Der praktische Aufbau einer Compliance Organisation am Beispiel der Siemens AG

Inhaltsverzeichnis

Abkürzungsverzeichnis IV

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

2 Grundverständnis von Compliance
2.1 Was ist Compliance?
2.2 Compliance Management System

3 Rechtliche Grundlagen
3.1 Inländische Gesetzgebung
3.2 Ausländische Gesetzgebung
3.3 Fazit

4 Der Fall “Siemens”
4.1 Bestechung als „Geschäftsmodell“
4.2 Warum hat „Compliance“ versagt?
4.3 Folgen und Kosten des Skandals

5 Der Aufbau einer “Best Practice” Compliance Organisation
5.1 Aufgabe der Compliance Organisation
5.2 Bausteine einer Compliance Organisation
5.3 Aufbau -und Ablauforganisation
5.4 Rollen und Aufgaben der Organe 25 5.5 Compliance Regelwerk

6 Schluss

Anhang

Literaturverzeichnis

III Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

IV Abbildungsverzeichnis

Abbildung 1: Grundelemente eines Compliance Management Systems 10

Abbildung 2: Geschäftsbereiche der Siemens AG 14

Abbildung 3: Das Netzwerksystem der "schwarzen Kassen" 16

Abbildung 4: Bestechungszahlungen in den Siemens Geschäftsbereichen (in Dollar) 16

Abbildung 5: Gesamtkosten des Skandals für Siemens 19

Abbildung 6: Aufgaben der Siemens Compliance Organisation 22

Abbildung 7: Bausteine einer "Best Practice" Compliance Organisation 23

Abbildung 8: Die Compliance Organisation der Siemens AG - eigene Darstellung 24

Abbildung 9: Rolle des Compliance Officers

1 Einleitung

Der Korruptionsskandal im Hause Siemens, den bis heute größten Korruptionsskandal der deutschen Wirtschaftsgeschichte, hat in der deutschen Unternehmenslandschaft ein Umdenken in Hinblick auf dem Umgang mit Compliance ausgelöst¹. Auch der VW-Skandal verdeutlicht, dass Non-Compliance auf der einen Seite Reputationsschäden und auf der anderen Seite unkalkulierbare wirtschaftliche Schäden mit sich bringt². Im Zuge der rasant fortschreitenden Globalisierung, dass heute alle international tätigen Unternehmen jeglicher Größe betrifft, hat Compliance auch aufgrund internationaler Anforderungen und Corporate Governance Standards zunehmend an Bedeutung und Einfluss für Unternehmen gewonnen. Für die Stakeholder eines Unternehmens bedeutet Compliance Sicherheit, hingegen wird dies für diverse Unternehmensorgane aufgrund des zunehmend komplexer werdenden regulatorischen Umfelds zum Risikofaktor. Aus diesen Gründen ist der Aufbau und die Funktionalität eines wirksamen Compliance Organisation für international tätige Unternehmen heute unabdingbar. Das Ziel dieser Seminararbeit ist ein solche vorbildhafte Compliance Organisation am Beispiel der Siemens AG zu beleuchten. Dabei soll folgenden Fragen geklärt werden: Wie sah die Compliance Organisation während des Skandals aus? Was waren die Effekte und Konsequenzen für Siemens und somit auch für anderen Industrieunternehmen³ ? Welche Elemente zeichnen eine „Best Practice“ Compliance Organisation aus? Um diese Aufgabenstellung zu erreichen, ist die Arbeit wie folgt strukturiert. Im nächsten Kapitel wird allgemein erläutert was in der Praxis unter Compliance, einem Compliance Management System und dessen Zielen zu verstehen ist. Anschließend werden in Kapitel 2 die rechtlichen Anforderungen zum Aufbau einer Compliance Organisation diskutiert. Kapitel 3 behandelt den Siemens Korruptionsskandal und zeigt die Ursachen und Gründe für das Versagen der damaligen Compliance Organisation auf. Des Weiteren werden in Kapitel 4 die Kosten und Folgen des Skandals für Siemens aufgezeigt. Danach wird der Aufbau der neu der Siemens Compliance-Organisation in Kapitel 5 ausführlich erläutert. Schließlich vervollständigt Kapitel 6 diese Abhandlung durch das Zusammenfassen der zentralen Erkenntnisse.

