Sarbanes-Oxley und Corporate Compliance · im Register als Link gekennzeichnete Kapitelüberschriften bzw. Seitenangaben zur Verfügung. ... Erfolgreiches Arbeiten wünscht Ihnen

Christof Menzies(Hrsg.)

NachhaltigkeitOptimierungIntegration

Sarbanes-Oxley und Corporate Compliance

Sehr geehrte Leserin, sehr geehrter Leser,vielen Dank, dass Sie dieses E-Book erworben haben. Damit Sie das Produkt optimal nutzen können, möchten wir Sie gerne auf folgende Navigationsmöglichkeiten hinweisen:Die Verlinkungen im Text ermöglichen Ihnen eine schnelle und komfortable Handhabung des E-Books. Um eine gewünschte Textstelle aufzurufen, stehen Ihnen im Inhaltsverzeichnis und im Register als Link gekennzeichnete Kapitelüberschriften bzw. Seitenangaben zur Verfügung.Zudem können Sie über das Adobe-Digital-Editions-Menü »Inhaltsverzeichnis« die verlinkten Überschriften direkt ansteuern.

Erfolgreiches Arbeiten wünscht Ihnender Schäffer-Poeschel Verlag

Christof Menzies (Hrsg.)

Sarbanes-Oxley undCorporate Compliance

2006Schäffer-Poeschel Verlag Stuttgart

Nachhaltigkeit, Optimierung, Integration

Bibliografi sche Information Der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National bibliografi e; detaillierte bibliografi sche Daten sind im Internet über http://dnb.d-nb.de abrufbar.

e-book ISBN: 978-3-7992-6161-6

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikro verfi lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

© 20 0 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht [email protected]

Einbandgestaltung: Willy Löffelhardt Satz: Johanna Boy, Brennberg

Schäffer-Poeschel Verlag StuttgartEin Tochterunternehmen der Verlagsgruppe Handelsblatt

Weitere Informationen zu den Themen

• Sarbanes-Oxley Act,• Corporate Compliance,• Nachhaltigkeit, Optimierung und Integration von Governance, Risikomanagement

und Compliance sowie zu• aktuellen regulatorischen Veränderungen und deren Auslegung

fi nden Sie auf der Internetseite: http://www.pwc.com/de/corporate-compliance

1

PrefaceBy Brian J. Kinman

The fi nal decade of the last millennium for all of its energy and excitement began to quietly usher in a new era for business. That decade ended with the global realization that good business is not just about making the big numbers, but it is about growing your business with a discipline and formality that all stakeholders can rely upon.

The US garnered a great deal of notoriety during that period with business names like Enron, MCI, Tyco and Health South. Europe however, was not far behind with companies like Parmalat, Ahold and Lernout and Hauspie. Investors cried foul and legislators and regulators took notice.

The regulatory impact is still being felt across Europe and the rest of the world and is likely to result in a level of change to regulatory and compliance mandates not seen since those emanating out of the economic hey-day preceding the great depression of the 1930s. The Sarbanes-Oxley Act of 2002 in the US, along with various new laws and regulations in Europe has signifi cantly and permanently altered how business must be conducted globally. All of these laws and regulations have compliance requirements as well as compliance consequences that should not be taken lightly.

But, more importantly than just meeting regulatory mandated compliance require-ments, business leaders all over the globe have recognized that running their businesses for maximum return requires a level of discipline and formality that heretofore did not exist. Shareholders have learned to invest in companies where they have confi dence in management’s ability to achieve long term consistent growth as opposed to trying to follow the market reaction to short term business results. Additionally, investors and other stakeholders expect that a company’s results are based upon a manner of doing business that will not result in second guessing or critical questions about how or why certain business transactions were conducted years after business results are reported, absorbed by the markets and reacted to by investors.

All of this requires a business compliance structure with directives, procedures and protocols that supports and fosters business growth as opposed to a bureaucratic com-pliance structure that may meet the requirements of a new law but stifl es business operations and decision making. This business compliance structure must consider that most companies are doing business globally and that, frankly, the largest opportuni-ties for future growth currently exist in markets where the current business traditions are not necessarily always consistent with the expectations of existing shareholders, regulators and other stakeholders.

Thus, this business compliance structure must go beyond a set of rules and proto-cols and the procedures for complying with them to consider how a company governs itself and addresses the full scope of risks it faces both within its home markets as well as its markets of the future.

This approach to Governance, Risk Management and Compliance is the subject of this text. It is an approach that addresses not only the establishment of business rules but more importantly how those rules are integrated into sensible organizational structures, embedded into the day-to-day business processes of the organization, com-municated including ongoing training and monitored for compliance. This approach is also about how a company will continually reassess its operating environment so as

to modify its business rules timely to stay in front of its competitors. Implementation of the US-based Sarbanes-Oxley Act has demonstrated that a well

coordinated approach to Governance, Risk Management and Compliance can bring the discipline and formality to a global business that allows the business to:

• enhance its market value and brand image,• increase operational effectiveness by creating a discipline to continually change

business practices with confi dence to meet new market challenges,• anticipate surprises so as to reduce the potential for a negative impact,• increase investor trust and confi dence and along with that, its market value.

On the other hand, implementation of the Sarbanes-Oxley Act also demonstrated that most companies have a lot of work to do to develop the discipline that will lead to success.

This text is written from experience. It addresses in a common sense fashion the practical business arguments for making changes to existing Governance, Risk Manage-ment and Compliance structures. It also suggests the type of compliance programs that can evolve as the nature of business evolves. Today, investors are seeking a consist-ent, continuous growth in turnover, earnings and dividends as opposed to the high fl ying here today gone tomorrow company seen all to often in the last decade of the last millennium. I believe you will fi nd this text insightful and worth the investment of your time.

The authorBrian J. Kinman is a senior US-based PricewaterhouseCoopers partner and has been one of the Firm’s thought leaders in the area of internal control and compliance for the past 15 years. He advises the Firm’s largest and most complex global clients in the area of sustaining Sarbanes-Oxley compliance. He is a frequent speaker and lecturer on the subject and recently was recognized by Business Finance Magazine as one of the business community’s top 60 Infl uencers for 2006.

VI Preface

Vorwort

Die Verabschiedung des Sarbanes-Oxley Act im Jahr 2002 hat auch in zahlreichen deutschen Unternehmen zu einschneidenden Veränderungen geführt. Insbesondere die Erfüllung von Section 404 und die daraus resultierenden Anforderungen an das interne Kontrollsystem stellten und stellen auch heute noch eine Herausforderung dar. Der ho-he Aufwand und die Implementierungskosten im ersten Erfüllungsjahr stehen vielfach im Konfl ikt mit dem vorherrschenden allgemeinen Kosten- und Zeitdruck. Vor diesem Hintergrund stellen sich auch deutsche Unternehmen die Frage, welcher Aufwand erforderlich sein wird, um das US-Gesetz in den Folgejahren erfolgreich zu erfüllen. Überschattet wird das Streben nach dem Erreichen der SOA 404-Compliance von einer Diskussion, ob der zu erbringende Aufwand in einem angemessenen Verhältnis zum Nutzen steht, den das Gesetz aus Sicht der Unternehmen generiert.

Nicht zuletzt als Folge der Verabschiedung des Sarbanes-Oxley Act hat »Compliance« als Begriff für die Einhaltung von gesetzlichen oder regulatorischen Bestimmungen und weiteren, wesentlichen Anforderungen der Stakeholder in den vergangenen Jahren eine neue Bedeutung erlangt. Gerade im Bereich der Corporate Governance zeigt sich, dass die Öffentlichkeit auch die freiwillige Einhaltung oder gar die Nichteinhaltung von Kodizes mit großem Interesse verfolgt. Daher muss die Vielzahl der unterschiedlichen Stakeholder-Erwartungen aus dem Unternehmensumfeld bei der Festlegung von Un-ternehmenszielen deutlich stärker berücksichtigt werden als in der Vergangenheit.

Der gesteigerte Handlungsbedarf der Unternehmen im Bereich Compliance wird verstärkt durch die kontinuierliche Veränderung des Unternehmensumfelds. Eine stetig wachsende Zahl von regulatorischen Bestimmungen mit hoher Komplexität tragen hierzu ebenso bei wie neue Standards und Best Practices ohne gesetzliche Verpfl ich-tung. Unternehmen und deren Management sehen sich einerseits mit der Notwendig-keit konfrontiert, die Risiken einer Non-Compliance und damit verbundener negativer Auswirkungen auf den Unternehmenserfolg zu kompensieren. Andererseits ist die Sicher-stellung von Compliance mit zusätzlichem Aufwand verbunden. Der sich ergebende Nutzen aus Compliance mit den Anforderungen ist vielfach schwer messbar und wird unter anderem deshalb oft in Frage gestellt. Jedoch besteht gerade bei gesetzlichen oder regulatorischen Anforderungen hinsichtlich der Nichterfüllung keine Wahl. Die Frage ist vielmehr, welchen Weg Unternehmen verfolgen sollten, um Compliance mit verschiedenen Anforderungen effektiv und effi zient durch geeignete Maßnahmen und implementierte Kontrollen zu gewährleisten.

Die Einrichtung und Durchführung von angemessenen Kontrollen ist mit Aufwand verbunden. Das Management sieht sich mit der Entscheidung konfrontiert, welcher Umfang an Kontrollmaßnahmen notwendig ist, um einerseits die Erfüllung der Stake-holder-Anforderungen sicherzustellen und andererseits den Implementierungsaufwand möglichst gering zu halten. Nicht zuletzt als Folge des oftmals bestehenden Zeitdrucks werden zur Sicherstellung von Compliance häufi g kurzfristige Kontrollmaßnahmen als zusätzliche Aktivitäten neben den regulären Geschäftsprozessen eingeführt. Inte-grierte Lösungen, die beispielsweise bestehende Aktivitäten von Prozessen hinterfragen, verändern und Compliance-Aktivitäten transparent in die operativen Abläufe integrieren, kommen häufi g auch aus Zeitgründen nicht zum Einsatz. Ebenso oft bleiben längerfristig

wirksame Maßnahmen ungeprüft, um Synergieeffekte bei der gemeinsamen Erfüllung verschiedener Anforderungen auszunutzen.

Compliance mit gesetzlichen oder regulatorischen Anforderungen wie Section 404 des Sarbanes-Oxley Act durch kurzfristige Maßnahmen mit möglichst geringem Aufwand sicherzustellen, bedeutet daher, dass durch Zeit- und Kostendruck häufi g Potentiale ungenutzt bleiben. Nach der erfolgreichen Durchführung eines Compliance-Projekts stellt sich den Unternehmen nicht nur die Frage, wie eine nachhaltige Erfüllung auch zukünftig effektiv und effi zient gewährleistet werden kann. Zusätzlich gilt es, transparent gewordene Optimierungsmöglichkeiten zu erkennen und diese auch gezielt zu nutzen – wie im Fall von Section 404 zur Verbesserung von Organisation, Prozessen, Kontrollen und Technologien. Doch selbst die Optionen der Nachhaltigkeit und Optimierung stellen lediglich Zwischenziele dar, die dazu beitragen, den bestehenden Unternehmenswert zu erhalten und relevante Regeln und Standards zu erfüllen.

Zukünftig wird sich die Sicherstellung von Compliance noch stärker als bisher zu einem strategischen Erfolgsfaktor für das Unternehmen entwickeln. Eine nachhaltige, risiko- und wertorientierte, ethische und regelkonforme Unternehmensführung wird dann nicht nur zu einem Qualitäts- und Differenzierungskriterium aus Sicht der An-leger. Der zielgerichtete Umgang mit Stakeholder-Erwartungen und die Erfüllung der Anforderungen werden vielmehr zu einem festen Bestandteil der obersten Unterneh-mensziele. Als Folge steht weniger die Erhaltung, sondern die zukünftige Steigerung des Unternehmenswerts im Vordergrund. Ein elementarer Bestandteil, um dieses Ziel zu erreichen, ist die Integration von Governance, Risikomanagement und Compliance über einen ganzheitlichen Corporate-Compliance-Ansatz. Erst die Verknüpfung der drei Bereiche macht Corporate Compliance zu einem festen Bestandteil der Unterneh-mensführung und -steuerung und ermöglicht eine unternehmensweite Defi nition von geeigneten Organisationsstrukturen und operativen Abläufen sowie den Aufbau einer gemeinsamen Technologieunterstützung. Von besonderer Bedeutung ist hierbei, dass eine umfassende Zusammenführung von operativen Prozessen des Tagesgeschäfts und den Aktivitäten und Prozessen zur Gewährleistung von Compliance erreicht wird.

Die Sicherstellung von Corporate Compliance durch einen ganzheitlichen Ansatz gewährleistet nicht nur, dass bestehende Anforderungen dauerhaft im Regelbetrieb erfüllt, sondern auch, dass neue Anforderungen (z.B. durch Akquisitionen oder regu-latorische Veränderungen) nahtlos integriert werden können. Corporate Compliance wird so zu einem Instrument, das für die strategische Ausrichtung des Unternehmens zielgerichtet eingesetzt werden kann.

Ziel dieses Buchs ist es, Handlungsoptionen und praxisnahe Maßnahmen für den Umgang mit Compliance-Anforderungen aufzuzeigen. Hierzu zählen sowohl Ansätze, die es ermöglichen, eine einzelne Anforderung, wie den Sarbanes-Oxley Act, nachhaltig zu erfüllen oder Optimierungspotentiale aufzudecken und umzusetzen. Darüber hinaus wird ein Weg vorgestellt, der Maßnahmen für eine effektive und effi ziente Corporate Compliance über die Elemente Governance, Risikomanagement und Compliance in einem ganzheitlichen Ansatz umsetzt und in den Regelbetrieb überführt.

Frankfurt, 1. September 2006 Martin ScholichMitglied des Vorstands

Leiter des Geschäftsbereichs Advisory in DeutschlandPricewaterhouseCoopers

VIII Vorwort

Inhaltsverzeichnis

Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VVorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIIAbkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVIIEinleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IXX

I Corporate Compliance in einem dynamischen Umfeld . . . . . . . . . . . . . . . . . . . . 1

1 Der Compliance-Begriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Bedeutende globale Regeln und Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.1 OECD Principles of Corporate Governance . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2 Industriespezifi sche Regeln und Standards . . . . . . . . . . . . . . . . . . . . . . . . 11 2.3 Neugestaltung von Eigenkapitalvorschriften für Kreditinstitute (Basel II) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Der Sarbanes-Oxley Act und der Foreign Corrupt Practices Act als Beispiele wesentlicher Bestimmungen für US-börsennotierte Unternehmen . . . . . . . . . . . 15 3.1 Der Sarbanes-Oxley Act – Auswirkungen und aktuelle Entwicklungen . . . . 15 3.1.1 Auswirkungen des Sarbanes-Oxley Act . . . . . . . . . . . . . . . . . . . . . . 16 3.1.2 Compliance-Zeitpunkte für die Umsetzung der Section 404 . . . . . . . 17 3.1.3 Weiterentwicklung von Prüfungsstandards durch das Public Company Accounting Oversight Board . . . . . . . . . . . . . . . . . 19 3.1.4 Committee of Sponsoring Organizations of the Treadway Commission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.1.5 Weitere Strategie der Securities and Exchange Commission . . . . . . . 23 3.2 Der Foreign Corrupt Practices Act – Bedeutung und Auswirkungen für Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2.1 Ursprung und Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.2.2 Anti-Korruptionsvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.2.3 Rechnungslegungs- und Buchführungsvorschriften . . . . . . . . . . . . . . 28 3.2.4 Verletzungen des FCPA durch Unternehmen . . . . . . . . . . . . . . . . . . 29 3.2.5 Ausblick auf die zukünftige Entwicklung . . . . . . . . . . . . . . . . . . . . . 304 Listing-Standards ausgewählter Börsen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.1 Corporate-Governance-Standards der New York Stock Exchange . . . . . . . . . 31 4.2 Corporate-Governance-Standards der London Stock Exchange . . . . . . . . . . 32 4.3 Frankfurter Wertpapierbörse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Entwicklungen in Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5.1 Umsetzung des EU-Aktionsplans »A modern legal framework for company law and governance in Europe« . . . . . . . . . . . . . . . . . . . . . . 35 5.2 Europäisches Corporate-Governance-Forum . . . . . . . . . . . . . . . . . . . . . . . . 36 5.3 Wesentliche Richtlinien und Empfehlungen der EU . . . . . . . . . . . . . . . . . . 36 5.3.1 Stärkung von Abschlussprüfer und Audit Committees durch die 8. EU-Richtlinie (Abschlussprüferrichtlinie) . . . . . . . . . . . 36

5.3.2 Empfehlungen der Kommission zu den Aufgaben der nicht geschäftsführenden Direktoren/Aufsichtsratsmitglieder sowie zu den Ausschüssen des Verwaltungs- bzw. Aufsichtsrats . . . . . . . 39 5.3.3 Moderne Rechnungslegungsstandards in der EU . . . . . . . . . . . . . . 39 5.3.4 Harmonisierung von Anforderungen an Prospekte . . . . . . . . . . . . . 41 5.3.5 Kontrolle durch mehr Transparenz . . . . . . . . . . . . . . . . . . . . . . . . 42 5.3.6 Vereinfachung und Modernisierung der Zweiten Gesellschafts- rechtsrichtlinie über die Erhaltung und Änderung des Kapitals von Aktiengesellschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 5.3.7 Einheitliche europäische Rechtsform für Kapitalgesellschaften . . . . 44 5.3.8 Verschmelzungen von Kapitalgesellschaften innerhalb der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.3.9 Übernahmerichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 5.3.10 Änderung der Bilanzrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.3.11 Richtlinienvorschlag zur Stärkung der Aktionärsrechte . . . . . . . . . . 476 Die Transformation von EU-Anforderungen in das Regelwerk eines Mitgliedstaats am Beispiel Deutschlands . . . . . . . . . . . . . . . . . . . . . . . . 49 6.1 Das Bilanzkontrollgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 6.2 Das Bilanzrechtsreformgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 6.3 Das Anlegerschutzverbesserungsgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . 52 6.4 Das Kapitalanleger-Musterverfahrensgesetz . . . . . . . . . . . . . . . . . . . . . . . 53 6.5 Offenlegung der Vorstandsvergütungen . . . . . . . . . . . . . . . . . . . . . . . . . . 54 6.6 Haftung versus Business Judgement Rule . . . . . . . . . . . . . . . . . . . . . . . . 55 6.7 Strengere Haftung für falsche Kapitalmarktinformationen . . . . . . . . . . . . . 57 6.8 Gesetz zur Einführung der Europäischen Gesellschaft . . . . . . . . . . . . . . . 57 6.9 Elektronisches Unternehmensregister. . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 6.10 Umsetzung des Deutschen Corporate Governance Kodex in der Unternehmenspraxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

II Das GRC-Stufenmodell – Nachhaltigkeit, Optimierung und Integration von Governance, Risikomanagement und Compliance . . . . . . . . . . . . . . . . . . 63

