Compliance - DATAKONTEXT
Compliance - DATAKONTEXT
Compliance - DATAKONTEXT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Compliance</strong><br />
Schutzgebühr<br />
19,- Euro<br />
Korruption<br />
Revisionssicheres Auditieren<br />
Fehleranalyse<br />
Aufklärungsquote<br />
Wettbewerbsdelikte<br />
Wirtschaftskriminalität<br />
digitale Betriebsprüfung<br />
Resilience Organisation Tatmittel Internet<br />
Korruptionswahrnehmungsindex 2009<br />
Jahrbuch 2010
FINANCEnetworx • HRnetworx • IT-SICHERHEITnetworx • LEGALnetworx • PEnetworx • RECRUITnetworx • SALESnetworx • TRAINERnetworx • WISSENnetworx • networx24<br />
we connect competence.<br />
Das Netzwerk für Personalentscheider.<br />
Tauschen Sie sich zu<br />
<strong>Compliance</strong>-Themen<br />
in unserer Community aus!<br />
• Kompetente Fachvorträge vor Ort<br />
• Inspirierender Praxisaustausch<br />
• Experten Online Community<br />
• Networking mit anderen<br />
Jetzt kostenfrei registrieren!<br />
www.HRnetworx.info<br />
Partner:
<strong>Compliance</strong><br />
Jahrbuch 2010
© 2010 <strong>DATAKONTEXT</strong>, eine Marke der Verlagsgruppe Hüthig Jehle Rehm GmbH<br />
Heidelberg, München, Landsberg, Frechen, Hamburg<br />
Das <strong>Compliance</strong> Jahrbuch erscheint jährlich im Herbst.<br />
Betreuung und Kontakt:<br />
Wolfgang Scharf<br />
Tel. 0221/25086071<br />
scharf@agentur-8020.de<br />
www.datakontext.com<br />
Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung<br />
außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des<br />
Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen,<br />
Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.<br />
Satz: III-satz, www.drei-satz.de
Werte – Wandel<br />
Nicht erst seit der Finanzkrise diskutieren wir verstärkt über das Thema Werte.<br />
Veränderungen in den Unternehmen, Klimawandel und das Wirtschaftsgefälle auf<br />
dem Globus konfrontieren uns tagtäglich damit. Wir sind Teil dieser Wertewelt<br />
und gestalten als Entscheider diese Wertekultur mit. Waren es früher eher die<br />
Produkte, die ein Unternehmen attraktiv machten, so stehen heute die Ausstrahlung,<br />
sein Image und die Reputation im Mittelpunkt. Kunden, Partner und Bewerber<br />
informieren sich ausgiebig via Medien und Netzwerke über die Firmen.<br />
Korruptionskandale, Datenschutzmißstände, fehlerhafte Abrechnungen und kriminelle<br />
Aktivitäten können ein Unternehmen schnell in den Ruin treiben. Durch<br />
die agressiv agierende Medienlandschaft stehen Firmen schneller am Pranger, als<br />
ihnen lieb ist.<br />
Saubere Westen zu haben, ist nicht mehr selbstverständlich. Deshalb sind alle Entscheider<br />
in den Unternehmen aufgefordert, dafür zu sorgen, dass es zu keinen<br />
Verstössen kommt. In unserer offenen Medienlandschaft können kleine Dinge<br />
schon große Wirkung zeigen. Der Appell kann deshalb nur lauten: »Wehret den<br />
Anfängen!«<br />
Dieses Handbuch bietet erstmals Analysen und Zahlen. Es stellt Produkte vor und<br />
zeigt Lösungswege. Praktiker informieren darüber wie sie das Thema managen.<br />
Franz Langecker<br />
Chefredakteur
Inhaltsverzeichnis<br />
1 Wirtschaftskriminalität in Deutschland .......................................... 7<br />
1.1 Statistisch erfasste Wirtschaftskriminalität ist rückläufig ............... 8<br />
1.2 Betrug nimmt zu ......................................................................... 9<br />
1.3 Registriert: Hohe materielle Schäden ........................................... 10<br />
1.4 Schadensentwicklung Phänomenbereiche 2007–2008 ................ 11<br />
1.5 Aufklärungsquote gestiegen ........................................................ 12<br />
1.6 Tatmittel Internet ........................................................................ 12<br />
1.7 Wettbewerbsdelikte .................................................................... 13<br />
1.8 Fazit ............................................................................................ 14<br />
2 Der Weg zu einer Resilience-Organisation ...................................... 15<br />
2.1 Die Sicht der Unternehmensleitung ............................................. 16<br />
2.2 Das Dilemma lösen ..................................................................... 16<br />
2.3 Präventive und reaktive Tätigkeiten ............................................ 17<br />
2.4 Umorganisation zur BRM-Abteilung ............................................ 18<br />
2.5 Rolle der IT-Abteilung ................................................................. 19<br />
2.6 Quintessenz ................................................................................ 20<br />
3 Bekämpfung der Korruption lohnt sich ........................................... 21<br />
3.1 Nach wie vor herrscht Unkenntnis über Verbot der<br />
Auslandsbestechung .................................................................... 22<br />
3.2 Antikorruptionsmaßnahmen lohnen sich ..................................... 22<br />
3.3 Standards helfen integren Unternehmen im Kampf<br />
gegen Korruption ........................................................................ 23<br />
3.4 Korruptionswahrnehmungsindex 2009 ........................................ 23<br />
4 Datamining, Rasterfahndung, Screening, Scoring zur<br />
fraud detection – datenschutzrechtliche Zulässigkeit<br />
und deren Grenzen ........................................................................... 26<br />
4.1 Die Verfahren ............................................................................. 26<br />
4.2 Gesetzliche Vorgaben für Kontrollmaßnahmen ............................ 27<br />
4.3 Rechtsgrundlage ......................................................................... 27<br />
4.4 Verhältnismäßigkeitsprinzip ........................................................ 28<br />
4.5 Transparenz ................................................................................ 29<br />
4.6 Verfahrensablauf ......................................................................... 29<br />
4
Inhaltsverzeichnis<br />
5 Interview mit Jürgen Grieger ........................................................... 31<br />
6 Interview mit Rolf Rainer Jaeger ...................................................... 37<br />
7 Revisionssicheres Auditieren mit dem Accenture Audit<br />
und <strong>Compliance</strong> Tool ........................................................................ 41<br />
7.1 HR-Stammdaten und Abrechnungsergebnisse prüfen .................. 42<br />
7.2 Qualitätssicherung und Revisionssicherheit ................................. 42<br />
7.3 Fehlerbehebung wird erleichtert ................................................. 44<br />
7.4 Werkzeuge für die Stammdaten und Abrechnungsprüfung .......... 44<br />
7.5 Fehleranalyse .............................................................................. 44<br />
7.6 Aufgabe von HR: Prüfung von Berechtigungen und Rollen ........... 45<br />
7.7 Organisationsmanagement ........................................................... 45<br />
7.8 Reisekosten ................................................................................. 46<br />
7.9 Fazit ........................................................................................... 47<br />
8 Tools der Centric altro GmbH .......................................................... 48<br />
8.1 Prüfung der Entgeltabrechnung – warum? .................................... 48<br />
8.2 Unsere passende Standard-Lösung für die Entgeltabrechnung<br />
mit SAP/HR ................................................................................. 49<br />
8.3 Fazit nach vier Jahren ................................................................... 50<br />
8.4 SV Sparkassenversicherung führt altro-Prüftools für die<br />
Entgeltabrechnung ein ................................................................. 51<br />
9 Die digitale Betriebsprüfung in der Praxis: Was Unternehmen<br />
wissen müssen ................................................................................. 54<br />
9.1 Rechtsgrundlagen AO, GoBs und GDPdU ..................................... 54<br />
9.2 Welche Daten und Inhalte sind betroffen ..................................... 56<br />
9.3 Wo steht die Finanzverwaltung .................................................... 57<br />
9.4 Prüfungsvorbereitung/Ort ............................................................ 58<br />
10 Was muss eine <strong>Compliance</strong>-Organisation leisten? ......................... 62<br />
10.1 Wichtige Festlegungen vor dem Aufbau einer<br />
<strong>Compliance</strong>-Organisation ............................................................. 62<br />
10.2 Stakeholder und Einflußfaktoren .................................................. 64<br />
10.3 <strong>Compliance</strong>-Zielkreuz .................................................................. 66<br />
10.4 <strong>Compliance</strong>-Manager Netzwerk ................................................... 68<br />
10.5 Inhalt (Richtlinien-Management) ................................................. 69<br />
10.6 Schlussbemerkung ....................................................................... 69<br />
5
Inhaltsverzeichnis<br />
11 Accenture GmbH .............................................................................. 71<br />
12 Centric altro GmbH .......................................................................... 73<br />
13 Gesellschaft für Datenschutz<br />
und Datensicherung e.V. .................................................................. 75<br />
14 GISA GmbH ....................................................................................... 77<br />
15 PricewaterhouseCoopers WPG AG .................................................. 79<br />
6
1Wirtschaftskriminalität in Deutschland<br />
1<br />
Wirtschaftskriminalität wird erst seit einigen Jahren vom Bundeskriminalamt<br />
auch statistisch erfasst, ein deutliches Signal für die zunehmende Sensibilisierung<br />
und volkswirtschaftliche Bedeutung. Allerdings beträgt der Anteil der polizeilich<br />
bekannt gewordenen Wirtschaftsstraftaten pro Jahr nur rund 1,4 Prozent. Denn<br />
viele Unternehmen scheuen eine Anzeige und regeln die Delikte lieber intern –<br />
aus Angst vor schlechter Publicity. Dabei ist die firmeninterne Bearbeitung der<br />
Straftaten von Mitarbeitern in Unternehmen ist nicht geeignet, weitere unternehmensinterne<br />
Straftaten zu verhindern. Unter anderem deshalb, weil die Mitarbeiter<br />
oft unentdeckt in die nächste Position gelangen, in der sie solche oder ähnliche<br />
Taten auf gleiche Weise fortsetzen, bis sie auch dort wieder »erwischt« werden<br />
und in ihren Papieren als »Ersttäter« gelten. Der Strafregisterauszug eines solchen<br />
Mitarbeiters bleibt lupenrein.<br />
Trotz der geringen Fallzahl der erfassten Delikte bietet ein Blick auf die Polizeiliche<br />
Kriminalstatistik (PKS) 1 des BKA interessante Aufschlüsse. Sie verdeutlicht<br />
Trends und kann auch als Frühwarnsystem verstanden werden, beispielsweise um<br />
auf neue Phänomene aufmerksam zu machen.<br />
1 Das Bundeslagebild »Wirtschaftskriminalität« enthält in gestraffter Form die aktuellen Erkenntnisse<br />
zu Lage und Entwicklung im Bereich der Wirtschaftskriminalität.<br />
Grundlage für die Erstellung des Lagebildes sind die Daten aus der Polizeilichen Kriminalstatistik<br />
(PKS) und dem kriminalpolizeilichen Nachrichtenaustausch. Es handelt sich um eine Darstellung<br />
aus polizeilicher Sicht. In Deutschland existiert zur Beschreibung der Wirtschaftskriminalität keine<br />
Legaldefinition. Die Polizei bedient sich daher bei der Zuordnung von Straftaten zur Wirtschaftskriminalität<br />
des Katalogs von § 74c Abs. 1 Nr. 1 bis 6b des Gerichtsverfassungsgesetzes (GVG).<br />
7
1<br />
Wirtschaftskriminalität in Deutschland<br />
1.1 Statistisch erfasste Wirtschaftskriminalität ist<br />
rückläufig<br />
Im Jahr 2008 wurden insgesamt 84.550 Fälle von Wirtschaftskriminalität polizeilich<br />
registriert. Das bedeutet gegenüber dem Vorjahr einen Rückgang von 3,8 Prozent.<br />
Im zweiten Jahr in Folge sind somit die Fallzahlen zurückgegangen.<br />
BKA-Präsident Jörg Ziercke meint dazu: »Trotz der gegenüber den Vorjahren stark<br />
gesunkenen Gesamtfallzahlen kann man nicht von einer Trendwende ausgehen.<br />
Tatsache ist, dass die Wirtschaftskriminalität ein enormes Schadenspotenzial<br />
birgt. Bei der Betrachtung des Schadens- und Gefährdungspotenzials sind nicht<br />
nur die unmittelbaren monetären, sondern auch die mittelbaren Auswirkungen,<br />
wie z.B. Wettbewerbsverzerrungen, Arbeitsplatzverluste und damit einhergehende<br />
stärkere Belastungen der Sozialkassen sowie Vertrauensverluste im internationalen<br />
Wettbewerb zu berücksichtigen.«<br />
100.000<br />
Fälle<br />
95.000<br />
95.887<br />
90.000<br />
89.224<br />
87.934<br />
85.000<br />
84.550<br />
80.000<br />
81.134<br />
2004<br />
2005<br />
2006<br />
2007<br />
2008<br />
Jahr<br />
Abbildung 1.1 Fallentwicklung Wirtschaftskriminalität 2004–2008<br />
(Quelle: Bundeslagebericht 2008, BKA, Wirtschaftskriminalität)<br />
Im zweiten Jahr in Folge sind die Fallzahlen im Bereich der Wirtschaftskriminalität<br />
zurückgegangen. Der im Vorjahr auf Grund der globalen Wirtschafts- und<br />
Finanzkrise für möglich gehaltene Anstieg der Delikte gerade in den Bereichen<br />
Kapitalanlagebetrug und Börse ist bisher ausgeblieben. Jedoch gibt es seit Mitte<br />
2008 erste Anzeichen für eine Zunahme der Fallzahlen zumindest im Bereich des<br />
8
Betrug nimmt zu 1.2<br />
Kapitalanlagebetrugs. Es bleibt abzuwarten, inwieweit sich diese Entwicklung auf<br />
die Statistik in 2010 auswirkt, da die Bearbeitung von Verfahren im Bereich der<br />
Wirtschaftskriminalität sehr personal- und zeitintensiv ist und erst nach Abschluss<br />
der polizeilichen Ermittlungen – statistisch wirksam – in der PKS erfasst wird. Auffällig<br />
ist der erhebliche Anstieg der Fallzahlen, bei denen als Tatmittel das Internet<br />
genutzt wurde. Aufgrund der ständig weiterentwickelten technischen Rahmenbedingungen<br />
und der daraus resultierenden begünstigten Tatgelegenheitsstruktur<br />
wird in diesem Bereich auch in den kommenden Jahren mit weiter steigenden<br />
Fallzahlen zu rechnen sein.<br />
Auffallend ist auch, dass insbesondere im Bereich der Anlage- und Finanzierungsdelikte<br />
trotz sinkender Fallzahlen ein Anstieg des verursachten Schadens zu verzeichnen<br />
ist. Diese Entwicklung deutet auf ein höheres Schadensvolumen und<br />
somit auf eine höhere Qualität der Einzelfälle hin. Ungeachtet der gesunkenen<br />
Fallzahlen und des Rückgangs des registrierten monetären Gesamtschadens hat<br />
die Wirtschaftskriminalität weiterhin ein hohes Schadens- und Gefährdungspotenzial<br />
mit nicht nur unmittelbaren, sondern gerade auch mittelbaren Auswirkungen.<br />
1.2 Betrug nimmt zu<br />
Lediglich im Phänomenbereich »Wirtschaftskriminalität bei Betrug« sind steigende<br />
Anzahl an Delikten registriert. Ob diese Entwicklung, welche bereits im<br />
Berichtsjahr 2007 ansatzweise festgestellt wurde, auf statistische Auswirkungen<br />
von einzelnen umfangreichen Ermittlungskomplexen mit einer Vielzahl einzelner<br />
Straftaten zurückzuführen ist, oder sich hier ein Trend abzeichnet, kann nicht<br />
letztendlich bewertet werden.<br />
Die polizeilichen Daten können das tatsächliche Ausmaß der Wirtschaftskriminalität<br />
jedoch nur eingeschränkt wiedergeben. Dies liegt zum einen daran, dass in<br />
den polizeilichen Statistiken Wirtschaftsstraftaten nicht erfasst sind, die von<br />
Staatsanwaltschaften oder von Finanzbehörden unmittelbar und ohne Beteiligung<br />
der Polizei bearbeitet wurden (z.B. Arbeitsdelikte und Subventionsbetrug). Zum<br />
anderen ist im Hinblick auf die Interessenlage der Opfer (z.B. bei Anlage von<br />
Schwarzgeldern oder Befürchten eines Imageverlusts) von einem nur gering ausgeprägten<br />
Anzeigeverhalten und damit verbunden von einem großen Dunkelfeld<br />
auszugehen. Überdies lassen sich auf Grundlage polizeilicher Daten keine Aussagen<br />
zur Qualität von Ermittlungsverfahren treffen, da einzelne Aspekte, wie zum<br />
Beispiel eine lange Verfahrensdauer oder ein überdurchschnittlich großes Datenvolumen<br />
in der statistischen Erfassung keine Berücksichtigung finden und jede<br />
Straftat gleich gewichtet wird.<br />
9
1<br />
Wirtschaftskriminalität in Deutschland<br />
Phänomenbereiche<br />
Betrug<br />
Insolvenzstraftaten<br />
Anlage- und<br />
Finanzierungsdelikte<br />
Wettbewerbsdelikte<br />
Kriminalität in Zm. Mit<br />
Arbeitsverhältnissen<br />
Betrug und Untreue<br />
Kapitalanlagen<br />
9.845<br />
7.179<br />
7.598<br />
5.129<br />
8.234<br />
5.833<br />
12.561<br />
11.186<br />
12.651<br />
10.646<br />
Jahr<br />
2007<br />
2008<br />
44.417<br />
46.808<br />
0 10000 20000 30000 40000<br />
50000<br />
Fälle<br />
Abbildung 1.2 Fallentwicklung Phänomenbereiche 2007 – 2008 (Quelle: Bundeslagebericht 2008,<br />
BKA, Wirtschaftskriminalität)<br />
1.3 Registriert: Hohe materielle Schäden<br />
Der durch die Wirtschaftskriminalität verursachte registrierte Schaden belief sich<br />
2008 auf 3,43 Milliarden Euro. Die Höhe der registrierten Schäden zeigt die<br />
erheblichen Auswirkungen der Wirtschaftskriminalität. Verglichen mit dem Vorjahr<br />
(4,12 Milliarden Euro) entspricht dies zwar einer Abnahme von 16,7 Prozent,<br />
verdeutlicht aber die nach wie vor gravierenden Auswirkungen der Wirtschaftskriminalität.<br />
Die rund 84.500 Fälle verursachen somit mehr als ein Drittel des in<br />
der PKS ausgeworfenen Gesamtschadens in Höhe von rund 9,96 Milliarden Euro.<br />
Zum Vergleich: Der in der Polizeilichen Kriminalstatistik registrierte Schaden aller<br />
erfassten Delikte beträgt rund 10 Milliarden Euro. Somit hat die Wirtschaftskriminalität<br />
einen Anteil von rund 34 Prozent an der Gesamtschadenssumme. Besonders<br />
hohe Schäden werden im Bereich der Insolvenzdelikte und der Betrugsdelikte<br />
registriert.<br />
Das tatsächliche Schadenspotenzial der Wirtschaftskriminalität wird jedoch erst<br />
deutlich, wenn man die nicht quantifizierbaren immateriellen Schäden betrachtet.<br />
Wettbewerbsverzerrungen durch Wettbewerbsvorsprünge des mit unlauteren<br />
Mitteln arbeitenden Wirtschaftsstraftäters, die gesundheitliche Gefährdung und<br />
Schädigung Einzelner als Folge von Verstößen gegen das Lebens- und Arzneimit-<br />
10
Schadensentwicklung Phänomenbereiche 2007–2008 1.4<br />
telgesetz, das Arbeitsschutzrecht oder das Umweltstrafrecht, aber auch mögliche<br />
Vertrauensverluste in die Funktionsfähigkeit der bestehenden Wirtschaftsordnung<br />
machen beispielhaft deutlich, welches Schadenspotenzial die Wirtschaftskriminalität<br />
in sich birgt. Hinzu kommt, dass in diesem Deliktsbereich ein hohes Dunkelfeld<br />
vermutet wird, das unter anderem auf der mangelnden Anzeigebereitschaft<br />
der Unternehmen beruhen dürfte. Der tatsächliche Schaden im Bereich der Wirtschaftskriminalität<br />
liegt vermutlich um ein vielfaches höher, vermutet das BKA.<br />
1.4 Schadensentwicklung Phänomenbereiche 2007–2008<br />
Auffällig ist, dass trotz erneut sinkender Fallzahlen in den Bereichen Anlage- und<br />
Finanzierungsdelikte sowie Betrug und Untreue im Zusammenhang mit Kapitalanlagen<br />
eine Zunahme der registrierten Schäden zu verzeichnen ist. Die in der<br />
PKS erfassten Schadenssummen können den durch die Wirtschaftskriminalität tatsächlich<br />
verursachten Gesamtschaden jedoch nur teilweise abbilden. Neben den<br />
entstandenen monetär darstellbaren Schäden müssen auch die durch das kriminelle<br />
Handeln verursachten immateriellen Schäden betrachtet werden. Da diese<br />
Schäden statistisch kaum zu beziffern sind und diesbezügliche Schätzungen stark<br />
voneinander abweichen, ist eine belastbare Aussage hierzu nicht möglich.<br />
Phänomenbereiche<br />
Betrug<br />
1.069<br />
978<br />
Insolvenzstraftaten<br />
1.845<br />
1.474<br />
Anlage- und<br />
Finanzierungsdelikte<br />
233<br />
336<br />
Wettbewerbsdelikte<br />
Kriminalität in Zm. Mit<br />
Arbeitsverhältnissen<br />
Betrug und Untreue<br />
Kapitalanlagen<br />
16<br />
6<br />
65<br />
63<br />
235<br />
267<br />
Jahr<br />
2007<br />
2008<br />
500 1000 1500 2000<br />
Schaden in Mio. Euro<br />
