Compliance Management als stetig wachsende Herausforderung

Studie | Compliance ManagementAgenda 2015:Compliance Managementals stetig wachsendeHerausforderungStudie | Compliance Management

Inhalt1. Vorwort 42. Management Summary 53. Theorie und Methodik der Studie 63.1 Der Compliance-Begriff 63.2 Ansatz und Vorgehen 74. Ergebnisse der Befragung 84.1 Aktuelle Situation im Compliance Management 84.1.1 Relevante Bereiche und Themengebiete 84.1.2 Compliance-Organisation 154.1.3 Umsetzung von Compliance Management 174.2 Künftige Trends im Compliance Management 214.2.1 Steigende Anforderungen an dasCompliance Management 214.2.2 Konsequenzen und Handlungsbedarf der Unternehmen 235. Das Compliance Management Maturity Modelvon BearingPoint 286. Fazit und Ausblick 32Autoren 342Compliance Management | Studie

AbbildungenAbbildung 1: Branchenverteilung 7Abbildung 2: Aktuell in Compliance-Aktivitäten einbezogene Bereichemit Wertung „zufriedenstellend“ 8Abbildung 3: Aktuell in Compliance-Aktivitäten einbezogene Bereichemit Wertung „erweiterungsfähig“ 9Abbildung 4: Relevante Rechtsgrundlagen finanzbezogener Compliance 10Abbildung 5: Relevante Rechtsgrundlagen kapitalmarktbezogener Compliance 11Abbildung 6: Relevante Rechtsgrundlagen bzw. Vorschriftenkundenbezogener Compliance 12Abbildung 7: Relevante Rechtsgrundlage der Betrugs- und Korruptions-Compliance 13Abbildung 8: Andere relevante Compliance-Rechtsgrundlagen 14Abbildung 9: Berichtswege des Compliance Managements 15Abbildung 10: Compliance-Struktur und Zuständigkeiten 17Abbildung 11: Zeitpunkt der Einführung des Compliance-Systems 18Abbildung 12: Abdeckung der Compliance-Anforderungen mit deraktuell verwandten IT-Lösung 19Abbildung 13: Kostenentwicklung von Compliance-Aktivitäten bis 2015 23Abbildung 14: Künftig relevante Compliance-Kostenarten 24Abbildung 15: Schwerpunktbereiche künftiger Compliance-Aktivitäten 25Abbildung 16: Verteilung der größten Compliance-Nutzenfaktoren 27Abbildung 17: Level des Compliance Management Maturity Model 28Abbildung 18: Kriterien des Compliance Management Maturity Model 30Compliance Management | Studie 3

1. VorwortCompliance Management hat insbesondere im Rahmen der Globalisierung in den letztenJahren kontinuierlich an Bedeutung gewonnen. Mit ihren strengen SEC-Anforderungenhaben die USA als treibende Kraft das Thema systematisiert sowie vorangetrieben unddie Europäer für diesen Bereich weiter sensibilisiert.Datenschutz- und Korruptionsskandale namhafter internationaler und nationalerUnternehmen sowie die Finanzmarktkrise unterstreichen ebenfalls die Bedeutungvon Compliance. In Anbetracht der Ausweitung einschlägiger Rechtsgrundlagen wirdsich diese Entwicklung in den kommenden Jahren fortsetzen – der Druck auf Wirtschaftund Politik in der horizontalen und vertikalen Betrachtung von Compliance wird weiterzunehmen.BearingPoint nahm dies zum Anlass, den Status quo im Umgang mit Compliance in denUnternehmen aufzunehmen sowie, darauf aufbauend, Trends bezüglich möglicher künftigerAufgabenstellungen zu identifizieren.Die vorliegende Studie untersucht die bestehenden Herausforderungen zum ThemaCompliance in den Unternehmen verschiedener Branchen in Deutschland, Österreich undder Schweiz aus Fach- sowie Systemsicht. Die Ursachen der themenbezogenen Problemfelderwerden analysiert und der daraus resultierende Handlungsbedarf im Rahmen einerganzheitlichen und integrierten Compliance-Lösung abgeleitet.Mit dieser Studie möchten wir Ihnen die Möglichkeit zur eigenen Standortbestimmunggeben und einen Überblick aktueller Trends im Bereich Compliance als Bestandteil einerwertorientierten Unternehmensführung vermitteln.BearingPoint bietet in diesem Zusammenhang das Compliance Management MaturityModel an, das aus den Studienergebnissen und unserer Projektexpertise abgeleitetwurde und Unternehmen ermöglicht, mit einem ersten „Quick Check“ eine Selbsteinschätzungzum aktuell umgesetzten Compliance Management vorzunehmen.Unsere Studie soll einen Beitrag zur gegenwärtigen Diskussion und Entwicklung vonCompliance Management leisten.Dr. Robert Wagner Dieter Steinhüser Oliver Engelbrecht Agnetha MeinherzPartner Senior Manager Director Business Consultant4Compliance Management | Studie

