Embed Size (px)
Citation preview
02
Governance, Risk & Compliance bei MAN
Engineering the Future – since 1758.MAN SE
MAN GOVERNANCE, RISK & COMPLIANCEDRIVEN BY INTEGRITY
01
Vorwort
MAN trägt als weltweit tätiges Unternehmen mit vielen Geschäftsbereichen und einer langen Tradition gesellschaftliche Verant- wortung gegenüber Kunden, Mitarbeitern, Kapitalgebern und der Öffentlichkeit.
Zu dieser gesellschaftlichen Verantwortung gehört, dass MAN sich jederzeit und über-all an die geltenden Gesetze hält, ethische Grundwerte respektiert und nachhaltig handelt. Compliance ist vor diesem Hin-tergrund ein fundamentaler Teil der MAN Strategie und muss auf allen Konzernebe-nen und von allen Mitarbeitern, das heißt dem Vorstand, den Führungskräften und jedem einzelnen Arbeitnehmer gleicherma-ßen gelebt werden.
Die MAN Governance, Risk & Compliance (GRC) Organisation hat eine Vielzahl von Maßnahmen eingeführt, die sicherstellen, dass Compliance bei MAN konzernweit gelebt und umgesetzt wird.
Darüber hinaus ist das Management von Risiken und Chancen ein untrennbarer Be-standteil der Unternehmenssteuerung und der Geschäftsprozesse. Die MAN GRC Organisation hat dazu ein umfassendes Risikomanagementsystem etabliert, um frühzeitig Transparenz über Risiken und Chancen im Unternehmen zu schaffen und die Umsetzung von effektiven risikoredu-zierenden Maßnahmen auf Management- und Prozessebene sicherzustellen.
Im Folgenden möchten wir Ihnen die MAN GRC Organisation vorstellen und Ihnen einen Einblick in die Compliance Maß-nahmen sowie die Komponenten des Ri-sikomanagementsystems der MAN Gruppe geben.
Joachim Drees,CEO MAN SE
Inhalt
Vorwort 01Die MAN GRC Organisation 02Das MAN Compliance Programm 03Das MAN Engagement für Compliance 08Das Zentrale Risikomanagementsystem der MAN Gruppe 10
„Verantwortungsvolles, gesetzeskonfor-mes und integres Handeln hat für uns bei MAN oberste Priorität. Das gilt für alle Mitarbeiter gleichermaßen, an jedem Ort und zu jeder Zeit.“(Joachim Drees, Vorsitzender des Vorstands MAN SE)
02
Die MAN Governance, Risk & Compliance (GRC) Organisation wird durch den Head of GRC / Chief Compliance Officer der MAN geleitet, der unmittelbar an den Vorsitzenden des Vorstandes der MAN SE sowie an den Prüfungsausschuss des Aufsichts-rates berichtet. Die GRC Organisation verantwortet konzernweit die Bereiche Compliance sowie Risikomanagement.Hierfür ist die GRC Organisation auf zwei Konzernebenen verankert: mit dem Corpo- rate GRC Office in der Konzernzentrale und der GRC Organisation in den Teilkonzernen.
Das Corporate GRC Office nimmt zentrale Funktionen im Bereich des Compliance- sowie des Risikomanagements wahr. Hier-unter fallen beispielsweise die Erstellung von konzernweit gültigen Richtlinien und Vorga-ben sowie die Konzeptionierung von Trai-nings für Mitarbeiter. Das Corporate GRC Office führt zudem regelmäßig eine spe-zielle Risikoanalyse durch, um potentielle Compliance Risiken des Konzerns zu iden-tifizieren und das konzernweite Compliance Programm entsprechend dieser Risiken aus-zurichten und weiterzuentwickeln. Darüber hinaus steuert das Corporate GRC Office die Durchführung der Risikomanagement- prozesse in den Teilkonzernen und ist für die Weiterentwicklung der Risikomanagement-Instrumentarien in Kooperation mit den Ri-siko / IKS Managern verantwortlich.
Die MAN GRC Organisation
Die GRC Organisation in den Teilkonzer-nen ist für die Umsetzung des vom Corpo-rate GRC Office entwickelten Compliance Programmes sowie des entwickelten Risi-komanagementsystems in den Konzern- unternehmen der Teilkonzerne zuständig. Jeder Teilkonzern hat einen Head of GRC / Compliance Officer, der durch Compliance Manager in den verschie-denen Geschäftseinheiten bzw. Vertriebs- regionen sowie Risiko / IKS Manager un-terstützt wird.
