klare Aufgabenverteilungen vorzunehmen. Insbesondere die Zuständigkeit
der Rechtsabteilungen für Vorfälle, die im Unternehmen gegebenenfalls entdeckt
werden, muss im Vorfeld klar beschrieben werden, damit in der
Compliance-Organisation die Prozesse so ausgestaltet werden können, dass solche
Sachverhalte gezielt an die Rechtsabteilung übergeben werden können.
10.2 Stakeholder und Einflußfaktoren
Im vorangegangen Teil wurden bereits Bereiche genannt, die mit der Compliance-
Organisation zusammenarbeiten und wichtige Stakeholder darstellen: Interne
Revision, Rechtsabteilung, Risikomanagement, Geschäftsleitung (z.B. Vorstand
oder Geschäftsführung).
64

Stakeholder und Einflußfaktoren 10.2
Darüber hinaus sind weitere Stakeholder als eine grundlegende Notwendigkeit
für die Compliance-Organisation zu beachten:
Zusätzliche interne Bereiche, die ihren Teil zur Umsetzung der Compliance-
Maßnahmen beitragen müssen, wie z.B. Externe Kommunikation, Personal,
Betriebsrat, IT
Kunden und Lieferanten fragen nach Standards und bilden eine Kette gegenseitiger
und fortgesetzter Verpflichtungen zur Einhaltung von Bestimmungen
Wettbewerber übernehmen aktive Rollen in der gegenseitigen Überwachung.
So sind etwa 80 % der bekannten Kartellverstöße durch Anzeigen von Markteilnehmern
aufgedeckt worden
Aufsichtsbehörden sind sensibilisiert und achten auf die Umsetzung von regulatorischen
Vorgaben (z.B. Datenschutz)
Die Directors & Officers-Versicherung (D&O) verlangt mehr Nachweise, wie
das Compliance-Programm im Unternehmen ausgestaltet ist
Im Falle von Ermittlungen fragen die Strafverfolgungsbehörden nach dokumentierten
Compliance-Maßnahmen und dem Aufbau der Organisation
Banken und Rating-Agenturen ziehen Compliance-Risiken in ihre Bewertung
ein
Die Presse greift Compliance-Vorfälle prominent auf
Non-Governmental Organisations (NGO) nehmen regen Anteil an Verstößen
und arbeiten eng mit der Presse zusammen
Neben den genannten Stakeholdern gibt es weitere Faktoren, die die Aufgaben
und Ziele der Compliance-Organisation beeinflussen:
Strategie
Wie kann gewährleistet werden, dass eine ganzheitliche Risiko- und Compliance-
Sicht einschließlich einer zur definierenden Risikoneigung an die Unternehmensstrategie
und die Unternehmensziele angepasst ist?
Nachhaltigkeit
Wie kann nachgewiesen werden, dass diese Strategie nachhaltig umgesetzt
wurde? Wie kann dafür Sorge getragen werden, dass Geschäftspartner ethische
Standards einhalten? Wie kann das Themenfeld Nachhaltigkeit in weitere Funktionen
im Unternehmen integriert werden?
65

10
Was muss eine Compliance-Organisation leisten?
Governance
Wie kann gewährleistet werden, dass der richtige »Tone from the top« im Unternehmen
ankommt? In welcher Form können notwendige Stakeholder identifiziert
und eingebunden werden? Wann ist das Gesamtsystem »Compliance« effektiv?
Unternehmenskultur
Wie kann man eine Compliance-gerechte und wertebasierte Kultur im Unternehmen
etablieren? Wie soll eine unternehmensweite Verhaltensrichtlinie aussehen?
Personalentwicklung
Wie sollen Mitarbeiterinnen und Mitarbeiter geschult und informiert werden,
damit sie die Wichtigkeit und Bedeutung von Compliance verstehen und sich entsprechend
verhalten? Wie kann man ihnen beibringen, aktiv Risiko-Entscheidungen
zu treffen?
Umwelt
Wie können sicherheits-, gesundheits- und umweltbedingte Maßnahmen mit der
Risiko- und Compliance-Strategie vereint werden? Wie kann die Vielzahl von
umweltbedingten Richtlinien und Regularien im Unternehmen Verankerung finden?
Krise
Welche Maßnahmen sind in einem Krisenfall zu treffen? Wie kann diese im Vorfeld
verhindert werden? Wie kann eine Wiederholung vermieden werden?
10.3 Compliance-Zielkreuz
Um das »Mission Statement« zusammenzusetzen, mit dem innerhalb des Unternehmens
die Compliance-Organisation prägnant und verständlich ihren Auftrag
und ihren Wert für das Unternehmen darstellen kann, sollen vorgenannte Aspekte
(hier Ziele und Maßnahmen) in einem Zielkreuz zusammengeführt werden.
Prävention
Ob die Compliance-Organisation ihren Schwerpunkt in der Prävention oder
Detektion hat, ist wie oben bereits ausgeführt auch mit der internen Revision
66

