compliance-risikoanalyse - inhaltsverzeichnis€¦ · leiter compliance strategy & risk der...
TRANSCRIPT
Compliance-Risikoanalyse
Praxisleitfaden für Unternehmen
vonDr. Klaus Moosmayer, Prof. Dr. Werner Beulke, Alexander Eufinger, Dr. Frank Fabian, Philip Haarmann, Jan Hansen,
Dr. Anabel Harting, Dr. Wolfgang Heckenberger, Meinhard Remberg, Dr. Anita Schieffer, Dr. Robert Schulz, Dr.Christian Steinle, Dr. Jochen Vetter, Ute Vogelsang, Dr. Antonie Wauschkuhn, Heiko Wendel, Matthias Wendt, Karl-
Heinz Withus, Dr. Tobias Witzigmann
1. Auflage
Verlag C.H. Beck München 2015
Verlag C.H. Beck im Internet:www.beck.de
ISBN 978 3 406 66299 7
Zu Leseprobe und Sachverzeichnis
schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG
beck-shop.de Moosmayer
Compliance-Risikoanalyse
beck-shop.de
beck-shop.de
III
Compliance-RisikoanalysePraxisleitfaden für Unternehmen
Herausgegeben von
Dr. Klaus Moosmayer
2015
beck-shop.de
IV
www.beck.de
ISBN 978 3 406 66299 7
© 2015 Verlag C.H. Beck oHGWilhelmstraße 9, 80801 München
Druck: Nomos Verlagsgesellschaft,In den Lissen 12, 76547 Sinzheim
Satz: Textservice Zink, 74869 Schwarzach
Gedruckt auf säurefreiem, alterungsbeständigem Papier(hergestellt aus chlorfrei gebleichtem Zellstoff)
beck-shop.de
V
Vorwort
Im gleichen Maße, wie Compliance im Bewusstsein von Unternehmen und in der öf-fentlichen Wahrnehmung an Bedeutung gewonnen hat, ist auch die Anzahl der Bücherund wissenschaftlichen Beiträge zum Thema gewachsen. Es gibt kaum noch Compli-ance-Aspekte, die nicht diskutiert und ausgeleuchtet sind.
Das von Dr. Klaus Moosmayer herausgegebene Werk zur Compliance-Risikoana-lyse ist dennoch einzigartig. Die Autoren haben es unternommen, Corporate Compli-ance konsequent aus der Risikoperspektive zu sehen. Damit haben sie den Nerv derPraxis getroffen! In der Unternehmensrealität geht es nämlich einzig darum, die mitNon-Compliance verbundenen Risiken zu erkennen, zu steuern und zu beherrschen.Risiko ist die alles dominierende Perspektive: Die Unternehmensprozesse und -inter-aktionen wollen systematisch auf ihre Risikoneigung hin untersucht werden, die Com-pliance-Organisation und der Ressourceneinsatz sind so zu konfigurieren, dass sie imLichte der vorhandenen Risiken verhältnismäßig sind, in der unternehmensinternenKommunikation und in der Compliance-Schulung muss eine risikogerechte Priorisie-rung der Compliance-Themen vorgenommen werden, und Compliance-Controllingund Enforcement funktionieren nur, wenn die betreffenden Teilprozesse nach Maß-gabe der konkreten Compliance-Risiken gestaltet sind.
Die Risikoperspektive rückt das Thema Compliance aus Sicht der Unternehmens-führung ins rechte Licht, bietet Ordnungsrahmen und Referenzpunkt für Planung undUmsetzung des Compliance-Managements. Diese Perspektive ist nicht nur aus Sichtder Praxis richtig und vernünftig. Sie weist auch in der Theorie den richtigen Weg.Compliance-Management ist nämlich letztlich zu verstehen als Teil des Risikoma-nagements des Unternehmens und dieses wiederum als unverzichtbarer Teil der Cor-porate Governance. In diesem Verständnis fällt es dann auch nicht mehr schwer, dieVerantwortung der obersten Unternehmensführung für Compliance im Unternehmenzu begründen.
St. Gallen, im Oktober 2014
Professor Dr. Leo StaubExecutive School of Management, Technology and Law der Universität St. Gallen
beck-shop.de
VI
beck-shop.de
VII
Bearbeiterverzeichnis
Prof. Dr. Werner BeulkeRechtsanwalt in Passau
Dr. Alexander EufingerLehrbeauftragter an der Universität Siegen und Jurist bei Gleiss Lutz, Stuttgart
Dr. Frank FabianGroup Chief Compliance Officer und Leiter Governance, Risk & Compliance im Volkswagen Konzern, Wolfsburg
Jan HansenLeiter Compliance Strategy & Risk der Siemens AG, München
Philip HaarmannLeiter Strafrecht im Volkswagen Konzern, Wolfsburg
Dr. Anabel HartingRechtsanwältin bei HengelerMueller, Frankfurt a.M.