Schließlich werden Aufgaben im Compli-ance- und Risikomanagement auch durch die sog. Compliance Champions sowie die Risiko / IKS Koordinatoren wahrge-nommen. Diese sind keine Vollzeit GRC Mitarbeiter, sondern Führungskräfte oder Mitarbeiter der MAN, die eine besondere Verantwortung für das Thema Compliance bzw. Risikomanagement übernommen ha-ben. So unterstützen beispielsweise die Compliance Champions die GRC Organi-sation, indem sie dafür sorgen, dass die Compliance Maßnahmen auch in Konzern-gesellschaften, die keinen eigenen lokalen Compliance Manager vor Ort haben, umge-setzt werden. Die Risiko / IKS Koordinatoren stellen wiederum die Umsetzung der Risiko-managementprozesse in den MAN Gesell-schaften sicher.
Compliance Champions
Prüfungsausschuss des Aufsichtsrates
Head of GRC /Chief Compliance Officer
CEO MAN SE
Corporate GRC Office
GRCRisks & Projects
GRCCompliance
GRC OrganisationTeilkonzerne
Compliance ManagerSales Region / Business Unit
Teilkonzern Head of GRC / Compliance Officer
Risiko / IKS Manager
Risiko / IKS Koordinatoren
03
Das MAN Compliance Programm befasst sich mit den Themen Wirtschaftskriminali-tät (insbesondere Korruptionsbekämpfung, Geldwäscheprävention) und Kartellrecht.
MAN hat diesbezüglich ein konzernweites Integritäts- und Compliance Programm entwickelt, das Compliance Verstöße präventiv
verhindert (Prävention), etwaige, trotz Präventionsmaßnahmen
vorkommende, Compliance Verstöße so schnell wie möglich aufdeckt (Aufdeckung) und
diese Compliance Verstöße, sobald sie aufgedeckt wurden, unverzüglich und effizient abstellt (Reaktion).
Das MAN Compliance Programm
1. PräventionUm Compliance Verstöße präventiv zu ver-hindern, hat die GRC Organisation eine Vielzahl unterschiedlicher Maßnahmen ergriffen und implementiert:
Code of ConductDer Code of Conduct der MAN Gruppe, der für alle MAN Mitarbeiter, das heißt Vorstand, Führungskräfte und jeden ein-zelnen Arbeitnehmer, gleichermaßen gilt, bildet das Herzstück der Unternehmens-kultur von MAN. Er richtet sich gezielt an die Mitarbeiter von MAN und gibt für Situa-tionen, in denen die Mitarbeiter besonders auf verantwortungsvolles Handeln achten müssen, konkrete und verbindliche Leitlini-en vor. Anhand von Beispielen beschreibt er, wie mit Konfliktsituationen im alltägli-chen Geschäft umgegangen werden kann.
Code of Conduct für Lieferanten und Business PartnerMAN erwartet, dass auch Lieferanten und Business Partner sowie deren Mitarbeiter verantwortungsvoll handeln und sich je-derzeit und überall an geltende Gesetze halten und ethische Grundwerte respektie-ren. MAN hat deshalb einen eigenen Code of Conduct für Lieferanten und Business Partner herausgegeben, der ethische Min-deststandards enthält, zu deren Einhaltung sich die Lieferanten und Business Partner von MAN verpflichten.
Prävention
Aufdeckung Reakt
ion
Einhaltung kartellrechtlicher VorschriftenMAN tritt auf allen Märkten als fairer und verantwortungsvoller Wettbewerber auf. Um sicherzustellen, dass die Mitarbeiter über die kartellrechtlichen Vorschriften informiert sind und diese einhalten, hat MAN eine Richtlinie erlassen, die Vorgaben zum Umgang mit Wettbewerbern, Kunden und Lieferanten enthält. Die Richtlinie zeigt auch die rechtlichen Rahmenbedingungen auf, die berücksichtigt werden müssen, wenn ein Unternehmen über eine soge-nannte marktbeherrschende Stellung ver-fügt. Etwaigen Compliance Verstößen im Bereich des Kartellrechts soll hierdurch vorgebeugt werden.
Prävention von Geldwäsche und TerrorismusfinanzierungDer Handel mit hochwertigen Gütern birgt das Risiko, für Zwecke der Geldwä-sche oder Terrorismusfinanzierung miss-braucht zu werden. Auch MAN kann hier unwissentlich Opfer und Mittäter zugleich werden. MAN hat insoweit verschiedene Maßnahmen ergriffen. So stellt insbeson-dere die konzernweit geltende Richtlinie Mindestanforderungen an den Umgang mit auffälligen Geschäftspartnern auf und verlangt vor Abschluss eines Geschäfts die Aufklärung ggf. unklarer Hintergründe.