Abbildung 1.3 Schadensentwicklung Phänomenbereiche 2007–2008 (in Mio. Euro) (Quelle: Bundeslagebericht<br />
2008, BKA, Wirtschaftskriminalität)<br />
11
1<br />
Wirtschaftskriminalität in Deutschland<br />
1.5 Aufklärungsquote gestiegen<br />
Im vergangenen Jahr lag die Aufklärungsquote bei der Wirtschaftskriminalität bei<br />
95% und war damit deutlich höher als bei der Gesamtkriminalität (mit 55%). Aufgeklärt<br />
gilt ein Fall dann, wenn das Opfer den Geschädigten kennt.<br />
In den nächsten Jahren erwartet das BKA durch die öffentliche gewordene »Bankenkrise«<br />
eine Zunahme der Verfahren im Bereich Kapitalanlagebetrug und Börsendelikte,<br />
die sich statistisch auswirken werde.<br />
1.6 Tatmittel Internet<br />
Straftaten aus dem Bereich der Wirtschaftskriminalität werden immer häufiger<br />
mit Hilfe des Internets begangen. Aus diesem Grund wird das Internet als »Tatort«<br />
seit dem Jahr 2004 gesondert in der Polizeilichen Kriminalstatistik erfasst.<br />
Häufigkeit der Verwendung<br />
des Internets als Tatmittel<br />
20.000<br />
15.000<br />
10.000<br />
5.000<br />
0<br />
2005<br />
2006<br />
2007<br />
2008<br />
Jahr<br />
Abbildung 1.4 »Tatort« Internet 2005 – 2008 (Quelle: Bundeslagebericht 2008, BKA, Wirtschaftskriminalität)<br />
Die Anzahl dieser Fälle ist im Jahr 2008 gegenüber dem Vorjahr um 77 Prozent<br />
auf 16.437 gestiegen. Dies bedeutet, dass im Jahr 2008 bei mehr als jedem fünften<br />
Fall von Wirtschaftskriminalität das Internet genutzt wurde. Auch im Bereich der<br />
12
Wettbewerbsdelikte 1.7<br />
Organisierten Kriminalität (OK) sind Wirtschaftsdelikte von zentraler Bedeutung.<br />
Rund 17 Prozent aller 2008 gemeldeten OK-Fälle wiesen Merkmale der Wirtschaftskriminalität<br />
auf.<br />
1.7 Wettbewerbsdelikte<br />
Unter Wettbewerbsdelikten werden alle Deliktsformen im Zusammenhang mit Verstößen<br />
gegen das Gesetz gegen den unlauteren Wettbewerb (UWG), Urheberrechtsbestimmungen<br />
sowie gegen das Wettbewerbsrecht nach dem StGB verstanden.<br />
10000<br />
Fälle<br />
8000<br />
6000<br />
4000<br />
2000<br />
0<br />
2004<br />
2005<br />
2006<br />
2007<br />
2008<br />
Jahr<br />
Abbildung 1.5 Fallentwicklung Wettbewerbsdelikte 2004–2008 (Quelle: Bundeslagebericht 2008,<br />
BKA, Wirtschaftskriminalität)<br />
Im Jahr 2008 wurden 5.139 Wettbewerbsdelikte registriert. Nach einem stetigen<br />
Anstieg in den letzten drei Berichtsjahren sind die Fallzahlen nunmehr annähernd<br />
auf das Niveau des Jahres 2004 zurückgegangen. Beim registrierten Schaden ist<br />
gegenüber dem Vorjahr ein Rückgang von 16 Millionen Euro auf etwas über sechs<br />
Millionen Euro festzustellen. Die Fälle der Produkt- und Markenpiraterie bilden<br />
im Bereich der Wettbewerbsdelikte mit Abstand auch im Jahr 2008 den Schwerpunkt.<br />
In diesem Deliktsbereich sind neben der Polizei die Zollbehörden im Rahmen<br />
der Überwachung des grenzüberschreitenden Warenverkehrs zuständig. Da<br />
der Großteil der gefälschten Waren im Ausland (z.B. China, Thailand und Hongkong)<br />
hergestellt und nach Deutschland importiert wird, fällt ein zahlenmäßig<br />
großer Bereich der Bekämpfung der Produkt- und Markenpiraterie in die Zustän-<br />
13
1<br />
Wirtschaftskriminalität in Deutschland<br />
digkeit des Zolls. Insofern spiegeln die Statistik der registrierten Schutzrechtsverletzungen<br />
die tatsächliche Situation nur unzureichend wider. Ein möglicher<br />
Grund für den starken Rückgang der polizeilich bekannt gewordenen Fälle könnten<br />
auch hier verstärkte Aktivitäten der Zolldienststellen sein.<br />
1.8 Fazit<br />
Auch wenn die Polizeiliche Kriminalstatistik nur die offiziell angezeigten Delikte<br />
erfasst, so kann sie doch als »Spitze des Eisbergs« bezeichnet werden. Allerdings<br />
werden über 80 Prozent der Fälle laut Bundeskriminalamt nicht entdeckt.<br />
Das wahre Ausmaß der Wirtschaftskriminalität verbirgt sich hinter einer hohen<br />
Dunkelziffer. Viele seriöse Schätzungen und Studien kommen deshalb zu weit<br />
höheren Schadenssummen als das BKA. So schätzt die Weltbank den jährlichen<br />
Schaden allein durch Korruption weltweit auf ein bis vier Billionen US-Dollar oder<br />
zwölf Prozent der weltweiten Bruttowirtschaftsleistung. Aufschluss gibt auch eine<br />
Studie von 2009 von PricewaterhouseCoopers (PwC), nach dem der durch Wirtschaftskriminalität<br />
entstandene finanzielle Verlust durchschnittlich 5,57 Millionen<br />
Euro je betroffenem Großunternehmen liegt. Schwerer als der finanzielle Schaden<br />
zählen oft der Vertrauensverlust im internationalen Wettbewerb und die Schädigung<br />
der deutschen Wirtschaft. Insofern haben Unternehmen bei der Bekämpfung<br />
von Wirtschaftskriminalität nicht nur eine Eigenverantwortung wahrzunehmen,<br />
sondern ohne Frage auch eine volkswirtschaftliche Verantwortung.<br />
Christiane Siemann<br />
14
2Der Weg zu einer Resilience-Organisation<br />
2<br />
Business Resilience Management umfasst Governance, Risk, <strong>Compliance</strong> und Security<br />
Governance, Risiko Management, <strong>Compliance</strong>, Security – dies alles sind Bereiche, die<br />
nicht zur Wertschöpfung eines Unternehmens beitragen, und dennoch zur Zeit ganz<br />
oben auf der Management-Agenda stehen sollten. Diese Aufgaben können erfolgreich<br />
und mit Augenmaß umgesetzt werden, wenn die verantwortlichen Abteilungen und die<br />
Prozesse zusammen gelegt werden.<br />
Autor: Prof. Dr. Sachar Paulus, Professor für Unternehmenssicherheit und Risikomanagement<br />
an der FH Brandenburg.<br />
Für jedes einzelne der Aufgabenfelder Good Corporate Governance, Risiko<br />
Management, <strong>Compliance</strong> und Unternehmenssicherheit (kurz: GRCS) gibt es<br />
Gründe, sie in einer Organisation einzuführen. Die Motive reichen von eher idealistisch<br />
geprägten Zielen, beispielweise einer ethisch vorbildlichen Unternehmensführung,<br />
über pragmatische Schadensbegrenzung (wie etwa Konformität zu<br />
Gesetzen) bis hin zu reinen finanziellen Beweggründen, wie im Fall des Risikomanagements.<br />
Hinter den unterschiedlichen Motivationen stehen in den meisten<br />
Unternehmen auch unterschiedliche Beteiligte, die das Thema »treiben« und für<br />
die Durchsetzung in der Organisation verantwortlich sind. Gemeinsamer Nenner<br />
aller Aktivitäten ist, dass sie – in der Regel – nicht wertschöpfend, sondern werterhaltend<br />
ausgerichtet sind. Natürlich ist es nicht ausgeschlossen, dass die GRCS-<br />
Aktivitäten auch zur Wertschöpfung beitragen, dies ist aber doch eher selten und<br />
liegt nicht in der Natur dieser Tätigkeiten (Risiken zu vermeiden bzw. zu minimieren<br />
statt Risiken einzugehen).<br />
Ungeachtet der verschiedenen Motivationen und Stakeholder haben die genannten<br />
Bereiche eine große Schnittmenge: Die tatsächlichen präventiven Schutzmechanismen,<br />
die Reaktions- und Reportingfähigkeit, die netzwerkartige Struktur im<br />
Unternehmen, und die Art und Weise, wie diese Themen in den Geschäftsbereichen<br />
das Tagesgeschäft beeinflussen wollen. Da die verschiedenen Themenberei-<br />
15
2<br />
Der Weg zu einer Resilience-Organisation<br />
che oft unabhängig voneinander in einem Unternehmen etabliert werden, sind die<br />
Abteilungsleiter oft mit sehr ähnlichen Fragestellungen konfrontiert, und die Mitarbeiter<br />
mit ähnlichen, eventuell auch in Teilen widersprüchlichen, Handlungsanweisungen<br />
zum »Schutz« des Unternehmens traktiert. In aller Regel führt die<br />
Vielfalt der Vorgaben- und Reportingsysteme zur Unwirksamkeit derer und in aller<br />
Regel zur weitgehenden Ignoranz dieser Strukturen – zumal, wie anfangs bemerkt,<br />
diese Tätigkeiten alle nicht zur Wertschöpfung der Unternehmung beitragen.<br />
2.1 Die Sicht der Unternehmensleitung<br />
Für die Unternehmensführung ist eine Verteilung der Aktivitäten auf verschiedene<br />
(Stabs-)Abteilungen in den meisten Fällen nicht wünschenswert. Dahinter<br />
steht der grundsätzliche Gedanke, dass Unternehmenslenker immer zwischen<br />
wertschöpfenden und werterhaltenden Tätigkeiten die Balance halten müssen,<br />
und je nach Situation und strategischer Ausrichtung mal den einen und mal den<br />
anderen Bereich stärker betonen. Eine Verteilung der Governance-, Risk Management-,<br />
<strong>Compliance</strong>- und Security-Aktivitäten, die aufgrund ihrer Natur eher werterhaltend<br />
sind, erschweren einen Veränderungsprozess im Unternehmen; die<br />
Verteilung der werterhaltenden Tätigkeiten auf verschiedene Abteilungen und<br />
Prozesse stärkt die organisationsinhärente Trägheit. Damit ist das Unternehmen<br />
deutlich schwieriger zu lenken. Somit ist die Unternehmensführung auch daran<br />
interessiert – aus strategischen Gründen, weniger aus Gründen, die mit den Zielen<br />
der GRCS-Aktivitäten verbunden sind –, diese unkontrollierbare Vielfältigkeit der<br />
Kontroll-Aktivitäten einzudämmen. Ein weiterer Grund ist rein pragmatischer,<br />
finanzieller Natur: Da alle GRCS-Aktivitäten in der Regel nicht wertschöpfend<br />
sind, stellen sie Opportunitätskosten dar, also Investitionen, mit denen man auch<br />
den Umsatz vorantreiben könnte. Entsprechend hoch ist die Motivation, die Ausgaben<br />
für GRCS in der Summe möglichst gering zu halten, und dies kann man am<br />
besten durch die gemeinsame Bearbeitung der Thematiken.<br />
2.2 Das Dilemma lösen<br />
Es gibt zwei Lösungen aus diesem Dilemma. Die erste – einfachere – könnte wie<br />
folgt aussehen: Andere Vorgabensysteme werden zu Gunsten von einem einzelnen<br />
aufgegeben. Der Vorteil: Eine starke Stabsaufgabe kann sich durchsetzen<br />
(etwa <strong>Compliance</strong>), die anderen werden mehr oder weniger aufgegeben und nur<br />
»pro Forma« weitergeführt. Dies mündet in zwei Problemen: Zum einen droht die<br />
Gefahr, bestimmte Aspekte schlichtweg zu ignorieren (etwa die Sicherheitsmaßnahmen,<br />
die man Kunden vertraglich zugesichert hat), zum anderen besteht das<br />
16
Präventive und reaktive Tätigkeiten 2.3<br />
Risiko, die rechtlichen oder betriebswirtschaftlichen Folgen dieser Auswahl tragen<br />
zu müssen. Damit ist gemeint, dass der mehr oder minder bewusste Verzicht<br />
auf bestimmte Risiko-, Sicherheits- oder <strong>Compliance</strong>-Betrachtungen mittelfristig<br />
zu finanziell deutlich spürbare Folgen führen kann. Dieser »einfache« Weg ist also<br />
nur etwas für risikoorientierte Unternehmer – und findet sich oft im Mittelstand.<br />
Die zweite – und aus meiner Sicht richtige – Lösung ist die Zusammenführung all<br />
dieser sehr ähnlichen Aktivitäten unter einem Dach mit Namen GRCS oder, wie ich<br />
es nennen möchte, Business Resilience Management (BRM); also einer Abteilung,<br />
die eine nachhaltige Existenz der Unternehmung zum Ziel hat. Eine solche Abteilung<br />
ist per Definition nicht primär wertschöpfend, versucht aber derart auf das<br />
Unternehmen Einfluss zu nehmen, dass die Ziele zur nachhaltigen Existenz (und<br />
dazu gehören Risikomanagement, <strong>Compliance</strong>, ethisches Verhalten und auch<br />
Schutz vor Wirtschaftsspionage) eingehalten werden. Die Vorteile dieser Lösung<br />
liegen auf der Hand: Es können viele Synergien und damit auch tatsächliche Einsparungen<br />
erzielt werden, da die Anzahl der Stabsabteilungen drastisch reduziert<br />
wird. Zudem wird die Durchsetzungskraft im Unternehmen deutlich erhöht, da<br />
nun das Management »mit einer Stimme« im Bezug auf Verhaltensregeln spricht.<br />
Eine zentral, homogen aufgestellte BRM-Abteilung hat zudem den Vorteil, dass<br />
sich widersprechende Vorgaben frühzeitig erkannt und bewusste Entscheidung<br />
getroffen werden können, bevor entsprechende Maßnahmen eingeführt werden<br />
oder eventuell sogar Schäden aufgetreten sind. Ein typisches Beispiel hierfür ist die<br />
im angelsächsischen Raum oft geforderte Kontrolle über alle E-Mails, während im<br />
deutschsprachigen Raum dem oft andere Interessen (wie Nicht-Nachvollziehbarkeit<br />
bestimmter Aktivitäten oder Datenschutz-Vorgaben) entgegen stehen. Letztlich<br />
ist ein solches Setup am ehesten dazu geeignet, auch bei den wertschöpfenden<br />
Aktivitäten zu unterstützten, statt sie einzuschränken oder gar gleich zu verbieten.<br />
Klassisches Beispiel: Blackberry-Nutzung für vertrauliche Informationen oder<br />
Instant Messaging mit Kunden. Dafür ist allerdings auch unabhängig vom organisatorischen<br />
Setup eine gute Beziehung zu den internen Kunden erforderlich.<br />
2.3 Präventive und reaktive Tätigkeiten<br />
Die Aufgaben einer BRM-Abteilung lassen sich grob in präventive und reaktive<br />
Tätigkeiten gliedern. Zu den präventiven Tätigkeiten zählen:<br />
Vorgabenmanagement: Ermitteln der verbindlichen internen Verhaltensvorgaben<br />
(ähnlich wie bei einer Security Policy), und zwar aus Gesetze, Verträge und<br />
Schutzziele; Auflösen von Konflikten in den Anforderungen (Beispiel: <strong>Compliance</strong><br />
mit Datenschutzgesetzen und SoX) und Formulieren von Kontrollmaßnahmen,<br />
die Vorgaben umsetzen.<br />
17
2<br />
Der Weg zu einer Resilience-Organisation<br />
Aufbau- und Ablauforganisation: Verwendung und Aufbau einer Organisation, die<br />
in die operativen Bereiche, Abteilungen und Standorte hineinreicht; Entscheidung<br />
über zentrale oder dezentrale Berichtswege; Definition von Arbeits-, Entscheidungs-<br />
und Informationsgremien.<br />
Awareness: Durchführen von Maßnahmen, um die Mitarbeiter von der Sinnhaftigkeit<br />
der Maßnahmen zu überzeugen, dazu zählen Werbeaktivitäten, aber auch<br />
Schulungen und auch die Darstellung von Konsequenzen von Nichteinhaltung.<br />
Reporting: Strukturierung der regelmäßigen Berichte zur Geschäftsführung, Statusermittlung<br />
gegenüber den gewählten Vorgaben, Gestaltung von Form und Auswahlkriterien<br />
etwa Vorfälle, Vorkommnisse, Entwicklungen der Unternehmensrisiken<br />
und Projektfortschritte.<br />
Die reaktiven Tätigkeiten umfassen:<br />
Vorfallsmanagement: Umgang mit Meldungen von Verstößen, Whistleblowing,<br />
Einsatz von Ombudsleuten, Erfassung und Auswertung von Statistiken zu Vorfällen.<br />
Betrugsmanagement: Umgang mit tatsächlichen Betrugsfällen, »Amnestie«- und<br />
»Kronzeugen«-Regelungen, aber auch Umsetzung von Konsequenzen bei Verstößen<br />
gegen das Vorgabenmanagement.<br />
Krisenmanagement: Aufbau von alternativen Entscheidungsstrukturen für den<br />
Krisenfall, Üben von Szenarien und Notfallabläufen.<br />
Die Ermittlungen von Vorfällen oder Betrugsfällen sollten – um die Unabhängigkeit<br />
sicherzustellen – der internen Revision oder gleich externen Behörden übergeben<br />
werden. Eine BRM-interne Ermittlung führt in der Regel früher oder später<br />
zu Argumentationsschwierigkeiten, weil viele Vorfälle in gewisser Weise die Existenz<br />
der Abteilung rechtfertigen.<br />
2.4 Umorganisation zur BRM-Abteilung<br />
Aufgrund der detaillierteren Darstellung wird nun ersichtlich, welche Überschneidungen<br />
tatsächlich zwischen den Bereichen Governance, Risk, <strong>Compliance</strong> und Security<br />
bestehen. Die Herausforderung besteht nun darin, eine solche Zusammenführung<br />
zu realisieren. Eine Voraussetzung per se ist, dass die Mitarbeiter in einer solchen<br />
Abteilung ein hohes Vertrauen der Unternehmensführung genießen müssen.<br />
Ein pragmatischer Ansatz besteht darin, einem Stabstellenleiter seines Vertrauens<br />
die Gesamtverantwortung zu übergeben und die Umorganisation innerhalb seiner<br />
neuen Abteilung zu überlassen. Das gestaltet sich nicht risikofrei, denn alle bisherigen<br />
Verantwortlichen von vorgabenrelevanten Abteilungen fühlen sich in ihrem<br />
Bemühen, die Unternehmung zu schützen, verprellt. Ein gutes Changemanagement<br />
ist entsprechend erforderlich.<br />
18
Rolle der IT-Abteilung 2.5<br />
Eine andere, geschickte Form der Umorganisation könnte so aussehen, dass die<br />
betroffenen Abteilungen gemeinsam in einem Projekt beauftragt werden, eine<br />
BRM-Abteilung zu entwerfen. Dabei soll für die Teilaufgaben jeweils die Abteilung<br />
federführend ausgewählt werden, die am meisten Erfahrung vorzuweisen<br />
hat. Beispiel: Vorgabenmanagement und Reporting werden durch das Risikomanagement<br />
abgedeckt, Awareness und Krisenmanagement durch die Unternehmenssicherheit<br />
etc. Operative Aufgaben sollten anderen Abteilungen zugeordnet<br />
werden (etwa der Werksschutz dem Facility Management). Synergien und eventuelle<br />
Einsparungen können identifiziert werden und Empfehlungen für den weiteren<br />
Einsatz von nun freiwerdendem Personal sollten gemeinsam erarbeitet<br />
werden. Es ergibt sich automatisch eine neue Organisation mit Aufgaben, bei<br />
denen sich die bisherigen Kompetenzträger einbringen können. Bei der Besetzung<br />
der Leitung – der Vertrauensposition – liegt bei der Geschäftsführung.<br />
2.5 Rolle der IT-Abteilung<br />
Der IT-Abteilung kommt bei der Umsetzung eine erhebliche Rolle zu, da inzwischen<br />
fast alle Prozesse im Unternehmen elektronisch unterstützt werden. Die<br />
schwierigste Aufgabe ist, die richtige Auswahl von IT-gestützten Kontrollen zu<br />
treffen. Zum einen sind diese in der Regel aufwändig und durchaus mit hohen<br />
Kosten verbunden, zum anderen muss jede Kontrolle auf ihre Auswirkung bezüglich<br />
der <strong>Compliance</strong> gesehen werden. Daher ist die IT-Abteilung frühzeitig bei der<br />
Auswahl der Kontrollen und natürlich der Umsetzung mit einzubeziehen. Die großen<br />
Software-Hersteller haben das erkannt und setzen auf so genannte »GRC Suites«,<br />
also Familien von Anwendungen, die den Aufbau, die Durchführung, die<br />
Prüfung und auch die Dokumentation von Kontrollen zum Fokus haben, ergänzt<br />
um die Anwendungen für den Kernbereich, also Risikomanagement, Kontrollmanagement,<br />
Fraud Management. Es zeigt sich, dass IT-BRM (oder IT-GRCS) eine<br />
strategische Aufgabe für den CIO eines Unternehmens ist. Dennoch sollte davon<br />
Abstand gehalten werden, dem CIO die Verantwortung für die gesamten BRM-<br />
Aktivitäten zu übergeben; zu viele relevante, für interne Kontrollen maßgebliche<br />
Prozesse liegen in seiner Verantwortung.<br />
Vorstandsverantwortung<br />
An wen soll der neue Chief GRCS / BRM Officer berichten? Die Antwort fällt leider<br />
nicht eindeutig aus. Auf der einen Seite sind die meisten Controlling-Aktivitäten<br />
beim Finanzvorstand, also bietet sich dieser als eine natürliche verantwortliche<br />
Person an – zudem er oft auch Rechtsabteilung und Risikomanagement bereits verantwortet.<br />
Dennoch ist er nicht die beste Wahl, da er selbst – ähnlich zum CIO –<br />
viele kontrollintensive Prozesse verantwortet und sich damit quasi selbst kontrol-<br />
19
2<br />
Der Weg zu einer Resilience-Organisation<br />
lieren würde. Eine bessere Wahl ist – sofern dies in Unternehmen so aufgesetzt<br />
wird – eine direkte Berichtslinie an den Chief Operating Officer, der für das Tagesgeschäft<br />
verantwortlich ist und damit die »trägen« Elemente des Unternehmens<br />
verantwortet. Gibt es ein solches Setup (noch) nicht, so ist der Vorstandsvorsitzende<br />
immer noch die beste Wahl, um die Balance zwischen werterhaltenden und<br />
wertschöpfenden Tätigkeiten direkt steuern zu können. Sollte eine organisatorische<br />
Zuordnung zum Bereich des Vorstandsvorsitzenden nicht möglich, nicht<br />
opportun oder nicht gewollt sein, so ist sicherzustellen, dass zumindest eine fachbezogene<br />
direkte Berichtslinie zum CEO existiert. Dies stellt die erforderliche<br />
Rückendeckung durch die Unternehmensleitung sicher.<br />
Eine Reihe von Funktionen, die sich in der GRCS-Organisation wiederfinden, benötigen<br />
unabhängig davon eine – gesetzlich vorgeschriebene – direkte Berichtslinie<br />
zum Vorstand, dazu zählen beispielweise Datenschutz-, Informationssicherheitsund<br />
oder Geheimschutzbeauftragter. Diese Aspekte sollten beim organisatorischen<br />
Setup und der Verantwortungsgestaltung entsprechend bedacht werden.<br />
2.6 Quintessenz<br />
Die aktuellen Skandale in der Presse zu Datenschutz, Betrug, Korruption und Wirtschaftsspionage<br />
zeigen, dass wir diesen Bereich der Unternehmensführung als<br />
Gesellschaft im Zeiten der digitalen Kommunikationswege noch nicht im Griff<br />
haben. Eine Vereinheitlichung der betroffenen Bereiche kann zu einer besseren<br />
Wahrnehmung und einer stärkeren Umsetzung im Unternehmen führen. Das Ziel<br />
dabei ist die Herausbildung einer Stabsfunktion »Business Resilience Management«,<br />