2. Management SummaryAufwand und Anstrengungen, den Compliance-Anforderungen gerecht zu werden undentsprechend effektive und effiziente Prozesse im Unternehmen zu integrieren, werdenbis zum Jahr 2015 weiter zunehmen. 65 Prozent der befragten Unternehmen bezeichnendie Kostenentwicklung in diesem Bereich als steigend bis stark steigend. Dieser Umstandzwingt die Unternehmen, besonderes Augenmerk auf das Compliance Management zulegen, mit dem Ziel der Einhaltung von Compliance-Vorschriften unter den Rahmenbedingungenvon Effizienz und Kosten sowie Transparenz-, Dokumentations- und Reporting-Pflichten. Die Umsetzung erfolgt dabei unter angemessener Berücksichtigung vonProzessen, IT und Personal.Die Studie zeigt, dass insbesondere Bereiche wie Marketing, Vertrieb/Kunden, Risikomanagement,Treasury und IT als erfolgskritisch oder erweiterungsfähig für künftigeCompliance-Aktivitäten gesehen werden. Als zufriedenstellend bzw. hinreichend effektivhingegen werden Funktionen wie Interne Revision, Kreditmanagement/Mahnwesen,Recht, Finanzbuchhaltung und Steuern bezeichnet. Die „klassischen“ CompliancerelevantenFelder scheinen nach eigener Einschätzung somit bereits den Anforderungenzu entsprechen. Im Fokus steht generell die Implementierung stringenter Compliance-Strukturen auf andere Bereiche – über die gesamte Unternehmensorganisation in derEnd-to-End-Betrachtung hinweg.Zur Erreichung der Rechtskonformität ist es für größere Unternehmen in diesem Zusammenhangwichtig, eine IT-unterstützte Automatisierung von Compliance-Prozessen undKontrollmechanismen zu etablieren bzw. auszubauen. Dies erfolgt in Kombination mitder notwendigen Fachexpertise einzelner Compliance-Beauftragter. Zusätzlich bestätigtdie Studie, dass ein Großteil der Unternehmen, die bereits eine technische Lösungnutzen, mit der Reporting-Funktionalität ihres Compliance-Systems zufrieden ist. Darüberhinaus nannte ein Drittel der Befragten, dass der Bereich IT im Zusammenhang mitCompliance Management als erweiterungsfähig angesehen wird. Der Bedarf an effektiventechnischen und integrierten Lösungen als gleichzeitiger Beitrag zur wertorientiertenUnternehmensführung ist somit in den kommenden Jahren durchaus gegeben.Auch vor dem Hintergrund, dass bestehende technische Lösungen interner Kontrollsystemehelfen, Risiken zu identifizieren, damit aber noch keine Sicherstellung vonCompliance erfolgt.Weiterhin konnte festgestellt werden, dass der Mittelstand sowie größere mittelständischeUnternehmen eine relativ hohe Anzahl an Mitarbeitern im Bereich Compliance,bezogen auf die Gesamtmitarbeiterzahl, beschäftigen. Vor dem Hintergrund, dass70 Prozent dieser Unternehmen in den kommenden Jahren keine Implementierung einertechnischen Lösung zur Erfüllung ihrer Compliance-Auflagen beabsichtigen, ist davonauszugehen, dass Compliance-Themen immer noch bevorzugt mit hohem manuellenAufwand betreut werden.Compliance Management | Studie 5

3. Theorie und Methodikder Studie3.1 Der Compliance-BegriffIn der Literatur wird Compliance unterschiedlich definiert. 1 Jeweils abhängig vonBranchen- und Expertenwissen erfolgt eine differenzierte Auslegung und Diskussion desBegriffs.Grundsätzlich kann Compliance als Kombination aus Organisation, Prozessen undSystemen aufgefasst werden, die eine Übereinstimmung mit dem geltenden Recht,internen Regeln sowie den Erwartungen der Stakeholder gewährleistet, so dass dasUnternehmen das eigene Geschäftsmodell, den Ruf und die finanziellen Bedingungenschützt und optimiert.Im Rahmen dieser Studie soll Compliance umfassend und im weiteren Sinne als dieEinhaltung von gesetzlichen Bestimmungen oder Richtlinien, regulatorischen Standardssowie freiwilligen unternehmensexternen und -internen Kodizes, ethischen Normenund weiteren allgemein gültigen Anforderungen (z. B. seitens der Stakeholder) gesehenwerden.Im Anschluss an die Bedeutung und Auslegung des Begriffs stellt sich die Frage, welcheZiele mit Compliance Management im Unternehmen erreicht werden sollen, d. h. wofürdie Aufwände und Investitionen betrieben werden. Im Folgenden werden mögliche Interessenaufgelistet:• Frühzeitige Abwehr möglicher Sicherheitsverletzungen• Vermeidung bzw. Verringerung von Negativberichterstattung und Sanktionen• Erhöhte Produktivität (Steigerung von Prozesstransparenz, Flexibilität)• Steigerung der Wettbewerbsfähigkeit• Fundierung der Geschäftsentscheidungen durch Verständnis von Auswirkungenentsprechender Compliance-Anforderungen 2Zusammenfassend gewährleistet ein aktives Compliance Management unter der angemessenenBerücksichtigung von Gesetzen, Regeln und internen Standards eine gute undtransparente Unternehmensführung und beugt Problemen wie Wirtschaftskriminalitätoder Datenschutz- und Wettbewerbsverstößen vor.1 Vgl. Wieland/Steinmeyer/Grüninger: „Handbuch Compliance Management“, 2010: Ein weiterermöglicher Ansatz einer Definition von Compliance lautet wie folgt: Die Gesamtheit aller zumutbarenMaßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitgliederund seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. Darüber hinaussoll die Übereinstimmung des unternehmerischen Handelns auch mit allen gesellschaftlichen Richtlinienund Wertvorstellungen, mit Moral und Ethik gewährleistet werden.2 Vgl. Computer Associates International, 2005: „Compliance = ROI“6Compliance Management | Studie

3.2 Ansatz und VorgehenFür die vorliegende Studie „Agenda 2015: Compliance Management als stetig wachsendeHerausforderung“ wurden im Zeitraum Oktober 2009 bis März 2010 Unternehmen inDeutschland, Österreich und der Schweiz befragt.Ein Viertel der Studienteilnehmer sind größere Unternehmen und Konzerne mit mehr als5.000 Mitarbeitern. Die übrigen befragten Unternehmen repräsentieren mit überwiegendunter 1.000 Mitarbeitern (47 Prozent) den Mittelstand und mit 1.000 bis 5.000 Mitarbeitern(28 Prozent) größere mittelständische Unternehmen.Aus dem Kreis der Teilnehmer ergibt sich folgende Branchenaufteilung:Abbildung 1: BranchenverteilungTransport & LogistikImmobilienSonstige3%3%3%Konsumgüter6%Telekommunikation/Medien9%EnergieVersicherungen13%16%Banken47%0 % 10 % 20 % 30 % 40 % 50 %Ein Großteil der befragten Unternehmen sind Banken und Versicherungen (63 Prozent),gefolgt von den Branchen Energie (13 Prozent) sowie Telekommunikation/Medien(9 Prozent) und Konsumgüter, Immobilien, Transport & Logistik sowie Sonstige(15 Prozent).Compliance Management | Studie 7