04
Compliance Richtlinien Die GRC Organisation von MAN hat Richt-linien zu den Compliance Themen Korrup-tionsbekämpfung, Kartellrecht und Geld-wäscheprävention entwickelt. Mit diesen Richtlinien sind konzernweit einheitliche und verbindliche Vorgaben für alle Mitar-beiter in Kraft gesetzt worden.
Geschenke, Bewirtungen und Einla-dungen zu Veranstaltungen Um sicherzustellen, dass sich Geschenke, Bewirtungen und Einladungen zu Veran-staltungen im Rahmen des Angemessenen bewegen und nicht zur Beeinflussung von Geschäftspartnern oder Behörden ein-gesetzt werden, hat MAN eine Richtlinie erlassen. Diese enthält ein klar struktu- riertes Ampelsystem, anhand dessen jeder Mitarbeiter eigenverantwortlich erkennen und prüfen kann, ob und unter welchen Voraussetzungen er eine Zuwendung ge-währen oder annehmen darf.
Umgang mit Beratern und Vermittlern/ Business Partner Approval ToolMAN hat zudem eine Richtlinie erlassen, welche die Beauftragung von Vermittlern, Vertretern, Beratern oder anderen ver-triebsunterstützend tätigen Geschäfts-partnern (sogenannten Business Partnern) regelt. Durch konkrete Vorgaben für die
Überprüfung der Business Partner, die Ver-tragsgestaltung, die Dokumentation der Geschäftsbeziehung und die Auszahlung der Vergütung soll sichergestellt werden, dass die von MAN an Business Partner gezahlte Vergütung nicht als Korruptions-mittel eingesetzt wird.
Die Integrität aller Business Partner von MAN wird durch das sogenannte Business Partner Approval Tool geprüft, dessen Anwendung durch die Richtlinie verbindlich vorgeschrieben ist. Das Business Partner Approval Tool ist eine webbasierte Appli-kation, mit der die Integrität eines Business
Partners schnell, transparent und umfas-send überprüft werden kann. Das Busi-ness Partner Approval Tool wurde im Jahr 2010 in Zusammenarbeit mit Vertriebsmit-arbeitern entwickelt und wird konzernweit eingesetzt.
Spenden und Sponsoring-MaßnahmenAuch für Spenden und Sponsoring-Maßnahmen besteht eine konzernweite Richtlinie, anhand derer jeder Mitarbeiter erkennen kann, ob und unter welchen Voraussetzungen derartige Zuwendungen im Namen von MAN gewährt werden kön-nen.
05
Compliance HelpdeskSeit Februar 2010 existiert bei MAN das sogenannte Compliance Helpdesk, bei dem Mitarbeiter telefonisch oder per E-Mail Fragen rund um das Thema Compliance stellen können. Das Compliance Helpdesk wird von MAN Mitarbeitern intensiv genutzt. Jeden Monat geht eine Vielzahl von An-fragen zu unterschiedlichsten Themen ein, die von den im Corporate GRC Office beschäftigten Mitarbeitern geprüft und in der Regel binnen 48 Stunden beantwortet werden.
Durch die an das Compliance Helpdesk gestellten Anfragen gewinnt die GRC Or-ganisation einen Überblick über häufiger auftauchende Fragestellungen. Die hier-aus gewonnenen Erkenntnisse werden zur Identifikation weiterer präventiver Compli-ance Maßnahmen genutzt.
Schulungen durch Präsenz- und Online-Trainings Die GRC Organisation führt weltweit Trai-nings zu Compliance Themen für MAN Mitarbeiter durch, die Compliance Risi-ken ausgesetzt sein können. In diesen Trainings wird zum einen die MAN GRC Organisation vorgestellt und Basiswissen zu den Themen Wirtschaftskriminalität, Korruptionsbekämpfung, Kartellrecht und Geldwäscheprävention vermittelt. Zum an-deren werden anhand konkreter Beispiels-fälle Risiken aufgezeigt und die Inhalte der Compliance Richtlinien vermittelt. Mitarbei-ter erfahren, wie sie sich verhalten sollten, um Rechtsverstöße und Konflikte zu ver-meiden.
Hinzu kommen Online-Trainings und Spe-zialschulungen zu Sonderthemen für Mit-arbeiter in besonders risikobehafteten Bereichen. So führt die GRC Organisation beispielsweise vertiefte Schulungen zum Thema Kartellrecht für Mitarbeiter durch, die im Bereich der Wettbewerbs- und Marktanalyse arbeiten. Auch Führungskräf-te der MAN erhalten eine Spezialschulung zu den spezifischen Compliance Risiken, denen sie als Mitglieder des Management gegenüberstehen und ihrer hieraus resul-tierenden besonderen Verantwortung.