2 Grundverständnis von Compliance

Im vorliegenden Kapitel wird zuerst der Begriff Compliance definiert. Anschließend wird erläutert was man unter einer Compliance Management System versteht und aus welchen Elementen es besteht. Zudem werden die Ziele und die Funktionen eines Compliance Management System dargestellt.

2.1 Was ist Compliance?

Der Begriff Compliance stammt aus dem angelsächsischen Rechtsgebiet und wird in der Literatur nicht einheitlich definiert. Die direkte Übersetzung aus dem Englischen bedeutet sinngemäß das Befolgen, das Einhalten oder das Erfüllen. Der Deutsche Corporate Governance Codex (DCGK), welcher national und international anerkannte Standard guter und verantwortungsvoller Unternehmensführung enthält, dessen Beachtung allen Unternehmen¹ empfohlen wird, versteht gemäß Ziffer 4.1.3 unter Compliance die Einhaltung und die Beachtung sowohl gesetzlicher Bestimmungen als auch unternehmensinterner Richtlinien. Somit kann Compliance allgemein wie folgt definiert werden: „Compliance umfasst die Gesamtheit aller Maßnahmen, um das rechtmäßige Verhalten der Unternehmen, der Organmitglieder und der Mitarbeiter im Blick auf alle gesetzlichen Gebote und Verbote, [Richtlinien und freiwilligen Kodizes] zu gewährleisten.“²

2.2 Compliance Management System

Damit die in Unterkapitel 2.1 definierte Compliance innerhalb eines Unternehmens sichergestellt werden kann, durch ein sogenanntes Compliance Management System (CMS) sichergestellt werden. Unter einem CMS versteht man alle Instrumente und Mechanismen, welche „die Prinzipien und Wertvorstellungen einer Organisation entwickeln, implementieren und im strategischen sowie operativen Geschäft durchsetzen“³. Nach dem PS IDW 980, welcher die Wirksamkeit eines CMS prüft, besteht das CMS aus 7 Grundelementen. Diese 7 Grundelemente sind in Abbildung 1 illustriert. Neben dem Compliance-Programm und den Compliance-Risiken 9 gehört auch die Compliance Organisation zu den wesentlichen Elementen eines „Best Practice“ CMS. Die konkrete Ausgestaltung des CMS ist unternehmensspezifisch und hängt vor allem von der Risikoanalyse, welches unter anderem die Art, Größe, Komplexität und Geschäftsmodell des Unternehmens berücksichtigt.¹

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Grundelemente eines Compliance Management Systems²

Fehlverhalten können in sämtlichen Bereichen eines Unternehmens entstehen, daher ist das oberstes Ziel des CMS die Prävention und Verhinderung von Non-Compliance. Damit unterstützt das CMS einerseits bei der Früherkennung von Risiken andererseits bei der Überwachung und Bewertung von Risiken³. Weiteres Ziel ist die Senkung des Haftungsrisikos für das Unternehmen, seine Organmitglieder und Mitarbeiter. Außerdem kann eine erfolgreiche Compliance Organisation das gesamte Unternehmen sowohl vor wirtschaftlichen⁴, finanzielle Kosten⁵ als auch vor Reputationsschäden schützen. Neben der Risikobegrenzungsfunktion hat das CMS somit auch eine Kontrollfunktion, Marketingfunktion (positives Image) und Effizienzsteigerungsfunktion⁶. Die Implementierung und Aufrechterhaltung einer effektiven Compliance Organisation ist jedoch abhängig von rechtlichen Compliance-Anforderungen an das Unternehmen (vgl. Kapitel 3) mit hohen Aufwand und Kosten verbunden. Andererseits übersteigen die Kosten und Folgen eines Verstoßes oder gar einer Compliance-Krise (vgl. Kapitel 4) die des Aufwandes eines CMS. Mit Hilfe einer Kosten-Nutzen-Analyse kann festgestellt werden, dass sich dieser Aufwand rechtfertigt und letztlich sogar Kosten einspart werden.