4. Ergebnisse der Befragung4.1 Aktuelle Situation im Compliance Management4.1.1 Relevante Bereiche und ThemengebieteGrundsätzlich resultiert aus der Befragung, dass Compliance in nahezu allen Unternehmensfunktionenverankert ist und somit zum integralen Bestandteil der Unternehmenskulturgehört.In folgenden Unternehmensbereichen wird das Compliance Management als „zufriedenstellend“bewertet: Interne Revision und Personalmanagement (je 38 Prozent), Kreditmanagement/Mahnwesenund Recht (je 34 Prozent) sowie Finanzbuchhaltung, Beteiligungsmanagementund Steuern (je 31 Prozent).Abbildung 2: Aktuell in Compliance-Aktivitäten einbezogene Bereichemit Wertung „zufriedenstellend“100 %90 %80 %70 %60 %50 %40 %30 %20 %10 %0 %Interne Revision38% 38%Personalmanagement34%Kreditmanagement/Mahnwesen34%31% 31% 31%RechtFinanzbuchhaltungBeteiligungsmanagementSteuern8Compliance Management | Studie

Die Funktionen Risikomanagement, Marketing und Vertrieb/Kunden (je 38 Prozent),Treasury, EDV/IT und Unternehmensplanung (je 34 Prozent) sowie Finanzbuchhaltungund Controlling/Financial Analysis (je 28 Prozent) wurden dagegen als „erweiterungsfähig“in Bezug auf Compliance-Aktivitäten bewertet, wie die folgende Abbildung zeigt:Abbildung 3: Aktuell in Compliance-Aktivitäten einbezogene Bereichemit Wertung „erweiterungsfähig“100 %90 %80 %70 %60 %50 %40 %30 %20 %10 %0 %Risikomanagement38% 38% 38%Vertrieb/KundenMarketing34% 34% 34%TreasuryEDV/ITUnternehmensplanungFinanzbuchhaltung28% 28%Controlling/Financial AnalysisUnabhängig von einer gewissen Fokussierung auf bestimmte Bereiche ist ComplianceManagement stets als übergreifende Unternehmensaufgabe zu sehen – somit ist eineEnd-to-End-Betrachtung im Unternehmen notwendig und unerlässlich.Eine weitere Detaillierung und Gruppierung der Compliance-Aktivitäten in den Unternehmenerfolgte mit der Abfrage der jeweils relevanten Rechtsgrundlagen oderVorschriften im Zusammenhang mit Compliance.Compliance Management | Studie 9

Finanzbezogene ComplianceMit der finanzbezogenen Compliance wird sichergestellt, dass die Vermögens-, FinanzundErtragslage des Unternehmens ordnungsgemäß und in Einklang mit geltendennationalen und internationalen Rechtsvorschriften aufgestellt wird. Compliance-Verstößein diesem Bereich haben gleichermaßen Auswirkungen auf Stake- und Shareholder.Erwartungsgemäß werden die meisten Compliance-Aktivitäten innerhalb der finanzbezogenenCompliance von den IFRS 3 (34 Prozent) bestimmt. Unternehmen, deren Wertpapierezum Handel zugelassen sind, wurden im Rahmen der EU-Verordnung 1606/2002vom 19.7.2002 verpflichtet, ihre konsolidierten Abschlüsse für Geschäftsjahre, die nachdem 1.1.2005 beginnen, gemäß den internationalen Rechnungslegungsstandards aufzustellen.Als zweitwichtigste Nennung ergab sich mit 24 Prozent das KonTraG 4 , das eine verbesserteGovernance in Unternehmen sowie eine Früherkennung von Risiken anstrebt.Relativ gleich verteilt folgen Compliance-Regelwerke wie die 8. EU-Direktive (18 Prozent),Sarbanes-Oxley-Act (13 Prozent) sowie das österreichische URÄG 5 (11 Prozent) in denNennungen.An dieser Stelle bietet sich zur Prävention potenzieller Verstöße besonders die Verwendungeines Internen Kontrollsystems (IKS) an.Abbildung 4: Relevante Rechtsgrundlagen finanzbezogener ComplianceURÄG 11%Sarbanes-Oxley-Act13%8. EU Direktive/BilMoG18%KonTraG24%IFRS34%0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 %3 IFRS: International Financial Reporting Standards4 KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich5 URÄG: Unternehmensrechts-Änderungsgesetz 200810Compliance Management | Studie

Kapitalmarktbezogene ComplianceIm Rahmen der Befragung nannten in dieser Gruppe 30 Prozent der Teilnehmer das Stichwort„Insiderhandel“ – ein brisantes Thema vorwiegend aufgrund der Tatsache, dassin den meisten Mitgliedstaaten der EU die Verwendung von Insiderinformationen fürBörsengeschäfte als Straftat gilt (siehe hierzu auch Richtlinie 2003/6/EG 6 , Artikel 14).28 Prozent der befragten Unternehmen nannten den Sammelbegriff „Meldepflichten“ alsweitere extern gestellte Anforderung. Für börsennotierte Unternehmen dürfte hier insbesonderedie Ad-hoc-Publizität eine große Rolle spielen. Weitere gesetzliche Regelwerkezu Directors’ Dealings oder auch gewerberechtliche Meldungen gehören ebenfalls zu denmeldepflichtigen Informationen.Nahezu gleichauf wiegen „MiFID“ 7 und „Marktmanipulation“ in den Antworten derBefragten mit jeweils 22 und 20 Prozent.Zur Einhaltung der kapitalmarktbezogenen Compliance, d. h. insbesondere „Insiderhandel“und „Marktmanipulation“, sind vor allem Transparenz und effektive Prozesseerforderlich. Zusätzlich sorgen weiche Faktoren wie Unternehmensethik und -kultur füreine angemessene Grundlage der hier angestrebten Rechtskonformität.Abbildung 5: Relevante Rechtsgrundlagen kapitalmarktbezogener ComplianceMarktmanipulation 20%MiFID22%Meldepflichten28%Insiderhandel30%0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 %6 Richtlinie über Insidergeschäfte und Marktmanipulation (Marktmissbrauch)7 MiFID: Markets in Financial Instruments DirectiveCompliance Management | Studie 11