2. AufdeckungKommt es innerhalb der MAN Gruppe zu Rechtsverstößen, kann dies zu erheblichen Risiken für die MAN Gruppe und die betrof-fenen Mitarbeiter führen. Integrität und ge-setzeskonformes Verhalten genießen des-halb innerhalb der MAN Gruppe höchste Priorität. Um diese Werte zu gewährleisten, hat MAN klare und transparente Prozesse geschaffen, die sicherstellen, dass Rechts-verstöße intern erkannt, aufgeklärt und un-verzüglich abgestellt werden.
Aufklärung von RechtsverstößenDas Internal Investigations Team der Abtei-lung Corporate Audit nimmt Hinweise auf mögliche Rechtsverstöße entgegen und stellt sicher, dass solche Hinweise von der geeigneten Stelle innerhalb des Konzerns behandelt werden. Mitarbeiter können sich darüber hinaus bei Hinweisen auch an wei-tere interne Ansprechpartner wenden, wie ihren Vorgesetzten oder die GRC Organi-sation. Schwerwiegende Rechtsverstöße werden vom Internal Investigations Team
06
selbst untersucht. Die zentrale Zuständig-keit für die Entgegennahme von Hinweisen und die Untersuchung von schwerwiegen-den Rechtsverstößen gewährleistet, dass Fehlverhalten aufgedeckt wird und Risiken für die MAN Gruppe frühzeitig erkannt und abgewendet werden können.
Compliance RisikoanalyseDie GRC Organisation führt regelmäßig konzernweite Risikoanalysen mit dem Ziel der Ermittlung von Compliance Risiken in den Bereichen Korruption, Kartellrecht und Geldwäscheprävention durch. Diese Risikoanalysen erstrecken sich über sämt-liche Teilkonzerne und berücksichtigen Anzahl und Größe der einzelnen Konzern-gesellschaften, das Geschäftsmodell, die Kunden- und die Vertriebsstruktur, den Korruptionswahrnehmungs-Index von Transparency International in den Ziel-märkten sowie die jeweilige lokale Wett-bewerbsstruktur. Zusätzlich überprüft die Abteilung Corporate Audit in internen Prü-fungen die Implementierung der Compli-ance-Maßnahmen und -Kontrollen in den untersuchten Gesellschaften.
Aus den Ergebnissen der Compliance Ri-sikoanalyse sowie der internen Prüfungen
durch Corporate Audit werden die Struktur der GRC Organisation, das auf die Bedürf-nisse der MAN zugeschnittene Compliance Programm sowie weitere Maßnahmen zur Vermeidung von Compliance Risiken ab-geleitet.
Mergers & Acquisitions (M&A)Um zu verhindern, dass MAN aus dem Er-werb oder der Veräußerung von Unterneh-mensbeteiligungen Compliance Risiken entstehen, wird die GRC Organisation in M&A-Projekte der MAN Gruppe von Be-ginn an mit eingebunden. Die GRC Orga-nisation hat spezifische Anforderungen an die Due Diligence Prüfung der betroffenen Unternehmen vorgegeben, die eine früh-zeitige Aufdeckung etwaiger Compliance Risiken gewährleisten sollen.
Speak up!Den Zweck der Aufdeckung von für MAN gefährlichen Risiken verfolgt auch das Hin-weisgeberportal Speak up!. Mit diesem Portal bietet MAN Mitarbeitern und Ge-schäftspartnern die Möglichkeit, vertrau-lich, weltweit und rund um die Uhr Hinwei-se zu schwerwiegenden Rechtsverstößen abzugeben.
Das Hinweisgeberportal Speak up! dient der Erkennung und Vermeidung von erheb-lichen Risiken für das Unternehmen. Dort werden nur Hinweise entgegengenommen und bearbeitet, die sich auf schwerwiegen-de Rechtsverstöße beziehen, zum Beispiel im Bereich der Wirtschaftskriminalität (z.B. Korruptions- und Geldwäschestraftaten) und des Kartellrechts.
Zielgruppe
Zielsetzung
Zugangskanal
ZeitlicheErreichbarkeit
Vertraulichkeit
Bereitgestellt für Hinweise von schwerwiegenden Rechtsverstößen
intern / extern
Onlinewww.bkms-system.net/MAN
24/7
Vertraulich und sicher
Über das Speak up! Portal abgegebene Hinweise werden an das Internal Investiga-tions Team der Abteilung Corporate Audit weitergeleitet, welches Hinweise vertrau-lich bearbeitet.
Jeder Mitarbeiter kann sich mit Hinwei-sen auf Rechtsverstöße selbstverständlich auch vertrauensvoll an andere Anlaufstel-len im Unternehmen wenden, wie z.B. Vor-gesetzte, die Personalabteilung oder die GRC Organisation.