Compliance-Zielkreuz 10.3
abzugleichen. Unerlässliche Aufgabe im Bereich Prävention ist die Aufgabe, Mitarbeiterinnen
und Mitarbeiter über die für sie geltenden Gesetze zu informieren.
Dies ist nicht nur eine branchenabhängige, sondern meist auch eine unternehmensspezifische
Aufgabe, die mit höchster Sorgfalt durchgeführt werden muss. So
genügt nicht allein die Kenntnis von den Gesetzen, sondern muss die richtige
Anwendung in vielen Fällen zu einem unbewussten Handlungsmuster werden.
Dies gilt es, zusätzlich zur Information, operativ zu unterlegen und mit einem
effektiven Kontrollsystem zu verankern.
Prävention
Vorbeugung durch Kenntnis und Anwendung der
Gesetze
Mitarbeiterschulungen
Reduktion von Straf- und Haftungsrisiken
(für Führungskräfte)
Schutz vor wirtschaftlich schädigenden Handlungen
Information
Mitarbeiter übernehmen bewusst Verantwortung
für ihr Handeln
Verminderung von Risiken
Transparenz
Detektion
Monitoring, Aufarbeitung von Schwachstellen,
Kontrollen der Anforderungen der Stakeholder
Reporting, Dokumentation aller Prozesse
Aufdeckung von Verstößen
Image
Positive Effekte bei Mitarbeitern, Kunden und
anderen Marktteilnehmern sowie bei
Aufsichtsbehörden und der Öffentlichkeit
Erhaltung und Stärkung des Vertrauens in die
Integrität des Unternehmens
Vermeidung von Reputationsrisiken
Abbildung 10.1 Compliance-Zielkreuz
Detektion
Die Aufdeckung von Verstößen ist keinesfalls gleichzusetzen mit internen Ermittlungen
gegen individuelle Personen. Solche Vorgehensweisen sind in den letzten
Monaten vielfältig bekannt geworden und gesetzlich stark eingeschränkt worden.
Vielfach wichtig ist die Überprüfung, ob im Unternehmen Verstöße begangen
werden – nicht von wem. Grund hierfür ist die Verpflichtung der Geschäftsleitung
aus den §§ 30, 130 OWiG, verhindern zu müssen, dass aus dem Unternehmen
heraus Straftaten begangen werden. So sind zum Beispiel automatisierte Verfahren
denkbar, die überprüfen, ob Zahlungen auf Konten von Personen erfolgen,
die auf der »denied persons list« stehen und damit international gebannt sind.
Weiterhin sind auch anonymisierte Abgleiche von Leistungsbezug und Zahlungs-
67