Dr. Wolfgang HeckenbergerRechtsanwalt und Chief Counsel Competition der Siemens AG, München
Dr. Klaus Moosmayer Rechtsanwalt und Chief Compliance Officer der Siemens AG, Erlangen/München
Meinhard RembergGeneralbevollmächtigter bei der SMS GmbH, Hilchenbach,
und Vorstandsmitglied von DICO – Deutsches Institut für Compliance e.V., Berlin
Dr. Anita SchiefferLeiterin Compliance Policies and Legal Advice der Siemens AG, München
Dr. Robert SchulzRechtsanwalt und Senior Counsel Competition der Siemens AG, München
Dr. Christian SteinlePartner und Rechtsanwalt bei Gleiss Lutz, Stuttgart
Prof. Dr. Jochen VetterPartner und Rechtsanwalt bei HengelerMueller, München;
Honorarprofessor an der Universität zu Köln
beck-shop.de
VIII
Bearbeiterverzeichnis
Ute VogelsangReferatsleiterin und bis April 2014 Antikorruptionsbeauftragte im Referat
für Korruptionsprävention und Sponsoring im Bundesministerium des Innern, Berlin
Dr. Antonie WauschkuhnLeiterin Compliance Europa und CIS der Siemens AG, München
Heiko WendelRechtsanwalt und Chief Integrity & Compliance Officer der Rolls-Royce
Power Systems AG, Friedrichshafen
Mathias WendtSenior Manager, KPMG Audit Assurances Service, Köln
Dr. Karl-Heinz WithusWirtschaftsprüfer, Steuerberater und Certified Public Accountant (U.S.-Delaware)
bei KPMG, Berlin
Dr. Tobias WitzigmannStaatsanwalt in München
beck-shop.de
IX
Inhaltsverzeichnis
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VBearbeiterverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIIAbkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVVerzeichnis der (abgekürzt) zitierten Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Kapitel 1. Einführung (Moosmayer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
A. Anlass für eine Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
B. Rechtliche Bedeutung und Quellen der Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . 2
C. Systematik und Durchführung der Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . 5
Kapitel 2. Rechtliche Grundlagen der Compliance-Risikoanalyse und Umsetzung im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
§ 1. Überblick zu den straf- bzw. ordnungswidrigkeitenrechtlich relevanten Organisations- und Aufsichtspflichten im Unternehmen (Beulke/Witzigmann) . . . . . . 9
A. Strafrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . . . . . . . . . . . . . . . 10I. Pflicht zur Vermeidung bzw. Kontrolle betriebsbezogener Gefahren . . . . . . . . . . . . . . . 11
1. Sachliche Gefahrenquellen für Leib und Leben Dritter . . . . . . . . . . . . . . . . . . . . . . . . 112. Personale „Gefahrenquellen“ – Pflicht zum Einschreiten gegen Straftaten
Beschäftigter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123. Erfordernis der „Betriebsbezogenheit“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144. Verantwortungsverteilung innerhalb des Unternehmens . . . . . . . . . . . . . . . . . . . . . . . 155. Inhalt der Garantenpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166. Strafbarkeitsvoraussetzungen jenseits der Garantenpflicht . . . . . . . . . . . . . . . . . . . . . 17
II. Sonstige strafrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . . . . . 18III. Drohende Sanktionen bei Verletzung der Organisations- und Aufsichtspflichten . . . . . 19
1. Kriminalstrafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192. Verfall und Einziehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
B. Ordnungswidrigkeitenrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . 23I. Organisations- und Aufsichtspflichten nach Maßgabe des § 130 OWiG . . . . . . . . . . . . 23
1. Das Unterlassen notwendiger Aufsichtsmaßnahmen als Tathandlung . . . . . . . . . . . . 232. Der Täterkreis des § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273. Weitere Voraussetzungen einer Ahndung gem. § 130 Abs. 1 OWiG . . . . . . . . . . . . . 27
II. Sonstige ordnungswidrigkeitenrechtlich implizierte Aufsichts- und Organisationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
III. Drohende Sanktionen bei Verletzung der Organisations- und Aufsichtspflichten . . . . . 291. Geldbuße gegen natürliche Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292. Verbandsgeldbuße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293. Verfall und Einziehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
§ 2. Überblick zu den gesellschaftsrechtlichen Organisations- und Aufsichtspflichten im Unternehmen (Vetter/Harting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
A. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
B. Allgemeine Organisations- und Aufsichtspflichten im Einzelunternehmen . . . . . . . . . . . . . 34I. Pflichten des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1. Pflicht zur Einrichtung eines Risikofrüherkennungssystems (§ 91 Abs. 2 AktG) . . . 35a) Keine verbindliche Vorgabe konkreter Mindestanforderungen . . . . . . . . . . . . . . . 35b) Elemente des Risikofrüherkennungssystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
aa) Erste Stufe: Früherkennung bestandsgefährdender Entwicklungen . . . . . . . . 37bb) Zweite Stufe: Überwachung der eingeleiteten Maßnahmen . . . . . . . . . . . . . . 38
beck-shop.de
X
Inhaltsverzeichnis
c) Absicherung durch korrespondierende Berichts- und Prüfungspflichten . . . . . . . 402. Risikoanalyse als Teil der allgemeinen Leitungsaufgabe (§§ 76, 93 AktG) . . . . . . . . 41
II. Pflichten des Aufsichtsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431. Gegenstand der Überwachung im Bereich des Risikomanagements . . . . . . . . . . . . . . 432. Mittel zur Überwachung des Risikomanagements durch den Aufsichtsrat . . . . . . . . . 443. Delegation der Überwachung des Risikomanagements an einen Prüfungsausschuss . 45