07
3. ReaktionNeben der präventiven Verhinderung von Compliance Verstößen und der Aufde-ckung von Verfehlungen stellt die schnelle, effektive und konsequente Reaktion auf Verfehlungen die dritte Säule des MAN Compliance Programmes dar.
Fortentwicklung des MAN Compliance ProgrammesIst ein Compliance Verstoß erfolgt, analy-sieren die hierfür zuständigen Mitarbeiter der GRC Organisation die Hintergründe und Ursachen des Verstoßes. Die Erkennt-nisse aus dieser Analyse werden genutzt, um etwaige Schwachstellen des Compli-ance Programmes zu entdecken und diese entsprechend zu beseitigen. Die Entde-ckung von Compliance Verstößen wird da-mit kontinuierlich zur Fortentwicklung und Verbesserung des Compliance Systems genutzt. MAN sorgt auf diese Weise für ein nachhaltig wirksames Integritäts- und Compliance Programm.
Behördliche UntersuchungenMAN steht für Offenheit und Transparenz und kooperiert daher eng mit den zustän-digen Behörden, wenn diese Untersuchun-gen durchführen oder Anfragen an das Un-ternehmen stellen. Die GRC Organisation hat zudem eine Verhaltensanweisung für das Verhalten bei Durchsuchungen heraus-gegeben, aus der alle Mitarbeiter ersehen können, wie sie sich zu verhalten haben, wenn Ermittlungsbehörden Untersuchun-gen durchführen. Auch in dieser Verhal-tensanweisung wird der Schwerpunkt auf Offenheit, Transparenz und Kooperation gelegt. MAN hat damit gegenüber allen Mitarbeitern klar kommuniziert, dass sie im Falle von Untersuchungen die GRC Orga-nisation informieren müssen und mit den Behörden zu kooperieren haben.
SanktionenMAN toleriert keine Compliance Verstöße. Werden Compliance Verstöße festgestellt, unterbreitet die Abteilung Corporate Au-dit Vorschläge für geeignete und ange-messene Sanktionsmaßnahmen. Über die Durchführung wird durch ein MAN internes Komitee, in dem die GRC Organisation ver-treten ist, entschieden. Die Sanktionsmaß-nahmen reichen in Abhängigkeit von der Schwere des Verstoßes von arbeitsrechtli-chen bis zu zivilrechtlichen Konsequenzen. Die Umsetzung der Sanktionsmaßnahmen wird konzernintern überwacht.
08
Das MAN Engagement für Compliance
1. Tone from the TopDer Vorstand der MAN Gruppe ist sich sei-ner Verantwortung für Compliance bewusst und nimmt diese vollumfänglich wahr. Die Compliance Officer erstatten gegenüber dem Vorstand der MAN SE und den Vor-ständen der Teilkonzerne sowie gegenüber den Leitern anderer Fachbereiche (wie bei-spielsweise Legal, Accounting, Controlling und Corporate Audit) regelmäßig Bericht über die Fortschritte der Compliance Ak-tivitäten, etwaige Compliance Vorfälle und die insoweit ergriffenen Maßnahmen.
Der Vorstand und die Führungskräfte von MAN begreifen Compliance als integralen Bestandteil des Unternehmens. Sie fördern eine Kultur der Transparenz und Integrität. Compliance Verstöße werden nicht tole-riert. „Compliance ist integraler Bestandteil der MAN-Unternehmensstrategie. Jeder einzelne Mitarbeiter muss sich seiner in-dividuellen Verantwortung bewusst sein und seinen Beitrag dazu leisten, dass wir gemeinsam unsere gesellschaftliche Ver-antwortung erfüllen können. Die Einhaltung von Gesetzen, ethischen Grundwerten und internen Richtlinien ist für uns alle selbst-verständlicher Maßstab unseres Handelns – an jedem Ort und zu jeder Zeit. Beim Thema Gesetzesverstöße kennen wir keine Toleranz“, sagt Joachim Drees, Vorsitzen-der des Vorstands der MAN SE.
2. Kommunikation Compliance Themen werden regelmäßig in MAN internen Medien, wie beispielswei-se Newslettern, Mitarbeiterzeitungen und im Intranet, kommuniziert. Neue Compli-ance Richtlinien werden zudem nicht nur über das Intranet und per E-Mail an die Mitarbeiter kommuniziert, sondern auch im Rahmen von Compliance Schulungen vermittelt. Die Kontaktdaten der GRC Or-ganisation sind im Intranet der MAN Grup-pe veröffentlicht; Mitarbeiter können sich jederzeit bei Zweifeln oder Fragen an die Mitarbeiter der GRC Organisation wenden. Darüber hinaus können Mitarbeiter welt-weit auch das Compliance Helpdesk kon-taktieren, um Fragen zu stellen und sich über Compliance Themen zu informieren.