die die notwendigen Tätigkeiten synergetisch zusammenführt und zu einer<br />
schnellen, besseren Entscheidungsfähigkeit durch die Unternehmensleitung führt.<br />
Prof. Dr. Sachar Paulus ist Professor für Wirtschaftsinformatik,<br />
insbesondere Unternehmenssicherheit und Risikomanagement<br />
im Fachbereich Wirtschaft der FH Brandenburg und leitet dort<br />
das Kompetenzzentrum für Qualifizierung im Bereich Sicherheit.<br />
Von 2000 bis 2008 war Prof. Paulus bei SAP in verschiedenen Leitungsfunktionen<br />
zu Sicherheit tätig, unter anderem als Leiter der<br />
Konzernsicherheit und Leiter der Produktsicherheit. Er vertrat<br />
SAP als Vorstandsmitglied in den beiden Vereinen »Deutschland<br />
Sicher im Netz« und »TeleTrusT«. Paulus ist Mitglied der ständigen Interessenvertretung<br />
der ENISA (Europäische Netzwerk- und Informationssicherheitsagentur)<br />
und des Forschungsbeirats »RISEPTIS« für Vertrauen und Sicherheit im Future<br />
Internet der Europäischen Kommission. Er engagiert sich für sichere Software-Entwicklung<br />
und ist Vorstandsvorsitzender des Vereins ISSECO e.V.<br />
20
3Bekämpfung der Korruption lohnt sich<br />
3<br />
Korruptionsermittler, ob Rechtsanwälte, Detekteien, Ermittlungsbehörden, Ombudsmänner<br />
oder selbst ernannte Aufklärer, leiden in Deutschland derzeit nicht<br />
unter einer Auftragsflaute. Der Markt für sie wächst, nicht immer zum Gefallen<br />
der offiziellen Strafermittler. Doch das Signal ist deutlich: Das Ausmaß der Korruption<br />
wird unterschätzt.<br />
Vom Ausstellen überhöhter Rechnungen und der Gründung von Scheinfirmen bis<br />
zur direkten Bestechung: Korruption lebt. Die Antikorruptionsorganisation Transparency<br />
International stellt jährlich den »Global Corruption Report« vor, 2009 mit<br />
dem Schwerpunktthema Privatwirtschaft. Dem Bericht zufolge führt das enorme<br />
Ausmaß globaler Korruption – Bestechung, Preiskartelle und unzulässige Einflussnahme<br />
auf die Politik – zu immensen Kosten und verhindert eine nachhaltige Entwicklung.<br />
Der Bericht zeigt, wie korrupte Praktiken den fairen Wettbewerb<br />
unterminieren, wirtschaftliches Wachstum hemmen und letztlich die Existenz der<br />
Unternehmen gefährden. Korruption führt zudem zu sinkender Arbeitsmoral<br />
sowie zu Vertrauensverlust bei Kunden und Geschäftspartnern. Gleichzeitig steigen<br />
die Risiken, erwischt zu werden; so müssen Unternehmen wegen korrupter<br />
Praktiken allein in den letzten zwei Jahren Milliarden an Bußgeldern zahlen.<br />
Huguette Labelle, Vorsitzende von Transparency International: »Eine Kultur<br />
unternehmerischer Integrität sichert Investitionen, steigert den Geschäftserfolg<br />
und fördert Stabilität. Insbesondere in einer Zeit, in der wir uns von einer historischen<br />
Krise erholen, muss Integrität gefördert werden.« Zahlreiche Fälle im<br />
Bericht dokumentieren, wie Manager, Mehrheitsaktionäre und andere Wirtschaftsakteure<br />
die ihnen anvertraute Macht zu ihrem privaten Vorteil missbrauchen<br />
– zum Nachteil von Eigentümern, Investoren, Arbeitnehmern und der<br />
Gesellschaft insgesamt. Allein in Entwicklungs- und Transformationsländern leisten<br />
Unternehmen an korrupte Politiker und Regierungsbeamte nach Schätzungen<br />
von Vereinten Nationen und Weltbank Bestechungszahlungen in Höhe von jährlich<br />
bis zu vierzig Milliarden US-Dollar.<br />
21
3<br />
Bekämpfung der Korruption lohnt sich<br />
3.1 Nach wie vor herrscht Unkenntnis über Verbot der<br />
Auslandsbestechung<br />
In Deutschland wurde 1999 die OECD-Konvention zur Auslandsbestechung in<br />
nationales Recht umgesetzt. Aber erst mit dem Siemens-Skandal im Herbst 2006<br />
wurde eine breite Debatte in deutschen Unternehmen über Auslandsbestechung<br />
und Korruptionsprävention in Gang gesetzt. Seitdem hat sich bei vielen Unternehmen<br />
einiges getan. Dennoch haben im vergangenen Jahr in einer Umfrage immer<br />
noch über 80% von Managern in Deutschland, aber auch in Frankreich, Großbritannien<br />
und USA angegeben, nicht mit den Regelungen zum Verbot der Auslandsbestechung<br />
vertraut zu sein. Hier ist weitere Aufklärung nötig.<br />
Deutsche Firmen haben gerade wegen ihres umfangreichen internationalen<br />
Geschäfts eine besondere Verantwortung, so Transparency Deutschland. Neben<br />
Bestechungszahlungen im Großen sind es auch die Schmiergeldzahlungen (»Facilitating<br />
Payments«) im Kleinen, die den Teufelskreis der Korruption aufrecht<br />
erhalten. Peter von Blomberg, stellvertretender Vorsitzender von Transparency<br />
Deutschland: »Die Zeiten, in denen die Unternehmen in Deutschland das ›Ob‹ von<br />
Antikorruptionsmaßnahmen diskutiert haben, müssen vorbei sein. Ausreden gelten<br />
nicht mehr. Die einzige Frage, die immer noch bei vielen Unternehmen<br />
gestellt werden muss, ist die nach dem ›Wie‹.«<br />
3.2 Antikorruptionsmaßnahmen lohnen sich<br />
Integrität im Wirtschaftsverkehr zahlt sich aus. Studien zeigen, dass Unternehmen,<br />
die Maßnahmen gegen Korruption ergreifen und ethische Richtlinien einführen,<br />
bis zu fünfzig Prozent weniger von Korruption betroffen sind, und die<br />
Wahrscheinlichkeit, Unternehmensaufträge zu verlieren, ist geringer als bei Firmen,<br />
die sich nicht gegen Korruption schützen. Eine integre Unternehmenspolitik<br />
zieht vertrauensvolle und loyale Mitarbeiter an, die wichtige Voraussetzungen für<br />
den Unternehmenserfolg sind. Und Organisationen müssen ihrer Verantwortung<br />
gerecht werden. Die Vorschläge im Bericht richten sich zunächst an Unternehmen.<br />
Sie müssen nicht nur Verhaltenskodizes und Antikorruptionsprogramme<br />
verabschieden, sondern sie müssen diese auch organisatorisch umsetzen, ihre<br />
Mitarbeiter darin schulen und sie leben. Dazu gehört, dass über diese Maßnahmen<br />
– möglichst standardisiert – öffentlich berichtet wird. Obwohl fast 90 Prozent<br />
der 200 weltweiten Spitzenunternehmen Verhaltenkodices eingeführt haben,<br />
überwachen dem Global Corruption Report zufolge weniger als die Hälfte deren<br />
Einhaltung und Umsetzung.<br />
22
Korruptionswahrnehmungsindex 2009 3.4<br />
3.3 Standards helfen integren Unternehmen im Kampf<br />
gegen Korruption<br />
Ein gemeinschaftliches Vorgehen (»collective action«) auf der Grundlage von<br />
international anerkannten Standards hilft Unternehmen bei der Definition und<br />
Umsetzung integrer Verhaltensweisen. Die »OECD-Leitsätze für multinationale<br />
Unternehmen«, zu deren weltweiter Durchsetzung sich mittlerweile 41 Industriestaaten<br />
bekennen, enthalten ein weites Spektrum von Standards für verantwortungsvolles<br />
unternehmerisches Verhalten. Mit diesem umfassenden Ansatz, aber<br />
auch mit konkreten Handlungsempfehlungen bieten sie Unternehmen eine praktikable<br />
Unterstützung für die Korruptionsbekämpfung. Transparency Deutschland<br />
kritisiert, dass die beim Bundeswirtschaftsministerium angesiedelte Nationale<br />
Kontaktstelle für die OECD-Leitsätze durch eine restriktive und umstrittene Auslegung<br />
der Regularien verhindert, dass sich diese Leitsätze ihren Potenzialen entsprechend<br />
zu einem Instrument unternehmerischer Verantwortung entwickeln.<br />
Zum Bereich des Lobbyismus hat Transparency Deutschland einen »Verhaltenskatalog<br />
für verantwortliche Interessenvertretung« vorgelegt, der Unternehmen zur<br />
Orientierung dient.<br />
3.4 Korruptionswahrnehmungsindex 2009<br />
Der Korruptionswahrnehmungsindex (CPI) von Transparency misst den Grad der<br />
bei Beamten und Politikern wahrgenommenen Korruption 1 . Eine Reihe von Staaten<br />
der EU und Westeuropas gehören zu den Ländern mit den höchsten Punktwerten<br />
im Korruptionswahrnehmungsindex 2009.<br />
Int. Rang<br />
Regionaler<br />
Rang<br />
Land<br />
CPI Wert<br />
2009<br />
Vertrauens-<br />
Intervall<br />
Zahl der<br />
Umfragen<br />
2 1 Dänemark 9.3 9.1–9.5 6<br />
3 2 Schweden 9.2 9.0–9.3 6<br />
5 3 Schweiz 9.0 8.9–9.1 6<br />
Tabelle 3.1 Ranking Länder<br />
1 Die Mehrzahl der 180 untersuchten Länder hat auf einer Skala von 0 (als sehr korrupt wahrgenommen)<br />
bis 10 Punkten (als wenig korrupt wahrgenommen) weniger als fünf Punkte erzielt. Es ist<br />
ein sogenannter zusammengesetzter Index, der sich auf verschiedene Experten- und Unternehmensumfragen<br />
stützt.<br />
23
3<br />
Bekämpfung der Korruption lohnt sich<br />
Int. Rang<br />
Regionaler<br />
Rang<br />
Land<br />
CPI Wert<br />
2009<br />
Vertrauens-<br />
Intervall<br />
Zahl der<br />
Umfragen<br />
6 4 Finnland 8.9 8.4–9.4 6<br />
6 4 Niederlande 8.9 8.7–9.0 6<br />
8 6 Island 8.7 7.5–9.4 4<br />
11 7 Norwegen 8.6 8.2–9.1 6<br />
12 8 Luxemburg 8.2 7.6–8.8 6<br />
14 9 Deutschland 8.0 7.7–8.3 6<br />
14 9 Irland 8.0 7.8–8.4 6<br />
16 11 Österreich 7.9 7.4–8.3 6<br />
17 12 Großbritannien 7.7 7.3–8.2 6<br />
21 13 Belgien 7.1 6.9–7.3 6<br />
24 14 Frankreich 6.9 6.5–7.3 6<br />
27 15 Zypern 6.6 6.1–7.1 4<br />
27 15 Estland 6.6 6.1–6.9 8<br />
27 15 Slowenien 6.6 6.3–6.9 8<br />
32 18 Spanien 6.1 5.5–6.6 6<br />
35 19 Portugal 5.8 5.5–6.2 6<br />
45 20 Malta 5.2 4.0–6.2 4<br />
46 21 Ungarn 5.1 4.6–5.7 8<br />
49 22 Polen 5.0 4.5–5.5 8<br />
52 23 Tschechische Republik 4.9 4.3–5.6 8<br />
52 23 Litauen 4.9 4.4–5.4 8<br />
56 25 Lettland 4.5 4.1–4.9 6<br />
56 25 Slowakische Republik 4.5 4.1–4.9 8<br />
63 27 Italien 4.3 3.8–4.9 6<br />
71 28 Bulgarien 3.8 3.2–4.5 8<br />
71 28 Griechenland 3.8 3.2–4.3 6<br />
71 28 Rumänien 3.8 3.2–4.3 8<br />
Tabelle 3.1 Ranking Länder (Forts.)<br />
24
Korruptionswahrnehmungsindex 2009 3.4<br />
Der Index zeigt allerdings auch, dass Europa trotz allem weit davon entfernt<br />
bleibt, vollkommen korruptionsfrei zu sein und viele Errungenschaften nicht dauerhaft<br />
gesichert sind. Um das Bewusstsein für Integrität und Verantwortung zu<br />
erhöhen und um sicherzustellen, dass sowohl die einzelnen Länder als auch die<br />
EU den Erwartungen und Hoffnungen ihrer Bürger gerecht werden, bedarf es<br />
nachhaltiger Bemühungen und Maßnahmen im Kampf gegen die Korruption.<br />
Die höchste Punktzahl im CPI 2009, also Anzeichen für wenig bis keine Korruption,<br />
haben Neuseeland (9,4 Punkte), Dänemark (9,3), Singapur (9,2), Schweden<br />
(9,2) und die Schweiz (9,0). Dies zeugt von politischer Stabilität, einer langen Tradition<br />
von Konfliktlösungsmechanismen und soliden politischen Institutionen.<br />
Doch die Industrieländer, insbesondere die Finanzzentren, in denen durch Korruption<br />
erlangte Gelder versteckt werden können (sog. Schattenfinanzzentren),<br />
haben keinen Grund sich zurückzulehnen. Gerade in Industrieländern haben häufig<br />
die an korrupten Geschäften beteiligten Unternehmen ihren Sitz. Daher sollte<br />
auch Deutschland seine Anstrengungen verstärken, so Transparency.<br />
Deutschland ist unverändert auf Platz 14 zu finden und befindet sich damit im<br />
Mittelfeld von vergleichbaren Staaten. Sylvia Schenk, Vorsitzende von Transparency<br />
Deutschland: »Deutschland trägt als führende Exportnation und politisches<br />
Schwergewicht eine besondere Verantwortung weltweit. Wir haben<br />
Handlungsbedarf im Strafrecht, beim Thema Anti-Korruptionsregister und dem<br />
Schutz von Hinweisgebern.«<br />
Christiane Siemann<br />
25
4<br />
4Datamining, Rasterfahndung, Screening,<br />
Scoring zur fraud detection –<br />
datenschutzrechtliche Zulässigkeit<br />
und deren Grenzen 1<br />
4.1 Die Verfahren<br />
Als Maßnahmen zur Überprüfung der <strong>Compliance</strong> im Personalbereich werden<br />
unterschiedliche Verfahren zur Aufdeckung von straf- und arbeitsrechtlich relevantem<br />
Verhalten angewandt. Die Zielrichtung der Verfahren ist die gleiche. Datamining<br />
beinhaltet Verfahren, um aus der Menge der zu den unterschiedlichen<br />
Zweckbestimmungen gespeicherten Personaldaten neue Erkenntnisse herauszufiltern.<br />
Ziel kann es auch sein, Hinweise auf Fälle von Korruption zu erhalten. Ein<br />
Weg der Filterung bildet die Rasterfahndung, indem die personenbezogenen<br />
Informationen nach definierten Ergebnissen und Auffälligkeiten durchsucht werden.<br />
Mitarbeiter, die die gesuchten Merkmale haben, bleiben im Raster hängen.<br />
Eine Variante der Rasterfahndung ist das Screening. Der aus dem medizinischen<br />
Bereich stammende Begriff beschreibt gleiche Vorgänge, nämlich das gezielte<br />
»Aussieben« von Massendaten. Ein weiterer Schritt ist es, aus den Erkenntnissen<br />
über eventuell korrupte Mitarbeiter allgemeine Erfahrungswerte zu ermitteln, an<br />
denen dann der einzelne Mitarbeiter gescort wird. Ein Beispiel bilden unter den<br />
Bezeichnungen »lost prevention« oder »fraud detection« geführte Programme, die<br />
ein typisches Profil von Beschäftigten an Kassen erstellen, um dann an dem Verhalten<br />
einzelner Beschäftigter festzustellen, wer mit welchem Verdachtswert von<br />
dem typischen Profil abweicht.<br />
Dass derartige Verfahren einen weiteren Schritt zu einer lückenlosen Leistungsund<br />
Verhaltenskontrolle der Beschäftigten eröffnen, steht außer Frage. Gleichwohl<br />
sind sie auch im Personalwesen im Bereich der Bekämpfung von Korrup-<br />
1 Auszug aus Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 5. Aufl., Datakonext,<br />
Frechen 2010.<br />
26
Rechtsgrundlage 4.3<br />
tion, Betrug oder Unterschlagungen, aber auch zur Ermittlung allgemeiner<br />
Sicherheitsrisiken nicht per se unzulässig. Eine generelle Unzulässigkeit lässt sich<br />
aber auch aus § 32 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG) ablesen. Eindeutig<br />
ist aber auch, dass ihr Einsatz sehr schnell an datenschutzrechtliche Grenzen<br />
stößt.<br />
4.2 Gesetzliche Vorgaben für Kontrollmaßnahmen<br />
Dem Arbeitgeber sind derartige Kontrollmaßnahmen, wenn auch ohne<br />
Detaillierung im Einzelnen, ggf. gesetzlich vorgegeben (§ 91 Abs. 2 AktG, §<br />
43 Abs. 2 GmbHG, § 317 Abs. 4 HGB). Als generell geltende Norm ist § 130<br />
OwiG von Gewicht. Verletzt der Unternehmer nämlich schuldhaft seine<br />
Pflicht zur Verhinderung von gegen den Betrieb gerichteten Straftaten oder<br />
Ordnungswidrigkeiten, handelt er selbst ebenfalls ordnungswidrig, wenn die<br />
Zuwiderhandlung bei gehöriger Aufsicht verhindert oder wesentlich<br />
erschwert worden wäre (§ 130 Abs. 1 OWiG). <strong>Compliance</strong>-Regelungen, die<br />
auf die Einhaltung zunächst der Gesetze und nachfolgend auch unternehmensinterner<br />
Regelungen abzielen, erfordern ebenfalls Maßnahmen, damit diese<br />
Gesetztestreue auch Betriebswirklichkeit ist. Whistleblower-Regelungen spielen<br />
hierbei genauso eine Rolle wie unternehmensinterne Kontrollverfahren.<br />
Vorgabe hierfür ist für international tätige Unternehmen der Sarbanes-Oxley-Act<br />
der USA, der jedoch in Deutschland nicht als Eingriffsnorm herangezogen werden<br />
kann (vgl. BAG, RDV 2009, 25).<br />
4.3 Rechtsgrundlage<br />
Die automatisierte Verarbeitung der Mitarbeiterdaten unterliegt dem Verbot mit<br />
Erlaubnisvorbehalt des § 4 Abs. 1 BDSG, d.h., der Arbeitgeber muss sich auf eine<br />
Norm, die sein Vorgehen rechtfertigt, berufen können. Die aufgezeigten speziellen<br />
Kontrollpflichten kommen als spezielle Erlaubnisnorm hierfür nicht in<br />
Betracht, da sie zwar Kontrollen im Allgemeinen festschreiben, über dazu ggf.<br />
erforderliche automatisierte Datenabgleiche aber nichts aussagen. Sie sind jedoch<br />
die Grundlage für das »berechtigte Interesse«, das den Arbeitgeber nach dem<br />
BDSG zu diesbezüglichen Verarbeitungen berechtigten kann. Die maßgebende<br />
Norm findet sich in § 32 Abs. 1 bzw. § 28 Abs. 2 BDSG.<br />
§ 32 Abs. 1 S. 1 BDSG gestattet derartige Verfahren zunächst und primär, wenn es<br />
im Rahmen der Zweckbestimmung des (Arbeits-)Verhältnisses erforderlich ist.<br />
27
4<br />
Datamining, Rasterfahndung, Screening, Scoring zur fraud detection<br />
Für die Erfüllung der Zweckbestimmung des Vertrages sind auch Maßnahmen<br />
erforderlich, mit denen der Arbeitgeber die Einhaltung der mit dem Arbeitnehmer<br />
vereinbarten Arbeitspflichten kontrolliert, d.h., der Vertragszweck berechtigt<br />
auch zur Ermittlung von gegen die Pflichten des Vertrages sprechendem Verhalten.<br />
Die Befugnis des Arbeitgebers beschränkt sich daher nicht nur auf die sich<br />
unmittelbar aus dem Arbeitsvertrag ergebenden Erforderlichkeiten. Dies gilt<br />
für den Bereich der fraud detection jedenfalls, wenn das Arbeitsverhältnis auf<br />
Grund der Funktion des Mitarbeiters – ggf. nach Einholung entsprechender<br />
Verpflichtungen im Arbeitsvertrag oder per verbindlicher <strong>Compliance</strong>regelung<br />
– ausdrücklich zu entsprechendem Verhalten verpflichtet.<br />
Eine erst nach Eingehung der Vertragsbeziehung neue Zweckbestimmung der<br />
Nutzung der Konto- und Adressdaten zum Zwecke der fraud detection wäre auch<br />
an § 32 Abs. 1 BDSG zu messen. Erheblich ist jedoch, dass in beiden Zulässigkeitsvarianten<br />
bei der Ermittlung der durch den vertraglichen Zweck gebilligten Verarbeitungen<br />
die berechtigten Interessen des Arbeitgebers gegen die schutzwürdigen<br />
Belange der Arbeitnehmer abzuwägen bleiben.<br />
4.4 Verhältnismäßigkeitsprinzip<br />
Auch bei bejahtem arbeitgeberseitigem Informationsinteresse ist dem Verhältnismäßigkeitsprinzip<br />
Rechnung zu tragen. Die Kriterien die das BAG für die<br />
Zulässigkeit offener und ggf. auch geheimer Videoüberwachung aufgestellt hat,<br />
geben den Maßstab vor.9a Dabei ist zu unterscheiden, ob das Screening präventiven<br />
Zwecken dient, d.h. auf Grund einer betriebswirtschaftlichen Analyse<br />
aller Geschäftsprozesse ermittelten Gefährdungslage erfolgt, oder ob repressiv<br />
tatsächlichen Anhaltspunkten einer Straftat nachgegangen werden soll. Hier<br />
sind die Voraussetzungen in § 32 Abs. 1 S. 2 BDSG vorgegeben. Davon hängt<br />
auch der in die Untersuchung einzubeziehende Personenkreis ab (vgl. aber<br />
auch BVerfG, RDV 2009, 113, wonach bei einer staatsanwaltschaftlichen Datenerhebung<br />
bei einem Kreditkarteninstitut gegenüber Betroffenen, bei denen<br />
bei einem Datensuchlauf »kein Treffer erzielt wurde«, kein Eingriff in das informationelle<br />
Selbstbestimmungsrecht erfolgte).<br />
Die aus § 32 Abs. 1 S. 1 BDSG in Risikobereichen erfolgende präventive Kontrolle<br />
soll ja erst dazu dienen, Tatsachen zu ermitteln, die auf einen Strafverdacht hindeuten<br />
und gezielte Einzelmaßnahmen unter den Kriterien des § 32 Abs. 1 S. 2<br />
BDSG rechtfertigen.<br />
28
Verfahrensablauf 4.6<br />
Bei präventiver Überwachung kann ausnahmsweise auch eine Gesamtüberwachung<br />
vorgenommen werden. Diese muss berechtigt sein, wenn für die Ermittlung<br />
des in die Analyse einzubeziehenden Personenkreises erst noch eine weitere<br />
datenschutzrechtlich relevante Erhebung von Daten erforderlich wäre. Eine Konkretisierung<br />
des Personenkreises anhand der betrieblichen Organisationsdaten<br />
kann jedoch nicht wegen des Arbeitsaufwands als unzumutbar gesehen werden.<br />
Eine Vollkontrolle wird regelmäßig nicht gerechtfertigt sein. Auswertungen müssen<br />
möglichst in pseudonymisierter Form erfolgen und dürfen erst im Verdachtsfall<br />
personalisiert werden (§ 3a BDSG).<br />
4.5 Transparenz<br />
Keine Gründe sprechen dafür, derartige Verfahren »geheim« durchzuführen.<br />
Die Gefahr, entdeckt zu werden, wird vielmehr ein nützlicher Abschreckungseffekt<br />
sein. Bei einem präventiven Screening genügt zunächst eine allgemeine<br />
Bekanntmachung und dann ggf. eine konkrete Information bei der Anhörung<br />
eventueller Verdächtigter. Bei repressivem Ermitteln ist es ggf. geboten, die Information<br />
der Betroffenen erst nach Abschluss der Untersuchung durchzuführen.<br />
4.6 Verfahrensablauf<br />
An der Durchführung der Recherche bzw. Analyse sind Betriebsrat und Datenschutzbeauftragte<br />
zu beteiligen. Das Verfahren ist zu dokumentieren. Die maßgebenden<br />
Entscheidungsschritte sollten in einem zu diesem Zweck eingerichteten<br />
Kontrollgremium erfolgen.<br />
Vgl. insgesamt die von Albers, entwickelten Vorgehensphasen (<strong>Compliance</strong> der <strong>Compliance</strong>:<br />
Elektronische Analyseverfahren personenbezogener Daten zur Prävention und<br />
Aufdeckung geschäftsschädigender Handlungen in Unternehmen, Forschungsbericht<br />
Ausgabe 6, 2009 des Fachbereichs Wirtschaft der FHS Düsseldorf)<br />
Phasen eines solchen Recherche- und Analyseverfahrens sind:<br />