10
Was muss eine Compliance-Organisation leisten?
ausgang denkbar und möglich, sofern kein Abgleich der Namen durchgeführt
wird. Hierbei kann festgestellt werden, ob Verdachtsfälle der Untreue im Unternehmen
bestehen oder nicht. Diese Form der Stärkung des Kontrollsystems sollte
Teil des Aufgabenspektrums werden.
Information
Kommunikation und Information sind maßgebliche Erfolgsfaktoren für die Aufgaben
der Compliance-Organisation. Sowohl die aktive Bereitstellung von Information
zu allen Compliance-relevanten Sachverhalten, z.B. in Form von Compliance-
Handbüchern, Intranet-Seiten oder Erläuterungen zu Richtlinien, wie auch die
individuelle Unterstützung im Einzelfall durch eine Compliance-Beratungs-Hotline
sind wesentliche Elemente, ohne die eine Verankerung im Unternehmen und
eine entsprechende Akzeptanz bei Mitarbeitenden nicht erreicht werden können.
Einen schnellen und großen Mehrwert bietet in der Praxis ein auf einem automatisierten
Workflow beruhendes FAQ-System, welches Anfragen, die an die Compliance-Hotline
gestellt werden, systematisch und stets aktuell in allgemeine und
selbstredend anonyme Einzelfalldarstellungen umwandelt. Dies stellt für Mitarbeiterinnen
und Mitarbeiter eine wertvolle Hilfe im Arbeitsalltag dar.
Image
In engem Schulterschluss mit der Abteilung für Öffentlichkeitsarbeit können positive
Effekte in der Öffentlichkeit, im Besonderen in einer Zusammenarbeit mit
den betreffenden NGOs erreicht werden. Durch gezielte Information an externe
Interessensgruppen lassen sich im Vorfeld Unternehmensziele positiv darstellen
und bei eventuellen Vorfällen, die üblicherweise von NGOs in Zusammenarbeit
mit der Presse empfindlich veröffentlicht werden durch proaktives Handeln und
enge Zusammenarbeit mögliche Schäden eingrenzen.
10.4 Compliance-Manager Netzwerk
Um insbesondere in der dezentralen Compliance-Organisation oder einer davon
abgeleiteten Mischform eine effiziente Arbeitsweise zu finden, ist die Pflege des
Compliance-Manager Netzwerks von Bedeutung. Hier sind alle Beauftragten über
alle Bereiche und Gesellschaften hinweg zusammengeschlossen, um stets ein gleiches
Informationsniveau zu halten. Mit den üblichen technischen Mitteln zur
Zusammenarbeit wie virtuelle Meetingräume im Intranet, Video- oder Telefonkonferenzen
alleine, ist ein so komplexes Themengebiet wie Compliance nur in
wenigen Fällen erfolgreich zu vermitteln. Jährliche Konferenzen, die zentral an
68

Schlussbemerkung 10.6
einem Ort ausgerichtet werden und für die Teilnehmer Schulungscharakter haben
sind ein praxiserprobtes Mittel, um die vielfältigen Interessen effizient bedienen
zu können. Typischerweise reicht das Portfolio einer solchen Compliance-Konferenz
von technischen Schulungen der verwendeten Verfahren über Einzelfallbesprechungen
von festgestellten Verstößen bis hin zu einem das Unternehmen
überschreitenden Erfahrungsaustausch innerhalb der Branche oder auch mit branchenfremden
Unternehmen.
10.5 Inhalt (Richtlinien-Management)
Unabhängig von der strukturellen Ausgestaltung der Ziele und der Organisationsform
gibt es die Verantwortung zur inhaltlichen Ausgestaltung der identifizierten
Compliance-Themen. Aus Sicht der Mitarbeiterinnen und Mitarbeiter im Unternehmen
gibt es keine andere Stelle als »Compliance« wo die relevanten Regeln in
Form von Richtlinien gefunden werden sollen und weitere Informationen zu
deren Ausführung vorliegen. Diese Aufgabe umfasst keinesfalls das Verfassen der
Richtlinien, sondern das Aufstellen und Überwachen von Regeln, wie Richtlinien
erstellt, im Unternehmen bekannt gegeben und wieder zurückgerufen werden.
Letzteres wird häufig nicht beachtet und stellt Unternehmen oft vor die Schwierigkeit
entweder nicht identifizieren zu können, welche Richtlinien gelten, nicht
feststellen zu können, welche Version die aktuelle ist oder keine verlässliche
Information darüber zu haben, ob eine bestimmte Richtlinie noch gültig ist. Mit
vernünftigem organisatorischem Aufwand ist hier ein wertvoller Beitrag für die
Mitarbeiterführung geleistet.
10.6 Schlussbemerkung
Die hier ausgeführten Elemente einer erfolgreichen Compliance-Organisation
sind im Unternehmen nicht wahrnehmbar ohne einen Chief Compliance Officer,
der das Compliance-Programm verankert und vertritt. Um eine solche Position zu
besetzen sind Personen gefragt, die ohne Zweifel integer sind, Organisationstalent
besitzen und ein juristisches Grundverständnis haben. Sie zeichnen sich ferner
aus durch einen kritischen Geist, Kommunikationsstärke, die Bereitschaft zu kritischer
Auseinandersetzung und die Fähigkeit, Entscheidungen herbeiführen zu
können. Die Delegation der Verantwortung und das Maß zur Ausgestaltung der
Compliance-Organisation werden dabei letztendlich allein durch die Organe der
Geschäftsleitung oder deren Aufsicht vorgegeben.
69