1 Corporate Compliance stufenweise erreichen . . . . . . . . . . . . . . . . . . . . . . . . . 63 1.1 Das GRC-Stufenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 1.1.1 Compliance (Stufe 1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 1.1.2 Transformation und Optimierung (Stufe 2) . . . . . . . . . . . . . . . . . . 69 1.1.3 Compliance-Driven Optimization (stufenübergreifend) . . . . . . . . . . 71 1.1.4 Integration und Optimierung (Stufe 3) . . . . . . . . . . . . . . . . . . . . . . 73 1.2 Bedeutung der Strukturmerkmale im Stufenmodell . . . . . . . . . . . . . . . . . 762 Compliance am Beispiel von Section 404 des Sarbanes-Oxley Act . . . . . . . . . . 78 2.1 Wesentliche Erfahrungen aus SOA-404-Projekten . . . . . . . . . . . . . . . . . . . 79 2.1.1 Erfahrungen nach Projektphasen . . . . . . . . . . . . . . . . . . . . . . . . . . 80 2.1.1.1 Projektorganisation/Projektmanagement festlegen . . . . . . . 81 2.1.1.2 Scope festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 2.1.1.3 Prozesse und Kontrollen dokumentieren und bewerten . . . 90 2.1.1.4 Wirksamkeit des internen Kontrollsystems testen . . . . . . . 94 2.1.1.5 Kontrollschwächen beheben . . . . . . . . . . . . . . . . . . . . . . . 97

X Inhaltsverzeichnis

2.1.1.6 Sign-off und Managementberichterstattung durchführen . . 100 2.1.2 Veröffentlichte Material Weaknesses: Erste Erfahrungen . . . . . . . . . 102 2.1.3 Ausgewählte Aspekte bei der Umsetzung des Sarbanes-Oxley Act in der Informationstechnologie . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 2.1.4 Erfüllung der SOA-404-Anforderungen im Steuerbereich . . . . . . . . . 111 2.1.5 SAS 70 – Erfahrungen, Trends und Entwicklungen . . . . . . . . . . . . . 114 2.1.6 Nutzen und Nutzenpotentiale von Section 404 aus Sicht der Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 2.2 Auswirkungen des Sarbanes-Oxley Act auf das Investorenverhalten – Analyse empirischer Befunde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 2.2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 2.2.2 Aufwendungen für die Umsetzung des SOA . . . . . . . . . . . . . . . . . . 122 2.2.3 Auswirkungen auf das Investorenverhalten . . . . . . . . . . . . . . . . . . 124 2.2.3.1 Verabschiedung des SOA . . . . . . . . . . . . . . . . . . . . . . . . . 124 2.2.3.2 Zertifi zierung durch CEO und CFO . . . . . . . . . . . . . . . . . . 126 2.2.3.3 Delisting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 2.2.3.4 Material Weaknesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 2.2.4 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . 129 2.3 Umfrage von PricewaterhouseCoopers zu »Sarbanes-Oxley/ Internal Control Compliance« in Deutschland . . . . . . . . . . . . . . . . . . . . . 133 2.3.1 Aufbau der Befragung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 2.3.2 Zusammenfassung der Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . 135 2.4 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1373 Compliance Sustainability – der Weg zu nachhaltiger Compliance . . . . . . . . . . 139 3.1 Umsetzungsmethodik zum Erreichen der Nachhaltigkeit . . . . . . . . . . . . . 144 3.1.1 Analysephase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 3.1.2 Designphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 3.1.3 Gestaltungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 3.1.4 Umsetzungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 3.1.5 Durchführungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 3.2 Change Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 3.3 Compliance-Sustainability-Elemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 3.3.1 Compliance-Aufbauorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . 156 3.3.2 Compliance-Rahmenwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 3.3.3 Kommunikationsprozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 3.3.4 Trainings- und Personalentwicklungsprogramme . . . . . . . . . . . . . . 171 3.3.5 Scoping- und Risikobewertungsprozess . . . . . . . . . . . . . . . . . . . . . 176 3.3.6 Überwachung und Sicherung des Compliance-Status (Compliance Controlling) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 3.3.7 Remediation-Prozess: Vorgehensweise zum Umgang mit Abweichungen von Compliance-Anforderungen . . . . . . . . . . . 185 3.3.8 Compliance-Dokumentationsprozesse . . . . . . . . . . . . . . . . . . . . . . 189 3.3.9 Technologieunterstützung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 3.4 Exkurs: SOA-/Compliance Tools zur Unterstützung der Anforderungen des SOA und deren Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 3.4.1 Ausgewählte SOA-/Compliance Tools . . . . . . . . . . . . . . . . . . . . . . . 201 3.4.1.1 SAP – Management of Internal Controls . . . . . . . . . . . . . . 202 3.4.1.2 IDS-Scheer – ARIS Compliance Management Solution . . . . 204 3.4.1.3 Paisley Consulting – Risk Navigator . . . . . . . . . . . . . . . . . 206

Inhaltsverzeichnis XI

3.4.1.4 OpenPages – FCM (Financial Controls Management) . . . 207 3.4.1.5 Microsoft Offi ce Solution for Sarbanes-Oxley . . . . . . . . . 210 3.4.2 Auswahl einer geeigneten Software zur Unterstützung der Erfüllung des Sarbanes-Oxley Act . . . . . . . . . . . . . . . . . . . . . . 212 3.4.3 Umsetzung mittels SOA Tool Implementation Methodology . . . . . . 213 3.5 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2174 Compliance-Driven Optimization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 4.1 Nutzenorientierte Umsetzungsmethodik für Compliance-Driven Optimization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 4.2 Analysephase im CDO-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 4.2.1 Voranalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 4.2.1.1 Qualitative Aspekte der Voranalyse . . . . . . . . . . . . . . . . 227 4.2.1.1.1 Analyse der Company-Level Controls . . . . . . . . . . . . . . . 228 4.2.1.1.2 Analyse von erkannten, aber nicht behobenen Schwachstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 4.2.1.1.3 Analyse von Quick Fixes . . . . . . . . . . . . . . . . . . . . . . . . 231 4.2.1.2 Quantitative Verfahren der Voranalyse . . . . . . . . . . . . . . 232 4.2.1.2.1 Ermittlung der relativen Häufi gkeit von Schwachstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 4.2.1.2.2 Ermittlung des Grads der Prozessheterogenität . . . . . . . . 237 4.2.1.2.3 Auswerten und Plausibilisieren der Ergebnisse . . . . . . . . 240 4.2.1.2.4 Auswertung von externen Informationen (externes Benchmarking) . . . . . . . . . . . . . . . . . . . . . . . 242 4.2.2 Detailanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 4.2.2.1 Quantitative Verfahren der Detailanalyse . . . . . . . . . . . . 248 4.2.2.1.1 Internes Benchmarking (Prozesse) . . . . . . . . . . . . . . . . . 248 4.2.2.1.2 Portfolioanalyse (Kontrollen) . . . . . . . . . . . . . . . . . . . . . 255 4.2.2.2 Qualitative Verfahren der Detailanalyse . . . . . . . . . . . . . 263 4.2.2.3 Zusammenführen der Ergebnisse . . . . . . . . . . . . . . . . . . 264 4.2.3 Aufwand-Nutzen-Analyse (Business Case) . . . . . . . . . . . . . . . . . . . 265 4.3 Designphase im CDO-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 4.3.1 Defi nition des Soll-Zustands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 4.3.1.1 Design der Geschäftsprozesse . . . . . . . . . . . . . . . . . . . . 270 4.3.1.2 Design der internen Kontrollen . . . . . . . . . . . . . . . . . . . 272 4.3.1.2.1 Reduzierung oder Eliminierung von Kontrollen . . . . . . . 273 4.3.1.2.2 Erhöhung des Automatisierungsgrads von Kontrollen . . . 273 4.3.1.2.3 Standardisierung und Zentralisierung von Kontrollen . . . 275 4.3.1.2.4 Reduzierung der Key Controls . . . . . . . . . . . . . . . . . . . . 275 4.3.1.2.5 IT-gestützte Control-Evidence-Verwaltung . . . . . . . . . . . 277 4.3.1.2.6 Automatisiertes Testen der Kontrollfunktion . . . . . . . . . . 278 4.3.1.3 Defi nition von Anforderungen an Systeme und Technologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 4.3.1.4 Design der Organisationsstruktur . . . . . . . . . . . . . . . . . . 279 4.3.1.5 Konzeption von Verfahrensanweisungen und Richtlinien 280 4.3.2 Entwicklung einer Implementierungsstrategie . . . . . . . . . . . . . . . . 281 4.3.2.1 Entwicklung eines Implementierungsansatzes . . . . . . . . 281 4.3.2.2 Defi nition des Implementierungsvorgehens . . . . . . . . . . 283 4.3.3 Entwicklung einer Schulungsstrategie . . . . . . . . . . . . . . . . . . . . . . 285 4.4 Gestaltungsphase im CDO-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286

XII Inhaltsverzeichnis

4.4.1 Vervollständigung der strukturellen Ausprägungen des Soll-Modells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 4.4.2 Entwicklung von Implementierungsplänen . . . . . . . . . . . . . . . . . . . 290 4.5 Umsetzungsphase im CDO-Modell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 4.5.1 Implementierung der Veränderungen . . . . . . . . . . . . . . . . . . . . . . . 292 4.5.2 Messung der Zielerreichung im Rahmen des Benefi ts Managements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 4.5.3 Kontinuierliche Verbesserung im Rahmen des Benefi ts Managements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 4.5.3.1 Kontinuierliche Verbesserung zur weiteren Steigerung des Optimierungsgrads . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 4.5.3.2 Der kontinuierliche Verbesserungsprozess . . . . . . . . . . . . . 300 4.5.3.2.1 Kontinuierliche Verbesserung durch Analyse der Performance-Indikatoren . . . . . . . . . . . . . . . . . . . . . 301 4.5.3.2.2 Kontinuierliche Verbesserung durch Integration der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 4.5.3.2.3 Kontinuierliche Verbesserung durch eine integrierte Organisationsstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . 302 4.5.3.2.4 Kontinuierliche Verbesserung durch integrierte Reportingstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 4.6 Sonderbeiträge zum Thema Optimierung im Compliance-Umfeld . . . . . . . 303 4.6.1 Optimierung durch Zentralisierung und Auslagerung . . . . . . . . . . 304 4.6.1.1 Organisatorische Ausprägungen von Prozessen . . . . . . . . . 305 4.6.1.2 Organisation der Dienstleistung . . . . . . . . . . . . . . . . . . . . 311 4.6.1.3 Instrumente zur Kontrollerreichung . . . . . . . . . . . . . . . . . 313 4.6.1.4 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . 315 4.6.2 Compliance-gerechtes Management von IT-gestützten Geschäftsprozessen (Mercury) . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 4.6.3 Bewältigung der Funktionstrennung (Segregation of Duties) durch Automatisierung und Prävention: Ein nachhaltiger Ansatz zur Sarbanes-Oxley Compliance (SAP GRC Business Unit) . . . . . . . 319 4.7 Exkurs: Konsequente Ausrichtung von Accounting und Reporting an Effektivität und Effi zienz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 4.8 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3315 Die Integration von Governance, Risikomanagement und Compliance . . . . . . 332 5.1 Das GRC-Zielmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 5.1.1 Corporate Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 5.1.1.1 Defi nition und Nutzen von Corporate Governance . . . . . . 337 5.1.1.2 Komponenten einer effektiven Corporate Governance . . . . 339 5.1.2 Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 5.1.2.1 Defi nition und Nutzen von Risikomanagement . . . . . . . . . 343 5.1.2.2 COSO II − Komponenten eines effektiven Risikomanagements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 5.1.3 Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 5.1.3.1 Defi nition und Nutzen von Compliance . . . . . . . . . . . . . . 350 5.1.3.2 Rule-Based Compliance Management . . . . . . . . . . . . . . . . 351 5.2 Die GRC-Umsetzungsmethodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 5.2.1 Analysephase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 5.2.1.1 Projektstart und Stakeholder-Analyse . . . . . . . . . . . . . . . . 358

Inhaltsverzeichnis XIII

5.2.1.2 Erstellung und Pfl ege der unternehmensspezifi schen Corporate Rule Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 5.2.1.3 Aufnahme des unternehmensweiten GRC-Umfelds . . . . . . 366 5.2.1.4 Identifi zierung von GRC-Potentialen . . . . . . . . . . . . . . . . . 376 5.2.1.5 Benefi ts, Projekt- und Change Management . . . . . . . . . . . 377 5.2.2 Designphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 5.2.2.1 Entwicklung des unternehmensspezifi schen GRC-Zielmodells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 5.2.2.2 Entwicklung von Implementierungsstrategien . . . . . . . . . . 396 5.2.2.3 Trainings- und Schulungsmaßnahmen . . . . . . . . . . . . . . . 399 5.2.3 Gestaltungsphase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 5.2.3.1 Entwicklung von GRC-bezogenen Komponenten der Organisation und Prozesse . . . . . . . . . . . . . . . . . . . . . 402 5.2.3.2 Entwicklung von GRC-bezogenen Systemen und Technologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 5.2.4 Umsetzung und Kontinuität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 5.3 GRC Operating Model für den Regelbetrieb . . . . . . . . . . . . . . . . . . . . . . . 411 5.3.1 Strategie, Organisation und Management . . . . . . . . . . . . . . . . . . . . 413 5.3.2 Monitoring und Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 5.3.3 Operations und kontinuierliche Verbesserung. . . . . . . . . . . . . . . . . 418 5.4 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

III Praxisberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

1 Übergang von der SOX-Projektorganisation zur dauerhaften Linienverantwortung bei der Bayer AG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 1.1 Ausgangssituation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 1.1.1 Group ICS-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 1.1.2 Subgroup ICS-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 1.1.3 Die Rolle des ICS-Managers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 1.1.3.1 Die Einordnung des ICS-Managers in der lokalen Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 1.1.3.2 Aufgaben und Verantwortung des ICS-Managers . . . . . . . . 428 1.1.3.3 Ausbildung des ICS-Managers . . . . . . . . . . . . . . . . . . . . . 429 1.2 Erfahrungen mit der neuen Organisation . . . . . . . . . . . . . . . . . . . . . . . . . 4302 Deutsche Telekom: Von einem konzernweiten S-OX404-Projekt zur Compliance-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 2.1 Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 2.2 Stand und Umsetzung der S-OX404-Anforderungen bei der Deutschen Telekom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 2.3 Kritische Erfolgsfaktoren der Implementierungsphase . . . . . . . . . . . . . . . . 433 2.3.1 Projekt- und Prozessmanagement . . . . . . . . . . . . . . . . . . . . . . . . . 433 2.3.2 Schaffung der einheitlichen methodischen Rahmenbedingungen . . . 434 2.3.3 Konsequente Umsetzung eines Top-down-Vorgehens . . . . . . . . . . . 435 2.3.4 Das Konzept des Control Self Assessments . . . . . . . . . . . . . . . . . . 436 2.3.5 Interaktion in der konzernweiten Beurteilung und Behebung von Kontrollschwächen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 2.3.6 Qualitätsüberwachung durch die Interne Revision . . . . . . . . . . . . . 438

XIV Inhaltsverzeichnis

2.3.7 Abbildung von Leistungsbeziehungen . . . . . . . . . . . . . . . . . . . . . . 438 2.3.8 Einführung des konzernweiten S-OX404-IT-Tools . . . . . . . . . . . . . . 439 2.4 Reduzierung des Compliance-Aufwands . . . . . . . . . . . . . . . . . . . . . . . . . 439 2.5 Integration der konzernweiten Compliance-Aktivitäten . . . . . . . . . . . . . . . 440 2.6 Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4413 Umsetzung der Anforderungen hinsichtlich »rechnungsrelevanter Aussagen« bei E.ON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 3.1 Bedeutung von »rechnungs legungs relevanten Aussagen« im Rahmen von Section 404 des SOA . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 3.2 Herausforderungen für das SOA-Readiness-Projekt . . . . . . . . . . . . . . . . . . 442 3.3 Verknüpfung von Kontrollen mit rechnungslegungsrelevanten Aussagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 3.3.1 Zentrale Verknüpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 3.3.2 Dezentrale Verknüpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 3.4 Praktische Umsetzungsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 3.5 Maßnahmen zur Verbesserung der Dokumentationsqualität . . . . . . . . . . . 445 3.5.1 Änderung im Projektvorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 3.5.2 Zentrale fachliche Anleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 3.5.3 Änderungen in SAP MIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 3.6 Erfahrungen mit dem geänderten Projektansatz . . . . . . . . . . . . . . . . . . . . 448 3.7 Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4484 Vom Projekt zum Prozess am Beispiel der SAP AG – Nachhaltigkeit und Mehrwert der unternehmensinternen SOX-Compliance Anstrengungen sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 4.1 Zwischen Projekt und Prozess – Statusbericht zu »MIC@SAP« . . . . . . . . . 450 4.1.1 Stand des Projektes zum 31.12.2005 . . . . . . . . . . . . . . . . . . . . . . . 451 4.1.2 Vorbereitungen zur Überführung in langfristige Organisations- strukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451 4.2 Erste Schritte über die SOX-Compliance hinaus . . . . . . . . . . . . . . . . . . . . 452 4.2.1 Einbindung von »MIC@SAP« in SAP´s Global Risk Management Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 4.2.2 Ausblick: Integration der Complianceinitiativen der SAP zu einem ganzheitlichen Corporate Governance / Compliance Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4585 Compliance bei Non-SEC-Unternehmen am Beispiel der Schweizerische Bundesbahnen SBB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 5.1 Intro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 5.2 Facts and Figures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 5.3 Ausgangslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 5.3.1 Auslöser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461 5.3.2 Projektauftrag und -ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 5.3.3 Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 5.4 Ansatz SOX-light . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 5.4.1 Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 5.4.2 Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 5.4.2.1 Ansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 5.4.2.2 Projektvorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 5.4.3 Projektorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 5.4.3.1 Projektteam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Inhaltsverzeichnis XV

5.4.3.2 Einbindung des Wirtschaftsprüfers . . . . . . . . . . . . . . . . . . 465 5.4.3.3 Projektaufwand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 5.5 Umsetzung SOX-light . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 5.5.1 Scoping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 5.5.2 Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 5.5.2.1 Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 5.5.2.2 Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 5.5.2.3 Key Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 5.5.2.4 IT-Tool für die Dokumentation des IKS . . . . . . . . . . . . . . . 468 5.5.3 Test und Maßnahmencontrolling . . . . . . . . . . . . . . . . . . . . . . . . . . 468 5.5.4 Sign-off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 5.6 Lessons learned . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 5.7 Nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 5.8 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 5.9 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470

IV Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475

Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

Das Autorenteam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

XVI Inhaltsverzeichnis

Abkürzungsverzeichnis

AS Auditing Standard

CC Corporate ComplianceCCO Corporate Compliance Offi cerCDO Compliance-Driven OptimizationCOBIT Control Objectives for Information and Related TechnologyCOSO Committee of Sponsoring Organizations of the Treadway Commission

DCGK Deutscher Corporate Governance KodexDEE Design Effectiveness Evaluation

ERM Enterprise Risk ManagementERP Enterprise Resource Planning

FASB Financial Accounting Standards BoardFCPA Foreign Corrupt Practices ActFPI Foreign Private Issuer

GRC Governance, Risikomanagement und Compliance

IAS International Accounting StandardsIDW Institut der WirtschaftsprüferISO International Organization for StandardizationIFRS International Financial Reporting StandardsIKS Internes KontrollsystemISA International Standards on Auditing

KPI Key Performance Indicator

OECD Organisation für Wirtschaftliche Zusammenarbeit und EntwicklungOET Operating Effectiveness Testing

PCAOB Public Company Accounting Oversight Board

SAS Statement on Auditing StandardSEC Securities and Exchange CommissionSLA Service Level AgreementSOA Sarbanes-Oxley Act

US-GAAP United States Generally Accepted Accounting Principles

Einleitung

Annähernd vier Jahre sind vergangen, seit der Sarbanes-Oxley Act (SOA) in den USA im Juli 2002 verabschiedet wurde. Dessen Section 404 und die daraus resultierenden Anforderungen an das interne Kontrollsystem der Finanzberichterstattung gelten auch heute noch als umfassend und richtungsweisend. Aber auch andere Teile des US-Gesetzes haben im Zusammenhang mit Corporate Governance neue Maßstäbe gesetzt und einen bedeutenden Einfl uss auf neue und veränderte Regelungen, beispielsweise in Deutschland oder der Europäischen Union, ausgeübt. Doch der Sarbanes-Oxley Act stellt nur ein Beispiel für eine weit reichende, neuartige Bestimmung dar, deren Einhaltung für die betroffenen Unternehmen von großer Bedeutung ist. Das Unternehmensumfeld der heutigen Zeit ist generell von großer Dynamik geprägt – dies gilt insbesondere in Bezug auf neue oder veränderte Gesetze, Regularien oder Standards und Best Practices. Diese ständige Veränderung und die daraus resultierenden, wechselnden Anforderungen der Stakeholder zu überwachen und geeignete Maßnahmen abzuleiten, stellen eine Herausforderung für jedes Unternehmen dar.