Phase 1: Festlegung des Recherche- und Analysezwecks<br />
Phase 2: Identifikation geeigneter Indikatoren<br />
Phase 3: Definition der abzugleichenden Datenbestände<br />
Phase 4: Bereitstellung eines geeigneten Softwaretools bzw. Einsatz einer geeigneten<br />
Abfragesprache<br />
29
4<br />
Datamining, Rasterfahndung, Screening, Scoring zur fraud detection<br />
Phasen eines solchen Recherche- und Analyseverfahrens sind:<br />
Phase 5: Extraktion anonymisierter bzw. pseudonymisierter Daten aus den betrieblichen<br />
Datenbeständen<br />
Phase 6: Durchführung des Datenabgleichs<br />
Phase 7: ggf. Reduktion der Schnittmenge im Ausschlussverfahren durch Anwendung weiterer<br />
Indikatoren<br />
Phase 8: Personalisierung der generierten Verdachtsfälle<br />
Phase 9: Klärung der Verdachtsfälle<br />
Prof. Peter Gola, Vorstandsvorsitzender der Gesellschaft für Datenschutz und<br />
Datensicherung (GDD) e.V., Bonn<br />
Beitrag entnommen aus: Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz,<br />
978-3-89577-550-5<br />
30
5Interview mit Jürgen Grieger<br />
5<br />
Wie kann es dazu kommen, dass in Organisationen mit hoher Reputation und<br />
ansonsten rechtschaffenden Mitarbeitern, wirtschaftskriminelle Handlungen vorkommen,<br />
und zwar nicht nur einmalig, sondern regelmäßig und systematisch?<br />
Mit diesem Phänomen setzt sich Jürgen Grieger, Wissenschaftler an der Freie Universität<br />
Berlin, auseinander. Ein Interview über die Bedingungen von Wirtschaftskriminalität<br />
und Korruption.<br />
Welche Umstände führen zu wirtschaftskriminellen bzw. korrupten<br />
Handlungen?<br />
Grieger: Den einschlägigen Forschungsergebnissen zur Folge lassen sich drei<br />
Bereiche benennen, die man als Ursachenkomplexe von Wirtschaftskriminalität<br />
identifiziert hat: Die Umwelt, die Organisation und die Handelnden. Wenn beispielsweise<br />
in der Umwelt von Unternehmen ein starker Konkurrenzdruck<br />
herrscht, kann dies ein Korruption fördernder Faktor sein. Aber auch eine geringe<br />
Regulierung und die schwache Durchsetzung von Recht – wenn also Normen nur<br />
selten auf ihre Einhaltung überprüft werden – befördern Korruption. Die Organisationsforschung<br />
kommt zu der Aussage, dass eine große Organisation, die in<br />
ihren Abläufen und Zuständigkeiten nur wenig überschaubar ist, einen Anreiz für<br />
korruptes Handeln bildet, da die Entdeckungswahrscheinlichkeit gering ist.<br />
Ebenso sind geringer wirtschaftlicher Erfolg und insbesondere starker Leistungsund<br />
Erfolgsdruck, der auf den Mitarbeitern lastet, häufig Anlass für korrupte<br />
Handlungen. Als dritten Bereich sind die Mitarbeiter zu nennen. Hier ist ein<br />
geringes moralisches Bewusstsein in Verbindung mit Ängsten, Erwartungen oder<br />
hohe Zielvorgaben nicht zu erreichen, ausschlaggebend für korruptes Handeln.<br />
Grundsätzlich müssen aber entsprechende Motivationen von Handelnden und<br />
»günstige« Gelegenheiten zusammen kommen, damit Korruption in Organisationen<br />
entstehen kann.<br />
31
5<br />
Interview mit Jürgen Grieger<br />
Mein Ansatz zur Erforschung von Korruption betrachtet Organisationsprozesse,<br />
denn das Handeln von Mitarbeitern ist ohne Blick auf Rahmenbedingungen nicht<br />
sinnvoll zu untersuchen. Diese Bedingungen ermöglichen und begrenzen Handeln.<br />
Korruption ist ein Phänomen, das in bestimmten organisatorischen Kontexten entsteht<br />
und ohne Betrachtung dieser speziellen Kontexte nicht zu verstehen ist.<br />
Welchen Anteil haben die Organisationen, welchen die handelnden<br />
»Delinquenten«?<br />
Grieger: Unter bestimmten Bedingungen üben Organisationen sehr starken Druck<br />
auf ihre Mitarbeiter oder auf Arbeitsgruppen aus, so dass die betroffenen Personen<br />
Handlungen vornehmen, die sie unter anderen Umständen nicht vornehmen<br />
würden. Wichtig ist, dass diese Personen für sich keine anderen Möglichkeiten<br />
mehr sehen, mit dem Druck umzugehen, dass für sie Korruption folglich der Ausweg<br />
aus einer aktuellen Zwangslage ist. Daraus darf man aber nicht den Schluss<br />
ziehen, dass Täter nur Opfer widriger Umstände sind. Natürlich tragen die Handelnden<br />
immer eine gewisse Verantwortung, vor allem wenn ihnen bewusst ist,<br />
dass ihr Handeln Regeln oder Gesetze verletzt. Der Verweis auf problematische<br />
Organisations- und Geschäftsverhältnisse ist nicht ausreichend.<br />
Wie sieht der Druck in Organisationen aus?<br />
Grieger: Druck auf Mitarbeiter entsteht meistens, wenn hohe und kaum erreichbare<br />
Ziele vorgegeben werden. Wenn es dann von »oben« Signale gibt, dass bei<br />
der Erreichung der Vorgaben die Wahl der Mittel nicht von Belang ist, und man<br />
auch nicht so genau wissen will, wie Geschäfte im Detail ablaufen, dann werden<br />
Mitarbeiter geradezu genötigt, sich illegaler Mittel zu bedienen.<br />
Man muss sich Korruption als einen Prozess vorstellen. In unübersichtlichen Strukturen<br />
funktioniert die hierarchische Kontrolle oft nicht gut. Marktnahe Abteilungen<br />
werden nicht hinreichend kontrolliert und es gibt gewisse Routinen, wie in<br />
»schwierigen Fällen« bei der Akquise von Aufträgen vorgegangen wird, um erfolgreich<br />
zu sein. Hierüber gibt es bei vielen Mitarbeitern ein Wissen, aber eben auch<br />
ein »Nicht-Wissen Wollen«. Am Beispiel des Siemensfalls lässt sich zeigen, dass für<br />
bestimmte Geschäfte der Einsatz von besonderen Aufwendungen erforderlich war.<br />
Die Praktiken des Bestechens waren ausgefeilt, hoch entwickelt und sind von nicht<br />
wenigen Vorgesetzten gedeckt worden. Beispielsweise mussten zur Abwicklung<br />
von Geschäften ganz bestimmte, an sich banale Vorgänge, wie die Beschaffung von<br />
Geldbeträgen in bar, ihre Verbuchung und die persönliche Übergabe, genau geregelt<br />
sein. Dies zeigt, dass es keine vereinzelten Taten waren, sondern komplexe<br />
Prozesse, die routiniert und erfahren bewältigt wurden. Und wenn es in Unternehmen<br />
solche Routinen gibt, dann würde ich als Organisationswissenschaftler sagen,<br />
dass etwas mit der Struktur von Unternehmen nicht in Ordnung ist.<br />
32
Interview mit Jürgen Grieger 5<br />
Das heißt, Unternehmen sind empfänglich für Korruption und nicht der<br />
Einzelne?<br />
Grieger: Es gibt für Korruption besonders empfängliche Abteilungen, das sind<br />
prinzipiell eher die marktnahen, wie der Einkauf oder der Verkauf, in dem Güter<br />
und Dienstleistungen beschafft oder abgesetzt werden. Korruption bedeutet<br />
dann, dass ein Leistungstausch nur unter bestimmten Bedingungen, etwa nur bei<br />
Zahlung zusätzlicher »Vergütungen« zu Stande kommt. Täter bereichern dabei<br />
häufig nicht sich selbst, sondern handeln im wohlverstandenen Interesse für das<br />
eigene Unternehmen. Korruption sagt deshalb eine ganze Menge über Organisationen<br />
aus. Man kann dieses Phänomen auch als Organisationspathologie bezeichnen,<br />
da korrupte Handlungsweisen fest in den Strukturen verankert sind und die<br />
Mitarbeiter zu einer Art Doppelspiel zwischen Wahrheit und Vertuschung genötigt<br />
werden. Solche Zumutungen an das Personal sind nicht einfach hierarchisch<br />
durchsetzbar, sondern erfordern eine Kultur des Schweigens und Verschweigens.<br />
Bei Siemens gab es ein elaboriertes System, wie man Kick-backs organisiert. Hiervon<br />
wussten relativ viele Mitarbeiter, aber möglicherweise gab es im Vorstand<br />
lange Zeit kein ernsthaftes Interesse, an diesem »Erfolgsmodell« etwas zu ändern.<br />
Wie lässt sich Korruption im Unternehmen bekämpfen?<br />
Grieger: Systematische Korruption ist nicht von heute auf morgen zu unterbinden.<br />
Im Grunde müsste man die Kultur einer Organisation verändern. Dabei hilft es<br />
nicht weiter, einfach nur Regeln aufzusetzen, sondern man muss dort ansetzen, wo<br />
Korruption zur Selbstverständlichkeit geworden ist, d.h. im alltäglichen Handeln.<br />
Vor allem muss man den Beschäftigten Möglichkeiten zeigen, andere Geschäftspraktiken<br />
– also erfolgreiche Routinen – zu entwickeln. Ein Beispiel: Bis 1998<br />
konnten deutsche Unternehmen Schmiergeldzahlungen im Ausland noch als Aufwendungen<br />
von der Steuer absetzen. Dann änderte sich die Gesetzeslage, aber die<br />
Praxis korrupter Geschäfte ging weiter, weil es keine erprobten alternativen Praktiken<br />
gab. Die Frage, die Unternehmen damals – aber auch noch heute – beantworten<br />
müssen, lautet: Wie sehen die Möglichkeiten aus, Aufträge auf legalem Wege<br />
zu bekommen? Wer Korruption bekämpfen will, muss genauer verstehen, wie<br />
Korruption entsteht, wie ihre Voraussetzungen zustande kommen. Wer etwas<br />
gegen Korruption im eigenen Unternehmen tun möchte, muss sich die Routinen<br />
und die dahinter stehenden sozialen Prozesse anschauen – ein in vermutlich vielen<br />
praktischen Fällen schmerzhafter Erkenntnisprozess. In diese Routinen und Prozesse<br />
werden die Mitarbeiter hinein sozialisiert, weshalb in der Managementwissenschaft<br />
das Sozialisationsmodell zur Erklärung von Korruption großen Anklang<br />
findet. Wer Korruption praktisch bekämpfen will, der muss hier ansetzen.<br />
33
5<br />
Interview mit Jürgen Grieger<br />
Nehmen Unternehmen eine sogenannte Organisationspathologie in Kauf?<br />
Grieger: Ich bin davon überzeugt, dass die meisten Unternehmen rechtschaffend<br />
agieren und Korruption nicht zulassen würden. Aber Korruption entsteht auf<br />
schleichendem Wege und wird oft erst spät erkannt. Korruption wird solange<br />
Bestand haben, wie es Unternehmensleitungen gibt, die – aus welchen Gründen<br />
auch immer – kein wirkliches Interesse an Aufklärung haben. Häufig ändert sich<br />
erst dann etwas, wenn Unternehmen von der Staatsanwaltschaft oder der Öffentlichkeit<br />
zu Maßnahmen gezwungen werden.<br />
Aber niederschwellige Wirtschaftskriminalität wird aktiv angegangen, indem<br />
Kontrollen verschärft werden, damit Buchhalter oder die Sekretärin erwischt<br />
werden? Ist das nur ein Alibi, um sich als sauber zu präsentieren?<br />
Grieger: Von Korruption reden, heißt über systematisch korruptes Verhalten zu<br />
sprechen. Es ist häufig Auslegungssache, ob man den Restaurantbesuch eines Kunden<br />
oder die Einladung zum Golfspiel als Korruption interpretiert oder nicht.<br />
Doch größere Probleme als solche »Freundschaftsgesten« verursacht die schleichende<br />
Normalisierung wirtschaftskriminellen oder korrupten Handelns in Organisationen.<br />
Das ist dann der Fall, wenn Bestechung oder vergleichbare Straftaten<br />
für die Handelnden in ihrem täglichen Alltag zur selbstverständlichen Normalität<br />
werden. Dann kann es passieren, dass Handelnden gar nicht mehr bewusst ist,<br />
dass sie etwas Problematisches tun. Das liegt zum einen daran, weil sie gelernt<br />
haben, dass man »es« immer schon so gemacht hat. Zum anderen – das sind oft<br />
gehörte Standardargumente, mit denen man sich die Welt »schön« redet – wird<br />
Korruption als »Notwendigkeit« betrachtet, weil man sonst nicht zum Geschäftsabschluss<br />
kommt, Arbeitsplätze in Gefahr geraten und die Bestechungsgelder zahlende<br />
Konkurrenz den Auftrag erlangt. Wissenschaftler bezeichnen solche<br />
Formen des Selbstbetrugs als Rationalisierung, mit der man kriminelles Handeln<br />
vor sich selbst und im Kreis der Teammitglieder rechtfertigt.<br />
Was bedeutet das für das Selbstverständnis der handelnden Personen?<br />
Grieger: Am Fall Siemens kann man sehen, dass die Mitarbeiter nicht in die eigene<br />
Tasche wirtschafteten und eigennützig höchstens in dem Sinne handelten, dass sie<br />
ihre Karriere befördern wollten, indem sie für das Unternehmen Werte schufen.<br />
Eine solche Kultur ändert man nicht von heute auf morgen, auch nicht alleine<br />
dadurch, dass der Chief <strong>Compliance</strong> Officer schärfere Regeln erlässt und die Mitarbeiter<br />
zu Ethik-Schulungen verpflichtet. Eine Umstrukturierung gelingt nur<br />
dann, wenn eine attraktive Zukunftsvision entwickelt wird und die Mitarbeiter<br />
auf den Weg dorthin begleitet werden.<br />
34
Interview mit Jürgen Grieger 5<br />
Was kann das Management tun?<br />
Grieger: Führungskräfte müssen glaubhaft und persistent die Werte vermitteln,<br />
die für sauberes Wirtschaften stehen. Und dies muss auch vorgelebt werden und<br />
das heißt: Konsequent handeln, die Treppe »von oben nach unten« fegen und<br />
nicht nur einzelne Täter auf unteren Hierarchieebenen exemplarisch zur Verantwortung<br />
ziehen. Richtlinien und Governance reichen dabei nicht aus, den wohlfeilen<br />
Worten müssen Taten folgen.<br />
Will man Korruption bekämpfen, dann muss es für die Mitarbeiter vor allen Dingen<br />
möglich sein, auf legalem Wege erfolgreich zu sein. Zudem gelingt sauberes<br />
Wirtschaften nur dann, wenn es mit Belohnungen und für den Fall von Zuwiderhandlungen<br />
mit Sanktionen verknüpft ist. Eine systematische Herangehensweise<br />
bedeutet, Korruption als Delikt bewusst zu machen, Kontrollen zu installieren<br />
und kriminelle Handlungen auch anzuzeigen. Ein Code of Conduct gehört heute<br />
zum guten Ton, den hat inzwischen jedes Unternehmen.<br />
Entscheidend ist aber die Frage, was dahinter steht, genauer: Werden die<br />
propagierten Werte und Regeln auch gelebt und durchgesetzt, haben sie im<br />
Alltagshandeln, in Routinen Bedeutung oder gibt es eine Doppelmoral in<br />
Unternehmen?<br />
Grieger: Meiner Einschätzung nach wird man auf absehbare Zeit nicht zu einem<br />
Idealbild von Korruptionsfreiheit in der Wirtschaft kommen. Schaut man in Organisationen<br />
hinein, dann kann man tatsächlich häufig zu dem Schluss gelangen,<br />
dass viele ambitionierte Ziele mit legalen Mitteln kaum erreicht werden können –<br />
und diese Ziele werden immer von oben vorgegeben. Der Druck, der auf den<br />
Kapitalmärkten erzeugt wird und der auf den Karrieren der Top-Manager lastet,<br />
der kommt in Unternehmen letztlich immer dort an, wo die Umsätze generiert<br />
werden müssen.<br />
Gibt es Hinweise darauf, dass der Wirtschaftskriminalität hierzulande nicht<br />
genügend Aufmerksamkeit zuteil wird?<br />
Grieger: Korruption ist kein neues Phänomen, aber es ist heute stärker ins Licht<br />
der Öffentlichkeit gerückt als früher. Und dazu haben sicherlich die großen Korruptionsfälle<br />
der letzten Jahre beigetragen. Politik und Wirtschaft schauen allerdings<br />
weder gern hin noch sprechen sie viel darüber. Und auch in der Ausbildung<br />
der angehenden Entscheider mangelt es an Seminaren, die sich mit entsprechenden<br />
Themen beschäftigen. So stehen im BWL-Studium, wo die künftigen Manager<br />
ausgebildet werden, die Themen Wirtschaftskriminalität und Unternehmensethik<br />
nicht auf dem Lehrplan. Wir führen in Deutschland zwar die Diskussion darüber,<br />
das Fach Ethik in der Managementausbildung zu etablieren. Aber nur eine ver-<br />
35
5<br />
Interview mit Jürgen Grieger<br />
schwindend kleine Minderheit von Lehrstühlen bietet das Thema derzeit in der<br />
Lehre an und in Studienordnungen ist es – anders übrigens als in amerikanischen<br />
Business Schools – kaum verankert. So erlernen die späteren Entscheider in Wirtschaft<br />
und Gesellschaft zwar das betriebswirtschaftliche Instrumentarium. Eine<br />
kritische Auseinandersetzung über die Grenzen zügellosen Erwerbsstrebens findet<br />
nicht statt.<br />
Veröffentlichungen: Grieger, J.: Korruption und Kultur bei der Siemens AG – Eine<br />
Handlungs-Struktur-Analyse. In: Graeff, P. /Schröder, K./Wolf, S. (Hrsg.): Der Korruptionsfall<br />
Siemens. Analysen und praxisnahe Folgerungen des wissenschaftlichen<br />
Arbeitskreises von Transparency International Deutschland. Baden-Baden 2009, S.<br />
103-130. Grieger, J.: Corruption in Organizations. Some Outlines for Research. Working<br />
Paper No. 203, Department of Economics and Social Sciences, University of Wuppertal,<br />
Wuppertal 2005.<br />
Kontakt: Priv.-Doz. Dr. Jürgen Grieger, Freie Universität Berlin, Fachbereich Wirtschaftswissenschaft,<br />
Arbeitsbereich Personalpolitik. E-Mail: juergen.grieger@fu-berlin.de<br />
36
6Interview mit Rolf Rainer Jaeger<br />
6<br />
»Unternehmen verzichten auf die Abschreckungswirkung. Die firmeninterne<br />
Bearbeitung und Erledigung der Straftaten von Mitarbeitern in Unternehmen<br />
ist allein nicht geeignet, weitere unternehmensinterne Straftaten zu verhindern.<br />
Ab einer bestimmten Erheblichkeitsschwelle kann nur empfohlen werden,<br />
sich den Strafverfolgungsorganen anzuvertrauen«, erklärt Rolf Rainer<br />
Jaeger (Leitender Kriminaldirektor und stellvertretender Bundesvorsitzender<br />
des BDK, Bund Deutscher Kriminalbeamter, Berlin). Vor allen Dingen auch,<br />
damit die Betriebe nicht sich selbst und anderen schaden.<br />
Welche Alternativen gibt es, wenn Unternehmen dem Betrug auf der Spur sind?<br />
Rolf R. Jaeger: In der Praxis zeigen sich Varianten. In kleinen und mittleren Unternehmen<br />
begibt sich der Chef oft selbst ans Werk, ohne dass er über die notwendigen<br />
Qualifikationen für Ermittlungen verfügt. Er macht sich zum eigenen<br />
Chefermittler. Häufiger anzutreffen und bei größeren Unternehmen die Regel ist<br />
die Einschaltung einer Detektei oder einer Ermittlungsorganisation; und es gibt es<br />
auf dem Markt Anwälte, die sich auf Ermittlungen in strafrechtlich relevanten<br />
Sachverhalten spezialisiert haben, sowie Unternehmen, die Aufgaben der Wirtschaftsprüfung<br />
und Ermittlungen anbieten. Die spezialisierten Kriminaldienststellen<br />
werden nur beauftragt, wenn Widerstand von den Beschuldigten oder<br />
Kunden zu erwarten ist, die Mittel der privaten Ermittler nicht ausreichen oder<br />
der Schaden so groß ist, dass auch dem Unternehmen eine strafrechtliche Intervention<br />
unausweichlich erscheint. Die seltene Einschaltung der Strafverfolgungsbehörden<br />
führt jedoch letztlich zu einem größeren Schaden für die gesamte<br />
Wirtschaft.<br />
37
6<br />
Interview mit Rolf Rainer Jaeger<br />
Unternehmen haben Angst vor öffentlicher Reaktion. Kann die Polizei<br />
Ermittlungen geheim halten?<br />
Rolf R. Jaeger: Die Polizeiarbeit ist darauf ausgerichtet, insbesondere in bedeutsamen<br />
Strafverfahren die Ermittlungen geheim zu halten. Schließlich soll auch der<br />
Tatverdächtige davon erst erfahren, wenn das Beweisgebäude steht. Oft müssen<br />
verdeckte Maßnahmen getroffen werden. Die Polizei kann auch bei ihrer Pressearbeit<br />
Sachverhalte aus überwiegenden Interessen geheim halten oder so verallgemeinernd<br />
darstellen, dass Bezüge zu betroffenen Unternehmen nicht hergestellt<br />
werden können. Wenn eine Straftat allerdings zur Anklage gelangt, kann in<br />
Gerichtsverhandlungen die Öffentlichkeit oft nicht ausgeschlossen werden. Hier<br />
können aber Absprachen mit der Staatsanwaltschaft und den Gerichten getroffen<br />
werden, dass Unternehmensinteressen nicht gefährdet und Unternehmensgeheimnisse<br />
nicht öffentlich gemacht werden müssen.<br />
Aber alle wollen, dass es geräuschlos über die Bühne geht?<br />
Rolf R. Jaeger: Da ist sehr problematisch – vor allem bei den Vereinbarungen mit<br />
Mitarbeitern. Es ist nicht ungewöhnlich, dass ihnen bei Unterschlagungen, Betrügereien<br />
und Geheimnisverrat ein Angebot zur fristgerechten Kündigung unterbreitet<br />
wird, wenn sie zur Aufklärung ihrer Taten und zur Schadenswiedergutmachung<br />
beitragen. Dazu gehört häufig auch, dass kriminelle Taten in Arbeitszeugnissen<br />
verschwiegen werden. So gelangen Mitarbeiter, die schon eine nicht unerhebliche<br />
kriminelle Energie an den Tag gelegt haben, unentdeckt in die nächste Position, in<br />
der sie solche oder ähnliche Taten auf gleiche Weise fortsetzen, bis sie auch dort<br />
wieder »erwischt« werden und in ihren Papieren als »Ersttäter« gelten. Der Strafregisterauszug<br />
eines solchen Mitarbeiters bleibt lupenrein.<br />
Gehen die Entscheider davon aus: Einmal erwischt, für immer geheilt?<br />
Rolf R. Jaeger: Wie will man das feststellen? Dieses »Spiel« des betrügerischen<br />
Arbeitnehmers kann er bis an das Ende seiner Berufslaufbahn betreiben. Die<br />
Betriebe nehmen es offensichtlich in Kauf, dass der kriminelle Mitarbeiter seine<br />
Taten beim neuen Arbeitgeber modifiziert und noch erfolgreicher gestaltet, da auch<br />
das nächste Unternehmen möglicherweise wieder private Ermittler beauftragt.<br />
Und wenn das kriminelle Verhalten nur ein einmaliger Ausrutscher war?<br />