Kundenbezogene ComplianceAus Kundensicht ergeben sich ebenfalls zahlreiche einzuhaltende Compliance-Vorschriften. Hier wird deutlich, dass Compliance Management sich nicht nur aufB-2-B 8 -Vorgänge beschränkt, sondern B-2-C 9 -Prozesse mit einschließt. Innerhalb derkundenbezogenen Compliance wird dem Vertragsrecht eine erhöhte Relevanz beigemessen(62 Prozent). Mit diesem Begriff sind sämtliche Rahmenbedingungen undBestandteile des Contract Managements gemeint, die in Unternehmen aller Brancheneine Rolle spielen und bei Verstößen zu signifikanten Finanzsanktionen führen.Weiterhin gaben 38 Prozent der Befragten an, insbesondere die Produkthaftung nach denRegelungen des ProdHaftG 10 in ihren Compliance-Aktivitäten zu berücksichtigen. Wie denMedien zu entnehmen ist, häufen sich beispielsweise Rückrufaktionen zur Sicherheit undzum Schutz der Verbraucher. Konsequenzen hieraus sind außerplanmäßige Unternehmenskosten(Nachbesserungen im Zusammenhang mit Gewährleistungspflichten) sowiegleichzeitig indirekte Schäden in Form von Reputationsverlust.Schwerpunkt der Maßnahmen in diesem Bereich ist eine Kombination aus zusätzlichenInvestitionen in Personal und Prozessen mit Implementierung eines unternehmensweitenQualitätsmanagements.Abbildung 6: Relevante Rechtsgrundlagen bzw. Vorschriften kundenbezogenerCompliance70 %60 %50 %40 %30 %20 %10 %0 %62%Vertragsrecht38%Produkthaftung8 B-2-B: Business to Business9 B-2-C: Business to Customer10 ProdHaftG: Produkthaftungsgesetz/Gesetz über die Haftung für fehlerhafte Produkte12Compliance Management | Studie

Betrugs- und Korruptions-ComplianceAnti-Fraud Management, im deutschen Sprachgebrauch als Bekämpfung von Wirtschaftskriminalitätoder dolosen Handlungen bekannt, hat für 31 Prozent der Unternehmeninnerhalb des Bereichs Betrugs- und Korruptions-Compliance wichtigen Einfluss auf ihreCompliance-Aktivitäten.Der ebenfalls hier einzuordnende Begriff Geldwäsche, basierend auf dem GwG 11 , ist mit28 Prozent die zweitwichtigste Nennung in dieser Gruppe, gefolgt von Anti-Korruption(25 Prozent) sowie dem Sammelbegriff Finanzsanktionen (16 Prozent).Zur Bekämpfung von Fraud Management und dolosen Handlungen gelten die dreigrundlegenden Prozesse Prävention, Aufdeckung und Aufarbeitung. Hier kommen unteranderem Hinweisgebersysteme („Whistleblowing“ 12 ) zum Einsatz, die internen Mitarbeiternermöglichen, Missstände oder allgemeine Gefahren an der zuständigen Stelle zuplatzieren.Abbildung 7: Relevante Rechtsgrundlage der Betrugs- und Korruptions-Compliance35 %30 %25 %31%28%25%20 %15 %16%10 %5 %0 %Anti-FraudManagementGeldwäscheAnti-KorruptionFinanzsanktionen11 GwG: Geldwäschegesetz12 Ein „Whistleblower“ ist eine Person, die Missstände, illegales Handeln oder allgemeine Gefahren,von denen sie an ihrem Arbeitsplatz erfährt, an die Öffentlichkeit bringt.Vgl. Whistleblower-Netzwerk e.V., 2007, S. 4: Stellungnahme zum Grünbuch – Ein moderneresArbeitsrecht für die Herausforderungen des 21. JahrhundertsCompliance Management | Studie 13

Andere regulatorische VorschriftenIm Rahmen des Bereichs „Andere regulatorische Vorschriften“ haben nach Beurteilungder Befragten die Themen „Datenschutz“ sowie „IT-Compliance“ eine hohe Bedeutung(16 und 14 Prozent). Als weiterhin relevante Anforderungen in dieser Kategorie wurdenethische Unternehmensstandards (12 Prozent), MaRisk 13 als Richtlinie ausschließlichfür Banken und Versicherungen (11 Prozent) sowie allgemeine Umweltrichtlinien(10 Prozent) genannt.IT-Compliance greift insbesondere auf Referenzmodelle wie COBIT 14 zurück. Durch dieAnwendung dieses Standards als Framework werden im Unternehmen insbesondere inder Compliance-Einführung Bewusstsein und Transparenz geschaffen. Gleichzeitig dienendie implementierten Compliance-Prozesse dazu, die unkontrollierte Veröffentlichung vonUnternehmensdaten zu verhindern.Abbildung 8: Andere relevante Compliance-Rechtsgrundlagene-Discovery, E-MailCompliance Solvency II7%7%Basel II8%WettbewerbsrechtUmweltrichtlinienMaRiskEthischeUnternehmensstandardsIT-Compliance10%11%12%13%15%Datenschutz17%0 % 5 % 10 % 15 % 20 %13 MaRisk: Mindestanforderungen an das Risikomanagement14 COBIT: Führendes Rahmenwerk für die Kontrolle und Steuerung der IT; es bildet das Fundament für eineeffiziente und wirksame IT Governance. Zur Vollständigkeit sind weitere Referenzmodelle ausserhalbder IT wie das COSO (Committee of Sponsoring Organizations of the Treadway Commission) Frameworkund Reed Book 2.0 (OCEG – Open Compliance & Ethics Group) erwähnt, die die Unternehmen bei derAbdeckung der Governance-, Risk- und Compliance-Anforderungen unterstützen.14Compliance Management | Studie