10
Was muss eine Compliance-Organisation leisten?
Die Autoren
Dipl.-Ing. Jörg Busch
Partner
Tel.: +49 (0)89 5790 -5499
Fax: +49 (0)89 5790 -5501
E-Mail: joerg.busch@de.pwc.com
Dipl.-Jur. Christian Lasch
Manager
Tel.: +49 (0) 711 25034 -0
Fax: +49 (0) 69 9585 9 -54336
E-Mail: christian.lasch@de.pwc.com
70

11
11Accenture GmbH
Accenture ist ein weltweit agierender Managementberatungs-, Technologie- und
Outsourcing-Dienstleister. Mit dem Ziel, Innovationen umzusetzen, hilft das
Unternehmen seinen Kunden durch die gemeinsame Arbeit leistungsfähiger zu
werden.
Die SAP ® Add-on Software Lösungen von Accenture unterstützen Organisationen
dabei, die Standardfunktionalitäten ihrer SAP ERP Software sinnvoll zu erweitern,
um gleichzeitig Implementierungsaufwand zu reduzieren und HR Geschäftsprozesse
durch Standardisierung und Automatisierung zu optimieren und zu vereinfachen.
Der nachhaltige Erfolg der Accenture Entwicklungen stützt sich sowohl auf eine
seit über 30 Jahren bestehende Partnerschaft mit SAP als auch auf die in über
2000 internationalen Kundenprojekten gewonnene technologische und fachliche
Kompetenz.
Software Highlights
Accenture Audit and Compliance Tool
Das ideale Prüfwerkzeug zur Steigerung von Qualität, Integrität und Sicherheit
von Personalstamm- und Organisationsmanagementdaten sowie Gehalts- und Reisekostenabrechnung
innerhalb von SAP ERP.
Accenture Quick Document Builder
Die intelligente Schriftverkehrslösung, die Korrespondenz- und Dokumentenmanagement
standardisiert und automatisiert, indem sie SAP ERP, Microsoft und
Adobe Technologien integriert.
71

11
Accenture GmbH
Accenture Clone and Test
Unterstützt bei der Erstellung von realistischen Test- und Qualitätssicherungsumgebungen
durch Kopieren von HCM und FI/CO Daten zwischen produktiven und
nicht-produktiven SAP ERP Systemen.
Referenzen
»Das Team von Accenture hat uns während der gesamten Planung und Implementierung
mit hoher Prozesskompetenz, Technologieexpertise und Lösungsorientierung
engagiert beraten und unterstützt.« Helmut Herrmann, Volkswagen AG
Weitere Referenzkunden: Bayerischer Rundfunk, Hamburger Stadtentwässerung
AöR u.v.a.
Weiterführende Informationen zu allen SAP ERP Add-on Software Lösungen von
Accenture, Referenzkundenberichte und Ihren persönlichen Ansprechpartner finden
Sie unter: www.ehr-solutions.de
Kontakt
Accenture GmbH
Im Breitspiel 5
69126 Heidelberg
Telefon: +49 6221 3106-34067
Fax: +49 6221 3106-34999
Mobil: +49 151 17156286
E-Mail: monika.will@accenture.com
Internet: www.ehr-solutions.de
72

12
12Centric altro GmbH
Unsere Struktur
Die Centric altro GmbH, Oberhausen, ist das deutsche Standbein der inhabergeführten
Centric Gruppe mit Sitz in Gouda. Die Centric gehört zu den führenden IT-
Service-Anbietern in Zentraleuropa. Sie ist engagierter und sachkundiger Partner
für IT-Gesamtlösungen mit Kernkompetenzen in der Prozessberatung, Software
Engineering, System-integration, IT-Infrastruktur- und Rechenzentrumsleistungen.
Die Centric altro GmbH steht im Leistungsspektrum der Centric für Spezialkompetenzen
im Bereich SAP HCM Consulting und Managed Services (d.h. SAP-Services
im Bereich Hosting, Support, Entwicklung, Abrechnung und Druck). Wir
sind der SAP
AG und Spezialisten für Add Ons und Migrationen.
Die Centric ist mit Niederlassungen in den Niederlanden, Belgien, Deutschland,
Frankreich, Norwegen, Schweden und der Schweiz vertreten.
Kooperationen
Mit unseren mehr als 60 SAP HCM Beratern der Centric altro und ihrer Tochter
HLW Consulting GmbH sind wir in der Lage auch anspruchsvolle Projekte mit
kundenspezifisch zusammengestellten Teams umzusetzen. Um sicherzustellen,
dass wir die hohen Anforderungen unserer Kunden erfüllen können, arbeiten wir
gern mit unseren langjährigen Geschäftspartnern zusammen:
SAP AG
HLW Consulting GmbH
DSAG
(Special Expertise Partner for HCM)
(100% ige Tochtergesellschaft)
(Mitglied)
73