Rolf R. Jaeger: Vergessen Sie nicht die firmeninternen Auswirkungen! In der Regel<br />
ahnen viele im Unternehmen, dass ein Kollege nicht »ganz sauber« gearbeitet hat.<br />
Oder aber der Arbeitnehmer hat seine kriminellen Handlungen gegenüber seinen<br />
engsten Kollegen nicht verschwiegen. So findet er Nachahmer. Diese werden cleverer<br />
zu Werke gehen. Sie wissen, dass im schlimmsten Fall der Aufdeckung auch<br />
für sie nur eine einvernehmliche Kündigung zu erwarten ist – und ein Arbeits-<br />
38
Interview mit Rolf Rainer Jaeger 6<br />
zeugnis, mit dem sie sich problemlos auch wieder bei anderen Unternehmen<br />
bewerben können.<br />
Kann der bisherige den neuen Arbeitgeber nicht telefonisch informieren?<br />
Rolf R. Jaeger: Zum einen erfährt er häufig gar nicht, bei wem der Mitarbeiter in<br />
ein neues Arbeitsverhältnis eintritt. Zum anderen umfassen die Deals auch, dass<br />
bei telefonischen Nachfragen eines zukünftigen Arbeitgebers die Unwahrheit<br />
gesagt und damit der kriminelle Hintergrund der Beendigung des Arbeitsverhältnisses<br />
verschwiegen wird. Auf diese Weise »produzieren« Unternehmen das kriminelle<br />
Personal, das ihnen oder anderen weiterhin schaden wird. Sie haben an<br />
einem generalpräventiven normalen strafrechtlichen Ermittlungsverfahren kein<br />
Interesse.<br />
Aber die Straftaten werden doch aufgeklärt?<br />
Rolf R. Jaeger: Für die umfassende Aufklärung von Straftaten, die von mehreren<br />
oder gar vielen Mitarbeitern in einer Organisation vorgenommen werden, fehlen<br />
den privaten Ermittlern meistens die Kompetenzen, die Ermächtigungsnormen<br />
und die Möglichkeiten für Eingriffe insbesondere außerhalb des Unternehmens.<br />
Bestimmte Tat- und Tätergeflechte können nur schwierig und mit großem Kostenaufwand<br />
von privaten Ermittlungsorganisationen aufgedeckt werden. Die Kripo<br />
arbeitet für die Unternehmen kostenfrei, sie erfüllt nur ihren gesetzlichen Strafverfolgungsauftrag.<br />
Private Ermittlungsfirmen entdecken nicht alle verdächtigen Personen oder<br />
Netzwerke?<br />
Rolf R. Jaeger: Diese Firmen arbeiten nicht auf der Basis der Ermächtigungsnormen<br />
der Strafprozessordnung. Sie orientieren sich oft nicht an Datenschutzgesetzen<br />
– was jüngste Veröffentlichungen über die Aktivitäten von Ermittlern in<br />
Großunternehmen zeigen –, sondern sie nutzen ihre Kompetenzen im Betrieb, um<br />
ihre Fälle einer möglichst schnellen Lösung zuzuführen. Ermittlungsorganisationen<br />
sind »polizeifreie Räume«, aus denen Taten meist nicht an die Polizei übermittelt<br />
werden. Gegen diese Täter kann auch die Strafjustiz keine Maßnahmen<br />
treffen. Private Ermittlungen, private Beweisführung und Urteilsfindung – damit<br />
Exekutive und Judikative – bilden eine Gewalt in Abstimmung mit der Geschäftsführung<br />
von Unternehmen, die die Rolle der Justiz übernehmen.<br />
Das Unternehmen wird zu einem rechtsfreien Raum?<br />
Rolf R. Jaeger: Wenn die Strafverfolgungsbehörden nicht eingeschaltet werden,<br />
bilden Unternehmen in Abhängigkeit von der Stärke der Ermittlungsorganisation<br />
eine Art Staat im Staate – mit scheinbar rechtsfreien und rechtsmittelfreien Räumen.<br />
Das kann und sollte sich ein Staat wie die Bundesrepublik Deutschland<br />
39
6<br />
Interview mit Rolf Rainer Jaeger<br />
eigentlich nicht leisten. Das Unternehmen bezahlt eine Ermittlungsorganisation,<br />
die letztlich nicht oder oft nur mit fragwürdigen Rechtseingriffen wie Observationen<br />
und Einsatz technischer Mittel in der Lage ist, erhebliche Diebstähle, Unterschlagungen<br />
und Fälle von Wirtschaftskriminalität aufzudecken. Unternehmen<br />
wären auch aus finanziellen Gesichtspunkten oft besser beraten, wenn sie auf die<br />
Ermittlungskompetenz der Polizei vertrauen würden.<br />
Unternehmen verzichten auf die Abschreckungswirkung polizeilicher<br />
Ermittlungen?<br />
Rolf R. Jaeger: Kriminelle Mitarbeiter mögen zwar wenig begeistert sein, wenn sie<br />
ihr Arbeitsverhältnis wegen ihrer Kriminalität beenden müssen. Sie fürchten sich<br />
aber deutlich mehr vor polizeilichen Ermittlungen, Durchsuchungen an ihrer<br />
Wohnadresse, Beschlagnahmen von Beweismitteln, Gewinnabschöpfungsmaßnahmen<br />
und dem öffentlichen Gerichtsverfahren als vor firmeninternen Ermittlungen,<br />
aus denen sie mit problematischen Deals, aber letztlich doch unbescholten herauskommen.<br />
Das hat keine Abschreckungswirkung auf Nachahmer.Das Interview<br />
führte Christiane Siemann.<br />
40
7Revisionssicheres Auditieren mit dem<br />
Accenture Audit und <strong>Compliance</strong> Tool<br />
7<br />
Die große Nachfrage nach prozessorientierten Werkzeugen zeigt insbesondere in<br />
der Wirtschaftskrise, dass in zahlreichen administrativen Bereichen Optimierungspotential<br />
besteht.<br />
Nicht selten werden Investitionen für Software in der Personalabteilung als erstes<br />
Opfer von Sparmaßnahmen. Infolgedessen haben sich die administrativen Bereiche<br />
eigene Werkzeuge in Form von SAP Standard Reports, Queries oder ergänzenden<br />
Eigenentwicklungen geschaffen, um somit die Datenqualität von Stammdaten<br />
oder Abrechungsergebnissen sicherzustellen. In den meisten Fällen resultiert das<br />
in Listen, die aggregiert unterschiedlichen Sachbearbeitern zugeordnet werden.<br />
Die Sachbearbeiter müssen diese Fehlerliste, oder im Extremfall bis zu fünf verschiedene<br />
Listen, manuell abarbeiten und nachvollziehbar (z.B. für die Innenrevision<br />
oder die Wirtschaftsprüfer) dokumentieren. Viele Unternehmen beschäftigen<br />
sich erst dann ernsthaft mit der Suche nach einer Prozessunterstützung, wenn die<br />
Wirtschaftsprüfer ein fehlendes IKS im jährlichen Prüfbericht vermerkt haben.<br />
Je komplexer die Strukturen innerhalb eines Unternehmens, desto weniger sind<br />
Fehler und fehlerhafte Prozesse zu vermeiden. Mit zunehmender Unternehmensgröße<br />
bzw. Komplexität der Organisationsstrukturen steigt das Risiko weiter an.<br />
Arbeitsplatzrichtlinien, Personalvereinbarungen und individuelle Absprachen<br />
(z.B. in Verträgen) stellen hohe Anforderungen an HR-Management und -Abteilungen,<br />
vor allem bei der Stammdatenerfassung/-änderung und Gehalts- oder Reisekostenabrechnung.<br />
Wie können Personalverantwortliche zielgerichtet, wirksam und zugleich effizient<br />
überprüfen, ob alle internen Standards, Gesetze und Regeln eingehalten werden?<br />
Und das nicht nur innerhalb eines Landes, sondern über die Ländergrenzen<br />
hinweg. Wie können Fehler und Fehlerquellen systematischer identifiziert und<br />
beseitigt werden, ohne für jeden Sachverhalt ein zusätzliches Prüfprogramm zu<br />
41
7<br />
Revisionssicheres Auditieren mit dem Accenture Audit und <strong>Compliance</strong> Tool<br />
entwickeln? Wie werden relevante Stichproben gezogen? Und welche Rolle spielt<br />
die IT-Abteilung bei der Automatisierung, Kostenoptimierung und Verbesserung<br />
dieser hohen Anforderungen?<br />
7.1 HR-Stammdaten und Abrechnungsergebnisse prüfen<br />
Die Integrität von Personaldaten und Abrechnungsergebnissen sowie die Nachvollziehbarkeit<br />
von Änderungen sind wichtiger denn je. Unvollständige oder<br />
fehlerhafte Daten können unmittelbar zu fehlerhaften Gehalts-, Bezüge- oder<br />
Lohnabrechnungen oder zu mangelhaften Grundlagen für Personalentscheidungen<br />
und -investitionen führen. Als Folge daraus entsteht oft ein erheblicher, wirtschaftlicher<br />
Schaden der begrenzte Budgetspielräume (unnötigerweise) weiter<br />
reduziert. Gerade auch für Personalabteilungen bietet sich eine herausragende<br />
Möglichkeit, Revisionen wirtschaftlicher und mit stark vermindertem Aufwand<br />
bei wesentlich höherer Revisionsqualität zu unterstützen. In kürzester Zeit können<br />
lückenlose und zielgerichtet aufbereitete Datenanalysen bereitgestellt und<br />
dokumentiert werden.<br />
Die Qualitätssicherung von Personalstammdaten, Abrechnungsdaten, Reisekosten<br />
und Prüfprozessen kann als entscheidender Hebel für Risikovermeidung, Kostensenkung<br />
und Optimierung der HR-Performance genutzt und angesehen werden.<br />
Die Herausforderung für das Personalmanagement besteht dabei u.a. darin, Systeme<br />
einzusetzen und zu implementieren, deren Investitionsaufwand in einem<br />
wirtschaftlichen Verhältnis zu Unternehmensanforderungen und Nutzen steht.<br />
Gerade die Prüfung von Stammdaten und Abrechnung leidet in vielen Unternehmen<br />
erheblich unter Einsparungen. Kaum ein Betrieb kann es sich beispielsweise<br />
bei 500 bis 1.000 Personalakten pro Sachbearbeiter noch leisten, ein effektives<br />
Vier-Augen Prinzip organisatorisch oder revisionssicher und nachvollziehbar<br />
umzusetzen. Der Bedarf an Lösungen ist groß, die manuelle bzw. unproduktive<br />
und sich wiederholende Arbeiten rund um Stammdaten und Gehaltsabrechnung<br />
automatisieren und Abläufe in standardisierte Prozesse überführen können.<br />
7.2 Qualitätssicherung und Revisionssicherheit<br />
Leistungsfähige, vorkonfigurierte und schnell einsetzbare Softwarelösungen, wie<br />
das Audit and <strong>Compliance</strong> Tool von Accenture, helfen bei der Qualitätssicherung<br />
von Stammdaten und Abrechnungsergebnissen optimal. Die Anwendung zeichnet<br />
sich dadurch aus, dass neben Stichproben für die Revision auch immer der gesamte<br />
Datenbestand geprüft werden kann. Es lassen sich sehr einfach und durch den<br />
42
Qualitätssicherung und Revisionssicherheit 7.2<br />
Anwender selbst Abfragen und Prüfregeln definieren, die selbst komplexeste<br />
Prüfanforderungen abdecken, die unterschiedlichste Kriterien verknüpfen, Schwellenwertüberschreitungen<br />
identifizieren oder Vergleichswertberechnungen durchführen<br />
und auswerten.<br />
Das Tool und seine Prüfregeln sind individuell anpassbar und modular aufgebaut.<br />
Neben den vielen vordefinierten Prüfroutinen lassen sich auch unternehmensspezifische<br />
Prüfungen (kundenspezifisch programmierte oder angepasste lnfotypen)<br />
problemlos abbilden. Die einfache Bedienbarkeit zeichnet die Anwendung aus<br />
und kann ohne Programmieraufwand auf die individuellen Anforderungen einer<br />
Organisation eingestellt werden.<br />
Neu hinzugekommen ist der von den Prüfungsgesellschaften geforderte Nachweis,<br />
welche Prüfungen zu welchem Zeitpunkt durchgeführt wurden. Dafür wird<br />
mit jedem Prüflauf ein Abbild der aktuell genutzten Regel platzsparend mit den<br />
Ergebnisdatensätzen abgelegt. Ein weiteres wichtiges Kriterium für Wirtschaftsprüfer<br />
besteht darin, dass nachvollziehbar ist, wer einen bestimmten Datensatz<br />
bearbeitet oder nachträglich geändert hat. Das Accenture Audit und <strong>Compliance</strong><br />
Tool schreibt nun eine Änderungshistorie für die einzelnen Ergebnisdatensätze.<br />
Um die noch weitergehenden Anforderungen der Wirtschaftsprüfer zu erfüllen,<br />
ist es zusätzlich möglich, einen Prüflauf komplett für Änderungen zu sperren.<br />
Abbildung 7.1 Der modulare Aufbau des Accenture Audit and <strong>Compliance</strong> Tools erlaubt eine Prüfung<br />
von Stamm- und Abrechnungsdaten, Travel- und Organisationsmanagementdaten, Rollen und<br />
Berechtigungen sowie von System- und Profilparametern. Kontinuierliche Prüfprozesse führen zu<br />
einer messbaren Steigerung Ihrer SAP HCM Datenqualität.<br />
43
7<br />
Revisionssicheres Auditieren mit dem Accenture Audit und <strong>Compliance</strong> Tool<br />
7.3 Fehlerbehebung wird erleichtert<br />
Über den im Accenture Audit and <strong>Compliance</strong> Tool integrierten Arbeitsplatz<br />
erhalten Sachbearbeiter für die Stichproben, Warn- oder Fehlermeldungen automatisch<br />
Hinweise und Arbeitsanweisungen, wie fallbezogen Korrekturen durchgeführt<br />
werden können. Dies beschleunigt die Bearbeitung und Zuweisung zum<br />
richtigen Sachbearbeiter erheblich. Korrekturen in Stammdaten sowie die Speicherung<br />
des Status jeder einzelnen Meldung in der Datenbank ergeben eine nachvollziehbare,<br />
revisionssichere Dokumentation und gewährleisten zudem eine<br />
hohe Akzeptanz für den toolgestützten Prozess.<br />
7.4 Werkzeuge für die Stammdaten und<br />
Abrechnungsprüfung<br />
Eine zuverlässige Prüfung und hohe Integrität der Personalstammdaten zielt vor<br />
allem darauf ab, falsche oder unvollständige Daten zu berichtigen und zu ergänzen,<br />
Redundanzen zu vermeiden und zu bereinigen, um damit einen konsistenten<br />
Datenbestand zu gewährleisten. Hierunter fällt beispielsweise, ob die vom System<br />
für einen Mitarbeiter erzeugte Lohnart Vertragsstatus und Konditionen widerspiegeln;<br />
ob die Lohnart dem aktuellen Status (Mutterschaftsurlaub, Zeit- oder<br />
unbefristeter Vertrag) entspricht; ob alle Mitarbeiter, die Anspruch auf bestimmte<br />
freiwillige Leistungen des Unternehmens haben, diese auch korrekt erhalten (z.B.<br />
Direktversicherung, Zuschüsse, etc.). Gerade in Kombination von Abrechnungsprozessen<br />
mit fehlerhaften externen Daten bestehen erhebliche Risiken.<br />
7.5 Fehleranalyse<br />
Die Arbeitsoberfläche des voll in SAP integrierten Tools, als Schnittstelle zum<br />
Benutzer unterstützt Sachbearbeiter mit vielen kontextbezogenen Funktionen bei<br />
der Bearbeitung der identifizierten Fehler- und Warnmeldungen. Die Prüfaufgaben<br />
können den zuständigen Sachbearbeitern zugeordnet werden. Der Arbeitsplatz<br />
erlaubt unterschiedlichste Layouts, Filter für Prüfaufgaben (z.B. bestimmte<br />
Fehlertypen oder Mitarbeitergruppen), Kommentare zu den einzelnen Prüfsätzen<br />
und einen individuellen Zugriff (PA20, PA30, Simulation, Entgeltnachweis,<br />
Abrechnungsergebnisse) auf die Stamm- oder Ergebnisdaten des betroffenen Mitarbeiters<br />
über ein Kontextmenü.<br />
44
Organisationsmanagement 7.7<br />
7.6 Aufgabe von HR: Prüfung von Berechtigungen<br />
und Rollen<br />
Ein sicheres System ist das Ergebnis einer fehlerfreien Einrichtung und regelmäßigen<br />
Prüfung von Parametern und Zugriffsberechtigungen. Auch dafür trägt die<br />
HR-Abteilung die Verantwortung und unterliegt damit einer Auskunfts-, Kontrollund<br />
Dokumentationspflicht über sämtliche Einstellungen und die ordnungsgemäße<br />
Funktionsfähigkeit ihrer Personalsysteme. Das Audit and <strong>Compliance</strong> Tool<br />
erstellt automatisch Ergebnisdokumente, die alle Systemparameterzustände zum<br />
Zeitpunkt der Prüfung übersichtlich zusammenfassen – inklusive Interpretation<br />
der Werte und Erläuterung bzw. Empfehlung alternativer Einstellungen. Es unterstützt<br />
Regeln für die Passwortvergabe und -erneuerung. Ferner ermöglicht es,<br />
Berechtigungen und Rollen, mit denen Benutzer Zugriff auf bestimmte Funktionen<br />
im System erhalten, systematisch zu prüfen, unzulässige Berechtigungskombinationen<br />
zu identifizieren, kritische Berechtigungsprofile und Transaktionsberechtigungen<br />
auszumachen – und erleichtert mit transparenten Übersichten davon<br />
abhängige Entscheidungsprozesse.<br />
7.7 Organisationsmanagement<br />
Ein Grundsatz der SAP Applikationen ist die Überprüfung der Dateneingaben vor<br />
der Speicherung in der Datenbank. Dies stellt die Datenintegrität und -qualität<br />
sicher. Business Applikationen wie das SAP HCM benötigen vielfältige von einander<br />
unabhängige Daten zur Abbildung der verschiedenen Geschäftsprozesse und<br />
deren Einzeltatbeständen. Das führt häufig zu Situationen, in denen Daten für sich<br />
gesehen korrekt, aber im Zusammenwirken mit anderen Einzeltatbeständen<br />
falsch, weil widersprüchlich, sind. Ob es zu einer solchen Widersprüchlichkeit<br />
kommt, ist von der jeweiligen kundenspezifischen Umsetzung der Organisationsstruktur<br />
abhängig. Eine generelle Überprüfung dieser Widersprüche ist problematisch,<br />
da die Datenmenge zu groß ist, um alle denkbaren Datenkonstellationen mit<br />
vertretbarem Kostenaufwand zu analysieren.<br />
Stattdessen ist es kostengünstiger, Daten auf der Basis eines unternehmspezifischen<br />
Regelwerkes zu auditieren und inkonsistente Daten zu identifizieren. Diese<br />
Vorgehensweise bietet auch den Vorteil der Nachvollziehbarkeit des Daten-<br />
Audits, da die Prüfergebnisse in einer dafür vorgesehenen Datenbank gespeichert<br />
werden.<br />
45
7<br />
Revisionssicheres Auditieren mit dem Accenture Audit und <strong>Compliance</strong> Tool<br />
Der Notwendigkeit einer hohen Datenqualität im Organisationsmanagement<br />
(OM) wird zunehmend mehr Beachtung geschenkt, je mehr Module des SAP HCM<br />
produktiv genutzt werden. Fehler in der Integration zu den Personalstammdaten<br />
werden oft erst sehr spät oder gar nicht lokalisiert. Abhilfe schaffen auch hier nur<br />
Eigenentwicklungen, denn der SAP Standard bietet für Prüfzwecke nur die Alternative<br />
BI an.<br />
Der Hauptzweck des Moduls zum Auditieren des SAP Organisationsmanagements<br />
ist das Aufdecken falsch abgebildeter Strukturen der Unternehmensorganisation<br />
durch z.B. fehlerhafte Zuordnung von Objekten oder von inkonsistenten Daten<br />
zwischen SAP OM und den Mitarbeiterstammdaten (SAP PA).<br />
Anders als bei der »flachen« Datenstruktur des SAP PA verhält es sich bei den hierarchisch<br />
strukturierten Daten des SAP OM: Hier geht es nicht nur um die Selektion<br />
einzelner Objekte und um die Analyse der objektbeschreibenden Daten,<br />
sondern auch um die Selektion und Analyse der Beziehungen verschiedener<br />
Objekte zueinander. Zum Auffinden der Objekte und evtl. untergeordneter<br />
Objekte, die gemäß der genutzten Regel geprüft werden müssen, nutzt das OM<br />
Modul die aus dem SAP OM bekannten Auswertungswege. Somit ist es möglich,<br />
dass eine Regel durch den hierarchischen Objektbaum »navigiert«, um die mit<br />
einer Regel verbundene Datenanalyse auf das jeweilige Objekt und die, sofern<br />
erforderlich, zugeordneten Objekte anzuwenden.<br />
Organisationen sind damit erstmalig in der Lage, alle Prüfaufgaben ohne Programmierkenntnisse<br />
durch einfaches Customizing von Tabellen im Bereich SAP OM<br />
wahrzunehmen. Die Ergebnisse der Auswertungen werden wie bei den vorherigen<br />
Modulen in einer Datenbank gespeichert und im übersichtlichen Arbeitsplatz<br />
zur Bearbeitung zur Verfügung gestellt.<br />
7.8 Reisekosten<br />
Die Aufgabe des Moduls Reisemanagement (TM) ist die Prüfung der für eine Reisekostenabrechnung<br />
herangezogenen bzw. erzeugten Daten. Dazu gehören:<br />
die Stammdaten des Reisenden (Infotypen)<br />
die Rahmendaten einer Reise z.B. Reisebeginn, Reiseende, Zielland<br />
die Detaildaten einer Reise z.B. Belege, Gesamtkosten einer Reise<br />
Mit Hilfe des Prüfprogramms werden die Statusinformationen einer Reise gezielt<br />
selektiert. Damit ist eine Prüfung der erfassten bzw. der berechneten Reisedaten<br />
zu jedem Zeitpunkt des Reisekostenabrechnungsprozesses möglich. Bei Nutzung<br />
46
Fazit 7.9<br />
des Reisestatus kann auf diese Weise ein Reiseantrag oder eine Reise geprüft werden.<br />
Wird der Abrechnungsstatus verwendet, können Reisen, die den Status<br />
»offen«, »abzurechnen« oder »abgerechnet« haben, geprüft werden. Die Prüfung<br />
der Reisedaten durch das Modul TM lässt sich damit flexibel in den internen Kontrollprozess<br />
integrieren.<br />
7.9 Fazit<br />
Leistungsfähige Produkte wie das Accenture Audit und <strong>Compliance</strong> Tool helfen<br />
Organisationen Risiken, die aus fehlerhaften und inkonsistenten Personalstammdaten<br />
und Abrechnungsprozessen resultieren, maßgeblich zu senken. Sie bieten<br />
hervorragende Möglichkeiten, komplexe Prüfprozesse zu automatisieren und vereinfachen,<br />
um knappe und wertvolle Ressourcen in den Personalabteilungen vermehrt<br />
für Tätigkeiten einzusetzen, die die Wertschöpfung des Unternehmens<br />
beeinflussen. Sie helfen, Fehlerquoten bei der Datenerfassung sowie bei der<br />
Abwicklung zu senken und die Qualität der Fehlerbehebung zu steigern. So werden<br />
Prüfarbeiten rund um die Personalstammdaten, Gehaltsabrechnung, das<br />
Organisationsmanagement und die Reisekosten optimiert, die Qualität der Kontrollen<br />
wird auf ein neues Niveau gehoben.<br />
Autor: Oliver Falk, Experte für SAP Human Capital Management mit Schwerpunkt<br />
Revisionssicherheit von Personalabrechnungssystemen und Berechtigungen im<br />
SAP ERP HCM. Im Heidelberger Office von Accenture verantwortet Oliver Falk<br />
den Bereich Governance, Risk & <strong>Compliance</strong>.<br />
47
8<br />
8Tools der Centric altro GmbH<br />