4.1.2 Compliance-OrganisationUm die Rahmenbedingungen des gegenwärtig im Unternehmen praktiziertenCompliance Managements zu ermitteln, wurde die organisatorische Eigenständigkeitder Compliance-Funktion untersucht.Interne Verankerung von ComplianceEs zeigt sich, dass mehr als die Hälfte (59 Prozent) der befragten Unternehmen bereitseine Abteilung zur Behandlung von Compliance-Themen eingerichtet hat. Bei 37 Prozentdieser Unternehmen besteht diese Organisationseinheit bereits seit über fünf Jahren.Weitere 32 Prozent gründeten die Compliance-Einheit vor ein bis drei Jahren. Eine Verankerungin die Unternehmensorganisation erfolgte somit erst in den letzten Jahren undweist auf weiteren Handlungsbedarf hin.Berichtswege der Compliance-EinheitDie Signifikanz von Compliance-Themen lässt sich an den Berichtswegen der Compliance-Abteilung innerhalb der Gesamtorganisation ablesen, d. h. an den Adressaten eventuellerVerstöße. In den meisten Fällen informiert der Compliance-Zuständige direkt dieGeschäftsführung bzw. den CEO (41 Prozent) oder CFO (26 Prozent). Dies ist auch zurückzuführenauf die Verantwortlichkeit bzw. Haftbarkeit des Top Managements im Falle vonCompliance-Verstößen.Darüber hinaus bestehen bei den Befragten außerdem Berichtswege über den CRObzw. den Risikobereich oder den COO bzw. die Operative Leitung (je 11 Prozent). DieseBerichtswege sind jedoch unter den Studienteilnehmern weniger verbreitet. Unter demPunkt „Sonstige“ wurden Funktionen wie Marktfolge, Rechtsabteilung oder Personal-/Rechtsvorstand genannt.Abbildung 9: Berichtswege des Compliance Managements45 %40 %35 %30 %25 %20 %15 %10 %5 %0 %41%CEO26%CFO11% 11% 11%CROCOOSonstigeCompliance Management | Studie 15

Das Reporting der Compliance-Aktivitäten an die Geschäftsleitung erfolgt mit großerMehrheit unmittelbar (81 Prozent), im Bereich Financial Services sogar noch deutlichermit 89 Prozent. Dies zeigt, dass dem Compliance Management in Unternehmen generellsehr hohe Relevanz beigemessen wird.Die Zahl der Mitarbeiter, die sich vorwiegend mit Compliance beschäftigen, ist besondersim Bereich Financial Services auffallend hoch – hier widmen sich durchschnittlich1,2 Prozent der gesamten Mitarbeiterzahl diesem Themenfeld.Gründe zur Etablierung der Compliance-EinheitAuf die Frage, ob Compliance Management aufgrund externer Bedingungen (Gesetzgebung,Rechnungslegungsstandards, Richtlinien) oder interner Anforderungen (durchKonzernvorgaben) etabliert wurde, antworteten 62 Prozent der Unternehmen, dassexterne Einflüsse ausschlaggebend waren. Die restlichen 38 Prozent integriertenCompliance Management nach (konzern-) interner Anweisung in ihre Organisation.Die Branchenaufteilung zeigt, dass Banken und Versicherungen wesentlich stärker durchexterne als interne Anforderungen beeinflusst werden (76 Prozent) und dies die ausgeprägteorganisatorische Einbindung begründet.16Compliance Management | Studie

4.2.2 Konsequenzen und Handlungsbedarf der UnternehmenDas Themenfeld Compliance wird in den kommenden Jahren bei vielen Branchen undUnternehmen weiterhin bzw. zunehmend im Fokus stehen. Aufgrund der steigendenAnforderungen sind finanzielle und personelle Investitionen für eine starke Unternehmens-Governancenotwendig. Im Folgenden werden auf Basis der Umfrageergebnissedie Erwartungen der Unternehmen im Umgang mit den zunehmenden Anforderungendargestellt.Steigende KostenentwicklungDie Frage nach den künftigen monetären Aufwänden im Compliance-Bereich klärt sichdurch die folgende Abbildung der zu erwartenden Kostenentwicklungen im ComplianceManagement. Der weitaus überwiegende Teil der Befragten schätzt die Kostenentwicklungfür Compliance-Aktivitäten bis zum Jahr 2015 als steigend ein (60 Prozent), weitere5 Prozent sogar als stark steigend. Ein kleinerer Teil rechnet hingegen mit einer konstanten(30 Prozent) oder sinkenden Kostenentwicklung (5 Prozent).Abbildung 13: Kostenentwicklung von Compliance-Aktivitäten bis 2015sinkend 5%konstant30%steigend60%stark steigend5%0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 %Dies verdeutlicht die Anerkennung und Akzeptanz des Themenfelds Compliance im Unternehmenhinsichtlich Brisanz und Umfang der Aktivitäten. Die Betrachtung der maßgeblichenCompliance-Kostenarten im nächsten Abschnitt erläutert die zu Grunde liegendenAnnahmen für die erwartete Kostenentwicklung.Compliance Management | Studie 23

Konzentration auf Bereiche Vertrieb und RisikoCompliance wird zukünftig als klarer Bestandteil eines integrierten Risikomanagementsystemsverstanden (16 Prozent). Kleinere Unternehmen ohne eigenständigenRisikobereich zur Abbildung der Compliance-Aufgaben ordnen entsprechende Aktivitätenjeweils in gleichem Maße Organisationseinheiten wie IT, Recht, Controlling und InternerRevision zu (jeweils 9 Prozent). Unternehmensbereiche wie Vertrieb/Kunden (11 Prozent)und Finanzbuchhaltung (7 Prozent) werden ebenfalls im Zusammenhang mit Compliance-Aktivitäten genannt. Die Vielfalt der Antworten ist hierbei relativ zur Unternehmensgröße.Details sind der nachfolgenden Abbildung zu entnehmen.Abbildung 15: Schwerpunktbereiche künftiger Compliance-AktivitätenKreditmanagement/Mahnwesen 1%PersonalmanagementMarketingSteuern1%1%1%BeteiligungsmanagementMergers & AcquisitionsFacility ManagementEinkauf3%3%3%4%ProduktionFinanzbuchhaltungTreasury6%7%7%Controlling/Financial AnalysisEDV/ITInterne Revision9%9%9%Recht9%Vertrieb/Kunden11%Risikomanagement16%0 % 5 % 10 % 15 % 20 %Compliance Management | Studie 25