Durch weitergehende Kommunikations-maßnahmen, wie beispielsweise die Or-ganisation von internen Informationsver-anstaltungen sowie die Entwicklung einer internen Plakat-Kampagne zu Compliance, werden Mitarbeiter umfassend zum Thema Compliance informiert und sensibilisiert. Sowohl in Vorstandssitzungen als auch bei Führungskräfteveranstaltungen steht Compliance regelmäßig auf der Agenda.
3. Reporting und PrüfungUm die Nachhaltigkeit des Compliance Programmes zu gewährleisten, überprüft MAN fortlaufend dessen Effizienz und Wirk-samkeit. So wurde beispielsweise im Jahr 2015 das in der MAN Gruppe implemen-tierte Compliance Management System durch eine externe Wirtschaftsprüfungsge-sellschaft nach IDW Prüfungsstandard 980 geprüft und als angemessen und wirksam bestätigt. Zudem wird durch die beschrie-benen Compliance Kontrollen und die Ana-lyse etwaiger Compliance Verstöße für die Entdeckung möglicher Schwachstellen der GRC Organisation und eine entsprechende Anpassung des Compliance Systems Sor-ge getragen.
Darüber hinaus hält die GRC Organisation die Umsetzung der Compliance Maßnah-men und laufenden Projekte kontinuierlich nach. So wird beispielsweise regelmäßig erfasst und ausgewertet, wie viele Busi-ness Partner im Business Partner Appro-val Tool erfasst und wie viele Anfragen am Compliance Helpdesk bearbeitet wurden. Die Effizienz der GRC Organisation wird damit fortlaufend geprüft.
09
4. Regelmäßiger Austausch mit externen ExpertenMAN engagiert sich auch außerhalb der eigenen Konzerngrenzen für Compliance. Die GRC Organisation tauscht sich regel-mäßig mit Experten aus Wirtschaft und Wissenschaft zu aktuellen Compliance Themen aus. Mitarbeiter der GRC Orga-nisation halten Vorträge bei Compliance Konferenzen und Veranstaltungen. Unter anderem engagiert sich MAN im Netz-werk Compliance e.V., das sich mit der Diskussion rechtlicher, wirtschaftlicher und organisatorischer Fragen zu den Themen Compliance und Best Practice zwischen Industrieunternehmen, Banken, Versiche-rungen und sonstigen interessierten Per-sonen befasst. Im Frühjahr 2011 fand bei MAN eine Veranstaltung des Netzwerks Compliance statt, bei der rund 150 inter-nationale Compliance Experten über das Thema „Compliance in BRIC-Ländern und Emerging Markets“ diskutierten.
5. MitgliedschaftenMAN unterstützt und fördert den Kampf gegen Korruption und vertritt diese Posi-tion gemeinsam mit anderen Wirtschafts-unternehmen in folgenden Organisationen: Seit September 2010 ist MAN korporatives Mitglied von Transparency International, einer internationalen Organisation zur Be-kämpfung von Korruption. Darüber hinaus ist MAN 2011 der Initiative Global Compact der Vereinten Nationen beigetreten und Gründungsmitglied des Deutschen Instituts für Compliance (DICO).
10
Das Zentrale Risikomanagementsystem der MAN Gruppe
GRC- Regelprozess
Governance,Risk & Compliance
RCM
Risiko- und Chancenmanagement
IKS
Internes Kontrollsystem
CCM
ContinuousControls Monitoring
Zentrales Risikomanagementsystemder MAN Gruppe
MAN hat ein wirksames, auf die Belange der Geschäftsaktivitäten ausgerichtetes Ri-sikomanagementsystem implementiert, das frühzeitig die notwendigen Informationen für die Beherrschung von Risiken und die Nutzung von Chancen zur Verfügung stellt.
Das MAN Risikomanagementsystem be-steht aus den Kernelementen
GRC-Regelprozess, Risiko- und Chancenmanagement, Internes Kontrollsystem und Continuous Controls Monitoring,
die unter dem Begriff „Zentrales Risikoma-nagementsystem der MAN Gruppe“ zu-sammengefasst werden.
Die Elemente des Zentralen Risikomanage-mentsystems der MAN Gruppe decken alle wichtigen Aspekte des Risikomanagements ab und sind eng mit dem MAN Compli-ance Programm und den Unternehmens-planungs- und Controlling-Prozessen ver-knüpft.