Geeignete Maßnahmen sind jedoch notwendig, denn der Stellenwert von »Compli-ance« als Synonym für die Einhaltung von gesetzlichen Bestimmungen, regulatorischen Standards oder auch freiwillig eingegangenen Verpfl ichtungen gegenüber den Stake-holdern hat deutlich zugenommen. Das nachhaltige Wachstum eines Unternehmens, welches auch mit einer nachhaltigen Sicherstellung von Compliance in Verbindung steht, wird häufi g positiver bewertet als der kurzfristige Erfolg. Compliance mit den verschiedensten Anforderungen, wie beispielsweise Section 404 des Sarbanes-Oxley Act, steht deshalb nicht nur im Interesse der Kapitalmärkte, sondern im Betrachtungs-feld der Öffentlichkeit allgemein. Zahlreiche Diskussionen in den Medien um große und kleine »Skandale« sind nur ein Beispiel für die aktuelle Situation. Nicht zuletzt die befürchteten und zu beobachtenden Auswirkungen auf den Unternehmenserfolg im Falle einer Nichteinhaltung von Anforderungen der Stakeholder rücken Compliance zunehmend stärker in den Fokus der Unternehmensführung.

Mit Corporate Compliance als Begriff für einen ganzheitlichen Ansatz der nach-haltigen, risiko- und wertorientierten, ethischen und regelkonformen Unternehmens-führung wird Compliance zu einem erweiterten Maßstab für die Ausrichtung des ge-samten Unternehmens. Das Streben nach Compliance auf der Ebene der einzelnen Anforderung und nach Corporate Compliance auf oberster Unternehmensebene in einem dynamischen Umfeld stellt eine Herausforderung für jedes Unternehmen dar. Diese Herausforderung anzunehmen bedeutet jedoch auch, Chancen zu nutzen und beispielsweise die Effektivität und Effi zienz von Maßnahmen zu verbessern, diese in die operativen Tagesabläufe einzubetten und Compliance stärker als bisher mit den Unternehmenszielen zu verknüpfen.

Einhaltung einer einzelnen Compliance-Anforderung als HerausforderungBereits die korrekte Identifi kation und die nachhaltige Umsetzung einer einzelnen Compliance-Anforderung in einem komplexen und dynamischen Umfeld bedeutet in vielen Fällen eine große Aufgabe. Die Erfahrungen aus dem Umgang mit den SOA-404-Vorschriften verdeutlichen, welchen Weg Unternehmen in der Regel wählen, um eine

solche Aufgabe zum ersten Mal zu bewältigen. Die Neuartigkeit der Bestimmungen und der Zeitdruck bezogen auf den Erfüllungsstichtag führten häufi g dazu, dass zunächst umfangreiche Projekte aufgesetzt wurden, um Compliance mit Section 404 erstmalig und mit hohem Aufwand zu erreichen. Das US-Gesetz fordert jedoch, dass die Anfor-derungen jährlich wiederkehrend erfüllt werden. Diese Forderung in Verbindung mit dem hohen Aufwand für die erstmalige Compliance lassen die Verantwortlichen nach geeigneten Maßnahmen suchen, um Section 404 auch in den Folgejahren nachhaltig und mit einem möglichst geringen Aufwand zu erfüllen.

Die kurzfristigen Maßnahmen des Projektansatzes stellen nicht notwendigerweise sicher, dass eine zukünftige Einhaltung der SOA-Anforderungen effektiv und effi zient gewährleistet ist. Nicht zuletzt der Zeitdruck des ersten Compliance-Jahres und feh-lende Erfahrungen bei der Auslegung der gesetzlichen Bestimmungen führen dazu, dass hieraus nur in begrenztem Umfang bereits stabile unternehmensweite Strukturen und Abläufe implementiert werden, die eine Erfüllung dauerhaft sicherstellen. Feste Organisationsstrukturen und Verantwortlichkeiten sowie eindeutig defi nierte Verfahren sind jedoch erforderlich, um das Projekt in den Regelbetrieb zu überführen und das Risiko einer Non-Compliance in den Folgejahren wirksam zu kompensieren.

Die Überführung des Projekts in den stabilen Regelbetrieb zur nachhaltigen Sicher-stellung von Compliance mit Section 404 ist notwendig. Darüber hinaus lassen sich aus den Projekterfahrungen und -ergebnissen häufi g weitere Optimierungspotentiale ableiten, die im Zusammenhang mit den Maßnahmen stehen, die zur Gestaltung eines wirksamen internen Kontrollsystems umgesetzt wurden. Die Durchführung eines SOA- 404-Compliance-Projekts in einem engen Zeitrahmen bedeutete vielfach, dass Effi zienz-aspekte bei der Auswahl von alternativen Vorgehensweisen nicht in vollem Umfang berücksichtigt wurden oder berücksichtigt werden konnten. Kurzfristig realisierte Ad-hoc-Lösungen zur Behebung von Kontrollschwächen stellen in diesem Zusammenhang ein wichtiges Beispiel dar. Nachdem Compliance erstmalig über kurzfristige Maßnah-men erreicht wurde, bieten die Folgejahre daher ausreichend Spielraum, um diese kritisch zu überprüfen und gegebenenfalls effi zientere Prozesse und Kontrollen zu im-plementieren.

Auch wenn die vorangegangenen Ausführungen als Beispiel Section 404 des Sar-banes-Oxley Act behandelten, lassen sich die grundlegenden Erkenntnisse und Hand-lungsbedarfe auf andere Compliance-Anforderungen übertragen. Insbesondere bei der erstmaligen Erfüllung einer neuartigen Anforderung über einen Projektansatz stellt der Übergang in den stabilen Regelbetrieb nicht selten eine Herausforderung dar. Geeignete Maßnahmen sollten sicherstellen, dass die Erfüllung zukünftig nicht nur nachhaltig und effektiv, sondern zusätzlich auch effi zient erfolgt. Diese Voraussetzungen sind bei einer reinen Fortsetzung des Projektbetriebs in der Regel nicht gegeben.

Ausrichten des Unternehmens auf Corporate Compliance durch IntegrationAus Unternehmenssicht bestehen Handlungsoptionen nicht nur bei der Überführung eines Compliance-Projekts in den Regelbetrieb, um eine einzelne Anforderung künftig nachhaltiger und effi zienter zu erfüllen. Der zielgerichtete Umgang mit Compliance ins-gesamt besitzt weitere Potentiale – von einer Steigerung der Effektivität und Effi zienz bei der Einhaltung von verschiedenen Anforderungen durch gemeinsame Maßnahmen und Strukturen bis hin zum Ausbau von Compliance zu einem strategischen Erfolgs-faktor für das Unternehmen.

Die Erfüllung und die Nichterfüllung von Stakeholder-Anforderungen – ob verpfl ich-tend oder freiwillig – hat Einfl uss auf den Erfolg des Unternehmens. Das sich bietende

XX Einleitung

Potential besteht darin, sich von einer rein gesetzlich oder regulatorisch getriebenen reaktiven Ausrichtung der Maßnahmen zu lösen und den Umgang mit den Stakeholder-Anforderungen zielgerichtet zu instrumentalisieren. Gelingt es der Unternehmens-führung, gegenüber der Öffentlichkeit auch durch entsprechendes Handeln dauerhaft zu demonstrieren, welchen hohen Stellenwert eine nachhaltige Compliance aus Sicht des Unternehmens einnimmt, beeinfl usst dies nicht nur das Unternehmensimage. Das verbesserte Image kann auch dazu beitragen, den Marktwert aus Sicht der Investoren zu erhöhen und Wettbewerbsvorteile zu erlangen.

Der zielgerichtete Umgang mit Compliance erfordert jedoch ein ganzheitliches und unternehmensweit einheitliches Vorgehen. Ein solches Vorgehen geht weit darüber hinaus, zentral festzulegen, wie eine bestimmte Compliance-Anforderung zu erfüllen ist. Erst die vollständige Integration des Ansatzes und aller Maßnahmen in die Organi-sationsstruktur und die operativen Abläufe schafft die Voraussetzung dafür, weitere Verbesserungspotentiale zu heben. Nur so kann eine unternehmensweite Ausrichtung und Flexibilisierung von Vorgehensweisen erfolgen, um auch in einem dynamischen Umfeld die Anforderungen der Stakeholder dauerhaft und zielgerichtet zu erfüllen und negativen Einfl üssen auf den Erfolg als mögliche Konsequenz einer Nichteinhaltung vorzubeugen. Notwendig ist hierzu die enge Verzahnung von Governance zur Steuerung und Überwachung des Unternehmens, dem unternehmensweiten Risikomanagement und Compliance zu einem ganzheitlichen Corporate-Compliance-Ansatz.

Eine nachhaltige, risiko- und wertorientierte, ethische und regelkonforme Unterneh-mensführung besitzt aus Sicht der Öffentlichkeit eine große Bedeutung und liegt im Interesse eines jeden Unternehmens. Ein Ziel dieses Buchs ist es, Maßnahmen und Handlungsoptionen aufzuzeigen, wie Compliance als Einhaltung von Anforderungen und Corporate Compliance als ganzheitlicher, unternehmensweiter und integrativer Compliance-Ansatz effektiv und effi zient umgesetzt werden können.

Bedeutung von Compliance in einem dynamischen UmfeldDie Bandbreite der regulatorischen Bestimmungen und freiwilligen Verpfl ichtungen, die für ein Unternehmen von Bedeutung sind, ist groß. Der Zweck des ersten Kapitels ist daher, einen Einblick zu geben, welche verschiedenen Anforderungen im Umfeld der Unternehmen bestehen. Aufgrund der Vielzahl und Verschiedenartigkeit der Anforde-rungen kann der Einblick nur ausschnittweise erfolgen. Zu verschieden sind die Aspekte, die sich beispielsweise aufgrund des Standorts oder der Branche ergeben. Die Ausfüh-rungen betrachten daher im Schwerpunkt wesentliche und allgemeine Anforderungen an Corporate Governance, Risikomanagement und Compliance in Unternehmen. Einen besonderen Stellenwert in Kapitel I nimmt die aktuelle Entwicklung von Regularien auf EU-Ebene sowie deren Umsetzung in nationales Recht am Beispiel Deutschlands ein. Kapitel I verdeutlicht einen weiteren Aspekt: die kontinuierliche Veränderung der Anforderungen. Nicht nur hinzugekommene neue Bestimmungen, sondern auch Anpas-sungen an bestehende Verpfl ichtungen bilden eine Herausforderung für Unternehmen, Compliance zielgerichtet sicherzustellen.

Kapitel II zeigt – im Sinne eines Leitfadens für die Praxis – verschiedene Wege auf, die ein Unternehmen im Zusammenhang mit der Erfüllung von Compliance-Anforderun-gen verfolgen kann. Das in Kapitel II.1 vorgestellte Governance, Risikomanagement und Compliance (GRC)-Stufenmodell bildet die Basis für die weiteren Ausführun-gen von Kapitel II. Stufe 1 des Modells stellt den Ausgangspunkt für weitere Schritte dar und berücksichtigt die Erfahrung, dass viele Unternehmen Compliance in der Regel erstmalig über einen Projektansatz sicherstellen. Auch wenn der Projektansatz

Einleitung XXI

kurzfristig dazu geeignet erscheint, die Einhaltung einer Compliance-Anforderung un-ter Zeitdruck zu erreichen, zeigt sich auch, dass weitere Maßnahmen notwendig sind, um die Erfüllung auch zukünftig effi zient und effektiv zu gewährleisten. Stufe 2 des Modells beschreibt daher die Sicherstellung der nachhaltigen Erfüllung einer einzelnen Compliance-Initiative. Darüber hinaus schafft die erstmalige Erfüllung von Compliance – insbesondere im Zusammenhang mit dem internen Kontrollsystem – größere Trans-parenz hinsichtlich der Prozesse und Kontrollen und zeigt Optimierungspotentiale auf. Das stufenübergreifende Vorgehen zur Realisierung dieser Potentiale wird in diesem Buch unter dem Stichwort »Compliance-Driven Optimization« beschrieben. Indem das Erreichen von Stufe 3 angestrebt wird, bietet sich die Option, Compliance mit dem unternehmensweiten Risikomanagement und Corporate Governance im Unternehmen als Corporate Compliance zu integrieren.

Erreichen von Compliance liefert Anhaltspunkte für VerbesserungenDie erstmalige Erfüllung einer Compliance-Anforderung über einen Projektansatz wird in Kapitel II.2 anhand von Section 404 des Sarbanes-Oxley Act betrachtet. Der Schwerpunkt der Ausführungen liegt darauf, einige der wesentlichen »Lessons Learned« aufzuzeigen und damit Anhaltspunkte für Verbesserungen des eigenen Ansatzes in den Folgejahren zu identifi zieren. Die geschilderten Erfahrungen sind sowohl einzelnen Projektphasen (beispielsweise zur Dokumentation und Bewertung des internen Kontrollsystems) als auch besonderen Themenschwerpunkten zugeordnet. Zu den vorgestellten Schwerpunk-ten zählen auch aufgrund der bislang veröffentlichten Material Weaknesses der Steuer -bereich und die IT in Unternehmen. Dienstleistungen, die beispielsweise in Service Center ausgelagert wurden, besitzen im Zusammenhang mit Section 404 ebenfalls einen hohen Stellenwert. Dies wird in einem Beitrag zu SAS-70-Reports aufgezeigt.

Ein weiterer Schwerpunkt von Kapitel II.2 ist ein Beitrag zu den Auswirkungen des Sarbanes-Oxley Act auf das Verhalten der Investoren durch die Analyse empirischer Befunde. Vor dem Hintergrund der zahlreichen Diskussionen um Kosten und Nutzen des US-Gesetzes liefert der Beitrag Einblicke in verschiedene Sichtweisen und lädt zu einer differenzierten Betrachtung auf die Auswirkungen des US-Gesetzes ein – vor allem in Abhängigkeit von der Unternehmensgröße. Wir danken Herrn Prof. Dr. Bas-sen und Herrn Dirk Pupke vom Lehrstuhl für Allgemeine Betriebswirtschaftlehre mit Schwerpunkt Finanzierung/Investition an der Universität Hamburg für die wertvolle Unterstützung.

Nachhaltige Compliance durch stabile Strukturen, Prozesse und TechnologieDas Erreichen von Stufe 1 des GRC-Stufenmodells über die erfolgreiche Durchführung eines Compliance-Projekts wird oft von hohem Zeit- und Kostendruck begleitet. Als Folge dessen haben viele Unternehmen Maßnahmen zur dauerhaften Gestaltung von Strukturen, Vorgehensweisen und Nachfolgeorganisationen häufi g nicht in vollem Um-fang in ihren Projektansätzen berücksichtigt. Die nachhaltige, wiederkehrende Sicher-stellung von Compliance erfordert jedoch die Integration der Compliance-Initiative in die Organisation und in die Unternehmensprozesse. Als Stufe 2 des GRC-Stufenmodells beschreibt Kapitel II.3 deshalb ein phasenorientiertes Vorgehen zum Erreichen dieser Nachhaltigkeit durch Transformation einer Compliance-Initiative in einen integrierten Compliance-Regelbetrieb. Eine mögliche Zielstruktur wird anhand eines Modells vorge-stellt, dessen Basis neun exemplarisch beschriebene Compliance Sustainability-Elemente sind. Für jedes der Elemente werden die zielgerichtete Gestaltung sowie praktische Umsetzungshinweise und Optimierungspotentiale erläutert.

XXII Einleitung

Die nachhaltige Sicherstellung von Compliance wird unterstützt durch eine an-gemessene Technologiebasis. Unter Berücksichtigung der Erfahrungen und Eindrücke des ersten SOA-Compliance-Jahres wird in Kapitel II.3 ebenfalls aufgezeigt, welche Maßnahmen sich anbieten. Ergänzt wird diese Darstellung durch Praxisbeiträge von Compliance-Tool-Herstellern.

Transparenz als Auslöser für die Optimierung von Prozessen und KontrollenKapitel II.4 beschreibt unter dem Begriff der »Compliance-Driven Optimization« eine Vorgehensweise zur Analyse und Verbesserung der Organisationsstruktur, der Geschäfts-prozesse und des internen Kontrollsystems sowie der Technologie auf der Basis eines erfolgreich durchgeführten Compliance-Projekts. Ein wesentlicher Ansatzpunkt für Op-timierungsprojekte besteht darin, dass die Erfüllung einer Compliance-Anforderung wie Section 404 des Sarbanes-Oxley Act zusätzliche Transparenz schafft. Nicht zuletzt durch die angefertigte Dokumentation steht eine meist umfassende Informationsbasis über Unternehmensbereiche, Prozesse und das interne Kontrollsystem zur Verfügung.

Durch die Anwendung der Methoden zur zielgerichteten Auswertung der verfügbaren Informationen können Ansatzpunkte für Verbesserungen identifi ziert werden. Hierzu zählen beispielsweise die Standardisierung und Harmonisierung oder auch die Effi zienz-steigerung durch Erhöhung des Automatisierungsgrads von Prozessen und Kontrollen. Die in Kapitel II.4 vorgestellte Methodik nutzt diese Ansatzpunkte und zeigt Wege zur Gestaltung eines optimierten Soll-Zustands sowie Maßnahmen zur Implementierung der Veränderung auf. Ein weiterer Schwerpunkt der beschriebenen Methodik sind Maßnah-men zur kontinuierlichen Verbesserung. Die kontinuierliche Verbesserung trägt dazu bei, den Nutzen aus dem Optimierungsprojekt auch im Regelbetrieb der optimierten Strukturen weiter zu erhöhen.