3 Rechtliche Grundlagen

Im folgenden Kapitel wird diskutiert inwiefern für Unternehmen eine gesetzliche Pflicht zum Aufbau eines Compliance Management System (CMS) bzw. einer Compliance Organisation besteht. Daran schließt sich auch die Frage welche Organe für den Aufbau eines CMS verantwortlich sind und welches Organ für dessen Kontrolle zuständig ist. Dabei werden die rechtlichen Anforderungen sowohl nach deutschem als auch nach ausländischem Recht beleuchtet.

3.1 Inländische Gesetzgebung

Nach deutschem Recht gibt es für Unternehmen keine allgemeine gesetzliche Pflicht zum Aufbau eines CMS. Jedoch besteht gemäß dem Urteil des LG München¹ und nach herrschender Meinung² besteht bis auf wenige Ausnahmen³ für Unternehmen erst ab einer bestimmten Größenordnung und Gefährdungslage eine Verpflichtung zum Aufbau eines CMS. Die Pflicht zum Aufbau und der Umfang der Ausgestaltung des CMS hängt von der Art, der Größe, der Komplexität, der Organisation, der geographischen Reichweite und der Risikostruktur des Unternehmens sowie von Verdachtsfällen aus der Vergangenheit ab.⁴ Daraus folgt, dass für Unternehmen wie die Siemens AG eine Pflicht besteht, aber bspw. für Einzelunternehmen hingegen nicht. Nach dem AktG haben Vorstandsmitglieder neben der Leitungspflicht auch eine sogenannte Verantwortungs-, Sorgfalts-, und Überwachungspflicht⁵. Der Vorstand einer AG hat nach § 76 Abs. 1 AktG die Leitungspflicht der Gesellschaft. Dies Pflicht gilt auch für Geschäftsführer ein GmbH nach § 43 GmbH. Im Rahmen der Leitungspflicht hat die Geschäftsleitung neben der Organisationsverantwortung auch eine allgemeine Compliance-Verantwortung⁶. Gemäß § 91 Abs. 2 AktG hat der Vorstand auch geeignete Maßnahmen zu treffen, insbesondere durch die Einrichtung eines Früherkennungs- und Überwachungssystems, um unternehmensgefährdende Entwicklungen und Risiken zu erkennen. Der Umfang eines solchen Systems hängt von der 11 Größe und Komplexität der Unternehmensstruktur ab. Somit muss nicht zwingend eine umfassende CMS eingerichtet werden, sondern mindestens eine Interne Revision und ein Risikomanagement¹. Darüber hinaus haben Vorstandsmitglieder nach § 93 Abs.1 AktG die Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Aus den bisher genannten Punkten, lässt sich erkennen und ableiten, dass die Geschäftsleitung die Pflicht und Verantwortung zum Aufbau einer Compliance Organisation trägt. Das AktG besitzt eine Ausstrahlungswirkung auch auf Gesellschaften mit der Rechtsform der GmbH². Der Aufsichtsrat hat gemäß §§ 107 Abs. 3 S. 2, 111 Abs. 1 AktG die Kontrollpflicht. Das bedeutet, dass der Aufsichtsrat einerseits den Vorstand andererseits auch das CMS zu überwachen hat und somit dafür Sorge zu tragen hat, dass der Vorstand letztlich ein effektives CMS eingerichtet hat. Als weitere rechtliche Grundlage zu einer Einrichtung eines Compliance Management Systems kommt auch der § 130 OWiG in Frage. Gemäß § 130 OWiG hat sowohl der Vorstand als auch der Aufsichtsrat Aufsichtsmaßnahmen zu ergreifen, die erforderlich sind um die Begehung von Straftaten aus dem Unternehmen heraus zu verhindern. Daraus ergibt sich somit mittelbar eine Pflicht zum Aufbau einer Compliance-Organisation für den Inhaber eines Unternehmens³. Für börsennotierte oder kapitalmarktorientierte⁴ Unternehmen, wie beispielsweise die Siemens AG⁵,kann gemäß Ziffer 4.1.3 des Deutschen Corporate Governance Kodex (DCGK) eine Pflicht zur Errichtung eines CMS abgeleitet werden. Laut Ziffer 4.3.1 des DCGK hat der Vorstand dafür Sorge zu tragen, dass die gesetzlichen Regelungen und die unternehmensinternen Richtlinien eingehalten werden und angemessene Compliance-Maßnahmen getroffen werden. Bei der DCGK handelt es sich jedoch nicht um geltendes Recht, sondern um „Best Practice“, welches auch für nicht-kapitalmarktorientierte Unternehmen empfohlen wird⁶.