Die Mehrfachnennung des Bereichs Risikomanagement (Abb. 3: 38 Prozent erweiterungsfähig,Abb. 15: 16 Prozent künftig relevant) erklärt sich mit der überwiegendenTeilnahme von Unternehmen des Finanzdienstleistungssektors (60 Prozent). Die Gesetzgebungfür den Bereich Financial Services sowie weitere hier angesiedelte relevanteVorschriften und Regeln sind komplexer und erfordern eine besondere Organisation desRisikomanagements.Auch in Unternehmen aus dem Bereich Commercial Services ist ein effektives Risikomanagementaus Compliance-Sicht hoch relevant. Die Verwendung interner Kontrollsysteme(siehe auch Kapitel 4.1.1) ist hier stark verbreitet und wird im ComplianceManagement als Mittel zur Risikovermeidung genutzt.Die Mehrheit der Studienteilnehmer plant aktuell keinen weiteren Ausbau evtl.verwandter technischer Compliance-Lösungen (70 Prozent). 30 Prozent der Befragtenhingegen streben die Implementierung bzw. den Ausbau einer technischen Compliance-Lösung an – gemäß dem Trend zu künftig geplanten größeren Investitionen im Personalbzw.Prozessumfeld.Fragt man nach dem größten Nutzen von Compliance Management oder, anders ausgedrückt,den Erwartungen, die man an die erfolgreiche Einbindung von Compliance indas Unternehmen knüpft, wird bei den Erstnennungen bzw. beim Ranking der Nutzenpotenzialeein klarer Trend erkennbar. Demnach ist die Erfüllung von Vorschriften undRechtssicherheit nach Aussage der Befragten wichtigster Faktor (70 Prozent) – in Übereinstimmungmit der Kernfunktion von Compliance Management.Ein weiterer wichtiger Aspekt der Befragten ist, künftig mit einem funktionsfähigenCompliance Management die Reputation des Unternehmens sicherzustellen bzw. zuverbessern (41 Prozent). Dies kann gleichermaßen als Wettbewerbsvorteil gesehenwerden: Beispiele in den Medien zeigten, dass Verstöße gegen einschlägige Compliance-Vorschriften selbst bei großen Unternehmen zu erheblichen Imageverlusten führen.Auf Rang drei der Nutzenskala steht im Vordergrund die Erreichung eines höheren Informationsniveaus(34 Prozent) durch das eingesetzte Compliance Management, das auchals Beitrag zur wertorientierten Unternehmensführung dient. Bei der Einführung einesCompliance-Systems müssen zahlreiche Prozesse detailliert betrachtet werden, woraussich ein Informationsmehrwert oder die Möglichkeit zur Verbesserung einzelner Prozessschritteeröffnet. Zusätzlich ist zu erwarten, dass nach erfolgreicher Implementierungdes integrierten Systems neu gewonnene Reporting-Funktionalitäten und Kontrollenbislang intransparente Compliance-relevante Vorgänge aufzeigen.26Compliance Management | Studie

Die Erzielung einer kundenorientierten Ausrichtung (21 Prozent) sowie die Bündelungvon Ressourcen/Expertisen (21 Prozent) erscheinen als Meistnennungen auf Rang vier.Danach folgen Vertiefung von Prozess Know-how (31 Prozent auf Rang 5), Effizienzsteigerung(25 Prozent auf Rang 5) und Bündelung von Ressourcen/Expertisen (46 Prozent aufRang 6).Die Realisierung von Wettbewerbsvorteilen durch ein funktionsfähiges ComplianceManagement ist für eine kleinere Anzahl der Studienteilnehmer von untergeordneterBedeutung (Verteilung von durchschnittlich 12 Prozent auf Rang 3 bis 6).Abbildung 16: Verteilung der größten Compliance-Nutzenfaktoren5%5%15%5%11%11%21%12%24%15%21%13%25%7%7%46%Realisierung vonWettbewerbsvorteilenErreichung einerEffizienzsteigerungBündelung vonRessourcen/Expertisen18%15%6%Vertiefung vonProzess-Know-How70%Rang 16%21%31%41%7%34%13%21% 19%11%20%5% 6% 7% 6%Rang 2 Rang 3 Rang 4 Rang 5 Rang 6Erzielung einerkundenorientiertenAusrichtungErhaltung undOptimierung derReputationErreichung eines höherenInformationsniveausErfüllung von Vorschriftenund RechtssicherheitCompliance Management | Studie 27

5. Das ComplianceManagement Maturity Modelvon BearingPointDie Studienergebnisse zeigen, dass Compliance Management branchenübergreifendUnternehmensbestandteil geworden ist. Branchenabhängig und je nach Regulierungsgradsind Compliance-Aspekte mehr oder minder stark ausgeprägt und integriert.Das im Folgenden dargestellte, von BearingPoint entwickelte Compliance ManagementMaturity Model dient der schnellen und einfachen Einstufung der Umsetzung desCompliance Managements eines Unternehmens. Gleichzeitig zeigt es, mit welchenweiteren Umsetzungsschritten Optimierungen realisiert werden können.Abbildung 17: Level des Compliance Management Maturity ModelMaster• Transparenz für Kosten von Compliance/Non-Compliance• strategische Ausrichtung• prozessuale Verankerung• hohes Level technischer UnterstüzungImprover• laufende Überprüfung der Compliance-Funktion• Bewusstsein für Synergieeffekte• aktive Erkennung regulatorischer AnforderungenMasterImproverSupporter• geringes Compliance-Bewusstsein• vereinzelter Einsatz von Kontrollen• überwiegend reaktives Verhalten• sporadische KontrollenBeginner• keine Abgrenzung der Compliance-Funktion• geringe Auswertungsmöglichkeiten• reaktives Verhalten• überwiegend InsellösungenBeginnerSupporterAufstieg zumgewünschtenZielzustand imComplianceManagement28Compliance Management | Studie