12
Centric altro GmbH
Technische Leistungsfähigkeit
Zertifizierung
Im Personalwirtschaftsbereich realisieren wir seit fast 30 Jahren Beratungsprojekte.
Die Anfänge lagen in der PAISY-, später in der SAP RP- und seit 1993 in der
SAP HR-Beratung.
Schwerpunktthemen sind:
die organisatorische Beratung
die Abrechnung
die Zeitwirtschaft
die Reisekostenabrechnung
das Berichtswesen
das Organisationsmanagement
Durch diese Spezialisierung bieten wir unseren Kunden Qualität und Kompetenz.
Dies spiegelt sich auch in unserer Auszeichnung als der SAP AG, Walldorf wider.
Kontakt
Niederlassung Chemnitz:
Centric altro GmbH
Harald Betz jederzeit gerne zur Verfügung.
Mittelbacher Straße 3
09224 Chemnitz
Telefon: +49 208 8288 130
Fax: +49 208 8288 100
Mobil: +49 170 4850055
E-Mail: harald.betz@centric.eu
Internet: www.centric.eu
74

13
13Gesellschaft für Datenschutz
und Datensicherung e.V.
Die Aufgaben und Ziele der GDD
Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und
technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden
Stellen - insbesondere auch deren Datenschutzbeauftragte - bei der Umsetzung
der vielfältigen mit Datenschutz und Datensicherung verbundenen
rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen.
Die GDD wird getragen von mehr als 2.100 Unternehmen, Behörden und persönlichen
Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich
einen der größten Verbände in der Informations- und Kommunikationsbranche in
Deutschland dar.
GDD-Datenschutz-Akademie
Die GDD hat aus ihrer langjährigen Erfahrung ein gestuftes Schulungskonzept zur
Aus- und Weiterbildung der Datenschutz- und Sicherheitsbeauftragten in Unternehmen
und Behörden entwickelt. Das Präsidium der GDD-Datenschutz-Akademie
hat Standards zur Zertifizierung der Qualifikation von Datenschutzbeauftragten
entwickelt. Die Aus- und Weiterbildung sowie Zertifizierung in der
GDD-Datenschutz-Akademie bietet den Nachweis der Datenschutzkompetenz im
Unternehmen und in der Öffentlichkeit.
Die GDD in Zahlen
Gegründet 1977 - über 30 Jahre Datenschutz-Kompetenz
Mehr als 2.100 Mitglieder
75

13
Gesellschaft für Datenschutz und Datensicherung e.V.
Bundesweit 27 Erfahrungsaustauschkreise mit insgesamt mehr als 3.000 Teilnehmern
Ausbildung von mehr als 15.000 Datenschutzverantwortlichen in der GDD-
Datenschutz-Akademie
Kontakt
GDD e.V.
Pariser Str. 37
53117 Bonn
Tel.: +49 228 69 43 13
Fax: +49 228 69 56 38
Internet: www.gdd.de
E-Mail: info@gdd.de
76

14
14GISA GmbH
Die GISA GmbH ist mit über 440 Mitarbeitern der führende IT-Dienstleister am
Standort Mitteldeutschland. Sitz der GISA ist Halle (Saale), weitere Standorte und
Regionalbüros befinden sich in Chemnitz, Cottbus sowie Berlin, Bielefeld und
Frankfurt am Main. Derzeit vertrauen deutschlandweit über 150 Kunden auf die
Leistungen der GISA.
HR-Portfolio
Die GISA bietet Lösungen für eine effiziente, transparente und zukunftsfähige Personalwirtschaft.
Die GISA ist SAP Hosting Partner mit dem Status exzellent, der
deutschlandweit nur zweimal vergeben ist. Das Leistungsangebot beginnt bei
Beratung, Konzeption und Projektmanagement, geht über die Entwicklung und
Implementierung von angepassten Personalanwendungen bis hin zum Betrieb der
Lösungen.
SAP ERP HCM
Prozessberatung, Einrichtung und Betrieb von SAP ERP HCM inklusive aller
Module
Eigenentwicklungen und Module
Lösungen und Services auf SAP-Basis, die von der GISA weiterentwickelt wurden.
GISA_EmployeeSelfService
Digitale Personalakte
Personaleinsatzplanung
HR-Compliance
Das Competence Center GDPdU bietet folgende Dienstleistungen:
77