3.2 Ausländische Gesetzgebung

Zu dem kann sich auch aus einer ausländische Rechtsordnung die Pflicht zur Einrichtung eines Compliance-Systems ergeben. Im Zuge der Globalisierung und der damit verbunden weltweiten Geschäftsverflechtungen erlangt die ausländische Antikorruptions-Gesetzgebung nicht nur für im Ausland börsennotierte, sondern auch für international tätige Unternehmen zunehmend an Bedeutung. Beispielhaft ist hier vor allem der Sarbanes-Oxley Act (SOX)⁷ zu nennen. Aber auch 12 nicht-börsennotierte Unternehmen, die im Ausland tätig sind unterliegen zunehmend der örtlichen Gesetzgebung. Beispielhaft sind hier der Foreign Corrupt Practises Act (FCPA)¹ und der UK Bribery Act² zu erwähnen, die zu den strengsten Anti-Korruptionsgesetzten der Welt zählen. Damit stellen beide Gesetze eine „Benchmark“ dar. Dies liegt unter anderem daran, dass beide nicht nur auf das Unternehmen selbst sondern auch auf die Geschäftsleitung und die Angestellte einer ausländischen Gesellschaft anwendbar ist³. Dies bedeutet, dass sowohl natürliche als auch juristische Personen strafrechtlich verfolgbar sind. Damit alle Parteien eines Unternehmens bei einem Regelverstoß gegen den FCPA oder UK Bribery Act nicht oder nur bedingt in Haftung genommen werden kann, ist der Nachweis eines effektiven CMS unabdingbar.⁴ Dazu haben sowohl der FCPA oder UK Bribery Act Empfehlungsrichtlinien zum Aufbau eines wirksamen Compliance Management System veröffentlicht.

3.3 Fazit

Im Vergleich zum angelsächsischen Rechtsgebiet ist Compliance in Deutschland nur in geringen Umfang rechtlich verankert⁵. Für Unternehmen besteht erst ab einer bestimmten Größenordnung und Gefährdungslage eine Verpflichtung zum Aufbau eines CMS. Demungeachtet implizieren die bisher genannten rechtlichen Aspekte, dass für ein Unternehmen und deren Verantwortliche eine Handlungspflicht zur Einrichtung einer effizienten Compliance Organisation besteht. Die Geschäftsleitung eines Unternehmens hat ein besonderer Anreiz an einer effizienten Compliance- Organisation um das eigenen Haftungspotentials zu minimieren⁶. Die Empfehlungen zur Ausgestaltung einer CMS in den Richtlinien des UK Bribery Act als auch des FCPA sind als „Best Practice“ anzusehen. Diese gelten nicht nur für Unternehmen die Geschäftsbeziehungen in die Vereinigten Königreich und den USA besitzen, sondern für alle international tätigen Unternehmen und stellen damit weltweit ein Art „Benchmark“ dar.