Integration als Voraussetzung für Corporate ComplianceEine effektive Corporate Compliance und der fl exible, vorausschauende Umgang mit Compliance-Anforderungen erfordern die bestmögliche Integration von Governance, Risikomanagement und Compliance. Kapitel II.5 beschreibt einen GRC-Ansatz als mög-liche Vorgehensweise. Bestandteile des Ansatzes sind eine Methodik zur effektiven und effi zienten Umsetzung von Corporate Compliance über ein ganzheitliches, integratives Vorgehen und das GRC-Zielmodell als Ergebnis der Anwendung. In einem ersten Schritt werden im Detail die wesentlichen Inhalte der drei im GRC-Zielmodell enthaltenen Ele-mente einer nachhaltigen, risiko- und wertorientierten, ethischen und regelkonformen Unternehmensführung erläutert. Über die ebenfalls beschriebene GRC-Umsetzungsme-thodik wird eine Vorgehensweise für das Erreichen von Corporate Compliance durch die Integration der drei Elemente Governance, Risikomanagement und Compliance an-hand verschiedener Phasen demonstriert. Die Umsetzungsmethodik führt im Ergebnis zur Realisierung des GRC-Regelbetriebs (als Operating Model). Die Beschreibung der Konzeption und Umsetzung des Modells für den Regelbetrieb bildet einen weiteren Bestandteil des Kapitels.

Praxisberichte verdeutlichen den aktuellen Stellenwert von ComplianceKapitel III enthält Praxisberichte namhafter deutscher und internationaler Großun-ternehmen, die verschiedene Aspekte und Erfahrungen aus Projekten zum Thema »Compliance« im Zusammenhang mit dem internen Kontrollsystem und insbesondere mit Section 404 des Sarbanes-Oxley Act beleuchten. Hierzu zählen beispielsweise Be-richte über die freiwillige Erfüllung von Anforderungen oder auch die beschriebenen

Einleitung XXIII

Vorgehensweisen für eine nachhaltige Sicherstellung der SOA 404-Compliance in der Zukunft. Die Praxisberichte sollen zum Austausch von Erfahrungen beitragen und verschiedene Blickwinkel verdeutlichen. Die Berichte zeigen auch, welchen Stellen-wert die Unternehmen dem Thema Compliance einräumen. Unser herzlicher Dank für die Unterstützung und die herausragenden Beiträge geht insbesondere an Christoph Saalfeld (Bayer AG), Andreas Bamberg und Aram Kaven (Deutsche Telekom), Bruno Joachim (E.ON AG), Luka Mucic (SAP AG) sowie Emanuel Ritzmann (Schweizerische Bundesbahnen SBB).

Unser Dank geht weiterhin an das große Team der Autoren und Beitragenden, das an der Erstellung dieses Buchs mitgewirkt hat. Die tatkräftige Unterstützung und die einge-brachten Erfahrungen aus verschiedensten Bereichen der Praxis haben es ermöglicht, sich dem Thema Corporate Compliance umfassend zu widmen. Das Team der Autoren und Beitragenden wird am Ende des Buchs in einem eigenen Kapitel näher vorgestellt. Darüber hinaus geht unser herzlicher Dank für die Unterstützung an Lucie Maderova und Isabella Raab. Weiterhin danken wir Margaret Dransfeld, Steffen Dilger, Marcus Franke, Eva-Maria Hauptfl eisch, Jochen Kaiser, Danny Phung, Kirsten Raab, Jan Kolja Schröder, Martina Stodolka, Katrin Tietz, Edmund Weniger und Christiane Werner.

Der Umgang mit Compliance und die Integration von Corporate Compliance im Un-ternehmen stellen sowohl eine Herausforderung als auch eine Chance für die Zukunft dar. Wir freuen uns, unseren Lesern mit diesem Buch einen Praxisleitfaden zur Verfügung stellen zu können, der ein Unternehmen auf diesem Weg begleitet und unterstützt.

Dr. Kurt Glasner Christof MenziesPartner PartnerLeiter des Bereichs Performance ImprovementPricewaterhouseCoopers PricewaterhouseCoopersEssen, 1. September 2006 Frankfurt, 1. September 2006

XXIV Einleitung

I Corporate Compliance in einem dynamischen Umfeld

Das Thema »Compliance« besitzt in der heutigen Unternehmenswelt große Bedeutung und genießt hohe Aufmerksamkeit. Die Einhaltung von Gesetzen, von regulatorischen Vorgaben oder auch von freiwilligen Verpfl ichtungen gegenüber den Stakeholdern hat nicht zuletzt nach der Verabschiedung des Sarbanes-Oxley Act deutlich an Bedeutung gewonnen. Unternehmen erkennen zunehmend, dass die Sicherstellung von Compliance nicht nur von den verschiedensten Anspruchsgruppen erwartet wird und eine Voraus-setzung für die Geschäftstätigkeit bildet. Abhängig von den Anforderungen kann die Erfüllung von Regeln und Standards gegenüber der Öffentlichkeit als ein Qualitätsmerk-mal des Unternehmens demonstriert werden. Darüber hinaus unterstützen erfolgreich eingerichtete Verfahren zur Sicherstellung von Compliance ein Unternehmen dabei, zielgerichtet zu handeln und die Interessen der verschiedensten Anspruchsgruppen ausreichend zu berücksichtigen.1

Das Ziel der nachfolgenden Kapitel ist es, den Begriff »Compliance« näher zu un-tersuchen und dessen Stellenwert und Tragweite anhand von verschiedenen, derzeit relevanten Regeln und Standards aufzuzeigen. Bereits bei der Defi nition und Abgren-zung des Begriffs in Kapitel I.1 wird deutlich, welche vielschichtigen Themengebiete im Zusammenhang mit »Compliance« stehen und für Unternehmen als »Corporate Compliance« von Bedeutung sind.

Ab Kapitel I.2 werden einige der verschiedenen Regeln und Standards beschrieben, die vor allem für börsennotierte Unternehmen gegenwärtig von Bedeutung sind bzw. zukünftig sein werden. Neben global anerkannten Standards, wie beispielsweise den OECD Corporate Governance Principles, werden auch Auswirkungen und Entwicklungen des Sarbanes-Oxley Act betrachtet. Ein weiterer Schwerpunkt der Ausführungen liegt auf EU-Initiativen und der Umsetzung spezifi scher EU-Standards in Deutschland. Deutlich wird auch, dass viele der aufgeführten Regeln und Standards einer kontinuierlichen Veränderung unterworfen sind.

Compliance in einem dynamischen Umfeld stellt deshalb hohe Anforderungen an die Organisation, die Prozesse, die Systeme und die Mitarbeiter im Unternehmen. Die Komplexität und Vielzahl der Anforderungen in Verbindung mit den kontinuierlichen Veränderungen stellen Unternehmen zunächst vor die wichtige Aufgabe, alle relevanten Regeln und Standards zielgerichtet zu identifi zieren. Die Identifi kation ist eine Voraus-setzung, um geeignete Maßnahmen festlegen und umsetzen zu können. Eine weitere Herausforderung für die Unternehmen besteht darin, sich den andauernden und häu-fi gen Veränderungen der als relevant identifi zierten Regeln und Standards möglichst effektiv und auch effi zient sowie in Übereinstimmung mit den Unternehmenszielen anzupassen. Effektiv und wirtschaftlich effi zient ist eine Umsetzung neuer Standards und Regeln erfahrungsgemäß dann, wenn die erforderlichen Maßnahmen frühzeitig geplant und umgesetzt werden.

1 Anm.: Der Nutzen von Compliance für Unternehmen wird u. a. in Kapitel II.1 nochmals ausführli-cher diskutiert.

2 Kapitel I: Corporate Compliance in einem dynamischen Umfeld

Kapitel I bietet nicht nur einen Überblick über verschiedene, aktuell relevante Regeln und Standards. Es verdeutlicht zusätzlich, welchen Stellenwert und Umfang die Erfül-lung von Anforderungen der verschiedenen Anspruchsgruppen einnimmt. Das Kapitel schafft gleichzeitig eine Basis für die Ausführungen in späteren Kapiteln. Maßnahmen, um eine Anforderung nachhaltig über einen längeren Zeitraum sicherzustellen, werden in den Folgekapiteln ebenso diskutiert wie die Integration verschiedenster Compliance-Anforderungen in einem ganzheitlichen Ansatz.

Wie bereits angemerkt, sind die beschriebenen Regeln und Standards häufi gen Än-derungen unterworfen. Die nachfolgenden Ausführungen beziehen sich auf den Stand im Februar 2006.

1 Der Compliance-Begriff

Das allgemeine Verständnis des Begriffs »Compliance« ist heterogen – eine anerkannte disziplinenübergreifende Defi nition für Compliance besteht in der Praxis häufi g nicht. Der Begriff und die Funktion »Compliance« haben ihren Ursprung in der Bankenwelt.2

Aus juristischer Sicht ließe sich Compliance frei mit »Handeln in Übereinstimmung mit geltendem Recht« übersetzen. Für das »Committee of Sponsoring Organizations of the Treadway Commission« (COSO) bezieht sich »Compliance« auf die Einhaltung von Gesetzen und Regeln, von denen Unternehmen betroffen sind.3 Für die Betriebswirt-schaftslehre war der Begriff »Compliance« bis zum Inkrafttreten des Sarbanes-Oxley Act im Jahr 2002 unscharf und in der täglichen Arbeit kaum von Bedeutung. Insbesondere Section 404 des Sarbanes-Oxley Act hat diesen Sachverhalt geändert. Umfangreiche »SOA 404 Compliance-Projekte« haben dazu geführt, dass der Begriff »Compliance« im Sprachgebrauch der Unternehmenswelt heute einen sehr viel größeren Stellenwert ein-nimmt als noch vor wenigen Jahren. Section 404 des Sarbanes-Oxley Act hat insoweit zu einer starken Sensibilisierung in Bezug auf das Thema »Compliance« geführt.

Als Basis für die nachfolgenden Kapitel des Buchs wird an dieser Stelle eine Ab-grenzung des Compliance-Begriffs vorgenommen:

Compliance steht in diesem Buch für die Einhaltung von gesetzlichen Bestimmun-gen, regulatorischen Standards und die Erfüllung weiterer wesentlicher Anforderungen der Stakeholder.4 Compliance trägt dazu bei, die Beständigkeit des Geschäftsmodells, das Ansehen in der Öffentlichkeit und die fi nanzielle Situation eines Unternehmens zu verbessern. Compliance umfasst die Einrichtung geeigneter Organisationsstrukturen, Prozesse und Systeme im Unternehmen.5

Die Bezeichnung Corporate Compliance erweitert den oben beschriebenen Compli-ance-Begriff um einen unternehmensweiten, integrativen Ansatz zur effektiven und ef-fi zienten Erfüllung der wesentlichen Stakeholder-Anforderungen. Corporate Compliance wird hierdurch zu einer Voraussetzung für eine nachhaltige, risiko- und wertorientierte, ethische und regelkonforme Unternehmensführung.6

2 Vgl. Buff (2000), S. 10 ff.3 Vgl. COSO (2004), S. 121.4 Anm.: Stakeholder sind Personen oder Gruppen aus dem gesamten sozioökonomischen Unterneh-

mensumfeld, die (berechtigte) Ansprüche und Anforderungen an das Unternehmen richten.5 Vgl. PwC (2005d), S. 3.6 Anm.: Integrierende Maßnahmen werden u. a. in Kapitel II.1 und II.5 ausführlicher vorgestellt.

Kapitel I betrachtet, welche verschiedenen Arten von Stakeholder-Anforderungen in Form von gesetzlichen oder freiwillig zu erfüllenden Anforderungen existieren. Ein Schwer punkt der Betrachtung liegt hierbei auf den Anforderungen, die im Zusammen-hang mit der Finanzberichterstattung stehen. Kapitel II und die jeweiligen Unterkapitel beschreiben, welche Maßnahmen notwendig sind, um ein geeignetes Organisationsmo-dell zur Erfüllung der Anforderungen mit Prozessen und Systemen einzurichten.

Compliance mit globalen Regeln und StandardsDas Einhalten von globalen Regeln und Standards ist heute eine Grundvoraussetzung dafür, dass Unternehmen Geschäfte betreiben und am Markt auftreten dürfen. An-dauernde Änderungen des regulatorischen Umfelds aufgrund gesellschaftlicher, öko-nomischer, ökologischer und technologischer Fortschritte stellen hohe Anforderungen an die Fähigkeit der betroffenen Unternehmen, sich neuen Regeln und Standards möglichst effektiv und effi zient anzupassen. Unternehmen, die sich frühzeitig auf neue Regeln und Standards einstellen und vorbereiten, haben gegenüber ihren Wett-bewerbern Vorteile, weil deren Implementierung erfahrungsgemäß wirksamer und auch kostengünstiger ist, je eher mit der Umsetzung begonnen wird. Globale Regeln und Standards, wie beispielsweise Transparenz- und Publizitätsstandards, Sozial- und Umweltstandards oder Standards für gute Unternehmensführung und Unternehmens-überwachung werden von internationalen Standardsettern und Institutionen, wie beispielsweise der Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung (OECD), entwickelt. Sie sind nicht rechtsverbindlich, gelten aber regelmäßig als Vor-gabe bzw. Rahmen, an dem sich andere Regulatoren und Standardsetter, aber auch Unternehmen orientieren.

Compliance mit Regeln und Standards zur Unternehmenspublizität Unternehmen haben vielfältige Verpfl ichtungen im Hinblick auf die Veröffentlichung von Informationen fi nanzieller und nicht-fi nanzieller Art. Diese Informationen dienen den Investoren und anderen Stakeholdern dazu, sich ein faires, richtiges und voll-ständiges Bild von der Vermögens-, Finanz- und Ertragslage des Unternehmens zu machen. Grundsätzlich sollen die Informationen zuverlässig, entscheidungsrelevant, zeitgerecht, verständlich und im Hinblick auf vorherige Perioden vergleichbar sein. Informationen fi nanzieller Art beinhalten in erster Linie den Jahresabschluss eines Unternehmens. Der Anhang als Bestandteil des Jahresabschlusses enthält neben fi -nanziellen Informationen auch nicht-fi nanzielle Informationen. Erst mit Hilfe der nicht-fi nanziellen Informationen kann sich der Empfänger der Informationen ein vollständiges Bild von der wirtschaftlichen Lage der Gesellschaft machen.

Börsennotierte Gesellschaften in den USA müssen umfangreiche Publizitätspfl ichten erfüllen, die unter anderem aus dem Sarbanes-Oxley Act resultieren. So defi niert Sec-tion 302 die Verantwortung der Unternehmen für die vierteljährlichen und jährlichen Finanzberichte, die durch den CEO und CFO geprüft, kontrolliert, unterschrieben und mit diesbezüglichen Hinweisen veröffentlicht werden müssen. Die Erklärung nach Sec-tion 302 durch den CEO und den CFO enthält weiterhin Aussagen zum Publizitäts-kontrollsystem (Disclosure Controls and Procedures). Section 404 verpfl ichtet das Ma-nagement, einmal im Jahr eine Beurteilung der internen Kontrollen vorzunehmen und im Rahmen der jährlichen Unternehmensberichterstattung in dem »Internal Control Report« dazu Stellung zu nehmen. Wesentliche Informationspfl ichten für Gesellschaften, die in Deutschland börsennotiert sind, ergeben sich aus dem Wertpapierhandelsgesetz, dem Handelsgesetzbuch und dem Aktiengesetz. Compliance mit Regeln und Standards

Der Compliance-Begriff 3


in Bezug auf die Veröffentlichung fi nanzieller und nicht-fi nanzieller Unternehmensin-formationen bedeutet, dass das Ziel einer effektiven und effi zienten Kapitalmarktkom-munikation erreicht wird.

Compliance mit Regeln und Standards zur Unternehmensführung und UnternehmensüberwachungIn den vergangenen Jahrhunderten ist es immer wieder zu Unternehmenskrisen mit weit reichenden Auswirkungen gekommen.7 Hauptursache für die meisten Unterneh-menskrisen waren damals wie heute Fehler des Managements, das im Auftrag der Eigentümer die Geschäfte der Gesellschaft führt und ihr Vermögen verwaltet. Nach herrschender Meinung war und ist das Auseinanderfallen von Eigentum und Kontrolle das Kernproblem von Corporate Governance.8 In der Folge wurde das Geschäftsleben nach und nach stärker reguliert, um existenzbedrohende Krisen von Unternehmen zu vermeiden bzw. zu verhindern. Diese Entwicklung hält bis heute an.

Vor dem Hintergrund diverser Initiativen zur Regulierung und Standardisierung der Unternehmensführung und -überwachung werden die fachlichen und persönlichen Anforderungen an die geschäftsführenden Direktoren und die nicht-geschäftsführenden Direktoren weiter steigen. Gute Corporate Governance sichert die Existenz von Unter-nehmen und wirkt sich positiv auf den Unternehmenswert aus.9 Corporate-Governance-Codes existieren mittlerweile in nahezu allen wirtschaftlich entwickelten Ländern.10

Im Fall der Nichteinhaltung der Kodizes drohen den Unternehmen der Verlust des Vertrauens der Kapitalmarktteilnehmer und verschlechterte Finanzierungskonditionen. Die verantwortlichen Mitglieder der Verwaltung11 selbst sind hohen persönlichen Haf-tungsrisiken ausgesetzt.

Compliance mit den Regeln und Standards zur Unternehmensführung dient der Exis-tenzsicherung, steigert den Wert des Unternehmens,12 minimiert das Risiko unterneh-merischer Fehlentscheidungen und reduziert zugleich die persönlichen Haftungsrisiken für die Mitglieder der Verwaltung.

Compliance mit den Regeln und Standards der BörsenAlle bedeutenden Börsenplätze, wie zum Beispiel die New York Stock Exchange (NYSE), die London Stock Exchange (LSE) oder die Frankfurter Wertpapierbörse (FWB), geben Regeln und Standards vor, die von den Gesellschaften zu erfüllen und einzuhalten sind, wenn sie ihre Aktien an der Börse handeln lassen wollen.

Compliance mit den Regeln und Standards der Börsen ermöglicht den Zugang zum Kapitalmarkt und sichert damit die Finanzierung der Geschäftstätigkeit.

Compliance mit RechnungslegungsstandardsRegeln und Standards in Bezug auf die Rechnungslegung, wie die International Financial Reporting Standards (IFRS) oder die US-amerikanischen Generally Accepted Accounting

7 Vgl. Hopt/Leyens (2004), S. 135-138. 8 Vgl. Hopt/Leyens (2004), S. 135 f. 9 Vgl. McKinsey (2002), S. 1 ff.10 Vgl. ECGI, http://www.ecgi.org/codes/all_codes.php für eine Übersicht zu Corporate-Governance-

Codes.11 Vgl. § 120 Absatz 2 Satz 1 AktG – In Deutschland erfolgt die Verwaltung der Aktiengesellschaft

durch Vorstand und Aufsichtsrat. Die Mitglieder der Verwaltung sind demnach dem Vorstand oder dem Aufsichtsrat zuzuordnen.