Kriterium Ausprägung SelbsteinschätzungBeginner Supporter Improver Master5) Organisation= OrganisatorischeEinbettung derCompliance-Fuktion imUnternehmen6) Methods/IT Assistance= Systemunterstützungbei Ausübung derCompliance-Funktion8) Culture= Wahrnehmung undBerücksichtigung vonCompliance in Wertendes UnternehmensGesamtbewertung(Durchschnitt der Einzelbewertungen)Personelle Überschneidungen/unklare Zuständigkeiteninnerhalbder Compliance-FelderCompliance-Einbindungerlaubt keinunabhängigesHandelnAusbaufähigesQualifikationsprofilDurchführung vonPrüfprozessen,erste automatischeKontrollenBearbeitung vonCompliance-SachverhaltenerfolgtweitestgehendmanuellHoher zeitlicherund personellerAufwandVernachlässigungRisiko-/Gefährdungsanalysen7) Adaptability/Flexibility= Erkennung, Bewertungund Umsetzung neuerregulatorischer AnforderungenAusschließlichreaktivesVerhalten bezüglichregulatorischerÄnderungenKeine internenProzesse zurBewertung/UmsetzungregulatorischerAnforderungenNegatives Bildder Compliance-Funktion unterMitarbeitern(„Geschäftsbremse“)Wenig bis keineKommunikationzwischenCompliance-Abteilungund weiterenGeschäftsbereichenTreffen relevanterEntscheidungenohne Compliance-EinbeziehungErstellung/EtablierungdedizierterEinheitenEinbindung jedochnoch nicht unabhängigOrganisationsbedingteInteressenkonflikteSpezialisierungder RechtsbereicheVereinzelterEinsatz vonSystemen/technischenKontrollenNoch keineEtablierung einerumfassenden,integriertenCompliance-LösungVereinzelteDurchführung vonRisiko-/GefährdungsanalysenÜberwiegend reaktivesVerhaltenbezüglichregulatorischerÄnderungenUmsetzungsmaßnahmenerfolgen meistnach externenVorgabenWahrnehmungund Akzeptanzvon Complianceals erforderlicheAnforderungKommunikationin ausreichendemRahmenCompliancerelevanteEntscheidungensind Gegenstanddes täglichenGeschäftsUnabhängigkeitder Compliance-Bereiche schrittweiseerreichtZusammenfassungeinzelner VerantwortlicherzuorganisatorischerEinheitSpezialisierunginnerhalb derCompliance-OrganisationIntegriertesCompliance-System inVorbereitung/ImplementierungEntlastung derCompliance-OrganisationdurchumfangreicheIT-gestützteReportingfunktionalitätenErhöhteKonzentration aufKernaufgabenHäufig aktiveErkennungregulatorischerNeuerungenInterne Prozessezur Bewertung/Umsetzung derVorgaben meistnoch unzureichendAnerkennungder Vorteilevon ComplianceManagementAnerkennung vonCompliance alsWettbewerbsvorteilUnternehmensweite,proaktiveKommunikationzwischenGeschäftsbereichenDirekte Unterstellungder GeschäftsführungFunktion erlaubtunabhängigesHandelnggf. ErrichtungCCO-FunktionOptimale Budgetverfügbarkeit/VergütungsstrukturenSehr hohes Leveltechnischer UnterstützungSehr gute Vernetzungder AbläufeRegelmäßigeAnwendung/Aktualisierung vonRisiko-/GefährdungsanalysenEinheitlicheMethodik/VorgehensweiseFrühzeitige Erkennung/UmsetzungregulatorischerAnforderungenEffektive undeffiziente Umsetzung(Prozesse,Aufbauorganisation,Systeme)Positives Imageder Compliance-FunktionAnerkennnung alsSchutz-/BeratungsfunktionMitarbeiterhandeln eigenverantwortlichimEinklang mit externenund internenVorschriftenEinbeziehung vonCompliance in relevanteProzesse undEntscheidungenDas Ergebnis ist eine erste Einschätzung, in welchem Compliance-Reifegrad sich IhrUnternehmen befindet. Es ist die Grundlage zur Definition von Compliance-Zielen,Maßnahmen und weiteren Schritten zur Zielerreichung.Compliance Management | Studie 31

6. Fazit und AusblickZusammenfassend lässt sich feststellen, dass Compliance Management branchenunabhängig(Financial Services, Commercial Services, Public Services) bei den Befragtenbereits fest in der Unternehmensorganisation integriert ist. Die Studienergebnisse zeigenjedoch auch, dass Unternehmen generell weiteren Handlungsbedarf sehen.Die wichtigsten Eckpunkte und Ergebnisse der Befragung:• Von den befragten Unternehmen haben die meisten innerhalb der letzten ein bis fünfJahre einen organisatorisch eigenständigen Compliance-Bereich etabliert; die Berichtswegeverlaufen zumeist unmittelbar an die Geschäftsführung (CEO).• Der Bereich Financial Services nimmt die „Vorreiterrolle“ ein und ist womöglich auchaufgrund der Lehren aus der Finanzkrise besser auf Compliance-Anforderungen vorbereitet;des Weiteren ist davon auszugehen, dass stärker regulierte Branchen (FinancialServices, Energie, Pharma) tendenziell weiter fortgeschritten sind als wenigerregulierte Branchen.• Die Verknüpfung von technischen, prozessualen und personalen Kriterien hinsichtlichCompliance Management bringt viele Vorteile in Bezug auf Transparenz und Effizienz;vor dem Hintergrund der Unternehmensgröße und einhergehender Kosten-Nutzen-Überlegungen werden die Kriterien unterschiedlich gewichtet und umgesetzt.• Unternehmensbereiche wie Marketing, Vertrieb/Kunden, Risikomanagement,Treasury und IT werden als erfolgskritisch und aktuell erweiterungsfähig im Rahmenzukünftiger Compliance-Aktivitäten betrachtet.• Im Zusammenhang mit Betrugs- und Korruptionsprävention bestimmen insbesondereUnternehmensethik und Unternehmenskultur das Handeln der einzelnen Beteiligten.• Um zukünftigen gesetzlichen Compliance-Anforderungen gerecht zu werden, ist einesystemische Unterstützung, abgestimmt auf die Unternehmensgröße, unverzichtbar.Die Implementierung eines integrierten Compliance-Systems wie z. B. von BWise, SAP,Microsoft, Actimize, CA, Innovations Software Technology GmbH 2010 (Bosch Gruppe)oder efront, um nur einige Hersteller zu nennen, sollte im Vorfeld aus verschiedenenGesichtspunkten individuell und prozessabhängig betrachtet werden; aktuell existiertkeine All-Fits-One-Lösung für das breite Aufgabenspektrum Compliance, allerdingsunterstützen spezialisierte Lösungen bereits große Teile der Anforderungen.32Compliance Management | Studie