Grundsätzlich wird zwischen systemischen Risiken und Ereignisrisiken unterschieden, die durch das Zentrale Risikomanagement-system ganzheitlich adressiert werden. Während sich systemische Risiken aus der Struktur der jeweiligen Geschäftsmodelle ergeben können, beziehen sich Ereignisri-siken auf konkrete Geschäftsvorfälle.
Für ein konzernweit einheitliches Verständ-nis des Risikomanagementsystems hat MAN risiko- und chancenpolitische Grund-sätze festgelegt. Oberster Grundsatz ist es, unternehmerische Chancen zu nut-zen und damit verbundene Risiken nur dann einzugehen, wenn hierdurch ein an-gemessener Beitrag zur Steigerung des
Unternehmenswertes zu erwarten ist. Existenzgefährdende Risiken dürfen grund sätzlich nicht eingegangen werden oder müssen, soweit unvermeidbar, durch geeignete Maßnahmen minimiert werden.
In einer konzernweit gültigen Richtlinie wer-den diese risiko- und chancenpolitischen Grundsätze sowie die definierten Prozesse des Zentralen Risikomanagementsystems festgehalten und gegenüber Mitarbeitern kommuniziert.
Die Aufbauorganisation für das Zentrale Ri-sikomanagementsystem orientiert sich an der Managementhierarchie der MAN Grup-pe. So sind Rollen mit Verantwortlichkeiten auf Ebene der MAN Gruppe wie auch in den Teilkonzernen etabliert, die die Umset-zung der definierten Prozesse sicherstellen und zur kontinuierlichen Weiterentwicklung und Verbesserung des Risikomanage-mentsystems beitragen. Darüber hinaus fungieren fachbereichsübergreifende inter-ne Gremien als zentrale Kontroll-, Steue-rungs- und Überwachungsinstanzen.
11
1. GRC-RegelprozessDer GRC-Regelprozess umfasst die Be-wertung, Erfassung und Steuerung der wesentlichen systemischen Risiken, die dem jeweiligen Geschäftsmodell inhärent sind und wiederkehrend auftreten können. Durch den Prozess soll dem Management ein Gesamtbild über die potenzielle Risiko-lage und die Wirksamkeit des Risikoma-nagement- und Internen Kontrollsystems vermittelt werden.
Rollen und VerantwortlichkeitenIm Rahmen des GRC-Regelprozesses er-fassen die Risikoverantwortlichen, in der Regel Bereichs- oder Abteilungsleiter, die relevanten systemischen Risiken für die teilnehmenden Gesellschaften. Risiken aus
potenziellen Compliance Verstößen sind in diesen Prozess ebenso integriert wie strategische, betriebliche und Berichter-stattungsrisiken. Anschließend werden be-stehende Maßnahmen zur Risikosteuerung sowie Kontrollen auf Management-Ebene dokumentiert und durch Testverantwort-liche auf ihre Wirksamkeit überprüft. Die Berichterstattung über die wesentlichen systemischen Risiken, die dazugehörigen Maßnahmen sowie die Ergebnisse der Wirksamkeitsprüfung erfolgt in den dafür vorgesehen Gremien der MAN SE sowie der Teilkonzerne. Werden im Regelprozess mögliche Schwachstellen identifiziert, so werden Maßnahmen zu ihrer Behebung eingeführt und überwacht.
Rollen und Verantwortlichkeiten Der Prozess des RCM ist als führungsbe-gleitende Aufgabe auf allen Management-ebenen der MAN Gruppe verankert.
Die Risiko Manager auf Teilkonzernebene sowie die Risiko Koordinatoren sind für die Umsetzung des RCM Prozesses in den MAN Gesellschaften zuständig. Die Risiko- verantwortlichen, in der Regel Bereichs- oder Abteilungsleiter, verantworten die Iden-tifikation und Bewertung von Risiken und Chancen sowie die Definition und Steue-rung von risikoreduzierenden Maßnahmen. Im Rahmen einer regelmäßigen Berichter-stattung werden die zuständigen internen Gremien über die Risikolage der MAN Gruppe unterrichtet.
2. Risiko- und Chancenmanagement (RCM)In Abgrenzung zum GRC-Regelprozess sollen durch das RCM akute Risiken und Chancen der betrieblichen Geschäftstä-tigkeit (sogenannte Ereignisrisiken und -chancen) frühzeitig identifiziert und be-wertet werden. Darüber hinaus werden Maßnahmen zur Risikobewältigung sowie zur Realisierung von Chancen festgelegt und die Konsequenzen einer möglichen Risikoübernahme eingeschätzt.
Die frühzeitige Identifizierung und Steue-rung von Ereignisrisiken und -chancen ist von besonderer Bedeutung, damit den Entscheidungsträgern ausreichend Zeit für die Einleitung entsprechender Gegenmaß-nahmen zur Verfügung steht.