12 Vgl. McKinsey (2002), S. 1 ff.

Standards (US-GAAP), geben einen konkreten Rahmen vor, in dem sich insbesondere börsennotierte Unternehmen gegenüber ihren Anteilseignern präsentieren müssen.

Compliance mit den gängigen internationalen Rechnungslegungsstandards bedeutet, dass der Hauptzweck der Finanzberichterstattung, eine möglichst zuverlässige und faire Darstellung der wirtschaftlichen Lage des Unternehmens sicherzustellen, erreicht wird.

Compliance in Bezug auf Business Judgement RulesDer Grundgedanke der aus dem angelsächsischen Rechtskreis stammenden Business Judgement Rules besteht darin, dass die Mitglieder der Verwaltung dann nicht persön-lich haften, wenn sie zum Wohle der Gesellschaft auf der Grundlage angemessener Information handeln und entscheiden.13

Entscheidungen auf der Grundlage angemessener Informationen erfordern interne Kontroll- und Risikomanagementsysteme, die wesentlich dazu beitragen können, die unternehmerische Entscheidung zu fundieren und ein Abwägen von Chancen und Ri-siken basierend auf einer geeigneten Informationsbasis zu ermöglichen.

In Deutschland fi ndet das Prinzip der Business Judgement Rules Parallelen in der neueren höchstrichterlichen Rechtsprechung des Bundesgerichtshofs,14 und bedingt durch das Gesetz zur Unternehmensintegrität und Verbesserung des Anfechtungsrechts (UMAG), erstmals Eingang in das Aktienrecht.15

Compliance mit Business Judgement Rules bedeutet, dass die Verwaltung der Ge-sellschaft Entscheidungen im Rahmen ihres unternehmerischen Ermessens zum Wohle der Gesellschaft trifft.

Compliance mit Regeln und Standards in Bezug auf interne Kontroll- und RisikomanagementsystemeInnerhalb der betriebswirtschaftlichen Praxis fi ndet Compliance generell Niederschlag in den Bereichen des internen Kontrollsystems und des Risikomanagements, beides originäre Aufgaben des Vorstands bzw. des Aufsichtsrats. Während der Vorstand für die eigentliche Umsetzung verantwortlich ist, hat der Aufsichtsrat die relevanten Prozesse und Systeme unabhängig zu überwachen. Wirksame und effi ziente interne Kontroll- und Risikomanagementprozesse sind erfahrungsgemäß Katalysatoren für eine gute Unternehmensführung und -überwachung. Beispiele für betriebswirtschaftlich geprägte Standards für diesen Teil der Unternehmensführung und -überwachung sind das Inter-nal Control – Integrated Framework oder das Enterprise Risk Management – Integrated Framework.16 Die beiden Rahmenwerke werden in der Praxis häufi g mit »COSO I« (In-ternal Control) und »COSO II« (Enterprise Risk Management) bezeichnet.

Exkurs: Das interne Kontrollsystem nach COSO IGemäß dem Rahmenwerk von COSO ist das interne Kontrollsystem ein Prozess, der von Aufsichtsgremien, dem Management und den Mitarbeitern ausgeführt wird und das Erreichen der festgelegten Unternehmensziele gewährleistet. Für die Zielsetzung unterscheidet das COSO I-Rahmenwerk die folgenden Zielkategorien:17

13 Vgl. Hillebrand (2005), S. 136-147; Hopt/Leyens (2004), S. 142. 14 Vgl. BGH (1997).15 Vgl. § 93 Abs. 1 Satz 2 AktG.16 Vgl. COSO (1992); COSO (2004); Kapitel II.5.1.2.17 Vgl. Menzies (2004), S. 76 ff. für weitere Erläuterungen zur Defi nition des IKS nach COSO.



• Sicherung der Wirksamkeit und der Wirtschaftlichkeit der Geschäftstätigkeit (Ope-rations),

• Ordnungsmäßigkeit und Verlässlichkeit der Finanzberichterstattung (Financial Reporting) und

• Einhaltung von maßgeblichen Gesetzen und Vorschriften (Compliance).

Kontrollen müssen fortlaufend ausgeführt werden, um die ordnungsgemäße Funktion des Systems und das Erreichen der Ziele mit hinreichender Sicherheit zu gewährleisten. Daher ist es notwendig, das interne Kontrollsystem fest in die Geschäftsprozesse des Unternehmens einzubinden. Der Aufbau des COSO-Rahmenwerks ist in Form eines Würfels dargestellt (vgl. Abb. 1).

Abb. 1: Der COSO-Würfel18

Jede einzelne der fünf Komponenten (Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring) trägt zum Erreichen der Ziele bei. Die Komponenten stehen in einer Wechselbeziehung zueinander und betreffen sowohl die Gesamtorganisation als auch einzelne Unternehmenseinheiten und Prozesse. Alle fünf Komponenten sind erforderlich, um ein wirksames internes Kontrollsystem zu gewährleisten.Abhängig von der Struktur, Größe und Komplexität der Organisation können die Kom-ponenten unterschiedlich stark ausgeprägt sein.19 Zur Verdeutlichung des Aufbaus des internen Kontrollsystems unterscheidet COSO zwischen fünf Komponenten:

18 Vgl. Menzies (2004), S. 75 ff. zu den unterschiedlichen Dimensiionen des COSO-Rahmenswerks.19 Vgl. COSO (1992), S. 15; Menzies (2004), S. 77.

• Das Kontrollumfeld (Control Environment) bildet das Fundament für die anderen vier Komponenten und bestimmt das Kontrollbewusstsein in einem Unternehmen. Es umfasst die im Unternehmen vermittelte Unternehmenskultur und den Führungsstil des Managements, wie zum Beispiel den »Tone at the Top«20, die Bedeutung von Integrität und ethischen Werten.

• Ein kontinuierlicher Prozess der Risikobeurteilung (Risk Assessment) stellt sicher, dass Risiken erkannt und bewertet werden, die ein Erreichen der Unternehmensziele beeinträchtigen können.

• Kontrollaktivitäten (Control Activities) müssen (z. B. als Richtlinien und Verfahren) eingerichtet und ausgeführt werden. Die Aktivitäten dienen dazu, die gesetzten Unternehmensziele zu erreichen.

• Die Informations- und Kommunikationskomponente (Information & Communi-cation) des COSO-Würfels soll verdeutlichen, dass Informationen so identifi ziert, erfasst und kommuniziert werden, dass Mitarbeiterinnen und Mitarbeiter in der Lage sind, ihrer Verantwortung gerecht zu werden.

• Die Überwachung (Monitoring) des internen Kontrollsystems ist erforderlich, um die Effektivität des Systems kontinuierlich zu gewährleisten und fl exibel auf Verän-derungen reagieren zu können.

Für jede der genannten Komponenten muss das Vorhandensein wirksamer Kontrollen sichergestellt sein. Kontrollen der Komponente »Kontrollaktivitäten« sind überwie-gend auf Prozessebene implementiert und besitzen in der Regel den größten Anteil an den insgesamt im Unternehmen vorhandenen Kontrollen. Kontrollen der übrigen vier Komponenten sind häufi g komponentenübergreifend (beispielsweise auf Unter-nehmensebene) eingerichtet. Die vier Komponenten werden in der Praxis auch als »Softer COSO-Components« bezeichnet.

Die Securities and Exchange Commission (SEC) empfi ehlt das COSO I-Rahmenwerk als Referenz zur Evaluierung des internen Kontrollsystems der Finanzberichterstattung nach SOA Section 404. Allerdings handelt es sich lediglich um eine Empfehlung der SEC, so dass auch andere Konzepte, wie zum Beispiel die Turnbull Guidance oder der Leitfaden des Canadian Institute of Chartered Accountants, zu Risikomanagement und Corporate Governance verwendet werden können.21,22 Der im Rahmen der Jahresbe-richterstattung durch das Management abzugebende Internal Control Report gemäß Section 404 hat unter anderem einen Hinweis darauf zu enthalten, welches Framework im Rahmen des Assessments genutzt wurde.

In Europa existiert eine Vielzahl einzelstaatlicher, zum Teil gesetzlicher Regelungen in Bezug auf interne Kontrollen und Risikomanagement.23 In Deutschland zum Bei-spiel verpfl ichtet § 91 Absatz 2 des Aktiengesetzes (AktG) Vorstände börsennotierter Gesellschaften, ein Risikofrüherkennungssystem einzurichten. In einem dualistischen System der Unternehmensführung und Unternehmensüberwachung obliegt es dem Aufsichtsrat der Aktiengesellschaft, das Risikomanagementsystem in Bezug auf die

20 Anm.: Die Bedeutung des »Tone at the Top« wird u.a. in Kapitel II.5.1.1. diskutiert.21 Vgl. SEC (2003), Fn. 67.22 Vgl. PCAOB (2004), Section 13 für Kriterien, die ein geeignetes Rahmenwerk erfüllen muss (u. a.

das Durchlaufen eines »Due-Process«).23 Vgl. FEE (2005), S. 39 ff.



Wirksamkeit und Wirtschaftlichkeit zu überwachen.24 Im Handelsgesetzbuch schreibt § 317 HGB außerdem die Prüfungspfl icht des Risikofrüherkennungssystems durch den Abschlussprüfer vor. Diese Regelungen gelten bereits seit dem Inkrafttreten des seinerzeit richtungsweisenden Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich ( KonTraG) aus dem Jahr 1998.

Mit dem Enterprise Risk Management – Integrated Framework ist ein weiteres mo-dernes Rahmenwerk (COSO II) entstanden, das auch im Hinblick auf die praktische Umsetzung und Interpretation der unbestimmten Rechtsbegriffe in § 91 Absatz 2 des Aktiengesetzes wichtige Impulse liefern kann. Kleineren an den Börsen notierten Ge-sellschaften wird darüber hinaus ein auf ihre Bedürfnisse zugeschnittener Leitfaden, die Guidance for Smaller Public Companies Reporting on Internal Controls over Financial Reporting, an die Hand gegeben.25 Diese Guidance wurde von COSO entwickelt. Das Framework ist zwar in erster Linie für kleinere börsennotierte Gesellschaften gedacht, es kann aber auch großen Gesellschaften Anhaltspunkte für eine kosteneffi ziente Ge-staltung ihres unternehmensweiten internen Kontrollsystems liefern. Die SEC unterstützt die COSO-Initiative: »… this guidance is an important step forward in helping smaller businesses understand and apply COSO‘s internal control framework in connection with implementing Section 404 of the Sarbanes-Oxley Act.«26

Compliance mit den betriebswirtschaftlich geprägten Standards, wie zum Beispiel dem Internal Control – Integrated Framework (COSO I), bedeutet, dass ein Unterneh-men sein internes Kontrollsystem nach anerkannten Best Practice-Standards eingerich-tet hat und damit beispielsweise das Ziel einer zuverlässigen Finanzberichterstattung unterstützt wird.

Corporate ComplianceDie bisherigen Ausführungen geben einen ersten Überblick darüber, für welche Bereiche mit Standards und Regeln die Einhaltung von Compliance bzw. Corporate Compliance zur Erfüllung der Stakeholder-Anforderungen unter anderem von Bedeutung ist. In den nachfolgenden Kapiteln werden Standards und Regeln aus den folgenden Themenge-bieten nochmals ausführlicher betrachtet:

• weltweit geltende Industrie-, Sozial- und Umweltstandards, • Standards und Regeln zur Veröffentlichung fi nanzieller und nicht-fi nanzieller Unter-

nehmensinformationen, • Corporate-Governance-Praktiken,• Zulassungsbedingungen bestimmter Börsen,• international akzeptierte Rechnungslegungsstandards, wie IFRS oder US-GAAP,• Business Judgement Rules sowie• betriebswirtschaftliche Standards zu internen Kontrollen und Risikomanagementsys-

temen.

24 Vgl. Schichold (2001), S. 397-422.25 Vgl. COSO (2005), S. 1 ff.26 SEC (2005).

2 Bedeutende globale Regeln und Standards

Globale Regeln und Standards haben eine große Bedeutung für Unternehmen und deren Einhaltung ist in vielen Fällen die Voraussetzung für eine erfolgreiche Geschäftstätigkeit. Aus diesem Grund gibt der folgende Abschnitt einen Überblick über internationale und nationale Entwicklungen zum Thema Compliance. Dabei werden bedeutende Anforde-rungen wie z. B. die Corporate-Governance-Grundsätze der OECD, industriespezifi sche Standards oder die Neugestaltung von Eigenkapitalvorschriften für Kreditinstitute (Basel II) eingehend erläutert. Die Ausführungen verdeutlichen auch Zusammenhänge zwi-schen den Regeln und Standards und den Auswirkungen auf das Risikomanagement sowie das interne Kontrollsystem eines Unternehmens.

2.1 OECD Principles of Corporate Governance

Die Corporate-Governance-Grundsätze der Organisation für wirtschaftliche Zusam-menarbeit und Entwicklung wurden erstmals im Jahr 1999 vom Rat der OECD auf Minis ter ebene gebilligt. Im Jahr 2004 wurde eine überarbeitete Fassung der Grundsätze veröffentlicht. Die Corporate-Governance-Grundsätze der OECD sind weltweit zu einer internationalen Richtschnur für Anleger, börsennotierte Unternehmen, politische Ent-scheidungsträger und sonstige Stakeholder geworden.27

Die Corporate-Governance-Grundsätze der OECD beinhalten nicht-rechtsverbindliche Standards, Leitlinien, empfehlenswerte Praktiken und Orientierungshilfen, die so de-fi niert sind, dass sie den spezifi schen Gegebenheiten in den einzelnen Ländern und Regionen angepasst werden können.28 Sie werden als Orientierungshilfe für Gesetzes- und Regulierungsinitiativen von den OECD-Mitglieds- wie auch Nicht-Mitgliedsländern verwendet.

Die OECD hat einen auf Prinzipien basierenden Ansatz gewählt, bei dem ange-messene Corporate-Governance-Praktiken im Zentrum stehen. Die Prinzipien nehmen konkret Bezug auf

• die Sicherung der Grundlagen eines wirksamen Rahmens für Corporate Governance,• Aktionärsrechte und Schlüsselfunktionen der Kapitaleigner,• die Gleichbehandlung der Aktionäre,• die Rolle der verschiedenen Stakeholder,• die Offenlegung und Transparenz fi nanzieller und nicht-fi nanzieller Informationen

sowie• die Aufgaben und Pfl ichten des Aufsichtsorgans.

Informationen zu den Themen interne Kontrollen und Risikomanagement fi nden sich insbesondere in den Abschnitten über die Offenlegung und die Aufgaben des Verwal-

27 Vgl. OECD (2004), S. 3 ff.28 Vgl. OECD (2004), S. 4.

9


tungsorgans. Die OECD weist beispielsweise darauf hin, dass die Offenlegung von In-formationen über die Risikoüberwachungs- und -managementsysteme zunehmend als empfehlenswerte Praxis angesehen wird.29 Wesentliche von den Unternehmen offen zu legende Informationen über Risiken werden in den Corporate-Governance-Grundsätzen der OECD exemplarisch aufgelistet. So sollte das Unternehmen alle vorhersehbaren wesentlichen Risikofaktoren in einer präzisen Form publizieren30 und im Einzelnen berichten über

• branchenspezifi sche Risiken,• regional bedingte Risiken,• das Risiko der Abhängigkeit von bestimmten Rohstoffen,• Risiken des Finanzmarkts einschließlich der Zins- und Währungsrisiken,• Risken im Hinblick auf Finanzderivate,• Risiken nicht bilanzwirksamer Transaktionen sowie• umweltbezogene Haftungsrisiken.

Weiterhin sehen die OECD-Prinzipien die Einrichtung von Ausschüssen, wie zum Bei-spiel eines Audit Committees, vor. Deren Mandat, Zusammensetzung und die fest-gelegten Arbeitsverfahren sind zu veröffentlichen, wobei sich die Offenlegung nicht auf solche Ausschüsse erstrecken sollte, die zur Abwicklung vertraulicher Geschäfte eingerichtet wurden.31 Eine exakte Defi nition des Begriffs »vertrauliche Geschäfte« wird jedoch nicht vorgenommen.

Die Corporate-Governance-Grundsätze der OECD benennen bestimmte Schlüssel-funktionen, die unbedingt durch das Aufsichtsorgan ausgeübt werden sollten. Auch an dieser Stelle wird die Bedeutung interner Kontroll- und Risikomanagementprozesse als Treiber für eine gute Unternehmensführung und Unternehmensüberwachung hervor-gehoben. Zu den Schlüsselfunktionen, die durch das Aufsichtsorgan wahrgenommen werden sollten, zählen die

• Überprüfung der Unternehmensstrategie, der operativen Pläne und der Risikopolitik,• Überwachung der Wirksamkeit der von dem Unternehmen angewandten Corporate-

Governance-Praktiken,• Bestellung, Vergütung, Kontrolle sowie gegebenenfalls Auswechselung von Mitglie-

dern der Geschäftsführung und Überwachung der Nachfolgeplanung,• Anpassung des Vergütungssystems für die Geschäftsführung an die längerfristigen

Interessen des Unternehmens und der Aktionäre,• Verfolgung potentieller Interessenkonfl ikte,• Gewährleistung der Integrität der Rechnungslegungs- und Buchführungssysteme, ein-

schließlich der Initiierung unabhängiger Prüfungen durch die Abschlussprüfer sowie• Sicherstellung angemessener interner Kontrollen im Hinblick auf das Risikomanage-

ment, die Finanzen, die operativen Geschäftsaktivitäten sowie die Einhaltung gültiger Gesetze und relevanter Standards.

29 Vgl. OECD (2004), S. 65.30 Vgl. OECD (2004), S. 65.31 Vgl. OECD (2004), S. 83.

2.2 Industriespezifi sche Regeln und Standards

Die Beachtung industriespezifi scher Regeln und Standards ist heute Grundvoraussetzung für einen erfolgreichen Marktauftritt. Diese Regelwerke bilden ebenfalls die Grundlage für die Implementierung von Managementsystemen.

Bei Qualitätsmanagementsystemen handelt es sich um strukturierte Modellbeschrei-bungen, bei denen die Qualität als Teil der Gesamtführungsaufgabe eines Unternehmens wahrgenommen wird.32 Gerade unter dem Eindruck gesättigter und teilweise krisenge-schüttelter, konkurrenzintensiver Märkte kommt dem Standard »Qualität« besondere Bedeutung zu.

Alle relevanten Managementelemente einer Organisation und auch deren Beziehungen zu Geschäftspartnern und der gesellschaftlichen Umwelt berücksichtigt das Model for Business Excellence der European Foundation for Quality Management ( EFQM-Standard).33 Die produktionslastige Analyse und Beschreibung von Prozessen nach ISO 900034 wird durch EFQM überwunden. Die Weiterentwicklung einer Organisation aus Kunden- und Mitarbeitersicht ist eine der wesentlichen Zielsetzungen des EFQM-Standards. Das EFQM-Modell basiert auf der Grundphilosophie der Selbstbewertung betrieblicher Prozesse. Stärken und Verbesserungspotentiale können daher klar iden-tifi ziert und geplant werden.35 Die Kriterien des EFQM sind bereits heute Basis für Standards und Regeln des Qualitätsmanagements in Krankenhäusern. Im Sinne einer sich entwickelnden Qualitätspolitik von Kommunen und öffentlichen Trägern werden sie zunehmend auch für die Felder sozialer und gesundheitlicher Arbeit allgemein ein-geführt. EFQM-Standards stellen eine wichtige Beurteilungsbasis für die notwendige Prioritätensetzung der Ressourcen im Gesundheitswesen dar.