4 Der Fall “Siemens”

Siemens ist ein internationales und börsennotiertes Unternehmen mit dem den Geschäftskernaktivtäten auf den Gebieten Elektrifizierung, Automatisierung und Digitalisierung. Der 1847 in Berlin gegründete Unternehmen Siemens ist eines der größten Technologiekonzerne der Welt, welches sich durch ein diversifiziertes Geschäftsportfolio auszeichnet. Die einzelnen Geschäftsbereiche der Siemens AG sind in Abbildung 2 illustriert. Der Konzern Siemens mit Sitz in München und Berlin besteht aus der Siemens AG, welches die Muttergesellschaft ist und ihren diversen Tochterunternehmen. Siemens agiert in 190 Ländern und hat weltweit rund 377.000 Mitarbeiter¹. Im Geschäftsjahr 2017 betrug der Umsatz 83 Milliarden Euro und der Gewinn rund 6,2 Milliarden Euro². Als Aktiengesellschaft unterliegt Siemens bestimmten rechtlichen Compliance-Anforderungen, die im Kapitel 3 näher erläuterte wurden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Geschäftsbereiche der Siemens AG³

Im November 2006 dursuchten die Staatsanwaltschaft München die Siemens Zentrale in München mit Verdacht auf Korruption⁴. Dies leitet den bisher größte Korruptionsskandal und damit die größte Compliance-Krise in der deutschen Wirtschaftsgeschichte ein. Siemens zeigte sich gegenüber den Behörden von Anfang an kooperationsbereit und stellte unter anderem die amerikanischen Anwaltskanzlei Debevoise & Plimpton ein, welche umfassend den Korruptionsskandal untersuchte⁵. Im Folgenden werden die Ursachen und das Ausmaß dieses Bestechungsskandals erläutert. Anschließend werden die Gründe für das Versagen der Compliance Organisation dargestellt und welche Kosten sowie Folgen der Skandal für Siemens, die damaligen verantwortlichen Organe und das Umfeld hatte.

[...]

¹ Die Finanzkrise hat im Bankensektor unter anderem verschärfte Compliance Anforderungen für Finanzinstitute und Wertpapierdienstleistungsunternehmen mit sich gebracht. Dieses Thema ist jedoch nicht Teil dieser Seminararbeit.

² Vgl. https://www.handelsblatt.com/unternehmen/industrie/us-kosten-im-dieselskandal-gewinnwarnung- alarmiert-vw-anleger/20395634.html?ticket=ST-2502437-tAsnlypBcjZJRjZQP0Px-ap6 (21.06.2018)

³ In dieser Arbeit werden nur Unternehmen betrachtet, die nicht aus dem Banken- oder Versicherungssektor sind. Da für Unternehmen aus dem Banken- oder Versicherungssektor speziellen Regelungen gelten. 7 Organisation in Kapitel 5 ausführlich erläutert. Schließlich vervollständigt Kapitel 6 diese Abhandlung durch das Zusammenfassen der zentralen Erkenntnisse.

¹ Der DCGK richtet sich zwar in erster Linie nur an börsennotierte und kapitalmarktorientierten Unternehmen, aber auch nicht kapitalmarktorientierte Unternehmen wird die Beachtung des Kodex empfohlen. Vgl. Regierungskommission (2017).

² Schneider (2003), S. 645.

³ Vgl. https://www.kpmg.at/fileadmin/KPMG/Publikationen/Broschueren_und_Studien/Compliance_Managemen t_Systeme.pdf, S. 5 (21.06.2018)

¹ Hoffmann, C., & Schieffer, A. (2017), S. 405

² Vgl. https://www2.deloitte.com/content/dam/Deloitte/de/Documents/audit/Deloitte_Flyer_CMS_s.pdf, S. 3 (21.06.2018)

³ Ohl, B., & Wecker, G. (2013), p. 4

⁴ Wirtschaftliche Folgen können unter anderem Exportbeschränkungen, Ausschluss von öffentlichen Aufträgen, Entzug oder Verlust der Gewerbe- oder Betriebserlaubnis bis hin zu Mitarbeiterentlassungen sein.

⁵ Zu den finanziellen Kosten zählen Strafgelder, Bußgelder, Schadensersatzforderungen, Anwalts- und Prozesskosten sowie Beraterkosten für die Einrichtung eines effektiven Compliance Management Systems.

⁶ Pütz, L. (2011).

¹ Fleischer, C. (2014). Vgl. http://www.caemmerer-lenz.de/images/urteil/$file/urteil.pdf (21.06.2018)

² Ohl, B., & Wecker, G. (2013), Meyer, S., & Fredrich J. (2012), Hoffmann, C., & Schieffer, A. (2017), Fleischer, C. (2014), Grützner, C., & Jakob, T. (2015) & Hauschka, C., Moosmayer, K & Lösler, T. (2016).