Die Barmenia Versicherungen in Wuppertal setzten bei der Prüfung der Entgeltabrechnung<br />
auf Tools der Centric altro GmbH<br />
8.1 Prüfung der Entgeltabrechnung – warum?<br />
Die Entgeltabrechnung unterliegt als klassische Nebenbuchführung u.a. den<br />
Grundsätzen ordnungsgemäßer Buchführung und den Grundsätzen ordnungsmäßiger<br />
DV-gestützter Buchführungssysteme (GoBS). Durch systematische interne<br />
Kontrollen ist sicherzustellen, dass eine ordnungsgemäße Abwicklung dieses Geschäftes<br />
nachgewiesen wird.<br />
Der für die Entgeltabrechnung zuständige Fachbereich trägt die primäre Verantwortung<br />
für die Richtigkeit der Abrechnungsergebnisse. Dieser muss die Einrichtung<br />
und Durchführung der entsprechenden Prüfverfahren selbst sicherstellen.<br />
Das Risiko einer unrichtigen Entgeltabrechnung ist umso größer, je komplexer die<br />
Abrechnungsmaterie ist. Insbesondere computergestützte Abrechnungsverfahren<br />
beinhalten die Gefahr, dass Fehler nicht nur einzeln, sondern systematisch, also<br />
bei allen gleich gelagerten Fällen, auftreten können. Dieses führt zu einer Potenzierung<br />
des Risikos. Mögliche Folgen können die Über- bzw. Unterzahlung bei<br />
Mitarbeiterbezügen, Haftung gegenüber der Finanzverwaltung bei fehlerhafter<br />
Lohnsteuerberechnung in zahlreichen Fällen und/oder bei fehlerhafter Verbeitragung<br />
die Zwangsübernahme von Arbeitnehmerbeiträgen sein.<br />
Die finanziellen Risiken für ein Unternehmen können nur durch systematische<br />
und regelmäßige Prüfungen aller Abläufe und Verarbeitungsschritte vermieden<br />
werden. Sie sind unabdingbar, wenn die Richtigkeit und Integrität der verarbeitenden<br />
Daten und Abrechnungsergebnisse sichergestellt sein soll.<br />
48
Unsere passende Standard-Lösung für die Entgeltabrechnung mit SAP/HR 8.2<br />
8.2 Unsere passende Standard-Lösung für die<br />
Entgeltabrechnung mit SAP/HR<br />
Zur Ergänzung unseres bestehenden Kontrollsystems zur Entgeltabrechnung<br />
haben wir auf dem Markt eine Lösung zur Prüfung von Standard-Sachverhalten<br />
gesucht. Dabei sind wir auf die Tools der Centric altro GmbH gestoßen.<br />
Bereits seit 2005 setzen wir zur Prüfung unserer Abrechnung u.a. drei Programme<br />
aus dem altro-QuSi-Paket ein:<br />
Tool zum Verifizieren der Abrechnungsergebnisse (PLK)<br />
Revisionstool für den Zahlungsausgang aus SAP/HR (REV)<br />
Bearbeitung und Qualitätssicherung von Lohnarten (LGA)<br />
Die für uns überzeugenden Argumente waren:<br />
Vier Wochen kostenloses Testen<br />
Kein aufwändiges Customizing vor dem »ersten« Einsatz<br />
Einführung ohne Berater, (Probe-) Auslieferung erfolgt per E-Mail (Transportauftrag)<br />
Möglichkeiten zum »aktiven« Mitgestalten (bei allgemeinen Sachverhalten, die<br />
für alle Kunden von Interesse sind)<br />
Regelmäßige Updates (bei Programmerweiterungen, gesetzlichen Änderungen)<br />
Zeitnahe Informationen über Programm-Veränderungen/Weiterentwicklungen<br />
im Online-Kundenbereich<br />
Tool zum Verifizieren der Abrechnungsergebnisse (PLK)<br />
Mehr als 600 Warn-/ Fehlermeldung voreingestellt<br />
Selektionsmöglichkeit auf einzelne Warn-/ Fehlermeldungen<br />
Prüfung gesetzlicher Sachverhalte<br />
Lohnsteuer (z.B. Vollständigkeitsprüfung Elster, Wechsel der Steuermerkmale,<br />
Gültigkeit der Gemeindeschlüssel)<br />
Sozialversicherung (z.B. Prüfung Rechtskreis Ost/ West, Elterneigenschaft<br />
PV, Gültigkeit der Krankenkasse)<br />
DEÜV (z.B. fehlende RV-Nummer, falsche Tätigkeits- bzw. Personengruppenschlüssel)<br />
Rentner (z.B. fehlende Versorgungsgrundlagen im IT 0012, obwohl Rentner<br />
63 Jahre alt ist)<br />
49
8<br />
Tools der Centric altro GmbH<br />
bAV (z.B. falsches Vertragsmodell im IT 0699, wenn ebenfalls eine Direktversicherung<br />
nach altem Recht im IT0026 existiert)<br />
Prüfung allgemeiner Standard-Sachverhalte<br />
diverse Prozesse (z.B. Eintritte, Austritte, Wechsel der juristischen Person)<br />
Plausibilitätsprüfungen (z.B. zwischen Stammdaten und Abrechnungsergebnissen)<br />
Zusätzliche Auswertungsmöglichkeiten (z.B. Suche von fehlenden Lohnarten<br />
– »wer hat nicht die Lohnart xxxx?«)<br />
Dokumentationsmöglichkeiten der durchgeführten Prüfungen im System<br />
Einbindung eigener Prüf-Maßnahmen über Customizing-Tabellen sowie ABAP-<br />
Kundenincludes<br />
Revisionstool für den Zahlungsausgang aus SAP/HR (REV)<br />
Prüfung doppelter Bankverbindungen im Zahlungslauf SAP/HR<br />
Diverse Auswertungsmöglichkeiten in Bezug auf die Auszahlungsbeträge<br />
Bearbeitung und Qualitätssicherung von Lohnarten (LGA)<br />
Überprüfung der Lohnarten-Schlüsselungen durch systematische und flexible<br />
Kontrollmöglichkeiten<br />
Möglichkeit des Lohnartenvergleichs bezogen auf Verarbeitungsklassen,<br />
Kumulationen, Durchschnitte, Bewertungsgrundlagen und symbolische Kontierungen<br />
Vergleichsmöglichkeit sowohl mit dem SAP Standardmandanten 000 als auch<br />
zwischen den eigenen Systemen, z.B. zwischen Entwicklungs- und Produktivsystem<br />
Verwendungsnachweis von Lohnarten in Schemen, Regeln, Bescheinigungen<br />
und Transportaufträgen<br />
8.3 Fazit nach vier Jahren<br />
Die eingesetzten Prüf-Tools der Centric altro GmbH vermitteln unseren Mitarbeiterinnen<br />
und Mitarbeitern der Entgeltabrechnung seit Jahren ein Gefühl von<br />
Sicherheit. Eventuelle Fehler werden frühzeitig entdeckt und können somit noch<br />
rechtzeitig vor dem Beenden der Abrechnung behoben werden. Zahlreiche<br />
interne Prüf-Maßnahmen wurden mittlerweile als eigene Warnhinweise – ergän-<br />
50
SV Sparkassenversicherung führt altro-Prüftools für die Entgeltabrechnung ein 8.4<br />
zend zum PLK-Standard – hinterlegt. Die Qualität unserer Entgeltabrechnung hat<br />
sich durch den Einsatz der altro-QuSi-Komponenten weiter verbessert.<br />
Kundenprofil<br />
Die Barmenia Versicherungen zählen zu den großen unabhängigen Versicherungsgruppen<br />
in Deutschland. Das attraktive Produktangebot der Unternehmensgruppe<br />
reicht von Kranken- und Lebensversicherungen über Unfall- und Kraftfahrzeugversicherungen<br />
bis hin zu Haftpflicht- und Sachversicherungen. Über 3.800 Innenund<br />
Außendienstmitarbeiter und eine Vielzahl von Maklern betreuen mehr als<br />
eine Million Kunden und einen Bestand von zwei Millionen Versicherungsverträgen.<br />
Qualifizierte Mitarbeiter, eine zukunftsorientierte, nachhaltige Unternehmensführung,<br />
moderne Informations- und Kommunikationstechnik sowie ein<br />
hohes Kunden- und Wachstumspotential sichern den Barmenia Versicherungen<br />
einen vorderen Platz in der Versicherungsbranche. Weitere Informationen finden<br />
Sie unter www.barmenia.de .<br />
Kontakt: Peter Heyder, Barmenia Versicherungen, Abteilungsleiter Personalvergütung,<br />
e-mail: peter.heyder@barmenia.de<br />
8.4 SV Sparkassenversicherung führt altro-Prüftools für die<br />
Entgeltabrechnung ein<br />
Die Einrichtung eines internen Kontrollsystems ist in jedem Betrieb unabdingbar.<br />
Seitens der Wirtschaftsprüfer wird eine IKS-Implementierung zwingend gefordert<br />
bzw. vorausgesetzt, um eine wichtige und nachvollziehbare Buchführung sicherzustellen.<br />
Diese Anforderung gilt auch für die Entgeltabrechnung.<br />
Durch Informationen beim SAP HCM-Anwendertreffen der Versicherungsbranche<br />
sind wir auf die Tools der Firma Centric altro aufmerksam geworden. Während<br />
einer 4-wöchigen kostenlosen Testinstallation konnten wir uns mit der<br />
Anwendung vertraut machen. Das Tool war ohne aufwändiges Customizing und<br />
ohne Einweisung sofort einsatzfähig. Auch die Sachbearbeiter in der Gehaltsabrechnung,<br />
die mit dem Test betraut waren, fanden sich schnell in den verschiedenen<br />
Anwendungsprogrammen zurecht. Nach der »Probephase« beschlossen wir,<br />
die Tools zum<br />
Verifizieren der Abrechnungsergebnisse (PLK)<br />
das Revisionstool für den Zahlungsausgang aus SAP HCM (REV)<br />
51
8<br />
Tools der Centric altro GmbH<br />
die Bearbeitung und Qualitätssicherung von Lohnarten (LGA),<br />
sowie das Tool zur Bearbeitung von Stammdaten (INF)<br />
konzernweit an allen Standorten einzusetzen. Nach Installation der Tools im Juli<br />
2008 haben wir dann im ersten Schritt »alte« Fehler korrigiert und eine »Bestandsbereinigung«<br />
durchgeführt. Das System wurde schnell und ohne größere<br />
Einweisung von allen Gehaltssachbearbeitern angenommen. Die anfänglichen<br />
Schwierigkeiten in Bezug auf die Vielzahl der angezeigten Fehler und Hinweise<br />
konnten rasch überwunden werden. In der Praxis überwogen rasch die Vorteile,<br />
die durch die Behebung der Fehler/Hinweise zu einer sicheren und risikominimierten<br />
Gehaltsabrechnung führen. Der Anspruch jedes Gehaltssachbearbeiters,<br />
eine fehlerfreie Gehaltsabrechnung durchzuführen, konnte nahezu<br />
erreicht werden.<br />
Besonders hervorzuheben ist dabei das Tool zur Verifizierung von Abrechnungsergebnissen,<br />
das mit einer zusätzlichen Dokumentation mit Hinweisen zur Behebung<br />
von Fehlern ausgestattet ist. Der Gehaltssachbearbeiter hat die Möglichkeit,<br />
direkt über die angezeigte Fehlernachricht in den Personalstamm zur Korrektur<br />
oder Überprüfung des Fehlers zu gelangen und somit den Hinweis/Fehler sofort<br />
abschließend im Vorfeld und nicht nachgelagert zu bearbeiten und die Bearbeitung<br />
zu dokumentieren. Die Dokumentation der bereinigten Fehler/Hinweise<br />
dient zur besseren Nachvollziehbarkeit der Bearbeitung und auch zur Kontrolle<br />
des jeweiligen Sachbearbeiters durch die Führungskraft.<br />
Ein weiteres wichtiges Tool dient der Bearbeitung und Qualitätssicherung von<br />
Lohnarten: Es wird durch unsere DV-Koordinatoren intensiv genutzt und führt<br />
ebenso wie das vorher aufgeführte Tool zur sicheren und schnelleren Neuanlage<br />
und Bearbeitung von Lohnarten.<br />
Die Vorführung der eingesetzten Tools überzeugte sowohl unsere interne Revision<br />
als auch die Wirtschaftsprüfer.<br />
In der Zukunft ist geplant, firmenspezifische Felder und Abfragen zu implementieren,<br />
damit auch im Bereich der Administration und Auswertungen eine Steigerung<br />
der Ergebnisse erzielt werden kann.<br />
Rückblickend können wir nach einem Jahr Einsatz der Prüftools sagen, dass diese<br />
obligatorisch durch jeden SAP HCM-Anwender eingesetzt werden sollten, um<br />
52
SV Sparkassenversicherung führt altro-Prüftools für die Entgeltabrechnung ein 8.4<br />
eine den Vorschriften der ordnungsgemäßen Buchführung (GoB) entsprechende<br />
Sicherheit in der Gehaltsabrechnung zu erlangen.<br />
SV SparkassenVersicherung Holding AG<br />
Elke Maier<br />
Gruppenleiterin Personaladministration Stuttgart und Karlsruhe<br />
Die SV SparkassenVersicherung ist der Regionalversicherer in<br />
Wer ist die SV SparkassenVersicherung?<br />
Die SV SparkassenVersicherung ist der Regionalversicherer in Baden-Württemberg,<br />
Hessen, Thüringen und Teilen von Rheinland-Pfalz: ein traditionsreiches und<br />
zugleich modernes Unternehmen. Tief im Land verwurzelt und eng mit den Menschen<br />
verbunden. Die SV SparkassenVersicherung bündelt das Versicherungsangebot<br />
der Sparkassen-Finanzgruppe in Baden-Württemberg, Hessen, Thüringen und<br />
Teilen von Rheinland-Pfalz.<br />
In der privaten Wohngebäudeversicherung ist die SV die klare Nummer 1 in<br />
Deutschland. Auch im Bereich der Lebensversicherung gehört sie in ihrer Region<br />
zu den Marktführern. Ihren Kunden bietet sie über den reinen Versicherungsschutz<br />
hinaus umfassende und maßgeschneiderte Serviceleistungen: zum Beispiel<br />
das Risikomanagement. Damit unterstützt die SV ihre Kunden, spezielle Risiken<br />
im Unternehmen oder zu Hause besser einzuschätzen und richtig zu versichern.<br />
53
9<br />
9Die digitale Betriebsprüfung in der Praxis: Was<br />
Unternehmen wissen müssen<br />
Immer noch werden Unternehmen bei einer Außenprüfung von den Anforderungen<br />
der GDPdU 1 überrascht. Das Thema ist seit 2002 bekannt ist und betroffen<br />
sind alle deutschen Unternehmen, die eine EDV-gestützte Buchführung durchführen.<br />
Dennoch sind viele das Thema noch nicht angegangen. Das rächt sich spätestens<br />
mit der nächsten Prüfungsanordnung. Die Prüfer fügen seit einigen Jahren<br />
einen Fragebogen bei, mit dem sie sich vor dem Datenzugriff ein Bild über die IT-<br />
Landschaft und Prozesse verschaffen möchten.<br />
Das Prüfungsklima fällt rapide, wenn das zu prüfende Unternehmen darauf nicht<br />
vorbereitet ist oder nur Papier vorlegen kann. In diesem Fall drohen schärfere<br />
Sanktionen.<br />
Der nachfolgende Artikel erläutert, worauf Sie achten sollten und wie Sie sich vorbereiten<br />
können.<br />
9.1 Rechtsgrundlagen AO, GoBs und GDPdU<br />
Die Grundlage der Anforderungen liegen in den Änderungen der Abgabenordnung<br />
(AO) in den §§ 146, 147, 200 vom 23.10.2000 die im Zuge des Steuersenkungsgesetzes<br />
2000 durchgeführt wurden. Nach § 147 Abs. 6 AO ist der Finanzbehörde<br />
das Recht eingeräumt, die mit Hilfe eines Datenverarbeitungssystems erstellte<br />
Buchführung des Steuerpflichtigen durch Datenzugriff zu prüfen. Diese neue Prüfungsmethode<br />
tritt neben die Möglichkeit der herkömmlichen Prüfung.<br />
Das Recht auf Datenzugriff steht der Finanzbehörde nur im Rahmen steuerlicher<br />
Außenprüfungen zu. Durch die Regelungen zum Datenzugriff wird der sachliche<br />
1 (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen »GDPdU«, BMF-Schreiben<br />
vom 16. Juli 2001 - IV D 2 - S 0316 - 136/01 -)<br />
54
Rechtsgrundlagen AO, GoBs und GDPdU 9.1<br />
Umfang der Außenprüfung (§ 194 AO) nicht erweitert; er wird durch die Prüfungsanordnung<br />
(§ 196 AO, § 5 BpO) bestimmt. Gegenstand der Prüfung sind<br />
wie bisher nur die nach § 147 Abs. 1 AO aufbewahrungspflichtigen Unterlagen.<br />
Das Recht auf Datenzugriff beschränkt sich ausschließlich auf steuerlich relevante<br />
Daten. Hiervon auf jeden Fall betroffen sind die Daten der Finanzbuchhaltung,<br />
der Anlagenbuchhaltung und der Lohnbuchhaltung.<br />
Bei der Ausübung des Rechts stehen der Finanzbehörde drei Möglichkeiten zur<br />
Verfügung.<br />
Unmittelbarer Datenzugriff<br />
»Z1«<br />
Der Prüfer darf unmittelbar mittels »Lese-Zugriff« auf die Hard- und Software<br />
des Unternehmens zugreifen. Er kann dabei mit den maschinellen Auswertungsmöglichkeiten<br />
des Systems Daten filtern, sortieren, gruppieren, schichten<br />
und auswerten. Der Steuerpflichtige kann steuerlich nicht relevante Daten<br />
durch geeignete Zugriffsbeschränkungen abgrenzen. Alle erforderlichen Hilfsmittel<br />
und Einweisungen müssen durch den Steuerpflichtigen erfolgen innerhalb<br />
einer für einen sachverständigen Dritten angemessenen Zeit.<br />
Mittelbarer Datenzugriff »Z2«<br />
Der Prüfer kann von dem Steuerpflichtigen verlangen, dass er die Daten nach<br />
seinen Vorgaben vor Ort maschinell im System auswertet oder von anderen<br />
auswerten lässt. Die im DV-System vorhanden Auswertungsmöglichkeiten dürfen<br />
hierbei verwendet werden.<br />
Datenträgerüberlassung »Z3«<br />
Der Prüfer kann vom Unternehmen fordern, dass ihm gespeicherte Unterlagen<br />
auf einem Datenträger überlassen werden. Dazu existiert ein entsprechender<br />
Beschreibungsstandard vom BMF. Die Rückgabe / Löschung des Datenträgers<br />
erfolgt spätestens nach Bestandskraft der Prüfungsbescheide.<br />
Die Finanzbehörde entscheidet selbst, von welcher Möglichkeit des Datenzugriffs<br />
sie Gebrauch macht. Falls erforderlich kann sie auch mehrere Möglichkeiten in<br />
Anspruch nehmen bzw. diese kombinieren. Der Prüfer hat zusätzlich die Möglichkeit,<br />
sich Belege in Form von Papier zeigen zu lassen.<br />
Mitwirkung des Steuerpflichtigen<br />
Im § 200 AO wurde zudem durch einen Änderungserlass vom 16.01.2006 geregelt,<br />
dass es verstärkte Mitwirkungspflichten des Steuerpflichtigen gibt. Dies<br />
betrifft neben den Daten-Prüfungs-Möglichkeiten auch die Fähigkeit des Steuerpflichtigen,<br />
die notwendigen Erklärungen oder Dokumentationen zu liefern. Ist<br />
der Steuerpflichtige dazu nicht oder nur innerhalb unangemessen langer Zeit in<br />
55
9<br />
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen<br />
der Lage, steht dem Prüfer die Verhängung von Sanktionen (ab 01.01.2009 bis zu<br />
250.000 €) zur Verfügung. Für die Qualifizierung der steuerlich relevanten Daten<br />
und die damit verbundene Einhaltung der Aufzeichnungs- und Aufbewahrungspflichten<br />
ist ebenfalls das steuerpflichtige Unternehmen zuständig. Das trägt auch<br />
die Kosten dieser Maßnahmen.<br />
Datenschutz<br />
Bei Verstößen gegen die Bestimmungen des Datenschutzes haftet der Steuerpflichtige.<br />
Besonders im Personalbereich gibt es sensible und steuerlich irrelevante<br />
Daten wie z.B. Mitarbeiterbeurteilungen, bestimmte Stammdaten, Verurteilungen,<br />
Krankheiten etc. Aber auch Kunden, Lieferanten – und Bankdaten sowie<br />
Betriebsgeheimnisse und Forschungsergebnisse fallen unter den Datenschutz.<br />
GoBS (Grundsätze ordnungsmäßiger DV-gestützter<br />
Buchführungssysteme)<br />
Obwohl die GoBS bereits seit 1995 rechtwirksam ist und die GDPdU darauf referenziert,<br />
haben noch viele Unternehmen damit Probleme, die dort beschriebenen<br />
Anforderungen zu erfüllen. Hier findet man Vorschriften u.a. zur Datensicherheit,<br />
Dokumentation, Prüfbarkeit und Datenwiedergabe. Die zeitnahe und lückenlose<br />
Nachvollziehbarkeit und vor allem die Dokumentationen der IT Prozesse sind<br />
kaum vorhanden. Besonders das Thema System- und Verfahrensdokumentation<br />
ist selten vollständig und aktuell vorhanden.<br />
9.2 Welche Daten und Inhalte sind betroffen<br />
Daten der Finanzbuchhaltung, der Anlagenbuchhaltung und der Lohnbuchhaltung<br />
sowie weitere steuerlich relevante Daten aus anderen Datenverarbeitungssystemen.<br />
Sind Aufbewahrungspflichtigen Unterlagen nach AO mit Hilfe eines DV<br />
Systems erzeugt oder weiterverarbeitet worden, müssen diese in originär digitaler<br />
und auswertbarer Form aufbewahrt und zur Verfügung gestellt werden. Das sind<br />
z.B. Bücher u. Aufzeichnungen, Inventare, Eröffnungsbilanzen, Jahresabschlüsse,<br />
Lageberichte, Konzernabschlüsse etc., sowie die zu ihrem Verständnis erforderlichen<br />
Arbeitsanweisungen und sonstigen Organisationsunterlagen. Unterlagen die<br />
in Papierform vorliegen und die Buchungsgrundlage bilden, müssen nicht digitalisiert<br />
werden. Werden sie aufgrund von Prozesseinsparungen gescannt und digitalisiert,<br />
(z.B. Rechnungseingangsprozesse), müssen die Anforderungen der GoBS<br />
erfüllt werden und dem Prüfer in digitaler Form bereitgestellt werden. Die Praxis<br />
zeigt, dass auch die Prüfungen damit effizienter werden. Das Bereitstellen von<br />
56
Wo steht die Finanzverwaltung 9.3<br />
Drucklisten oder Archivordnern wird minimiert und die Prüfung geht schneller.<br />
Hierbei sollte beachtet werden, dass der Prüfer nur das sieht, was er sehen soll.<br />
Bei einer Lohnprüfung sind es z.B.<br />
Sach-, Lohn- und Gehaltskonten (auch für pauschalierte Beschäftigungsverhältnisse)<br />
Lohnsteuerkarten bzw. elektronisch übermittelte Lohnsteuerdaten der Arbeitnehmer<br />
Stundenaufzeichnungen (elektronische Daten der Zeiterfassung)<br />
Kassenbuch Buchungsjournale (Lohnjournale)<br />
Kontoauszüge zum Nachweis von Überweisungen an Arbeitnehmer und das<br />
Finanzamt<br />
Diese Aufzeichnungen und Daten werden in unterschiedlichen Systemen vorgehalten.<br />
Dort müssen sie als steuerlich relevant klassifiziert und über den gesetzlichen<br />
Aufbewahrungszeitraum originär digital aufbewahrt werden. Das betrifft<br />
auch Daten und Datensätze die in originär digitaler Form in ein System eingeladen<br />
werden, z.B. Daten aus Zeiterfassungssystemen, die für die Berechnung der<br />
Lohnsteuer verarbeitet werden und im Lohnprogram verarbeitet werden.<br />
Hier weitere Systeme und Beispiele:<br />
Abrechnungssysteme (Nebenbücher)<br />
Reisekosten (Spesen, Bewirtung, etc.)<br />
Vorsysteme (Kassen, Automaten, Zeiterfassung, etc.)<br />
MS-Office-Dateien (Word-Dokumente, Excel z.B. Rückstellungen, Reisekosten,<br />
E-Mails, etc.)<br />
Nach Inkrafttreten der GDPdU haben die Unternehmen von der Finanzverwaltung<br />
immer wieder eine Liste mit steuerlich relevanten Systemen gefordert. Diese<br />
kann es nicht geben, da jedes Unternehmen und Branche andere Prozesse haben<br />
und ihre DV-Systeme unterschiedlich nutzen. So obliegt dem Unternehmen die<br />