Auch die Telekommunikationsindustrie hat erkannt, dass Unternehmen, die sich frühzeitig und effektiv an neue Standards und Regeln anpassen, Wettbewerbsvorteile haben. Die internationale Telekommunikationsindustrie hat daher mit dem Standard TL 9000 ein zukunftsweisendes Qualitätsmanagementmodell geschaffen, das Regeln und Standards der ISO 9000 an die Erfordernisse dieses Industriezweigs anpasst.36 Der TL 9000-Standard wird von dem QuEST-Forum (Quality Excellence for Suppliers of Telecommunication) erarbeitet und verwaltet. Das Forum wurde von der University of Texas in Dallas gegründet. Ihm gehören nahezu alle Telekommunikationsausrüster und -dienstleister an.

Als festgelegter Industriestandard integriert der TL 9000 spezifi sche Anforderungen der Branche mit Messgrößen in ein industriespezifi sches Managementsystem. Eine regelmäßige Berichterstattung über Kennzahlen und Messgrößen ermöglicht den Ver-gleich mit Konkurrenzdaten und gewährleistet damit ein echtes Benchmarking. Indus-trieübergreifend berichten auch bestimmte große deutsche Unternehmen insbesondere über gesellschaftliche Aspekte ihres unternehmerischen Handelns und erfüllen damit relevante Standards des Total Quality Management ( TQM). Auch wird in Nachhaltig-keitsberichten über Interessen der Mitarbeiter, soziale Verantwortung im Umfeld der Unternehmen oder ökologische Aspekte der Produktion berichtet.

32 Vgl. IHK (2003), S. 10 ff.33 Vgl. EFQM (2003), S. 1 ff.34 Anm.: ISO 9000 wird im weiteren Verlauf als Synonym für ISO 9001:2000 bzw. ISO 9004:2000 ver-

wendet.35 Vgl z. B. IHK (2003), S. 16.36 Vgl z. B. IHK (2003), S. 11.

Bedeutende globale Regeln und Standards 11


Das Institut für ökologische Wirtschaftsforschung in Berlin (IÖW) hat im Jahr 2005 Nachhaltigkeitsberichte ausgewertet und die Ranking-Ergebnisse veröffentlicht. Unter den 150 größten deutschen Unternehmen informiert laut dieser Studie der Henkel-Konzern am besten darüber, wie er seine ökologische und soziale Verantwortung wahrnimmt. Positiv haben auch die Unternehmen der Deutschen Automobilindustrie ab geschnitten. Andere Unternehmen dagegen legen überhaupt keinen Umwelt- und Nachhaltigkeitsbericht vor und vernachlässigen damit gesetzte Standards.37

Neben den Qualitätsmanagementsystemen sind auch so genannte Qualitätssicherungs-systeme durch spezifi sche Standards und Regelwerke geprägt. Qualitätssicherungssys-teme defi nieren beispielsweise industriespezifi sche Standards für die Erzeugung und den Handel von Lebensmitteln.

Die European Retailer Produce Working Group ( EUREP), eine Gruppe von 20 führen-den Unternehmen des europäischen Lebensmitteleinzelhandels (z. B. Tesco, Safeway, Ahold etc.) hat ihren Abladern (Erzeugern) die Einhaltung bestimmter Anbauregeln und Standards (Good Agricultural Practice – GAP) vorgeschrieben.38

Der EUREP-GAP-Standard enthält umfassende Regelungen und Dokumentationsvor-schriften über die

• Sicherung einer einwandfreien Produktion, • Reduzierung von Pestizidmengen, • Durchführung eines integrierten, umweltgerechten Pfl anzenbaus, • Sicherung der natürlichen Ressourcen, der Umwelt und Gesundheit und• Anwendung eines Rückverfolgbarkeitssystems für die Produktion.

Zusammen mit dem International Food Standard ( IFS),39 der im Wesentlichen von deut-schen Großunternehmen des Lebensmitteleinzelhandels für Eigenmarken implementiert wurde, garantiert der EUREP-GAP-Standard Qualitätssicherung auf hohem Niveau.

Vor dem Hintergrund der jüngsten Skandale in der Lebensmittelindustrie wird die Einhaltung gesetzter Standards und Regeln vom Verbraucher zunehmend als Qualitäts-faktor wahrgenommen.

2.3 Neugestaltung von Eigenkapitalvorschriften für Kreditinstitute (Basel II)

Das Stichwort Basel II40 bezeichnet die Neugestaltung der Eigenkapitalvorschriften für Kreditinstitute. Eröffnet wurde die Diskussion dieses Themas durch den Baseler Ausschuss für Bankenaufsicht mit der Vorlage eines Konsultationspapiers, mit dem die Schwächen des bis heute geltenden Eigenkapitalstandards überwunden werden sollen. Nachdem am 26. Juni 2004 die Notenbankgouverneure der vorgelegten Rahmenverein-barung für Basel II zugestimmt haben, ist der Weg für die nationale Umsetzung des Regelwerks bis Ende 2006 frei.41

37 Vgl. IÖW (2005), http://www.ranking-nachhaltigkeitsberichte.de.38 Vgl. EUREP, http://www.eurepgap.org/Languages/English/about.html.39 Vgl. IFS, http://www.food-care.info.40 Vgl. Baseler Ausschuss für Bankenaufsicht (2004), S. 1 ff.41 Vgl. Deutsche Bundesbank, http://www.bundesbank.de/bankenaufsicht/bankenaufsicht_basel_

irbazulassung.en.php.

Zwar bezieht sich das Setzen von Standards zunächst nur auf Eigenkapitalvorschriften der Kreditinstitute und damit auf die Krisenanfälligkeit des vorhandenen Finanzsystems. Mittelbar werden jedoch naturgemäß auch Firmenkunden der Banken erheblich betrof-fen sein, weil die Banken ihre Risiko- und Eigenkapitalkosten künftig stärker als bisher jenen Kunden zuordnen werden, die höhere Ausfallskosten verursachen. Grundsätzlich zahlen Unternehmen mit einem guten Rating weniger Zinsen für Bankkredite als Un-ternehmen mit einem schlechten Rating. Die Zuverlässigkeit der internen Kontrollen, des Risikomanagements sowie der Unternehmensberichterstattung sind wesentliche Beurteilungskriterien bei der Bemessung der Kreditkonditionen.

Vorgabe und gleichzeitig wesentlicher Kritikpunkt des derzeit geltenden Standards ist, dass das Eigenkapital eines Kreditinstituts pauschal 8 % der risikogewichteten Aktiva betragen soll. Zur Ermittlung der relevanten Aktiva kommt dabei ein wenig differen-ziertes, pauschales Bewertungssystem zur Anwendung. Die unterschiedliche Bonität bleibt vollkommen unberücksichtigt.

Zur Überwindung der aufgezeigten Schwächen des derzeit noch geltenden Systems legt Basel II fest, auf welcher Grundlage Risikogewichte relevanter Aktiva bestimmt werden sollen. Zielsetzung ist, dass sich die Risikogewichtung stärker am tatsächlichen, individuell unterschiedlichen Ausfallrisiko orientiert. Die Implementierung geeigneter, standardisierter Risikomanagementsysteme steht daher im Vordergrund der Diskussion über die Neugestaltung.

Im Einzelnen bedarf es spezieller Verfahren, um beispielsweise Ausfallwahrschein-lichkeiten zu defi nieren. Die anzuwendenden Verfahren müssen von den Aufsichts-behörden genehmigt sein. Im Sinne eines evolutionären Ansatzes sollen sowohl stan-dardisierte Risikomessmethoden als auch verfeinerte Verfahren zum Einsatz kommen. Die Festlegung im Einzelnen erfolgt auf der Grundlage bankinterner Ratings, die das unterschiedliche Qualitätsniveau der jeweiligen Risikomanagementsysteme der Kredit-institute beschreiben.

Die Anwendung differenzierter, verbesserter Verfahren soll durch eine moderate Ab-senkung der Eigenkapitalanforderungen belohnt werden. Damit wird für die betroffenen Kreditinstitute ein Anreiz zur permanenten Weiterentwicklung ihrer Risikomanagement-systeme geschaffen. Kreditinstitute, die die Entwicklung ihres Risikomanagementsystems als dynamischen Prozess verstehen und entsprechende Maßnahmen ergreifen, realisieren durch verminderte Eigenkapitalanforderungen Wettbewerbsvorteile.

Im Fokus von Basel II steht neben der Beurteilung von Markt- und Kreditrisiken die Gewichtung des so genannten operationellen Risikos. Arbeitskreise und Fachgremien der Bankenaufsichtsbehörden, Interessenverbände und andere Beteiligte erarbeiten Lö-sungsvorschläge zu fachlichen Fragestellungen und stellen diese in der Öffentlichkeit zur Diskussion.42

So hat beispielsweise das Fachgremium »Operationelles Risiko«43 Standards ausgear-beitet für die Zuordnung des Bruttobetrags auf die einzelnen Geschäftsfelder der jewei-ligen Kreditinstitute (Bruttoertragsmapping) oder für die Berechnung des Bruttoertrags und für die Sammlung interner Verlustdaten der Banken.

42 Vgl. Deutsche Bundesbank, http://www.bundesbank.de/bankenaufsicht/bankenaufsicht_basel_nationaleumsetzung.php.

43 Vgl. Deutsche Bundesbank, http://www.bundesbank.de/bankenaufsicht/bankenaufsicht_basel_nationaleumsetzung.php.

Bedeutende globale Regeln und Standards 13


Das Fachgremium »Operationelles Risiko« empfi ehlt, dass das Messsystem für ope-rationelle Risiken die wesentlichen Faktoren des Geschäftsumfelds und des internen Kontrollsystems einbezieht. Dabei sind folgende Anforderungen zu erfüllen:44

• Die ausgewählten Faktoren sollen bedeutende Risikotreiber sein.• Die Sensitivität der Risikoschätzungen gegenüber Veränderungen der Faktoren und

die relative Gewichtung dieser Faktoren sind hinreichend zu begründen. Änderungen des Risikos beispielsweise aufgrund von Veränderungen des internen Kontrollsystems sind zu berücksichtigen.

• Die Auswahl und die Anwendung der internen Kontroll- und Geschäftsumfeldfak-toren im Zeitablauf und deren Einfl uss auf das Messsystem sind durch empirische Verfahren, insbesondere durch Vergleich mit internen Verlustdaten sowie relevanten externen Daten, zu überprüfen und gegebenenfalls anzupassen.

• Der Auswahlprozess und die Anwendung der internen Kontroll- und Geschäftsum-feldfaktoren sind zu dokumentieren und durch eine unabhängige Stelle zu überprü-fen.

Durch Anwendung der vereinbarten Standards wird die einheitliche Vorgehensweise der im harten Wettbewerb stehenden Kreditinstitute bei der Datenverarbeitung sichergestellt. Der Aufbau vergleichbarer Verlustdatenhistorien gemäß § 285 Solvabilitätsverordnung wird auf diese Weise institutsübergreifend gesichert.

Risikomanagementsysteme greifen somit auf einvernehmlich defi nierte Datenbestän-de und Messgrößen zu und generieren aussagefähige und vergleichbare Informationen über operationelle Risiken der Geschäftsbanken.

Insbesondere im Mittelstand wurde befürchtet, dass Basel II aufgrund verschärfter Eigenkapitalunterlegungsanforderungen der Banken zu einer Einschränkung der Kredit-gewährung an Unternehmen und hohen bürokratischen Belastungen führen würde.45 Im Laufe der Verhandlungen zwischen den Interessenvertretern aller Beteiligten konnten im Standard Setting Regelungen erreicht werden, die diese Befürchtungen ausräumen.

Unstrittig ist, dass Basel II eine Katalysatorwirkung auf eine Reihe von Entwick-lungen hatte, die sich in der Bankenbranche früher oder später ohnehin ausgewirkt hätten. Dazu zählt insbesondere das Bestreben der Geschäftsbanken um eine stärker risikoadäquate Konditionengestaltung im Firmenkreditgeschäft. Zu nennen ist ferner der zunehmende Einsatz bankeninterner Rating-Systeme im Rahmen des kundenbezogenen Risikomanagements. Entscheidend ist, dass gute Unternehmensführung und gelebte Corporate-Governance-Systeme durch Basel II mit der Einführung ratingorientierter Risikoprämien belohnt werden. Damit leistet Basel II einen bedeutenden Beitrag zur Neuadjustierung der Unternehmensfi nanzierung.

44 Vgl. Deutsche Bundesbank (2005).45 Vgl. DIHK (2005), S. 2.

3 Der Sarbanes-Oxley Act und der Foreign Corrupt Practices Act als Beispiele wesentlicher Bestimmungen für US-börsennotierte Unternehmen

Unternehmen müssen eine Vielzahl von Vorschriften berücksichtigen, die sich durch eine Börsennotierung im In- und Ausland ergeben. Hierzu zählen beispielsweise der Sarbanes-Oxley Act und der Foreign Corrupt Practices Act (FCPA) aus den USA. Deren Geltungsbereich erstreckt sich auf Unternehmen, die bei der US-Börsenaufsicht SEC registriert sind. Deshalb sind auch zahlreiche deutsche Gesellschaften durch ihre direkte Notierung an einer US-Börse oder als Tochter eines US-Konzerns von beiden Regula-rien erfasst. Die Forderung nach einem wirksamen internen Kontrollsystem stellt eine Gemeinsamkeit beider Bestimmungen dar, um eine fehlerfreie Finanzberichterstattung zu gewährleisten. Beide Vorschriften sowie deren aktuelle Entwicklung werden im wei-teren Verlauf dieses Kapitels vorgestellt. Es handelt sich jedoch hierbei nur um zwei exemplarisch ausgewählte Bestimmungen, die für börsennotierte Unternehmen neben einer Vielzahl weiterer Regularien relevant sind.

3.1 Der Sarbanes-Oxley Act – Auswirkungen und aktuelle Entwicklungen

Die Verabschiedung des Sarbanes-Oxley Act im Jahr 2002 führte und führt zu hohen Anforderungen für US-börsennotierte bzw. SEC-registrierte Unternehmen. Insbesondere Section 404 verlangt von Unternehmen, dass sie ein internes Kontrollsystem der Fi-nanzberichterstattung einrichten und betreiben, um wesentliche Fehler in der Finanzbe-richterstattung durch wirksame Kontrollen zu verhindern oder rechtzeitig aufzudecken. Darüber hinaus sind CEO und CFO eines betroffenen Unternehmens aufgefordert, das Kontrollsystem jährlich zu beurteilen und eine Einschätzung zur Wirksamkeit als ei-desstattliche Erklärung abzugeben.

Seit der Verabschiedung des US-Gesetzes sind zahlreiche Diskussionen geführt und Bestimmungen von der SEC und dem Public Company Accounting Oversight Board ( PCAOB)46 ergänzt oder konkretisiert worden. Diese dynamische Entwicklung der ver-gangenen drei Jahre wird in den nachfolgenden Abschnitten ausschnittsweise vorgestellt und mit einem Ausblick auf die weitere Strategie der SEC ergänzt. Die Ausführungen umfassen auch einen Überblick zur Weiterentwicklung der Prüfungsstandards des PCAOB. Entsprechende Standards besitzen nicht nur für den Abschlussprüfer eines SOA-pfl ichtigen Unternehmens große Bedeutung. Insbesondere in Bezug auf Section 404 bieten sie einen wichtigen Leitfaden, der das Management bei der Einrichtung und der Beurteilung des Kontrollsystems unterstützt.

46 Vgl. Kapitel I.3.1.3.

15


3.1.1 Auswirkungen des Sarbanes-Oxley Act

Der Sarbanes-Oxley Act aus dem Jahr 2002 hat die Aufmerksamkeit der Financial Com-munity auf die Themen Financial Reporting, Corporate Governance, Corporate Com-pliance, Internal Control und Enterprise Risk Management gelenkt und eine intensive Diskussion in Wissenschaft und Praxis über den Nutzen dieser gesetzlichen Regulierung entfacht. Der Sarbanes-Oxley Act wird mitunter als die bedeutendste Regulierungsini-tiative in Bezug auf den US-amerikanischen Kapitalmarkt seit 1930 bezeichnet.47 Der übergeordnete Zweck des Gesetzes besteht darin, Investoren zu schützen. Weiterhin soll die Zuverlässigkeit und Richtigkeit der Unternehmensberichterstattung verbessert werden.48 Die Themen Financial Reporting, Corporate Governance, internes Kontroll-system und Risikomanagement sind durchaus keine neuen Themen.49 Dadurch aber, dass diese Themen stärker gesetzlich reguliert wurden, haben sie für das Management gelisteter Unternehmen unter anderem wegen damit zusammenhängender persönlicher Haftungsrisiken eine andere Bedeutung erlangt. Dieser Bedeutungszuwachs ist eine wesentliche Folge des Sarbanes-Oxley Act.

In den USA hat sich mittlerweile eine Lobby gegen den Sarbanes-Oxley Act etabliert, die die Wettbewerbsfähigkeit der US-börsennotierten Unternehmen wegen stark stei-gender Compliance-Kosten gefährdet sieht.50 Abzuwarten bleibt, ob es allein aufgrund verschärfter US-Regeln für Corporate Governance durch den Sarbanes-Oxley Act und des damit verbundenen Anspruchs der US-Behörden auf internationale Durchsetzung zu negativen Auswirkungen auf den Kapitalzufl uss in die USA aus dem Ausland kom-men wird. Senator Oxley selbst hat zwischenzeitlich erklärt, dass die in der Praxis aufwendig betriebene Umsetzung der gesetzlichen Vorschriften nicht den Intentionen der Gesetzesautoren entspricht und schlägt deshalb einen fl exibleren Ansatz vor. Auch die Kritik insbesondere an der Section 404 ist für ihn nachvollziehbar.51 Der ökono-mische Nutzen des Sarbanes-Oxley Act ist mittlerweile Gegenstand wissenschaftlicher Betrachtungen.52

Das Machtverhältnis hat sich innerhalb der US-amerikanischen Unternehmenswelt verschoben. Die originären internen Überwachungsträger der Unternehmen, Audit Committee53 und Internal Audit, haben durch die ihnen zugewiesenen Kompetenzen deutlich mehr Gewicht als vor dem Sarbanes-Oxley Act. Ihr Bedeutungszuwachs er-gibt sich gerade aus ihrem Zusammenwirken und aufgrund der teilweise vorhandenen Aufgabendualität im Hinblick auf das IKS.54 In diesem Kontext ist auch die durch den Sarbanes-Oxley Act beabsichtigte Stärkung der Unabhängigkeit der Abschlussprüfer zu sehen.