C. Organisations- und Aufsichtspflichten im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46I. Pflichten des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
1. Vorstand der herrschenden Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46a) Mittelbare Pflicht zum Risikomanagement im Konzern . . . . . . . . . . . . . . . . . . . . 46b) Mittel zur Umsetzung konzernweiter Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . 48
aa) Vertragskonzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48bb) Faktischer Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48cc) Ergänzung: Minderheitsbeteiligung oder Joint Venture . . . . . . . . . . . . . . . . . 48
2. Vorstand der abhängigen Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49II. Pflichten des Aufsichtsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
§ 3. Praktische Umsetzung der Compliance-Anforderungen im Unternehmen (Schieffer/Wauschkuhn) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
A. Ausgangspunkt: Haftungsrisiken für Unternehmensverantwortliche im Bereich der Organisations- und Aufsichtspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
B. Maßnahmen zur Umsetzung der gesetzlichen Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . 54I. Grundüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
1. Parameter für eine Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542. Umsetzung im Rahmen eines Compliance-Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 54
II. Organisations- und Aufsichtspflichten in der Unternehmenspraxis . . . . . . . . . . . . . . . . 551. Sorgfältige Auswahl von Mitarbeitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552. Organisatorische Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
a) Betriebs- und Unternehmensorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56b) Compliance-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57c) Erfordernis einer internen Revision und weiterer Fachabteilungen . . . . . . . . . . . . 59
3. Aufklärung und Unterweisung der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59a) Aufklärung und Schulung von Mitarbeitern über deren Aufgaben und Pflichten . 59b) Kommunikation und Trainingsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60c) Eigenverantwortlichkeit der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61d) „Zero Tolerance“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4. Unterweisung der Führungskräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61a) Grundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61b) Informationsschrift für Führungskräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62c) Besondere vertragliche oder unternehmensinterne Regelungen . . . . . . . . . . . . . . 63
5. Überwachung und Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63a) Risikobasierter Ansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63b) Ermessen bei der Befolgung von Gesetzen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
aa) Unsichere Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64bb) Beseitigung und Offenlegung von Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . 65
c) Maßgebliche Faktoren für die Bestimmung geeigneter Kontrollmaßnahmen . . . . 65d) Integration in Geschäftsprozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
III. Aufdeckung und Sanktionierung von Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681. Aufklärung und Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682. Offenlegung von Verstößen an die Behörden? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683. Sanktionierung und Beseitigung der Missstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
C. Umsetzung der gesetzlichen Verpflichtungen im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . 70I. Berichtspflichten und Auskunftsrechte der Konzernmutter . . . . . . . . . . . . . . . . . . . . . . 71
II. Organisation und Instrumente der Konzernsteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
beck-shop.de
XI
Inhaltsverzeichnis
1. Konzernweite Berichtslinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722. Konzernweite Steuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
D. Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Kapitel 3. Praxisbeispiele der Compliance-Risikoanalyse aus Verwaltung und Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
§ 4. Compliance-Risikoanalyse im Unternehmen am Beispiel des Volkswagen Konzerns (Fabian/Haarmann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
A. Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75I. Ziel und Zweck einer unternehmensbezogenen Compliance-Risikoanalyse . . . . . . . . . . 75
II. Was sind Risiken für ein Unternehmen und was sind Compliance-Risiken? . . . . . . . . . 76III. Was ist eine Compliance-Risikoanalyse? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
B. Compliance-Risikoanalyse des Volkswagen Konzerns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77I. Der integrierte Governance, Risk & Compliance Ansatz des Volkswagen Konzerns . . 78
II. Die Elemente der Compliance-Risikoanalyse des Volkswagen Konzerns . . . . . . . . . . . 791. Der GRC-Regelprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792. Auswertung relevanter Revisionsberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823. Austausch mit anderen Fachbereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834. Issue Management als weiteres top-down Instrument . . . . . . . . . . . . . . . . . . . . . . . . . 835. Korruptionsindizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846. Abstimmung mit Gremien und Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
III. Implementierung von Compliance-Programmen auf Basis der Risikoanalyse . . . . . . . . 84IV. Integrierte Prüfung der Wirksamkeit von Compliance-Maßnahmen im Rahmen