³ Bspw. Kreditinstitute und Wertpapierdienstleistungsunternehmen gemäß MaComp, MaRisk und WphG.

⁴ Fleischer, C. (2014).

⁵ Meyer, S., & Fredrich J. (2012), Hoffmann, C., & Schieffer, A. (2017), Fleischer, C. (2014), Grützner, C., & Jakob, T. (2015) & Hauschka, C., Moosmayer, K & Lösler, T. (2016), Hölters, W., (2017).

⁶ Meyer, S., & Fredrich J. (2012), Hoffmann, C., & Schieffer, A. (2017), Fleischer, C. (2014), Grützner, C., & Jakob, T. (2015) & Hauschka, C., Moosmayer, K & Lösler, T. (2016), Hölters, W., (2017).

¹ Hauschka, C., Moosmayer, K & Lösler, T. (2016), Moosmayer, K (2015) & Hölters, W., (2017).

² Ohl, B., & Wecker, G. (2013).

³ Meyer, S., & Fredrich J. (2012), Hoffmann, C., & Schieffer, A. (2017), Fleischer, C. (2014), Grützner, C., & Jakob, T. (2015) & Hauschka, C., Moosmayer, K & Lösler, T. (2016), Hölters, W., (2017).

⁴ Unternehmen mit Kapitalmarktzugang im Sinne des §161 Abs. 1 Satz 2 AktG.

⁵ Die Siemens AG ist im Deutschen Aktienindex (DAX) an der Frankfurter Wertpapierbörse notiert.

⁶ Regierungskommission (2017).

⁷ Der SOX gilt für Unternehmen die an der US-Börse notieren, welches unter anderem die Pflicht zur Implementierung und Evaluierung eines internen Kontrollsystems regelt.

¹ Der FCPA ist das amerikanische Antikorruptionsgesetz und gilt auch für nicht börsennotierte Unternehmen. Der Anwendungsbereich erstreckt sich nicht nur auf US-amerikanische Unternehmen sondern auch auf ausländische Gesellschaften und Personen. Vgl. https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2012/11/14/fcpa-english.pdf (21.06.2018)

² Der UK Bribery Act 2010, welches seit dem 01.Juni 2011 gilt, ist das Antikorruptionsgesetzt des Vereinigten Königreichs. Der Anwendungsbereich gilt unter anderem auch für ausländische Unternehmen die in irgendeiner Form im Vereinigten Königreich Geschäfte tätigen. Vgl. https://www.legislation.gov.uk/ukpga/2010/23/pdfs/ukpga_20100023_en.pdf (21.06.2018)

³ Vgl. https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2012/11/14/fcpa-english.pdf (21.06.2018) Vgl. https://www.legislation.gov.uk/ukpga/2010/23/pdfs/ukpga_20100023_en.pdf (21.06.2018)

⁴ Ohl, B., & Wecker, G. (2013).

⁵ Ohl, B., & Wecker, G. (2013), Meyer, S., & Fredrich J. (2012).

⁶ Schneider, U. (2003), S. 645-648.

¹ Vgl. https://www.siemens.com/press/pool/de/homepage/siemens-unternehmenspraesentation.pdf, S. 6 (21.06.2018)

² Vgl. https://www.siemens.com/press/pool/de/homepage/siemens-unternehmenspraesentation.pdf, S. 6 (21.06.2018)

³ Vgl. https://www.siemens.com/press/pool/de/homepage/siemens-unternehmenspraesentation.pdf, S. 32 (21.06.2018)

⁴ Vgl. https://www.siemens.com/press/pool/de/pr_cc/2006/11_nov/sc_upload_file_axx20061123_1418138.pdf (21.06.2018)

⁵ Vgl. https://www.siemens.com/press/pool/de/pr_cc/2006/11_nov/sc_upload_file_siemens- axx200611%2025_1420426.pdf (21.06.2018)