Insgesamt hat sich das Bild in der Öffentlichkeit gewandelt. Bilanzmanipulationen und damit verbundene Unternehmenspleiten werden hart bestraft. Den Verantwortlichen drohen drastische Geld- und Gefängnisstrafen.55

47 Vgl. Cutler (2004).48 Vgl. Sarbanes-Oxley Act (2002).49 Vgl. SEC (2005a).50 Vgl. Paul (2005).51 Vgl. Shapiro (2005).52 Vgl. Kapitel II.2.2.53 Vgl. im Einzelnen SEC (2003).54 Vgl. Institute of Internal Auditors (2004), S. 3 ff.55 Vgl. Crawford (2005); WSJ Europe (2005), A 8; SEC (2005b).

Allerdings ist es auch in der Zeit nach dem Inkrafttreten des Gesetzes bereits wieder zu Bilanzskandalen gekommen, was die Frage nach dem Zweck der Sections 302 und 404-Controls aufwirft.56 Den Zusammenhang zwischen den beiden Vorschriften erläutert die SEC wie folgt: »While there is substantial overlap between a company’s disclo sure controls and procedures and its internal control over fi nancial reporting, there are both some elements of disclosure controls and procedures that are not subsumed by inter-nal control over fi nancial reporting and some elements of internal control that are not subsumed by the defi nition of disclosure controls and procedures.«57

In Europa wird der Sarbanes-Oxley Act als eine Initiative zur Verbesserung des Risi-komanagements und der internen Kontrollen in Bezug auf die Finanzberichterstattung verstanden. Eine Schlüsselfrage, mit der sich die EU-Regulatoren, die in der EU ansäs-sigen Unternehmen, Aktionäre und alle anderen Stakeholder konfrontiert sehen, ist, ob der Nutzen einer Veröffentlichung analog zu Section 404 des Sarbanes-Oxley Act alle damit zusammenhängenden Kosten übersteigt.58 In Europa zeichnet sich derzeit eine »light touch«-Version ab, bei der Soft-Law-Instrumente wie Empfehlungen und Anregungen zu Best Practices im Gegensatz zu detaillierten gesetzlichen Regelungen bevorzugt werden. Ein wesentliches Prinzip des europäischen Ansatzes besteht darin, dass die betroffenen Unternehmen etwaige Abweichungen von Best-Practice-Empfeh-lungen erläutern und veröffentlichen müssen ( »comply or explain«).59

3.1.2 Compliance-Zeitpunkte für die Umsetzung der Section 404

Die Frage, ab wann die Anforderungen der Section 404 erstmals zu erfüllen waren bzw. sind, wurde in den vergangenen drei Jahren intensiv diskutiert. Bedenken der betroffenen Unternehmen und externen Prüfer hatten dazu geführt, dass die SEC die Erfüllungszeitpunkte mehrmals verschob. Aufgrund von Kapazitätsrestriktionen bei allen Beteiligten bestand das Risiko, dass die Anforderungen nicht rechtzeitig, wie ur-sprünglich vorgesehen, bis zum 15. Juni 200460 in einem zufrieden stellenden Umfang umgesetzt werden konnten. Auf diese Bedenken reagierte die SEC im Februar 2004, als sie das Erfüllungsdatum für die Accelerated Filer auf den 15. November 2004 und für Non-Accelerated Filer einschließlich Foreign Private Issuer vom 15. April 2005 auf den 15. Juli 2005 verschob, was zu einem zeitlichen Aufschub von mehreren Monaten führte (vgl. Tab. 1). Am 30. November 2004 gab die SEC eine Verschiebung der Deadline in Bezug auf die Berichterstattung um 45 Tage für bestimmte Accelerated Filers bekannt.61 Im März 2005 verlegte die SEC das Erfüllungsdatum für Non-Accelerated Filer und Fo-reign Private Issuer vom 15. Juli 2005 auf den 15. Juli 2006,62 und im September 2005 wurde der Erfüllungszeitpunkt für Non-Accelerated Filer nochmals um ein Jahr auf den 15. Juli 2007 vertagt.63 Die jeweiligen Erfüllungsstichtage beziehen sich dabei auf die Geschäftsjahre, die unmittelbar an dem Stichtag oder danach enden.

Im Dezember 2005 schuf die SEC eine neue Kategorie berichtspfl ichtiger Unterneh-

56 Vgl. Oldag (2005), SZ vom 24.10.2005.57 Vgl. SEC (2003); im Einzelnen Menzies (2004), S. 49 ff.58 Vgl. FEE (2005), S. 17.59 Vgl. McCreevy (2005), S. 2 f.60 Vgl. SEC (2003).61 Vgl. SEC (2004a).62 Vgl. SEC (2005c).63 Vgl. SEC (2005d).

Der Sarbanes-Oxley Act und der Foreign Corrupt Practices Act 17


men, die Large Accelerated Filers (LAC).64 Sie können von den Accelerated Filers (AC) und den Non-Accelerated Filers (NAC) bzw. Smaller Public Companies (SPC) abge-grenzt werden. Die Large Accelerated Filer repräsentieren schätzungsweise 96 % der US-amerikanischen Marktkapitalisierung.65 Large Accelerated Filer sind Unternehmen, deren Marktkapitalisierung mehr als US$ 700 Mio. beträgt. Außerdem müssen Large Accelerated Filer für mindestens zwölf Monate bestimmten Berichtspfl ichten der SEC unterlegen und wenigstens einen Jahresbericht veröffentlicht haben. Gesellschaften, die in die Large Accelerated Filer-Kategorie fallen, sind weiterhin nicht berechtigt, das besondere Berichtsformat für kleine öffentlich notierte Unternehmen zu nutzen.66 Die-se Abgrenzungskriterien gelten auch für Accelerated Filer mit Ausnahme in Bezug auf die Marktkapitalisierung, die in diesen Fällen weniger als US$ 700 Mio., aber mehr als US$ 75 Mio. beträgt.67

Foreign Private Issuer (FPI) fallen entweder in die Kategorien Large Accelerated Filer oder Accelerated Filer und müssen dann die Anforderungen der Section 404 bis zum 15. Juli 2006 erfüllen oder sie fallen in die Kategorie Non-Accelerated Filer und haben bis zum 15. Juli 2007 Zeit.68 FPIs sind private, nicht-staatliche Unternehmen, deren stimmberechtigte Aktien zu mehr als 50 % von nicht in den USA ansässigen Personen gehalten werden und keine der drei nachfolgenden Bedingungen erfüllt sind:69

1. die Mehrheit der Direktoren oder Executive Offi cers sind US-Bürger,2. mehr als 50 % der Vermögensgegenstände befi nden sich in den USA sowie3. die Geschäftstätigkeit des Unternehmens wird prinzipiell in den USA geleitet.

Die Kategorisierung berichtspfl ichtiger Unternehmen anhand ihrer Marktkapitalisierung zeigt die folgende Tabelle:

Kategorien berichtspfl ichtiger Unternehmen

Marktkapitalisierung(public fl oat)

Erfüllungsstichtage ErfüllungsstichtageForeign Private Issuer

Large Accelerated Filer ≥ US$ 700 Mio. 15. November 2004* 15. Juli 2006

Accelerated Filer ≥ US$ 75-699 Mio. 15. November 2004 15. Juli 2006

Non-Accelerated Filer < US$ 75 Mio. 15. Juli 2007 15. Juli 2007

* wie Accelerated Filer

Tab. 1: Berichtskategorien und Marktkapitalisierung (Stand Februar 2006)

64 Vgl. SEC (2005e).65 Vgl. SEC (2004b).66 Vgl. SEC (2005e).67 Vgl. SEC (2005e).68 Vgl. SEC (2005e).69 Vgl. Cohen et al. (2003), S. 3.

3.1.3 Weiterentwicklung von Prüfungsstandards durch das Public Company Accounting Oversight Board

Das durch den Sarbanes-Oxley Act entstandene Public Company Accounting Oversight Board hat drei Jahre nach dem Inkrafttreten des Gesetzes auch über die Grenzen des Prüferberufes hinaus einen hohen Bekanntheitsgrad erlangt. »Die Schaffung einer sol-chen Institution war notwendig geworden, nachdem die Zunft der Amerikanischen Abschlussprüfer erhebliche Schwächen hinsichtlich ihrer Fähigkeiten gezeigt hatte, sich selbst zu regulieren.«70

Die Kernaufgaben des PCAOB beschreibt der erste Titel des Sarbanes-Oxley Act. Die Schwerpunkte der PCAOB-Aufgaben sind:

• Enforcement,• Inspektionen,• Registrierung sowie• Standards und Regeln.

Eine der wesentlichen Aufgaben des PCAOB besteht unter anderem darin, Prüfungs-standards für die Abschlussprüfer zu entwickeln. Diese Prüfungsstandards entfalten ihre volle Bindungswirkung für die Abschlussprüfer erst, nachdem sie durch die SEC bestätigt worden sind.

Auch für das Management der von Section 404 betroffenen Unternehmen sind die Prüfungsstandards des PCAOB eine wichtige Informationsquelle, weil dieses so mehr über die zu erfüllenden Anforderungen und die Erwartungshaltung der Prüfer lernen kann. Das PCAOB hat bislang folgende Prüfungsstandards entwickelt:

Bezeichnung Titel Stand

AS 1 References in Auditors’ Reports to the Standards of the Public Company Accounting Oversight Board

14. Mai 2004

AS 2 An Audit of Internal Control over Financial Reporting in Conjunction with an Audit of Financial Statements

17. Juni 2004 bzw.17. November 2004

AS 3 Audit Documentation and Amendment to interim Auditing Standards

25. August 2004

AS 4 Reporting on whether a previously reported Material Weakness continues to exist

6. Februar 2006

Tab. 2: Prüfungsstandards des PCAOB

Insbesondere der Audit Standard No. 271 hat für SOA-pfl ichtige Unternehmen und de-ren Management eine große Bedeutung. Der Standard beinhaltet die Anforderungen zur Prüfung des Jahresabschlusses im Zusammenhang mit der Prüfung des internen Kontrollsystems der Finanzberichterstattung nach Section 404. Er liefert auch für das Management zahlreiche Anhaltspunkte, um die Einrichtung und Beurteilung des inter-nen Kontrollsystems angemessen durchzuführen und zu dokumentieren.

70 Atkins (2003a).71 Vgl. PCAOB (2004), S. 1 ff.



Nach Ansicht des PCAOB ist der Prüfungsstandard No. 2 allerdings in Bezug auf die konkrete Anwendung vor allem im ersten Compliance-Jahr nicht immer richtig und zum Teil überinterpretiert worden. Verbesserungsmöglichkeiten im Hinblick auf die Effektivität und Effi zienz der Prüferarbeit sieht das PCAOB in folgenden Bereichen:72

• Integration der Prüfung der internen Kontrollen in Bezug auf die Finanzberichter-stattung mit der Prüfung des Jahresabschlusses,

• konsequente Anwendung eines Top-Down-Ansatzes,• Konzentration auf Bereiche, die hohe Risiken aufweisen,• Risikoorientierung bei der Durchführung von Tests,• Vereinfachung der Walkthroughs zur Evaluierung des Designs interner Kontrollen,• Übernahme und Nutzung von Ergebnissen Dritter, • Prüfung und Evaluierung so genannter kompensierender Kontrollen, • Prüfung von Kontrollen in Bezug auf die jährliche Finanzberichterstattung bzw. auf

den Prozess der Jahresabschlusserstellung,• Bewertung von Kontrolldefi ziten sowie• eindeutige Defi nition in Bezug auf den Begriff »Material Weaknesses«.

Der von dem PCAOB betonte Top-Down-Ansatz ist derzeit Gegenstand intensiver Dis-kussionen. Der Top-Down-Ansatz basiert auf der Erkenntnis, dass eine der wesentlichen Ursachen für die jüngsten Unternehmenskrisen in den USA ein mangelhafter oder feh-lender »tone from the top« war.73 Demzufolge wurde der PCAOB Auditing Standard No. 2 als Top-Down-Ansatz konzipiert. »That is, the standard focuses the auditor fi rst on company-level controls and then on signifi cant accounts, which lead the auditor to signifi cant processes and, fi nally, individual controls at the process, transaction, or application levels.«74 Der Top-Down-Ansatz ist beispielhaft in nachfolgender Abbildung dargestellt (vgl. Abb. 2).

Abb. 2: Top-Down-Ansatz

72 Vgl. PCAOB (2005a), S. 1 ff.73 Vgl. Atkins (2003).74 PCAOB (2005b), S. 8.

Significant Accounts

Individual Controls

Processes Transactions Applications

Significant Processes

Company-Level Controls

Ausgangspunkt des Management Assessments hinsichtlich des internen Kontrollpro-zesses sind demnach die so genannten Company-Level Controls, Kontrollen, die auf der obersten Unternehmensebene konzipiert, implementiert und durchgeführt wer-den.

Auch in Europa wird ein risikoorientierter Prüfungsansatz positiv bewertet. Die Ver-knüpfung des internen Kontrollsystems mit dem Risikomanagement und die Einbettung in die Unternehmensstrategie und das Führungssystem indiziert zugleich ein erweitertes Kontrollverständnis. Gegenstand der Betrachtung sind alle Kontrollen und nicht aus-schließlich diejenigen, die sich auf die Finanzberichterstattung beziehen: »A key point here is that those charged with governance should adopt a risk-based approach to in-ternal control and any assessment of its effectiveness. This means that internal control is relevant to the broader subject of risk management because it serves to mitigate the gross or inherent risk involved in a business activity and determine the net risk borne by a company. This approach should be incorporated into the strategic, governance and management processes of the company and should encompass the wider aspects of internal control, not just those directly related to fi nancial reporting.«75

Exkurs: Company-Level ControlsCompany-Level Controls sind Kontrollen mit unternehmens- oder konzernweiter Wirkung und beziehen sich üblicherweise auf die Softer COSO-Komponenten.76 Bei Company-Level Controls handelt es sich beispielsweise um unternehmensweite Richt-linien und Verfahrensanweisungen, die zur Umsetzung und Einhaltung der aus den Unternehmensstrategien abgeleiteten Grundregeln für das Unternehmen bzw. den Konzern beitragen. Company-Level Controls haben daher einen erheblichen Einfl uss auf die Ordnungsmäßigkeit der Geschäftstätigkeit im Sinne der Strategien, Ziele und Kulturaspekte des Unternehmens bzw. Konzerns. Im Gegensatz zu Kontrollen auf Prozessebene haben die Company-Level Controls einen abstrakten, aber breiter an-gelegten Wirkungsgrad und bilden mit ihrer üblicherweise strategischen Wirkung die Rahmenstruktur des gesamten IKS (vgl. Abb. 3).

Abb. 3: Wirkungsweise von Kontrollen auf Prozess- und Unternehmensebene

75 FEE (2005), S. 8.76 Vgl. Kapitel I.1.


oper

ativ

strategisch Company-

Level

Controls

Process-Level Controls

Wirkungsweise im

UnternehmenProzess


Beispiele für Company-Level Controls sind:77

• Globaler Verhaltenskodex für Mitarbeiter und Führungskräfte ( Code of Conduct/Ethics): Unternehmensgrundsätze für strategiekonformes und ethisch korrektes Verhalten

aller Mitarbeitern gemäß der Unternehmenskultur. • Whistleblower-Hotline: Verfahren, das Mitarbeitern oder auch Dritten die Möglichkeit zur anonymen Anzeige

von ethischem Fehlverhalten oder nicht-konformem Handeln gibt, ohne persönlich negative Konsequenzen befürchten zu müssen.

• Monitoring durch das Senior Management und die Interne Revision: Eine Überwachung der Ergebnisse von Geschäftsbereichen und der Funktionalität

anderer Kontrollen durch die Interne Revision als Instrument des Managements.• Fraud-Prevention-Maßnahmen/-Programme: Maßnahmen zur Verhinderung beispielsweise von Bilanzfälschung, Betrug, Täuschung

und Unterschlagung. • Einstellungs- und Fortbildungsrichtlinien (Hiring and Training Policies): Regeln zur Sicherstellung eines angemessenen Bildungsstandes der Mitarbeiter zur

Durchführung von Kontrollen.

3.1.4 Committee of Sponsoring Organizations of the Treadway Commission

Im Zusammenhang mit SOA Section 404 und der Management-Beurteilung des internen Kontrollsystems empfi ehlt die SEC die Anwendung des COSO Internal Control – In-tegrated Framework78 als Sollobjekt der Evaluierung, wobei auch andere Frameworks anerkannt werden. Im Rahmen der jährlichen Erklärung über die Wirksamkeit der internen Kontrollen hat das Management darzulegen, welches Rahmenwerk für die Evaluierung verwendet wurde.79

Das Internal Control – Integrated Framework wurde bereits im Jahr 1992 durch das Committee of Sponsoring Organizations of the Treadway Commission veröffentlicht. Durch die Empfehlung der SEC, das Framework als Sollobjekt zur Evaluierung der internen Kontrollen zu verwenden, hat der Bekanntheitsgrad und die Bedeutung der Kommission deutlich zugenommen.

Ursprünglich wurde das Committee of Sponsoring Organizations of the Treadway Commission im Jahr 1985 gegründet, gesponsert durch eine unabhängige private Initia-tive, die zunächst die Ursachen von dolosen Handlungen im Bereich der Finanzberichter-stattung untersuchte und Empfehlungen an die SEC, Unternehmen, ihre Abschlussprüfer und Aus- und Weiterbildungseinrichtungen herausgab. Bei den Sponsoren der Initiative handelte es sich um fünf Organisationen aus dem Gebiet der Rechnungslegung, die American Accounting Association, das American Institute of Certifi ed Public Accoun-tants, den Financial Executives International, das Institute of Internal Auditors und die National Association of Accountants (jetzt: Institute of Management Accountants).80

77 Vgl. PCAOB (2004), Section 53 für weitere Kategorien von Company-Level Controls.78 Vgl. im Einzelnen COSO (1992), S. 1 ff.79 Vgl. SEC (2003).80 Vgl. COSO, http://www.coso.org.

Die wesentlichen Veröffentlichungen des Committee of Sponsoring Organizations sind in der nachfolgenden Tabelle zusammengestellt (vgl. Tab. 3).