des GRC-Regelprozesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851. Identifikation der für die Nachweisführung relevanten Gegenmaßnahmen und
Managementkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852. Wirksamkeitsnachweis für Gegenmaßnahmen und Managementkontrollen . . . . . . . 85
C. Resümee und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
§ 5. Compliance-Risikoanalyse im Unternehmen am Beispiel der Siemens AG (Hansen) 87
A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
B. Bottom-up Compliance-Risikoanalyse – Compliance Risk Assessment . . . . . . . . . . . . . . . . 89I. Ziele des Compliance Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
II. Der Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901. Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902. Der Management Workshop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913. Bericht an das Enterprise Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924. Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
III. Zeitplan des Compliance Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
C. Top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93I. Das Ziel der top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
II. Der Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931. Auswahl von Fokus Einheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932. Interne Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933. Externe Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
a) Externe Fälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95b) Vertriebskanäle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96c) Markt- und Wettbewerbsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96d) Juristisches Umfeld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4. Zusammenfassung und Management Diskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97III. Zeitplan der top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
D. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
beck-shop.de
XII
Inhaltsverzeichnis
§ 6. Compliance-Risikoanalyse in mittelständischen Unternehmen des internationalen Maschinen- und Anlagenbaus (Remberg) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
B. Begriffsklärungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100I. Mittelstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
II. Internationaler Maschinen- und Anlagenbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101III. Risikomanagement und Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
C. Die Risikoanalyse als Grundlage eines Compliance-Management-Systems . . . . . . . . . . . . . 102I. Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
II. IDW Prüfungsstandard 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
D. Risikoanalyse in ausgewählten Themengebieten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
II. Korruption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105III. Kartellrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
1. Horizontale Absprachen mit Wettbewerbern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082. Vertikale Absprachen mit Nicht-Wettbewerbern, insbes. Lieferanten und Kunden . . 1083. Missbrauch einer marktbeherrschenden Stellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
IV. Exportkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
E. Zusammenfassung und Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
§ 7. Compliance-Risikoanalyse am Beispiel der öffentlichen Verwaltung (Vogelsang) . . . 113
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113B. Gefährdungsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114C. Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117D. Sicherungsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119E. Zeitplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119F. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Kapitel 4. Kartellrechtliche Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
§ 8. Kartellrechtliche Risikoanalyse – Systematik und Aufbau (Steinle/Eufinger) . . . . . . . 121
A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
B. Gesetzliche Vorgaben zur kartellrechtlichen Risikoanalyse (§ 130 OWiG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
C. Gravierende Sanktionen bei Kartellrechtsverstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
D. Kartellrechtliche Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125I. Marktabgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
II. Allgemeines Kartellrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1261. Risikofaktor Marktstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1262. Risikofaktor Unternehmensstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1293. Risikofaktor Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
III. Konkretes Kartellrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311. Berührungspunkte mit Wettbewerbern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
a) Risikofaktor Verbandstätigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132b) Risikofaktor Kooperationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
2. Anlässe zum Tätigwerden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134a) Monitoring des Marktes und der Wettbewerber . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
aa) Pressemitteillungen und Marktäußerungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 134bb) Behördenaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
b) Interne Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136aa) Meldungen an Hinweisgebersysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136bb) Kartellrechtsschulungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136cc) Interne Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
beck-shop.de
XIII
Inhaltsverzeichnis