12
3. Internes Kontrollsystem (IKS)Mit der konzernweiten Implementierung eines IKS stellt MAN anhand von geeig-neten organisatorischen Maßnahmen und Kontrollen sicher, dass Geschäftsaktivitä-ten vollständig, richtig, zeitnah und effizient durchgeführt werden – entsprechend der gesetzlichen Vorschriften und internen Richtlinien. Das IKS sichert die Geschäfts-prozesse auf Funktions- und Transaktions-ebene ab und ergänzt damit den GRC-Regelprozess.
Die internen Kontrollen reduzieren prozess- inhärente systemische Risiken. So sollen wesentliche Fehlaussagen in der Finanz-berichterstattung verhindert und Risiken durch die Nichteinhaltung von Gesetzen und internen Richtlinien sowie operative wirtschaftliche Risiken (z.B. durch unbe-rechtigte operative Entscheidungen) mini-miert werden.
Durch die regelmäßige Überprüfung des IKS auf Vollständigkeit, geeignete Ausge-staltung sowie Effektivität der definierten Kontrollen soll sichergestellt werden, dass bestehende Regelungen zur Reduzierung von prozessualen und organisatorischen Risiken auf allen Ebenen innerhalb der MAN Gruppe eingehalten werden.
Rollen und VerantwortlichkeitenDie IKS Manager auf Teilkonzernebene und die IKS Koordinatoren in den MAN Gesellschaften sind für die Umsetzung der IKS relevanten Prozesse verantwortlich. Die jeweiligen Prozessverantwortlichen stellen sicher, dass alle Risiken der Prozesse in ihrem Verantwortungsbereich identifiziert, dokumentiert und durch entsprechen-de Kontrollen adressiert werden. Zudem sind sie für die Definition und Umsetzung von Maßnahmen zur Behebung möglicher Kontrollschwächen zuständig. Die Kon-trollverantwortlichen führen die Kontrollen durch und informieren den Prozessverant-wortlichen über mögliche Kontrollschwä-chen.
Die Wirksamkeit des IKS wird in mehre-ren Schritten überwacht. Die Prozessver-antwortlichen verifizieren regelmäßig die Aktualität der Kontrollen (Designtest). Im Rahmen der Wirksamkeitstests wird darü-ber hinaus durch interne Tester überprüft, ob die Kontrollen in der Realität greifen. In der Jahresabschlussprüfung wird zu-dem vom externen Wirtschaftsprüfer die Ordnungsmäßigkeit des IKS geprüft. Auch die Abteilung Corporate Audit hat den Auf-trag, das IKS zu überprüfen.
Die Ergebnisse dieser kontinuierlichen Prüfungen werden in internen Gremien in regelmäßigen Abständen vorgestellt und Maßnahmen zur Weiterentwicklung des IKS abgeleitet.
13
4. Continuous Controls Monitoring (CCM)In Ergänzung zum IKS ist das CCM ein in der MAN Gruppe etabliertes IT-basiertes System zur kontinuierlichen Überwachung von Geschäftsprozessen und Kontrollen. Um sicherzugehen, dass z.B. Einkaufs- und Bezahlprozesse bei MAN richtlinien-konform ablaufen und Compliance Risiken in diesen Bereichen frühzeitig aufgedeckt werden, hat MAN das elektronische CCM-System eingeführt. Ergänzt wird das CCM durch allgemeine IT Kontrollen, die haupt-sächlich Rollen und Berechtigungen in den Kernapplikationen überprüfen.
Rollen und VerantwortlichkeitenEntsprechen bestimmte Prozessprüfungs-punkte nicht den in den zentralen Richtlini-en der MAN Gruppe zum Thema Einkauf, Rechnungswesen und Zahlungsverkehr vorgeschriebenen Verfahrensweisen, ge-neriert das CCM automatische Alarme, deren Bearbeitung durch zugewiesene Mitarbeiter im System dokumentiert wird. Die Mitarbeiter in den Fachbereichen prü-fen die festgestellten Sachverhalte. Im Er-gebnis können sich daraus verschiedene Folgeaktivitäten ableiten wie beispielswei-se die Beseitigung von Arbeitsfehlern. Da-rüber hinaus ergeben sich Erkenntnisse zu Prozessoptimierungen.
Wenn Sie mehr über die Bereiche Compli-ance und Risikomanagement bei MAN er-fahren möchten, wenden Sie sich bitte an:
Dr. Philip MattheyHead of GRC / Chief Compliance Officer
Telefon: +49 89 36098-350E-Mail: [email protected]
Oder besuchen Sie das MAN-Konzernin-ternet unter: www.man.eu/compliance
Impressum
MAN SEPostfach 50 04 05 80974 München