Qualifizierung ihrer steuerlich relevanten Daten.<br />
9.3 Wo steht die Finanzverwaltung<br />
Die Finanzverwaltung hat sich 2001 bundesweit für die Einführung und Nutzung<br />
der Prüfungssoftware IDEA entschieden. In der ersten Phase 2002 wurden 700<br />
Prüfer geschult. Mittlerweile sind alle Prüfer bundesweit geschult und setzen<br />
57
9<br />
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen<br />
IDEA ein. Zwischenzeitlich haben auch weitere Prüfungsdienste wie z.B. der Zoll<br />
(GDPdUZ) die Möglichkeiten der digitalen Prüfung für sich entdeckt. Zahlreiche<br />
Urteile, die seit Inkrafttreten von den Finanzgerichten ergangen sind, bestärken<br />
die Prüfungsdienste in ihrer Arbeit. Auch in unseren Nachbarländern wie Österreich,<br />
Schweiz, Frankreich, Niederlande, Polen und selbst in den USA wird digital<br />
geprüft. Aktuelle Fälle zeigen, dass die Prüfungsdienste nicht nur deutschlandweit<br />
sondern auch länderübergreifend zusammenarbeiten.<br />
Um sich auf die individuelle DV-Situation beim zu prüfenden Unternehmen einstellen<br />
zu können, wird seit einigen Jahren mit der Prüfungsanordnung ein DV-<br />
Fragebogen verschickt. Diese sind je nach Bundesland unterschiedlich umfangreich.<br />
Der Fragebogen dient als Hilfslösung, weil nur wenige Unternehmen eine<br />
System- und Verfahrensdokumentation vorweisen können. Um diese qualitativ<br />
hochwertig zu bearbeiten, hat die Finanzverwaltung ca. 200 DV-Fachprüfer eingestellt.<br />
Diese kommen zum größten Teil aus der IT der freien Wirtschaft und unterstützen<br />
ihre Kollegen bei der Prüfung der Daten.<br />
Aufgrund der Vielzahl an ERP- und steuerlich relevanten Systemen (z.B. Lohn)<br />
liegt der Fokus bei den Prüfungen auf dem Z3 Zugriff (Datenträgerüberlassung).<br />
Diese werden dann mit dem vertrauten Prüfungstool IDEA durchgeführt. Findet<br />
der Prüfer dort Auffälligkeiten, wird er sich diese Vorgänge im System anschauen<br />
oder vorlegen lassen. In der Regel wird das Unternehmen bereits mit der Prüfungsanordnung<br />
aufgefordert, einen Datenträger zur Verfügung zu stellen.<br />
Und hier fängt das Dilemma für die Unternehmen an, die nicht vorbereitet sind.<br />
9.4 Prüfungsvorbereitung/Ort<br />
Gesetzlich vorgeschriebener Prüfungsort ist das Unternehmen bzw. bei Auswertung<br />
des Datenträgers die Finanzverwaltung. Dem Prüfer soll nach Möglichkeit<br />
ein Arbeitsplatz mit PC zur Verfügung gestellt werden. Der PC sollte so eingerichtet<br />
sein, dass der Prüfer nur im Lesezugriff auf die steuerlich relevanten Systeme<br />
und deren Prüfungszeitraum zugreifen kann. Hier sind die Systemhersteller und<br />
ihre IT Abteilung gefragt, diese speziellen Leserollen einzurichten. Der PC sollte<br />
keinen Internet/Intranetzugang, e-Mail, CD-Laufwerk oder USB haben. Auch ist es<br />
ratsam dem Prüfer einen Ansprechpartner zu benennen, der ihn betreut und Auskunft<br />
erteilt. Aufgrund der Tatsache, dass er kein Verwertungsverbot hat, sollte er<br />
möglichst vom Tagesgeschäft isoliert werden.<br />
Hat der Prüfer einen Datenträger angefordert, so müssen sich auf diesem nur die<br />
steuerlich relevanten Daten der Prüfungsjahre in dem bundeseinheitlich geforder-<br />
58
Prüfungsvorbereitung/Ort 9.4<br />
ten Format (ASCII oder CSV mit der Datensatzbeschreibung) befinden. In diesem<br />
Zusammenhang haben sich 2002 das BMF und Audicon in Zusammenarbeit mit<br />
einigen Softwareherstellern auf einen Beschreibungsstandard im XML Format<br />
geeinigt. Hierbei werden die Strukturinformationen mitgeliefert, sodass der Prüfer<br />
die Daten mit Hilfe vorgefertigter Makros verproben kann. Hier einige Makros<br />
als Beispiel:<br />
Geringfügig Beschäftigte, gleiche Bankverbindungen<br />
Mehrere Dienstverhältnisse beim selben Arbeitgeber<br />
Verbilligter Bezug von Waren und Dienstleistungen<br />
Lohnsteuerklasse V und nicht verheiratet, oder II, keinen Kinderfreibetrag etc.<br />
Lohnsteuerklasse II, keinen Kinderfreibetrag<br />
Versorgungsbezüge<br />
Prüfungsfelder im Personalwesen<br />
Bruttolöhne, Sachbezüge, Trinkgelder, Ehegatten-Arbeitsverträge, Nutzung von<br />
Dienstfahrzeugen (auch für private Fahrten), Fahrtkostenerstattungen, Nettolohnzahlungen,<br />
pauschalierte Löhne (z.B. geringfügige Beschäftigungsverhältnisse,<br />
Aushilfstätigkeiten, Teilzeitkräfte, Direktversicherungen, pauschalierte Fahrtkostenzuschüsse<br />
usw.), Reisekostenerstattungen, steuerfreie Zuschläge für Sonn-, Feiertags-<br />
und Nachtarbeit, Berechnung der Lohnsteuer, Barlohnumwandlungen,<br />
Aufmerksamkeiten und Annehmlichkeiten, Aufwendungen für Betriebsfeiern,<br />
Jubiläumszuwendungen, Geburtszuwendungen, Kinderbetreuungskosten, Belegschaftsrabatte,<br />
Lohnkonto der Arbeitnehmer, hier insbesondere die Aufzeichnungspflichten.<br />
Um diese Prüfungen vollziehen zu können, sind auch Daten in gleicher Form aus<br />
anderen Systemen zur Verfügung zu stellen (Finanzbuchhaltung > Aufwandskonten,<br />
Zeiterfassungsdaten, Reisekostensysteme etc.).<br />
Besonders in der Lohnbuchhaltung muss die Einhaltung des Datenschutzes beachten<br />
werden. Personenbezogene Informationen die nicht für Prüfungszwecke<br />
benötigt werden, dürfen nicht zur Verfügung gestellt werden. Diese Frage tritt<br />
besonders im Kontext der elektronischen Personalakte auf. Diese bedeuten eine<br />
wesentliche Vereinfachung der Personalprozesse. Informationen zum Mitarbeiter<br />
sind jederzeit und von jedem Ort auf Knopfdruck erhältlich. Das ist besonders für<br />
verteilte Standorte eine wesentliche Verbesserung. Ein Berechtigungskonzept<br />
unterstützt dabei die Einhaltung des Datenschutzes.<br />
59
9<br />
Die digitale Betriebsprüfung in der Praxis: Was Unternehmen wissen müssen<br />
Nach Inkrafttreten der GDPdU gab es besonders unter den Datenschützern eine<br />
rege Diskussion, welche Daten der Finanzverwaltung bereitgestellt werden müssen.<br />
Zwischenzeitlich gibt es Gerichtsurteile und Anforderungen, die Klarheit<br />
gegeben haben. So wurden ab dem 1. Januar 2004 die Arbeitgeber verpflichtet,<br />
jeweils bis zum 28. Februar des Folgejahres, die elektronischen Lohnsteuerbescheinigungen<br />
des Vorjahres nach amtlich vorgeschriebenem Datensatz durch<br />
Datenübertragung an die Finanzverwaltung zu übermitteln. Auch dieser Prozess<br />
hat sich etabliert und wird von den Unternehmen gelebt.<br />
Wie können Sie sich effektiv vorbereiten – Erfahrungen aus der Praxis<br />
Die Umsetzung der GDPdU ist ein unternehmensweites und übergreifendes<br />
Thema. Um sich effektiv und nachhaltig auf die digitalen Betriebsprüfungen vorzubereiten,<br />
empfiehlt sich die Bildung einer internen Projektgruppe. In großen<br />
Unternehmen ist die Arbeitsteilung stark ausgeprägt, nicht alle Beteiligten haben<br />
Fachkenntnisse in Steuer- und Rechnungswesen oder der IT. Das ist einer der<br />
Gründe, warum die Umsetzung der GDPdU in vielen Unternehmen nicht erfolgreich<br />
umgesetzt wurde.<br />
Das Competence Center GDPdU der GISA kennt dieses Problem. Über 60 Unternehmen<br />
unterschiedlicher Größenordnungen und Branchen unterstützte die<br />
GISA und brachte die Projekte effektiv zum Erfolg. Neben der Umsetzung der<br />
rechtlichen Anforderungen stehen auch das Heben von Synergien und Mehrwerte<br />
im Vordergrund. Zunächst sollte eine Ist-Aufnahme der vorhandenen Systeme<br />
und Prozesse erfolgen. Erst nach dieser Analyse kann eine seriöse Empfehlung<br />
abgegeben werden. Hier eine beispielhafte Vorgehensweise:<br />
Die GISA-GDPdU-Pakete<br />
GDPdU-<br />
Workshop<br />
GDPdU-<br />
Check<br />
GDPdU-<br />
Projekt<br />
GDPdU-<br />
Audit<br />
Information Ist-Aufnahme Realisierung Testprüfung<br />
Zunächst wird ein GDPdU Workshop durchgeführt mit Vertretern der Geschäftsführung<br />
und den Bereichen Steuern, Controlling, Finanz-Rechnungswesen, IT,<br />
Lohn und Reisekosten, Datenschutzbeauftragte, Materialwirtschaft, Logistik etc.<br />
Hier werden die rechtlichen Anforderungen vermittelt und die individuelle Situation<br />
des Unternehmen reflektiert. Nachdem die Handlungsfelder lokalisiert sind,<br />
wird das Projektteam zusammengestellt und ein Check durchgeführt. Hier werden<br />
60
Prüfungsvorbereitung/Ort 9.4<br />
alle betroffenen Prozesse und Systeme analysiert, bewertet und in einem Grobkonzept<br />
dokumentiert. Als Ergebnis liegt dann eine Empfehlung für das weitere<br />
Vorgehen bzw. eine Risikobewertung und Entscheidungsvorlage vor. Anschließend<br />
folgt die Realisierung der Empfehlungen. Hier sollen möglichst vorhandene<br />
Systeme zur Umsetzung genutzt bzw. durch Neueinführung Mehrwerte für das<br />
Unternehmen geschaffen werden.<br />
Das Audit Paket stellt eine simulierte Betriebsprüfung dar. Hier werden die Daten<br />
bereits vor dem Jahresabschluss bzw. einer Betriebsprüfung auf Buchungsfehler<br />
kontrolliert. Nachzahlungen und unnötig hohe Zinsen werden so vermieden.<br />
Eine weitere Empfehlung ist die Etablierung eines GDPdU-Prozesses. Es empfiehlt<br />
sich, einen GDPdU Beauftragten zu benennen. Ein GDPdU Projekt ist nur eine<br />
Momentaufnahme der aktuellen Situation. Häufig ändern sich Organisationsstrukturen,<br />
Konzernzugehörigkeiten oder auch Branchen- und Rechtsanforderungen.<br />
Davon sind meist auch die IT Systeme betroffen. Auch hier ist die<br />
Anforderung der Aufbewahrungspflichten von 10 Jahren eine ständige Herausforderung,<br />
die angegangen werden muss.<br />
Renato Herrmann, GISA GmbH<br />
61
10<br />
10Was muss eine<br />
<strong>Compliance</strong>-Organisation leisten?<br />
Die Bedeutung von <strong>Compliance</strong>, Governance und Risikomanagement war nie größer als<br />
derzeit. Ebenso groß ist allerdings auch die Unsicherheit, wie eine <strong>Compliance</strong>-Organisation<br />
aufgebaut sein soll und welche Aufgaben sie bewältigen können muss. Der nachfolgende<br />
Beitrag gibt hierüber einen Überblick.<br />
10.1 Wichtige Festlegungen vor dem Aufbau einer<br />
<strong>Compliance</strong>-Organisation<br />
Ziele<br />
Vor den Festlegungen der Aufbauorganisation sollen für eine neu zu errichtende<br />
oder zu verändernde <strong>Compliance</strong>-Organisation klar die Ziele definiert sein. Dies<br />
ergibt die grundlegende Ausrichtung der zukünftigen Aufgaben. Die Ziele sind<br />
zunächst stark davon abhängig, ob der Grund für die Errichtung oder Veränderung<br />
in einer Krisensituation liegt oder der Prävention dient. Die Bandbreite<br />
möglicher Ziele reicht von »Reduzierung zu erwartender Bußgelder«, über<br />
»Schutz der handelnden Organe«, »Sicherung der Unternehmenswerte« bis zum<br />
»Schutz der Mitarbeiterinnen und Mitarbeiter vor Sanktionen wegen Fehlverhaltens«.<br />
Letzteres wird meistens verkürzt in »Abwenden von Fehlverhalten von<br />
Mitarbeitenden«. Der Auftrag und somit die Zielsetzung einer zukünftigen <strong>Compliance</strong>-Organisation<br />
hat verbindlich durch das Organ der Geschäftsleitung zu<br />
erfolgen.<br />
Organisationsform<br />
In Anlehnung an die Struktur des Unternehmens sollte die Organisationsform<br />
gewählt werden, die sich normalerweise aus der Kombination dreier Typen<br />
zusammensetzt:<br />
62
Wichtige Festlegungen vor dem Aufbau einer <strong>Compliance</strong>-Organisation 10.1<br />
Zentrale <strong>Compliance</strong> Organisation<br />
Dezentrale <strong>Compliance</strong> Organisation<br />
Virtuelle <strong>Compliance</strong> Organisation<br />
Die zentrale Organisation bündelt in konsistenter Form alle Aufgaben und Personen<br />
an einem Ort und (in Konzernstrukturen) auch disziplinarisch bei der zentralen<br />
rechtlichen Einheit (der Muttergesellschaft oder Holding). Die Tochtergesellschaften,<br />
Teilkonzerne, Niederlassungen oder Landesgesellschaften folgen<br />
dabei dieser zentralen Steuerung. Herausfordernd ist hierbei die fehlende disziplinarische<br />
Gewalt zur Durchsetzung von Maßnahmen in den rechtlich selbständigen<br />
Untergesellschaften. Der Grund für den zentralen Kern liegt in der<br />
effizienten Nutzung von technischen und personellen Ressourcen für die Einzelaufgaben<br />
sowie der Sicherheit, dass alle <strong>Compliance</strong>-Maßnahmen im Konzern<br />
gleichartig durchgeführt werden.<br />
Entsprechend sind bei der dezentralen Organisation die <strong>Compliance</strong>-Beauftragen<br />
angestellt bei den einzelnen rechtlichen Einheiten und sind maximal berichtspflichtig<br />
an einen zentralen Chief <strong>Compliance</strong> Officer (CCO), können jedoch nicht<br />
disziplinarisch von ihm gesteuert werden. Dieses Manko kann beispielsweise<br />
durch ein »Memorandum of Understanding« zwischen der Geschäftsleitung der<br />
Tochtergesellschaft und dem CCO beseitigt werden oder auch durch eine gesellschaftsrechtliche<br />
Regelung zwischen Mutter- und Tochtergesellschaft.<br />
Die virtuelle Organisation bedient sich außer einer Leitungsfunktion keiner dedizierten<br />
Personalressourcen, sondern verteilt die <strong>Compliance</strong>-Aufgaben über die<br />
Gesellschaften und Bereiche hinweg. Die Verantwortung für <strong>Compliance</strong>-Themen<br />
wird dort allokiert, wo diese laut Geschäftsordnung und Unternehmensstruktur<br />
schon immer verankert war. Da allerdings auch hier die disziplinarische Gewalt<br />
nicht an den CCO übergeht, ist er auf die vollständige Unterstützung durch Vorstand/Geschäftsführung<br />
angewiesen. Dies ist für eine sach- und termingerechte<br />
Abwicklung von Aufgaben eine zu meisternde Herausforderung.<br />
Wie eingangs erwähnt sind diese drei Grundtypen nicht in Reinform anzutreffen,<br />
sondern immer in einer ausgewogenen Mischform. Die frühzeitige Festlegung<br />
bzw. Anlehnung an die Unternehmenskultur und -struktur ist empfehlenswert,<br />
weil eine nachträgliche Änderung einen großen Aufwand und Akzeptanzverlust<br />
bedeutet.<br />
Abgrenzungen<br />
In Abhängigkeit vom Vorhandensein eines Risikomanagements oder eines<br />
Governance-Programms gilt es, die <strong>Compliance</strong>-Organisation mit beiden in ein<br />
63
10<br />
Was muss eine <strong>Compliance</strong>-Organisation leisten?<br />
klares Verhältnis zu setzen. Hierbei gibt es kein vorgeschriebenes Modell. Mögliche<br />
Varianten sind:<br />
Risikomanagement als Funktion direkt unterhalb der Geschäftsleitung und als<br />
»Identifikator« der Aufgaben einer untergeordneten <strong>Compliance</strong>-Organisation,<br />
welche daraufhin den Governance-Rahmen setzt<br />
<strong>Compliance</strong> als führende Rolle mit integriertem Risikomanagement und Governance-Aufgaben<br />
Ein Governance-Programm in der Geschäftsleitung integriert und als zwei selbständige<br />
Einheiten darunter <strong>Compliance</strong> und Risikomanagement<br />
Eine weitere wichtige Aufgabenverteilung ist zwischen der <strong>Compliance</strong>-Organisation<br />
und der internen Revision vorzunehmen. Fragen, die hierbei unter anderem<br />
zu beantworten sind:<br />
Wo endet die Prävention und wer übernimmt die Verantwortung für die<br />
Detektion?<br />
Wie bleibt die Unabhängigkeit der internen Revision unangetastet und in welcher<br />
Form unterstützt diese dabei proaktiv das Gesamtsystem zu verbessern?<br />
Kann die <strong>Compliance</strong>-Organisation ein Untersuchungs- oder Prüfungsmandat<br />
der Revision erteilen?<br />
Ist die Revision verpflichtet oder berechtigt, Revisionsberichte der <strong>Compliance</strong>-<br />
Organisation zur Verfügung zu stellen?<br />
Die Verankerung der <strong>Compliance</strong>-Organisation im Unternehmensaufbau erfolgt<br />
meist als eine eigenständige Organisation innerhalb der Rechtsabteilung oder des<br />
Rechtsressorts. Dies ist keine zwingende Voraussetzung aber üblich. Hierbei sind<br />
ebenfalls klare Aufgabenverteilungen vorzunehmen. Insbesondere die Zuständigkeit<br />
der Rechtsabteilungen für Vorfälle, die im Unternehmen gegebenenfalls entdeckt<br />
werden, muss im Vorfeld klar beschrieben werden, damit in der<br />
<strong>Compliance</strong>-Organisation die Prozesse so ausgestaltet werden können, dass solche<br />
Sachverhalte gezielt an die Rechtsabteilung übergeben werden können.<br />
10.2 Stakeholder und Einflußfaktoren<br />
Im vorangegangen Teil wurden bereits Bereiche genannt, die mit der <strong>Compliance</strong>-<br />
Organisation zusammenarbeiten und wichtige Stakeholder darstellen: Interne<br />
Revision, Rechtsabteilung, Risikomanagement, Geschäftsleitung (z.B. Vorstand<br />
oder Geschäftsführung).<br />
64
Stakeholder und Einflußfaktoren 10.2<br />
Darüber hinaus sind weitere Stakeholder als eine grundlegende Notwendigkeit<br />
für die <strong>Compliance</strong>-Organisation zu beachten:<br />
Zusätzliche interne Bereiche, die ihren Teil zur Umsetzung der <strong>Compliance</strong>-<br />
Maßnahmen beitragen müssen, wie z.B. Externe Kommunikation, Personal,<br />
Betriebsrat, IT<br />
Kunden und Lieferanten fragen nach Standards und bilden eine Kette gegenseitiger<br />
und fortgesetzter Verpflichtungen zur Einhaltung von Bestimmungen<br />
Wettbewerber übernehmen aktive Rollen in der gegenseitigen Überwachung.<br />
So sind etwa 80 % der bekannten Kartellverstöße durch Anzeigen von Markteilnehmern<br />
aufgedeckt worden<br />
Aufsichtsbehörden sind sensibilisiert und achten auf die Umsetzung von regulatorischen<br />
Vorgaben (z.B. Datenschutz)<br />
Die Directors & Officers-Versicherung (D&O) verlangt mehr Nachweise, wie<br />
das <strong>Compliance</strong>-Programm im Unternehmen ausgestaltet ist<br />
Im Falle von Ermittlungen fragen die Strafverfolgungsbehörden nach dokumentierten<br />
<strong>Compliance</strong>-Maßnahmen und dem Aufbau der Organisation<br />
Banken und Rating-Agenturen ziehen <strong>Compliance</strong>-Risiken in ihre Bewertung<br />
ein<br />
Die Presse greift <strong>Compliance</strong>-Vorfälle prominent auf<br />
Non-Governmental Organisations (NGO) nehmen regen Anteil an Verstößen<br />
und arbeiten eng mit der Presse zusammen<br />
Neben den genannten Stakeholdern gibt es weitere Faktoren, die die Aufgaben<br />
und Ziele der <strong>Compliance</strong>-Organisation beeinflussen:<br />
Strategie<br />
Wie kann gewährleistet werden, dass eine ganzheitliche Risiko- und <strong>Compliance</strong>-<br />
Sicht einschließlich einer zur definierenden Risikoneigung an die Unternehmensstrategie<br />
und die Unternehmensziele angepasst ist?<br />
Nachhaltigkeit<br />
Wie kann nachgewiesen werden, dass diese Strategie nachhaltig umgesetzt<br />
wurde? Wie kann dafür Sorge getragen werden, dass Geschäftspartner ethische<br />
Standards einhalten? Wie kann das Themenfeld Nachhaltigkeit in weitere Funktionen<br />
im Unternehmen integriert werden?<br />
65
10<br />
Was muss eine <strong>Compliance</strong>-Organisation leisten?<br />
Governance<br />
Wie kann gewährleistet werden, dass der richtige »Tone from the top« im Unternehmen<br />
ankommt? In welcher Form können notwendige Stakeholder identifiziert<br />
und eingebunden werden? Wann ist das Gesamtsystem »<strong>Compliance</strong>« effektiv?<br />
Unternehmenskultur<br />
Wie kann man eine <strong>Compliance</strong>-gerechte und wertebasierte Kultur im Unternehmen<br />
etablieren? Wie soll eine unternehmensweite Verhaltensrichtlinie aussehen?<br />
Personalentwicklung<br />
Wie sollen Mitarbeiterinnen und Mitarbeiter geschult und informiert werden,<br />
damit sie die Wichtigkeit und Bedeutung von <strong>Compliance</strong> verstehen und sich entsprechend<br />
verhalten? Wie kann man ihnen beibringen, aktiv Risiko-Entscheidungen<br />
zu treffen?<br />
Umwelt<br />
Wie können sicherheits-, gesundheits- und umweltbedingte Maßnahmen mit der<br />
Risiko- und <strong>Compliance</strong>-Strategie vereint werden? Wie kann die Vielzahl von<br />
umweltbedingten Richtlinien und Regularien im Unternehmen Verankerung finden?<br />
Krise<br />
Welche Maßnahmen sind in einem Krisenfall zu treffen? Wie kann diese im Vorfeld<br />
verhindert werden? Wie kann eine Wiederholung vermieden werden?<br />
10.3 <strong>Compliance</strong>-Zielkreuz<br />
Um das »Mission Statement« zusammenzusetzen, mit dem innerhalb des Unternehmens<br />
die <strong>Compliance</strong>-Organisation prägnant und verständlich ihren Auftrag<br />
und ihren Wert für das Unternehmen darstellen kann, sollen vorgenannte Aspekte<br />
(hier Ziele und Maßnahmen) in einem Zielkreuz zusammengeführt werden.<br />
Prävention<br />