dd) Arbeitsrechtliche Streitigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137ee) M&A – Due Diligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
E. Risikofaktor Marktmachtmissbrauch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
F. Organisation der kartellrechtlichen Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
G. Zusammenfassung und Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
§ 9. Kartellrechtliche Risikoanalyse – Planung und Umsetzung im Unternehmen (Heckenberger/Schulz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
B. Notwendigkeit einer kartellrechtlichen Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
C. Anreizwirkungen für kartellrechtliche Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145I. Vermeidung von Kartellrechtsverstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
II. Compliance-Programme als bußgeldmindernder Faktor . . . . . . . . . . . . . . . . . . . . . . . . . 145
D. Zuständigkeit für die kartellrechtliche Risikoanalyse („Governance“) . . . . . . . . . . . . . . . . . 146
E. Durchführung der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146I. Konzept der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
II. Kriterien für die Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148III. Durchführung der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149IV. Überprüfung und Verifizierung der dezentralen Risikoanalyse . . . . . . . . . . . . . . . . . . . 149V. Risikoanalyse im Rahmen der täglichen kartellrechtlichen Beratung . . . . . . . . . . . . . . . 149
F. Effektive Folgemaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150I. „Tone from the Top/Middle” – Sensibilisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
II. Präsenzschulungen und Schulungsinhalte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1501. Hardcore-Verstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1512. Sonstige Kartellrechtsverstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1513. Adressaten der Schulungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
III. Internet-basierte Schulungen („Web-based trainings“) . . . . . . . . . . . . . . . . . . . . . . . . . . 152IV. Interne Untersuchungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
G. Globalisierung des Kartellrechts – Einheitlichkeit der kartellrechtlichen Beratung? . . . . . . 153I. Global einheitliche Beratung zu Hardcore-Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
II. Nach Ländern differenzierte Beratung zu sonstigen Wettbewerbsbeschränkungen . . . . 154
§ 10. Kartellrechtliche Risikoanalyse in mittelständischen Industrieunternehmen – Schwerpunkt Automobilindustrie (Wendel) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155I. Risiko mittelständischer Strukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
II. Zielgruppen- und funktionsorientierte Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . 156
B. Einzelrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157I. Personalauswahlrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
1. Fehlendes Erfahrungswissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1572. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
II. Wertschöpfungsstufenrisiko oder: Das Spiel über Bande . . . . . . . . . . . . . . . . . . . . . . . . 1591. Mehrere Wertschöpfungsstufen im selben Unternehmen . . . . . . . . . . . . . . . . . . . . . . 1592. Der Lieferant als Bote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1593. Der Kunde als Bote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
a) Marktmacht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161b) Matrixorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
4. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
C. Kooperationsrisiken in der Automobilindustrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162I. Risikobeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
II. Arbeitsteilungsrisiko auf Veranlassung des OEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1631. Wettbewerber als gemeinsame Lieferanten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1632. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
beck-shop.de
XIV
Inhaltsverzeichnis
III. Das „Resident Engineer“ Risiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1641. Alle Wettbewerber unter einem (Kunden-)Dach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1642. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
D. Zusammenfassung/Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Kapitel 5. Die Prüfung der Compliance-Risikoanalyse aus Sicht der Wirtschaftsprüfer . . 167
§ 11. Die Prüfung der Compliance-Risikoanalyse durch den Wirtschaftsprüfer (Wendt/Withus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
B. Grundlagen zur Prüfung von Compliance-Management-Systemen . . . . . . . . . . . . . . . . . . . . 169
C. Die Prüfung des Compliance Risk Assessments nach PS 980 . . . . . . . . . . . . . . . . . . . . . . . . 171I. Einordnung in die Systematik des PS 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
II. Mögliche Ziele einer Prüfung nach PS 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172III. Spezifische Anforderungen an den Wirtschaftsprüfer . . . . . . . . . . . . . . . . . . . . . . . . . . . 173IV. Prüfungsplanung und Risikobeurteilung des Wirtschaftsprüfers . . . . . . . . . . . . . . . . . . 173
D. Anforderungen an die Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175I. Anforderungen an das (initiale) Compliance Risk Assessment . . . . . . . . . . . . . . . . . . . . 175
II. Anforderungen an den Managementprozess für Compliance-Risiken . . . . . . . . . . . . . . 178III. Anforderungen an die Dokumentation und Archivierung . . . . . . . . . . . . . . . . . . . . . . . . 178
E. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181