14
GISA GmbH
Workshop, Check, Realisierung, Audit (simulierte Prüfung)
Verkauf, Einführung und Schulung von IDEA
Erstellung System- und Verfahrensdokumentation
Unterstützung bei der Bereitstellung der Daten und Einrichtung Prüferrollen
Altsystem Lösungen
Personalabrechnung
Standardisierte Angebote zur Lohn- und Gehaltsabrechnung im ASP.
GISA_HCM-AbrechnungsService (SAP)
Paisy
Referenzen
Für die envia Mitteldeutsche Energie AG, den größten regionalen Energieversorger
in Ostdeutschland, entwickelte die GISA den SAP-basierten GISA_Employee-
SelfService. Über das Intranet der enviaM können alle Mitarbeiter auf ein
einheitliches System zugreifen, eigene personalwirtschaftliche Daten erfassen,
einsehen und ändern.
Weitere HR-Kunden
Berliner Flughäfen
Dessauer Verkehrs- und Versorgungsgesellschaft mbH
DREFA Media Holding
Universitätsklinikum Jena
Kontakt
GISA GmbH
Leipziger Chaussee 191a
06112 Halle
Internet: www.gisa.de
Ansprechpartner
Renato Herrmann
Geschäftsbereichsleiter IT-Anwendungsservice
Telefon: +49 345 585-2036
E-Mail: renato.herrmann@gisa.de
78

15
15PricewaterhouseCoopers WPG AG
PricewaterhouseCoopers AG ist eine der führenden Wirtschaftsprüfungs- und
Beratungsgesellschaften und bietet Dienstleistungen in den Bereichen Wirtschaftsprüfung
und prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax)
sowie in den Bereichen Deals und Consulting (Advisory) an.
Beratungsschwerpunkt Governance, Risikomanagement
und Compliance
Die Berater von PricewaterhouseCoopers (PwC) unterstützen nationale und internationale
Unternehmen wie auch die Öffentliche Hand dabei, ihr Wachstum und
ihre Performance zu steigern und Wettbewerbsvorteile in einem gegebenen regulatorischen
Umfeld zu erzielen. Gemeinsam mit unseren Mandanten entwickeln
wir nachhaltige Konzepte, um Geschäftsprozesse, Strukturen und Systeme hinsichtlich
ihrer Effizienz, Effektivität und Transparenz zu optimieren. Wir helfen
Ihnen und Ihren Mitarbeitenden bei der Aufarbeitung einer Krise sowie der
umfassenden Prävention. Als erfahrener Berater in der Praxis begleiten wir Sie bei
notwendigen Entscheidungen und erfolgreichen Umsetzungen.
Governance & Compliance
Unsere Compliance-Spezialisten identifizieren die unternehmensspezifischen Anforderungen
und setzen auf den vorhandenen Organisationsstrukturen, Prozessen
und (Kontroll-)Systemen auf, um die Strukturen zur Überwachung und Einhaltung
gesetzlicher Vorschriften zu optimieren. Sie unterstützen Unternehmen bei der
Erarbeitung und Umsetzung eines unternehmensweiten Ansatzes zur Integration
von Governance, Risikomanagement und Compliance und helfen bei der Einführung
der erforderlichen Technologien und Tools.
79

15
PricewaterhouseCoopers WPG AG
Dynamisches Risikomanagement
Unser Ansatz »Dynamic Risk Management« (DRM) ermöglicht die ganzheitliche
Steuerung der Unternehmensrisiken. Die Risiken werden effektiver identifiziert
und bewertet; Risikoabhängigkeiten werden umfassender berücksichtigt. DRM
stimmt Methoden, Prozesse, Organisationsstrukturen und Technologien des Risikomanagements
sowie deren Interaktion auf die Bedürfnisse Ihres Unternehmens
ab und bietet ausreichend Flexibilität, um die Unternehmens- und Umweltdynamik
als Chance zu nutzen.
Kontakt:
PricewaterhouseCoopers WPG AG
Marie-Curie-Str. 24-28
60439 Frankfurt am Main
Internet: www.pwc.de
Ansprechpartner
Christof Menzies
Telefon: +49 69 9585-1122
E-Mail: christof.menzies@de.pwc.com
80