Ob die <strong>Compliance</strong>-Organisation ihren Schwerpunkt in der Prävention oder<br />
Detektion hat, ist wie oben bereits ausgeführt auch mit der internen Revision<br />
66
<strong>Compliance</strong>-Zielkreuz 10.3<br />
abzugleichen. Unerlässliche Aufgabe im Bereich Prävention ist die Aufgabe, Mitarbeiterinnen<br />
und Mitarbeiter über die für sie geltenden Gesetze zu informieren.<br />
Dies ist nicht nur eine branchenabhängige, sondern meist auch eine unternehmensspezifische<br />
Aufgabe, die mit höchster Sorgfalt durchgeführt werden muss. So<br />
genügt nicht allein die Kenntnis von den Gesetzen, sondern muss die richtige<br />
Anwendung in vielen Fällen zu einem unbewussten Handlungsmuster werden.<br />
Dies gilt es, zusätzlich zur Information, operativ zu unterlegen und mit einem<br />
effektiven Kontrollsystem zu verankern.<br />
Prävention<br />
Vorbeugung durch Kenntnis und Anwendung der<br />
Gesetze<br />
Mitarbeiterschulungen<br />
Reduktion von Straf- und Haftungsrisiken<br />
(für Führungskräfte)<br />
Schutz vor wirtschaftlich schädigenden Handlungen<br />
Information<br />
Mitarbeiter übernehmen bewusst Verantwortung<br />
für ihr Handeln<br />
Verminderung von Risiken<br />
Transparenz<br />
Detektion<br />
Monitoring, Aufarbeitung von Schwachstellen,<br />
Kontrollen der Anforderungen der Stakeholder<br />
Reporting, Dokumentation aller Prozesse<br />
Aufdeckung von Verstößen<br />
Image<br />
Positive Effekte bei Mitarbeitern, Kunden und<br />
anderen Marktteilnehmern sowie bei<br />
Aufsichtsbehörden und der Öffentlichkeit<br />
Erhaltung und Stärkung des Vertrauens in die<br />
Integrität des Unternehmens<br />
Vermeidung von Reputationsrisiken<br />
Abbildung 10.1 <strong>Compliance</strong>-Zielkreuz<br />
Detektion<br />
Die Aufdeckung von Verstößen ist keinesfalls gleichzusetzen mit internen Ermittlungen<br />
gegen individuelle Personen. Solche Vorgehensweisen sind in den letzten<br />
Monaten vielfältig bekannt geworden und gesetzlich stark eingeschränkt worden.<br />
Vielfach wichtig ist die Überprüfung, ob im Unternehmen Verstöße begangen<br />
werden – nicht von wem. Grund hierfür ist die Verpflichtung der Geschäftsleitung<br />
aus den §§ 30, 130 OWiG, verhindern zu müssen, dass aus dem Unternehmen<br />
heraus Straftaten begangen werden. So sind zum Beispiel automatisierte Verfahren<br />
denkbar, die überprüfen, ob Zahlungen auf Konten von Personen erfolgen,<br />
die auf der »denied persons list« stehen und damit international gebannt sind.<br />
Weiterhin sind auch anonymisierte Abgleiche von Leistungsbezug und Zahlungs-<br />
67
10<br />
Was muss eine <strong>Compliance</strong>-Organisation leisten?<br />
ausgang denkbar und möglich, sofern kein Abgleich der Namen durchgeführt<br />
wird. Hierbei kann festgestellt werden, ob Verdachtsfälle der Untreue im Unternehmen<br />
bestehen oder nicht. Diese Form der Stärkung des Kontrollsystems sollte<br />
Teil des Aufgabenspektrums werden.<br />
Information<br />
Kommunikation und Information sind maßgebliche Erfolgsfaktoren für die Aufgaben<br />
der <strong>Compliance</strong>-Organisation. Sowohl die aktive Bereitstellung von Information<br />
zu allen <strong>Compliance</strong>-relevanten Sachverhalten, z.B. in Form von <strong>Compliance</strong>-<br />
Handbüchern, Intranet-Seiten oder Erläuterungen zu Richtlinien, wie auch die<br />
individuelle Unterstützung im Einzelfall durch eine <strong>Compliance</strong>-Beratungs-Hotline<br />
sind wesentliche Elemente, ohne die eine Verankerung im Unternehmen und<br />
eine entsprechende Akzeptanz bei Mitarbeitenden nicht erreicht werden können.<br />
Einen schnellen und großen Mehrwert bietet in der Praxis ein auf einem automatisierten<br />
Workflow beruhendes FAQ-System, welches Anfragen, die an die <strong>Compliance</strong>-Hotline<br />
gestellt werden, systematisch und stets aktuell in allgemeine und<br />
selbstredend anonyme Einzelfalldarstellungen umwandelt. Dies stellt für Mitarbeiterinnen<br />
und Mitarbeiter eine wertvolle Hilfe im Arbeitsalltag dar.<br />
Image<br />
In engem Schulterschluss mit der Abteilung für Öffentlichkeitsarbeit können positive<br />
Effekte in der Öffentlichkeit, im Besonderen in einer Zusammenarbeit mit<br />
den betreffenden NGOs erreicht werden. Durch gezielte Information an externe<br />
Interessensgruppen lassen sich im Vorfeld Unternehmensziele positiv darstellen<br />
und bei eventuellen Vorfällen, die üblicherweise von NGOs in Zusammenarbeit<br />
mit der Presse empfindlich veröffentlicht werden durch proaktives Handeln und<br />
enge Zusammenarbeit mögliche Schäden eingrenzen.<br />
10.4 <strong>Compliance</strong>-Manager Netzwerk<br />
Um insbesondere in der dezentralen <strong>Compliance</strong>-Organisation oder einer davon<br />
abgeleiteten Mischform eine effiziente Arbeitsweise zu finden, ist die Pflege des<br />
<strong>Compliance</strong>-Manager Netzwerks von Bedeutung. Hier sind alle Beauftragten über<br />
alle Bereiche und Gesellschaften hinweg zusammengeschlossen, um stets ein gleiches<br />
Informationsniveau zu halten. Mit den üblichen technischen Mitteln zur<br />
Zusammenarbeit wie virtuelle Meetingräume im Intranet, Video- oder Telefonkonferenzen<br />
alleine, ist ein so komplexes Themengebiet wie <strong>Compliance</strong> nur in<br />
wenigen Fällen erfolgreich zu vermitteln. Jährliche Konferenzen, die zentral an<br />
68
Schlussbemerkung 10.6<br />
einem Ort ausgerichtet werden und für die Teilnehmer Schulungscharakter haben<br />
sind ein praxiserprobtes Mittel, um die vielfältigen Interessen effizient bedienen<br />
zu können. Typischerweise reicht das Portfolio einer solchen <strong>Compliance</strong>-Konferenz<br />
von technischen Schulungen der verwendeten Verfahren über Einzelfallbesprechungen<br />
von festgestellten Verstößen bis hin zu einem das Unternehmen<br />
überschreitenden Erfahrungsaustausch innerhalb der Branche oder auch mit branchenfremden<br />
Unternehmen.<br />
10.5 Inhalt (Richtlinien-Management)<br />
Unabhängig von der strukturellen Ausgestaltung der Ziele und der Organisationsform<br />
gibt es die Verantwortung zur inhaltlichen Ausgestaltung der identifizierten<br />
<strong>Compliance</strong>-Themen. Aus Sicht der Mitarbeiterinnen und Mitarbeiter im Unternehmen<br />
gibt es keine andere Stelle als »<strong>Compliance</strong>« wo die relevanten Regeln in<br />
Form von Richtlinien gefunden werden sollen und weitere Informationen zu<br />
deren Ausführung vorliegen. Diese Aufgabe umfasst keinesfalls das Verfassen der<br />
Richtlinien, sondern das Aufstellen und Überwachen von Regeln, wie Richtlinien<br />
erstellt, im Unternehmen bekannt gegeben und wieder zurückgerufen werden.<br />
Letzteres wird häufig nicht beachtet und stellt Unternehmen oft vor die Schwierigkeit<br />
entweder nicht identifizieren zu können, welche Richtlinien gelten, nicht<br />
feststellen zu können, welche Version die aktuelle ist oder keine verlässliche<br />
Information darüber zu haben, ob eine bestimmte Richtlinie noch gültig ist. Mit<br />
vernünftigem organisatorischem Aufwand ist hier ein wertvoller Beitrag für die<br />
Mitarbeiterführung geleistet.<br />
10.6 Schlussbemerkung<br />
Die hier ausgeführten Elemente einer erfolgreichen <strong>Compliance</strong>-Organisation<br />
sind im Unternehmen nicht wahrnehmbar ohne einen Chief <strong>Compliance</strong> Officer,<br />
der das <strong>Compliance</strong>-Programm verankert und vertritt. Um eine solche Position zu<br />
besetzen sind Personen gefragt, die ohne Zweifel integer sind, Organisationstalent<br />
besitzen und ein juristisches Grundverständnis haben. Sie zeichnen sich ferner<br />
aus durch einen kritischen Geist, Kommunikationsstärke, die Bereitschaft zu kritischer<br />
Auseinandersetzung und die Fähigkeit, Entscheidungen herbeiführen zu<br />
können. Die Delegation der Verantwortung und das Maß zur Ausgestaltung der<br />
<strong>Compliance</strong>-Organisation werden dabei letztendlich allein durch die Organe der<br />
Geschäftsleitung oder deren Aufsicht vorgegeben.<br />
69
10<br />
Was muss eine <strong>Compliance</strong>-Organisation leisten?<br />
Die Autoren<br />
Dipl.-Ing. Jörg Busch<br />
Partner<br />
Tel.: +49 (0)89 5790 -5499<br />
Fax: +49 (0)89 5790 -5501<br />
E-Mail: joerg.busch@de.pwc.com<br />
Dipl.-Jur. Christian Lasch<br />
Manager<br />
Tel.: +49 (0) 711 25034 -0<br />
Fax: +49 (0) 69 9585 9 -54336<br />
E-Mail: christian.lasch@de.pwc.com<br />
70
11<br />
11Accenture GmbH<br />
Accenture ist ein weltweit agierender Managementberatungs-, Technologie- und<br />
Outsourcing-Dienstleister. Mit dem Ziel, Innovationen umzusetzen, hilft das<br />
Unternehmen seinen Kunden durch die gemeinsame Arbeit leistungsfähiger zu<br />
werden.<br />
Die SAP ® Add-on Software Lösungen von Accenture unterstützen Organisationen<br />
dabei, die Standardfunktionalitäten ihrer SAP ERP Software sinnvoll zu erweitern,<br />
um gleichzeitig Implementierungsaufwand zu reduzieren und HR Geschäftsprozesse<br />
durch Standardisierung und Automatisierung zu optimieren und zu vereinfachen.<br />
Der nachhaltige Erfolg der Accenture Entwicklungen stützt sich sowohl auf eine<br />
seit über 30 Jahren bestehende Partnerschaft mit SAP als auch auf die in über<br />
2000 internationalen Kundenprojekten gewonnene technologische und fachliche<br />
Kompetenz.<br />
Software Highlights<br />
Accenture Audit and <strong>Compliance</strong> Tool<br />
Das ideale Prüfwerkzeug zur Steigerung von Qualität, Integrität und Sicherheit<br />
von Personalstamm- und Organisationsmanagementdaten sowie Gehalts- und Reisekostenabrechnung<br />
innerhalb von SAP ERP.<br />
Accenture Quick Document Builder<br />
Die intelligente Schriftverkehrslösung, die Korrespondenz- und Dokumentenmanagement<br />
standardisiert und automatisiert, indem sie SAP ERP, Microsoft und<br />
Adobe Technologien integriert.<br />
71
11<br />
Accenture GmbH<br />
Accenture Clone and Test<br />
Unterstützt bei der Erstellung von realistischen Test- und Qualitätssicherungsumgebungen<br />
durch Kopieren von HCM und FI/CO Daten zwischen produktiven und<br />
nicht-produktiven SAP ERP Systemen.<br />
Referenzen<br />
»Das Team von Accenture hat uns während der gesamten Planung und Implementierung<br />
mit hoher Prozesskompetenz, Technologieexpertise und Lösungsorientierung<br />
engagiert beraten und unterstützt.« Helmut Herrmann, Volkswagen AG<br />
Weitere Referenzkunden: Bayerischer Rundfunk, Hamburger Stadtentwässerung<br />
AöR u.v.a.<br />
Weiterführende Informationen zu allen SAP ERP Add-on Software Lösungen von<br />
Accenture, Referenzkundenberichte und Ihren persönlichen Ansprechpartner finden<br />
Sie unter: www.ehr-solutions.de<br />
Kontakt<br />
Accenture GmbH<br />
Im Breitspiel 5<br />
69126 Heidelberg<br />
Telefon: +49 6221 3106-34067<br />
Fax: +49 6221 3106-34999<br />
Mobil: +49 151 17156286<br />
E-Mail: monika.will@accenture.com<br />
Internet: www.ehr-solutions.de<br />
72
12<br />
12Centric altro GmbH<br />
Unsere Struktur<br />
Die Centric altro GmbH, Oberhausen, ist das deutsche Standbein der inhabergeführten<br />
Centric Gruppe mit Sitz in Gouda. Die Centric gehört zu den führenden IT-<br />
Service-Anbietern in Zentraleuropa. Sie ist engagierter und sachkundiger Partner<br />
für IT-Gesamtlösungen mit Kernkompetenzen in der Prozessberatung, Software<br />
Engineering, System-integration, IT-Infrastruktur- und Rechenzentrumsleistungen.<br />
Die Centric altro GmbH steht im Leistungsspektrum der Centric für Spezialkompetenzen<br />
im Bereich SAP HCM Consulting und Managed Services (d.h. SAP-Services<br />
im Bereich Hosting, Support, Entwicklung, Abrechnung und Druck). Wir<br />
sind der SAP<br />
AG und Spezialisten für Add Ons und Migrationen.<br />
Die Centric ist mit Niederlassungen in den Niederlanden, Belgien, Deutschland,<br />
Frankreich, Norwegen, Schweden und der Schweiz vertreten.<br />
Kooperationen<br />
Mit unseren mehr als 60 SAP HCM Beratern der Centric altro und ihrer Tochter<br />
HLW Consulting GmbH sind wir in der Lage auch anspruchsvolle Projekte mit<br />
kundenspezifisch zusammengestellten Teams umzusetzen. Um sicherzustellen,<br />
dass wir die hohen Anforderungen unserer Kunden erfüllen können, arbeiten wir<br />
gern mit unseren langjährigen Geschäftspartnern zusammen:<br />
SAP AG<br />
HLW Consulting GmbH<br />
DSAG<br />
(Special Expertise Partner for HCM)<br />
(100% ige Tochtergesellschaft)<br />
(Mitglied)<br />
73
12<br />
Centric altro GmbH<br />
Technische Leistungsfähigkeit<br />
Zertifizierung<br />
Im Personalwirtschaftsbereich realisieren wir seit fast 30 Jahren Beratungsprojekte.<br />
Die Anfänge lagen in der PAISY-, später in der SAP RP- und seit 1993 in der<br />
SAP HR-Beratung.<br />
Schwerpunktthemen sind:<br />
die organisatorische Beratung<br />
die Abrechnung<br />
die Zeitwirtschaft<br />
die Reisekostenabrechnung<br />
das Berichtswesen<br />
das Organisationsmanagement<br />
Durch diese Spezialisierung bieten wir unseren Kunden Qualität und Kompetenz.<br />
Dies spiegelt sich auch in unserer Auszeichnung als der SAP AG, Walldorf wider.<br />
Kontakt<br />
Niederlassung Chemnitz:<br />
Centric altro GmbH<br />
Harald Betz jederzeit gerne zur Verfügung.<br />
Mittelbacher Straße 3<br />
09224 Chemnitz<br />
Telefon: +49 208 8288 130<br />
Fax: +49 208 8288 100<br />
Mobil: +49 170 4850055<br />
E-Mail: harald.betz@centric.eu<br />
Internet: www.centric.eu<br />
74
13<br />
13Gesellschaft für Datenschutz<br />
und Datensicherung e.V.<br />
Die Aufgaben und Ziele der GDD<br />
Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und<br />
technisch realisierbaren Datenschutz ein. Sie verfolgt das Ziel, die Daten verarbeitenden<br />
Stellen - insbesondere auch deren Datenschutzbeauftragte - bei der Umsetzung<br />
der vielfältigen mit Datenschutz und Datensicherung verbundenen<br />
rechtlichen, technischen und organisatorischen Anforderungen zu unterstützen.<br />
Die GDD wird getragen von mehr als 2.100 Unternehmen, Behörden und persönlichen<br />
Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich<br />
einen der größten Verbände in der Informations- und Kommunikationsbranche in<br />
Deutschland dar.<br />
GDD-Datenschutz-Akademie<br />
Die GDD hat aus ihrer langjährigen Erfahrung ein gestuftes Schulungskonzept zur<br />
Aus- und Weiterbildung der Datenschutz- und Sicherheitsbeauftragten in Unternehmen<br />
und Behörden entwickelt. Das Präsidium der GDD-Datenschutz-Akademie<br />
hat Standards zur Zertifizierung der Qualifikation von Datenschutzbeauftragten<br />
entwickelt. Die Aus- und Weiterbildung sowie Zertifizierung in der<br />
GDD-Datenschutz-Akademie bietet den Nachweis der Datenschutzkompetenz im<br />
Unternehmen und in der Öffentlichkeit.<br />
Die GDD in Zahlen<br />
Gegründet 1977 - über 30 Jahre Datenschutz-Kompetenz<br />
Mehr als 2.100 Mitglieder<br />
75
13<br />
Gesellschaft für Datenschutz und Datensicherung e.V.<br />
Bundesweit 27 Erfahrungsaustauschkreise mit insgesamt mehr als 3.000 Teilnehmern<br />
Ausbildung von mehr als 15.000 Datenschutzverantwortlichen in der GDD-<br />
Datenschutz-Akademie<br />
Kontakt<br />
GDD e.V.<br />
Pariser Str. 37<br />
53117 Bonn<br />
Tel.: +49 228 69 43 13<br />
Fax: +49 228 69 56 38<br />
Internet: www.gdd.de<br />
E-Mail: info@gdd.de<br />
76
14<br />
14GISA GmbH<br />
Die GISA GmbH ist mit über 440 Mitarbeitern der führende IT-Dienstleister am<br />
Standort Mitteldeutschland. Sitz der GISA ist Halle (Saale), weitere Standorte und<br />
Regionalbüros befinden sich in Chemnitz, Cottbus sowie Berlin, Bielefeld und<br />
Frankfurt am Main. Derzeit vertrauen deutschlandweit über 150 Kunden auf die<br />
Leistungen der GISA.<br />
HR-Portfolio<br />
Die GISA bietet Lösungen für eine effiziente, transparente und zukunftsfähige Personalwirtschaft.<br />
Die GISA ist SAP Hosting Partner mit dem Status exzellent, der<br />
deutschlandweit nur zweimal vergeben ist. Das Leistungsangebot beginnt bei<br />
Beratung, Konzeption und Projektmanagement, geht über die Entwicklung und<br />
Implementierung von angepassten Personalanwendungen bis hin zum Betrieb der<br />
Lösungen.<br />
SAP ERP HCM<br />
Prozessberatung, Einrichtung und Betrieb von SAP ERP HCM inklusive aller<br />
Module<br />
Eigenentwicklungen und Module<br />
Lösungen und Services auf SAP-Basis, die von der GISA weiterentwickelt wurden.<br />
GISA_EmployeeSelfService<br />
Digitale Personalakte<br />
Personaleinsatzplanung<br />
HR-<strong>Compliance</strong><br />
Das Competence Center GDPdU bietet folgende Dienstleistungen:<br />
77
14<br />
GISA GmbH<br />
Workshop, Check, Realisierung, Audit (simulierte Prüfung)<br />
Verkauf, Einführung und Schulung von IDEA<br />
Erstellung System- und Verfahrensdokumentation<br />
Unterstützung bei der Bereitstellung der Daten und Einrichtung Prüferrollen<br />
Altsystem Lösungen<br />
Personalabrechnung<br />
Standardisierte Angebote zur Lohn- und Gehaltsabrechnung im ASP.<br />
GISA_HCM-AbrechnungsService (SAP)<br />
Paisy<br />
Referenzen<br />
Für die envia Mitteldeutsche Energie AG, den größten regionalen Energieversorger<br />
in Ostdeutschland, entwickelte die GISA den SAP-basierten GISA_Employee-<br />
SelfService. Über das Intranet der enviaM können alle Mitarbeiter auf ein<br />
einheitliches System zugreifen, eigene personalwirtschaftliche Daten erfassen,<br />
einsehen und ändern.<br />
Weitere HR-Kunden<br />
Berliner Flughäfen<br />
Dessauer Verkehrs- und Versorgungsgesellschaft mbH<br />
DREFA Media Holding<br />
Universitätsklinikum Jena<br />
Kontakt<br />
GISA GmbH<br />
Leipziger Chaussee 191a<br />
06112 Halle<br />
Internet: www.gisa.de<br />
Ansprechpartner<br />
Renato Herrmann<br />
Geschäftsbereichsleiter IT-Anwendungsservice<br />
Telefon: +49 345 585-2036<br />
E-Mail: renato.herrmann@gisa.de<br />
78
15<br />
15PricewaterhouseCoopers WPG AG<br />
PricewaterhouseCoopers AG ist eine der führenden Wirtschaftsprüfungs- und<br />
Beratungsgesellschaften und bietet Dienstleistungen in den Bereichen Wirtschaftsprüfung<br />
und prüfungsnahe Dienstleistungen (Assurance), Steuerberatung (Tax)<br />
sowie in den Bereichen Deals und Consulting (Advisory) an.<br />
Beratungsschwerpunkt Governance, Risikomanagement<br />
und <strong>Compliance</strong><br />
Die Berater von PricewaterhouseCoopers (PwC) unterstützen nationale und internationale<br />
Unternehmen wie auch die Öffentliche Hand dabei, ihr Wachstum und<br />
ihre Performance zu steigern und Wettbewerbsvorteile in einem gegebenen regulatorischen<br />
Umfeld zu erzielen. Gemeinsam mit unseren Mandanten entwickeln<br />
wir nachhaltige Konzepte, um Geschäftsprozesse, Strukturen und Systeme hinsichtlich<br />
ihrer Effizienz, Effektivität und Transparenz zu optimieren. Wir helfen<br />
Ihnen und Ihren Mitarbeitenden bei der Aufarbeitung einer Krise sowie der<br />
umfassenden Prävention. Als erfahrener Berater in der Praxis begleiten wir Sie bei<br />
notwendigen Entscheidungen und erfolgreichen Umsetzungen.<br />
Governance & <strong>Compliance</strong><br />
Unsere <strong>Compliance</strong>-Spezialisten identifizieren die unternehmensspezifischen Anforderungen<br />
und setzen auf den vorhandenen Organisationsstrukturen, Prozessen<br />
und (Kontroll-)Systemen auf, um die Strukturen zur Überwachung und Einhaltung<br />
gesetzlicher Vorschriften zu optimieren. Sie unterstützen Unternehmen bei der<br />
Erarbeitung und Umsetzung eines unternehmensweiten Ansatzes zur Integration<br />
von Governance, Risikomanagement und <strong>Compliance</strong> und helfen bei der Einführung<br />
der erforderlichen Technologien und Tools.<br />
79
15<br />
PricewaterhouseCoopers WPG AG<br />
Dynamisches Risikomanagement<br />
Unser Ansatz »Dynamic Risk Management« (DRM) ermöglicht die ganzheitliche<br />
Steuerung der Unternehmensrisiken. Die Risiken werden effektiver identifiziert<br />
und bewertet; Risikoabhängigkeiten werden umfassender berücksichtigt. DRM<br />
stimmt Methoden, Prozesse, Organisationsstrukturen und Technologien des Risikomanagements<br />
sowie deren Interaktion auf die Bedürfnisse Ihres Unternehmens<br />
ab und bietet ausreichend Flexibilität, um die Unternehmens- und Umweltdynamik<br />
als Chance zu nutzen.<br />
Kontakt:<br />
PricewaterhouseCoopers WPG AG<br />
Marie-Curie-Str. 24-28<br />
60439 Frankfurt am Main<br />
Internet: www.pwc.de<br />
Ansprechpartner<br />
Christof Menzies<br />
Telefon: +49 69 9585-1122<br />
E-Mail: christof.menzies@de.pwc.com<br />
80