Für ein angemessenes Compliance Management im Unternehmen müssen Cost ofCompliance und Cost of Non-Compliance stets abgewogen werden, wobei – auch gemäßaktueller Compliance-Literatur – ein Non-Compliance-Vorgehen keine Alternative fürUnternehmen sein sollte. Dies kann auch bedeuten, dass sich lukrativ erscheinendeGeschäftsfelder nicht realisieren lassen, da sich die Compliance-Anforderungen ausKosten-, Ressourcen- oder anderen unternehmensinternen Gesichtspunkten als nicht„manageable“ erweisen. Der verantwortungsvolle Umgang mit Compliance Managementkann somit bis hin zum Ausstieg aus einzelnen Geschäftsfeldern führen.Mit steigendem Reifegrad des Compliance Managements wird ein Werteverständnis und-management geschaffen, das von allen Mitarbeitern getragen wird, mit verschiedenenBausteinen voll in die Unternehmensorganisation integriert ist und die Einhaltung sämtlicherAnforderungen an das Unternehmen sicherstellt sowie das Risiko von Ad-hoc- bzw.Insellösungen vermeidet.Der Blick in die Zukunft lässt grundsätzlich zusätzlichen Handlungsbedarf für alle Unternehmenerwarten, da Compliance-Anforderungen vertikal und horizontal steigen unddie Frequenz neuer Anforderungen stetig zunimmt. Dies gilt sowohl für aktuell bereitsstark regulierte Branchen als auch für Branchen, die mit künftig stärkeren Regulierungenrechnen müssen.Hier muss jedes Unternehmen entscheiden, ob steigende regulatorische Anforderungenals bürokratische Hürde oder als Chance wahrgenommen werden und ComplianceManagement als wesentliches Element einer nachhaltigen Unternehmensführungverstanden wird.Compliance Management | Studie 33

AutorenDr. Robert Wagner, Partner, DeutschlandT +49 172 621 2623robert.wagner@bearingpointconsulting.comDieter Steinhüser, Senior Manager, DeutschlandT +49 174 306 9094dieter.steinhueser@bearingpointconsulting.comOliver Engelbrecht, Director, DeutschlandT +49 174 318 6334oliver.engelbrecht@bearingpointconsulting.comAgnetha Meinherz, Business Consultant, DeutschlandT +49 173 576 4308agnetha.meinherz@bearingpointconsulting.com34Compliance Management | Studie

KontaktpersonenDeutschlandDr. Robert Wagner, PartnerT +49 172 621 2623robert.wagner@bearingpointconsulting.comSchweizRonald Frey, PartnerT +41 79 620 5218ronald.frey@bearingpointconsulting.comÖsterreichPeter Linzner, PartnerT +43 664 412 5203peter.linzner@bearingpointconsulting.comCompliance Management | Studie 35

To get there. Together.Wir helfen unseren Kunden,messbare und nachhaltige Ergebnisse zu erzielenBearingPoint berät Unternehmen und Organisationen aus den Bereichen Commercial Services, Financial Servicesund Public Services bei der Lösung ihrer dringendsten und wichtigsten Aufgaben. In enger partnerschaftlicherZusammenarbeit mit dem Kunden definieren BearingPoint-Berater anspruchsvolle Ziele und entwickelnLösungen, Prozesse und Systeme entlang der gesamten Wertschöpfungskette. Dies bildet die Grundlage füreinen außerordentlichen Beitrag zum Geschäftserfolg – und eine außergewöhnliche Kundenzufriedenheit. Seitder Übernahme durch seine Partner im Rahmen eines Management Buy-Out ist BearingPoint eine unabhängigeUnternehmensberatung, die Unternehmertum sowie Management- und Technologiekompetenz auf einzigartigeWeise vereint. Das Unternehmen beschäftigt rund 3.200 Mitarbeiter in 14 europäischen Ländern. Das Unternehmenhat europäische Wurzeln, agiert aber global.Für weitere Informationen: www.bearingpoint.deBearingPoint. Management & Technology ConsultantsBearingPoint GmbHSpeicherstraße 160327 Frankfurt am Main – Deutschlandwww.bearingpoint.de© 2010 BearingPoint GmbH, Frankfurt/Main. Alle Rechte vorbehalten. Gedruckt in der EU. Der Inhalt dieses Dokuments unterliegt dem Urheberrecht.Veränderungen, Kürzungen, Erweiterungen und Ergänzungen, jede Veröffentlichung, Übersetzung oder gewerbliche Nutzung zu Schulungszwecken durch Drittebedarf der vorherigen schriftlichen Einwilligung durch BearingPoint GmbH, Frankfurt/Main. Jede Vervielfältigung ist zum persönlichen Gebrauch gestattet undnur unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. WP_0580_DE