Verfasser Titel Stand

COSO Report on the National Commission on Fraudulent Financial Reporting 1987

COSO Internal Control – Integrated Framework (COSO I) 1992Updates 1994, 1996

COSO Enterprise Risk Management – Integrated Framework (COSO II) 2004

COSO Internal Control – Integrated Framework Guidance for Smaller Public Companies Reporting on Internal Controls over Financial Reporting

2005(Entwurf)

Tab. 3: Die wesentlichen COSO-Veröffentlichungen

Das Enterprise Risk Management – Integrated Framework legt einen Rahmen und ein-heitliche Defi nitionen für alle unternehmensweiten Risikomanagementaktivitäten fest; es ist weiter gefasst als das Internal Control – Integrated Framework und schließt dieses mit ein.81

Das Internal Control – Integrated Framework Guidance for Smaller Public Companies on Reporting on Internal Controls over Financial Reporting beinhaltet einen Leitfaden und Prinzipien für das professionelle Management interner Kontrollen insbesondere für kleinere börsennotierte Gesellschaften.82

Es ist fraglich, ob die EU-Regulatoren im Zuge der anhaltenden Corporate-Governance-Diskussion ein eigenes Framework zur Bewertung interner Kontrollen und in Bezug auf das Management von Risiken entwickeln werden oder ob die bereits vorliegenden Frameworks zur Anwendung kommen sollen. Eine analoge Regelung zu SOA Section 404 existiert in der EU bislang nicht. »An issue facing EU-regulators and interested parties is whether a common framework should be developed for general application by EU-companies in addition to existing frameworks including the three (COSO, Turn-bull and CoCo) so far recognised by the SEC for the purposes of compliance with the requirements of Section 404 of the Sarbanes-Oxley Act.«83

3.1.5 Weitere Strategie der Securities and Exchange Commission

In Bezug auf die künftigen Entwicklungen in den Bereichen Corporate Compliance, Corporate Governance, Enterprise Risk Management und Internal Control sind die Planungen der SEC von wesentlicher Bedeutung. Der den SEC-Planungen zu Grunde liegende Planungshorizont reicht bis zum Jahr 2009. In ihrem Planungsmemorandum84 hat SEC die folgenden vier Ziele schriftlich formuliert:

81 Vgl. COSO (2004), S. 1 ff.82 Vgl. COSO (2005a), S. 1 ff.83 FEE (2005), S. 16.84 Vgl. SEC (2004c), S. 1 ff.



1. Durchsetzung der Einhaltung bundesstaatlicher Wertpapiergesetze,2. Schaffung und Aufrechterhaltung eines wirksamen und fl exiblen regulatorischen

Umfelds,3. Förderung informierter Investitionsentscheidungen sowie4. Maximierung des Einsatzes von SEC-Ressourcen.

Die SEC verspricht sich vom Ziel der Einhaltung bundesstaatlicher Wertpapiergesetze ein frühzeitiges Erkennen von Problemen, die auf den Wertpapiermärkten auftreten, sowie eine wirksame Prävention gegen etwaige Gesetzesverstöße. Die Bedeutung des PCAOB dürfte vor dem Hintergrund dieser Zielsetzungen weiter zunehmen.

Das Ziel, ein wirksames und fl exibles regulatorisches Umfeld auf den Gebieten Corporate Governance und Finanzberichterstattung zu schaffen, dient dem Investo-renschutz. Regeln sollen klar formuliert sein und keine unnötigen Lasten für die be-troffenen Unternehmen verursachen. So hat die SEC im Dezember 2004 ein Komitee für kleinere börsennotierte Unternehmen etabliert, das sich mit den Anforderungen für eben diesen Kreis von Gesellschaften befasst.85 Im Zuge dieser Aktivitäten hat das Komitee dem COSO den Auftrag erteilt, einen auf die Verhältnisse kleinerer Unterneh-men zugeschnittenen internen Kontrollstandard zu entwickeln. Der Standard lag im Jahr 2005 als Entwurf vor.86

Das Ziel, informierte Investitionsentscheidungen zu unterstützen, korrespondiert mit der Notwendigkeit, dass Investoren einen adäquaten und zeitnahen Zugang im Hinblick auf Unternehmensveröffentlichungen haben. Die zu veröffentlichenden Informationen sollen verständlich und mit von anderen Unternehmen publizierten Informationen ver-gleichbar sein. Die SEC ist daran interessiert, dass Investoren ein besseres Verständnis von der Funktionsfähigkeit der Wertpapiermärkte erlangen.

Der Plan, verstärkt SEC-Ressourcen einzusetzen, hat den Zweck, die Ziele der SEC besser umzusetzen. Die erfolgreiche Umsetzung der Ziele basiert auf einem robusten und soliden Finanzmanagement, wirksamen internen Kontrollen sowie dem Einsatz moderner Informationstechnologien.

3.2 Der Foreign Corrupt Practices Act – Bedeutung und Auswirkungen für Unternehmen

Der Sarbanes-Oxley Act (auch bekannt als Public Company Accounting Reform and Investor Protection Act of 2002) und die Bestimmungen seiner Section 404 zur Wirk-samkeit des internen Kontrollsystems der Finanzberichterstattung (»Management As-sessment of Internal Controls«) sind auch vor dem Hintergrund des Foreign Corrupt Practices Act zu betrachten. Neben einer Beschreibung der wesentlichen Inhalte des FCPA werden Parallelen hinsichtlich der Anforderungen an das interne Kontrollsystem im weiteren Verlauf dieses Kapitels dargestellt.

85 Vgl. SEC (2004d).86 Vgl. Kapitel I.3.1.4.

3.2.1 Ursprung und Entwicklung

Der FCPA87 wurde im Jahr 1977 vom Kongress der Vereinigten Staaten von Amerika verabschiedet und war bereits zum damaligen Zeitpunkt ein wegweisendes Anti-Kor-ruptionsgesetz, welches erhebliche Strafen für das Bestechen von ausländischen Regie-rungsbeamten zur Erlangung oder Erhaltung von Aufträgen vorsah.88

Die Securities and Exchange Commission, die Börsenaufsichtsbehörde der USA, er-mittelte bereits in den 70er-Jahren, dass bei mehr als 400 US-amerikanischen Unterneh-men zweifelhafte oder illegale Zahlungen von mehr als US$ 300 Mio. an ausländische Regierungsbeamte, Politiker und Parteien geleistet wurden.89

Der FCPA sollte dieser Entwicklung Einhalt gebieten und das Vertrauen in die Inte-grität der amerikanischen Geschäftswelt wiederherstellen. Um jedoch einen dauerhaften Wettbewerbsnachteil amerikanischer Unternehmen gegenüber ausländischen Unter-nehmen zu verhindern, die Bestechungszahlungen im Ausland leisteten und teilweise sogar legal als Betriebsausgaben absetzten, wurden im Jahr 1988 Verhandlungen mit der OECD (Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung) aufge-nommen, um ähnliche Regularien für andere Länder zu erzielen.90

Nach fast zehn Jahren unterzeichneten 34 Staaten Ende 1997 die »OECD Convention on Combating Bribery of Foreign Public Offi cials in International Business Transac-tions«. Diese Konvention war das erste globale Instrument im Kampf gegen Korruption bei grenzüberschreitenden Geschäften.91 Heute haben bereits 36 Staaten Anti-Korrup-tionsgesetze erlassen. Deutschland hat die OECD-Konvention ratifi ziert und 1999 in das Strafgesetzbuch integriert. Im Dezember 2005 erließen die Vereinten Nationen die »United Nations Convention against Corruption«, deren Ratifi zierung noch aussteht.

Neben den so genannten »Anti-Bribery Provisions« (Vorschriften und Bestimmun-gen, die sich gegen Bestechung richten) beinhaltet der FCPA weitere Vorschriften und Bestimmungen, die sich zum einen auf eine ordnungsgemäße Buchführung und zum anderen auf das Vorhandensein wirksamer interner Kontrollen zur Vermeidung von Gesetzesverstößen beziehen.92 Hierbei handelt es sich um die so genannten »Books and Records Provisions«.

Der FCPA gilt für Unternehmen, die an amerikanischen Börsen mit Eigen- oder auch Fremdkapital gelistet sind und damit den US-Börsengesetzen und der Aufsicht der SEC unterliegen. Hiervon sind auch ausländische Unternehmen, die Foreign Private Issuers, betroffen. Die Zuständigkeit für den FCPA obliegt der SEC und dem US Department of Justice (DOJ).

Die Bedeutung des FCPA stieg insbesondere in den letzten Jahren und führte auch außerhalb der USA zu weiteren, ähnlichen Regelungen in lokalen Gesetzen und zu »Corporate Governance«-Standards weltweit. Ebenso stieg die Anzahl der aufgedeckten Verstöße gegen den FCPA rapide. Verstöße verursachen oftmals nicht nur langwierige und umfangreiche Ermittlungen in Unternehmen, sondern können auch erhebliche Strafen nach sich ziehen. Die Strafen beinhalten dabei nicht ausschließlich Geldstrafen. Einem Unternehmen kann beispielsweise auch das Recht entzogen werden, mit einem

87 Vgl. 15 U.S.C. §§ 78dd-1 ff.; United States Codes können beispielsweise auf der Website http://us-code.house.gov abgerufen werden.

88 Vgl. O’Melveny & Myers LLP (2005), S. 1.89 Vgl. USDOJ (2006), S. 1.90 Vgl. USDOJ (2006), S. 2.91 Vgl. OECD (1997).92 Vgl. 15 U.S.C. § 78m.



betroffenen Staat Geschäfte zu tätigen. Zudem besteht die Gefahr von Klagen durch die Wettbewerber und Anteilseigner, der Rufschädigung durch negative Presseberichte und der Störung der regulären Geschäftstätigkeit.

3.2.2 Anti-Korruptionsvorschriften

Die Anti-Korruptionsvorschriften (Anti-Bribery Provisions) richten sich gegen das Be-stechen von »foreign government offi cials«, ausländischen Amtsträgern und staatlichen Unternehmen/Behörden. Zuwendungen, mit denen beabsichtigt ist, bestimmte Hand-lungen, das Unterlassen von Handlungen oder Entscheidungen von ausländischen Regierungsbeamten zu beeinfl ussen, um Aufträge beizubehalten, neue Aufträge zu ge-winnen oder sich andere unlautere Wettbewerbsvorteile zu verschaffen, stellen damit einen Verstoß gegen den FCPA dar. Bereits das »bloße« Anbieten, Versprechen oder Genehmigen einer Bestechung zählt als Verstoß.

Die fünf Elemente der Anti-Bribery-BestimmungenEin Verstoß gegen den FCPA begründet sich im Wesentlichen durch das Vorliegen der folgenden fünf Kernelemente (Key Elements):93

• Who – Wen betrifft der FCPA Der FCPA ist anwendbar auf Unternehmen als Ganzes und auf die handelnden An-

gestellten, Führungskräfte und Anteilseigner als Einzelpersonen. Somit können sich sowohl Unternehmen als auch Einzelpersonen bei einer Verletzung des FCPA strafbar machen.

• Corrupt Intent – Die korruptive Absicht Die Person, die eine Bestechungshandlung vornimmt oder genehmigt, muss dies in

der Absicht tun, dass der Empfänger der Zuwendung seine offi zielle Position zum Vorteil des Bestechenden oder einer anderen Person ausnutzt. Hierbei ist zu beach-ten, dass es gar nicht zu einer Zahlung kommen muss, die Beabsichtigung alleine reicht für eine Verletzung des FCPA aus.

• Payment – Die Zahlung Der FCPA verbietet jegliche monetäre Zahlung, das Anbieten, das Versprechen oder

das Genehmigen einer Zahlung bzw. Zuwendung in Form von werthaltigen Gegen-ständen oder Dienstleistungen. Dies ist insofern von Bedeutung, als dass hiermit nicht nur das »bloße« Zahlen von Geld, sondern alle werthaltigen Zuwendungen eingeschlossen sind. Hierzu zählen beispielsweise:– Vorteile, wie die Gewährung von Preisnachlässen oder Darlehen, – die Nutzung von Firmenwagen über einen längeren Zeitraum,– Geschenke (wertvolle Schreibartikel, Weinpräsente, teure Vasen etc.),– Einladungen zu Reisen, Sportveranstaltungen sowie in Restaurants,– private Dienstleistungen (Autoreparaturen, Bauleistungen, Arbeits- oder Praktikums-

plätze für Familienangehörige und Freunde),– Spenden für wohltätige Zwecke im Namen der Amtsträger und– politische Spenden.

93 Vgl. USDOJ (2006), S. 2 f.

• Recipient – Der Empfänger Das Verbot betrifft lediglich Zuwendungen an so genannte »foreign offi cials«. Hier-

unter sind zu verstehen:– die Staatsführung (alle Stellen der Regierung und der Administration),– die Justiz (Richter, Staatsanwaltschaft),– die Legislatur (beispielsweise Parlamentsmitglieder),– das Militär (alle Dienstgrade),– Angestellte von öffentlichen internationalen Organisationen (EU, Weltbank, UN),– Amtsträger und Funktionäre politischer Parteien und Kandidaten für öffentliche

Ämter,– Angestellte von Unternehmen, die in staatlichem Besitz sind, und– königliche Familien.

Die genannten Personenkreise sind im Rahmen des FCPA sehr weit gefasst und somit strenger zu betrachten, als oftmals in lokalen Gesetzen verankert.

• Business Purpose Test – Geschäftszweck Der FCPA verbietet Zahlungen, mit denen beabsichtigt ist, bestimmte Handlungen,

das Unterlassen von Handlungen oder die Entscheidungen von ausländischen Regie-rungsbeamten zu beeinfl ussen, um Aufträge/Geschäfte beizubehalten, neue Aufträge zu gewinnen oder sich andere unlautere Wettbewerbsvorteile zu verschaffen. Die Aufträge/Geschäfte müssen sich dabei nicht ausschließlich auf direkte Geschäftsbe-ziehungen zu ausländischen Regierungsstellen beziehen.

Der FCPA verbietet auch korruptive Zuwendungen, die durch zwischengeschaltete Mit-telsmänner, Vermittler oder Joint-Venture-Partner getätigt werden, so genannte »Third Party Payments«.

WarnsignaleIn der Anbahnung von oder bei bereits bestehenden Geschäftsbeziehungen zu auslän-dischen Unternehmen können folgende, beispielhaft zu nennende Warnsignale (»Red Flags«) auf einen Verstoß gegen den FCPA hinweisen:94

• eine hohe Korruptionsrate im Land des Geschäftspartners,• unübliche Zahlungsabwicklungen oder Vereinbarungen,• die Weigerung eines Geschäftspartners, eine Erklärung darüber zu erteilen, keinerlei

ungesetzliche Handlungen oder Zuwendungen gegenüber Regierungsbeamten oder -stellen vorzunehmen und damit den FCPA nicht zu verletzen,

• ungewöhnlich hohe Provisionen,• mangelnde Transparenz bei Spesenzahlungen und in der Buchführung,• ein offensichtliches Fehlen entsprechender fachlicher Qualifi kation der handelnden

Personen des Geschäftspartners bzw. der potentiellen Geschäftspartner und• die gezielte Empfehlung des Geschäftspartners durch einen Regierungsbeamten.

Statthafte/erlaubte ZahlungenBestimmte Zahlungsarten sind vom FCPA ausgenommen. Diese Zahlungen, so genannte »facilitating payments« (als erlaubte Zahlungen für »routine governmental action«95), betreffen unerlässliche Zahlungen an ausländische Regierungsbeamte, -behörden und staatliche Unternehmen, wie beispielsweise:

94 Vgl. USDOJ (2006), S. 4.95 Vgl. USDOJ (2006), S. 4.



• Zahlungen zur Einrichtung und Erhaltung eines Telefonanschlusses, der Strom- und Wasserversorgung,

• Zahlungen zur Erlangung eines Visums,• Lizenzgebühren,• Zahlungen für das Erhalten von Polizeischutz,• Postgebühren und Ähnlichem.

Aufgrund unterschiedlicher im Ausland geltender lokaler Gesetze und Bestimmungen kann es schwierig sein zu defi nieren, ob eine Zahlung gesetzeskonform oder -widrig ist. Die fraglichen Zahlungen müssen daher im Einzelfall betrachtet werden.

Haftung bei Verstoß gegen die Anti-KorruptionsvorschriftenDie Strafen für die Verletzung der Anti-Korruptionsvorschriften können erheblich sein und unter anderem Strafzahlungen von bis zu US$ 2 Mio. für privatrechtliche Unter-nehmen und bis zu US$ 250 Tsd. und fünf Jahre Haft für die handelnden Personen96 nach sich ziehen. Diese Strafen können sich auf eine einzelne Verletzung der Bestim-mungen beziehen.97 Darüber hinaus entsteht oftmals ein Reputationsverlust in der Öffentlichkeit, wenn bekannt wird, dass sich das Unternehmen unlauterer Geschäfts-praktiken bedient.

Der zweifelsfreie Nachweis eines Verstoßes gegen die Anti-Korruptionsvorschriften ist in der Praxis oft schwierig und daher werden verstärkt Verstöße gegen die Rech-nungslegungs- und Buchführungsvorschriften geahndet.

3.2.3 Rechnungslegungs- und Buchführungsvorschriften

Neben den Anti-Korruptionsbestimmungen beinhaltet der FCPA auch Rechnungslegungs- und Buchführungsvorschriften (»Books and Records Provisions«), die sich zum einen auf eine ordnungsgemäße Buchführung und zum anderen auf das Vorhandensein wirksamer interner Kontrollen beziehen.98 Diese Rechnungslegungs- und Buchfüh-rungsvorschriften für Unternehmen gelten für alle Mitarbeiter und in der Regel ohne Rücksicht auf ausländische Richtlinien, Amtsträger oder außergewöhnliche Anlässe. Sie betreffen alle Zahlungen und nicht nur die Summen, die in fi nanzieller Hinsicht eine materielle Bedeutung besitzen. Im Gegensatz zu den bereits betrachteten Anti-Korruptionsbestimmungen sind die Rechnungslegungs- und Buchführungsvorschriften sehr allgemein und übergreifend gehalten.

Die vorsätzliche Verbuchung von Transaktionen auf falsche Konten, beispielsweise um eine Bestechungszahlung zu verschleiern, kann Anlass für eine Ermittlung wegen des Verstoßes gegen die Rechnungslegungs- und Buchführungsvorschriften sein.

Ordnungsgemäße Buchführung – Record KeepingDer FCPA fordert von Unternehmen, Konten in der Buchhaltung vorzuhalten bzw. ein-zurichten sowie transaktionsbezogene Aufzeichnungen zu führen, die der tatsächlichen Situation und Lage der Gesellschaft entsprechen. Dies umfasst die im Unternehmen verwendeten Konten, Korrespondenz, Notizen, Bänder, Papiere, Bücher und andere

96 Vgl. 18 U.S.C. § 3571(d).97 Vgl. O’Melveny & Myers LLP (2005), S. 9.98 Vgl. 15 U.S.C. § 78m.

Dokumente. Hieraus geht hervor, dass dies im Einklang mit den jeweiligen geltenden Rechnungslegungsvorschriften erfolgen soll. Das besondere Augenmerk der SEC lag in der Vergangenheit auf Transaktionen in den folgenden Bereichen:99

• Spenden an politische Parteien,• Zahlungen an Regierungsbeamte,• Bestechungszahlungen und• an Kunden gewährte Rabatte mit zweifelhaftem oder illegalem Charakter.

Die Dokumentation einzelner Transaktionen hat korrekt, vollständig und transparent zu erfolgen und sollte neben den rein fi nanziellen Details einer Transaktion auch er-möglichen, den gesamten Geschäftsvorgang inhaltlich nachzuvollziehen, dies alles in einem angemessenen Detaillierungsgrad.

Internes Kontrollsystem – Internal ControlsNeben den Bestimmungen der Section 404 »Management Assessment of Internal Con-trols« des Sarbanes-Oxley Act verlangt auch der FCPA von Unternehmen das Vorhalten eines wirksamen internen Kontrollsystems. Die Kontrollen100 sollen sich unter anderem auf folgende Bereiche beziehen:

• Transaktionen müssen autorisiert sein und wurden entsprechend den Unternehmens-richtlinien durchgeführt,

• Transaktionen müssen so dokumentiert werden, dass Abschlüsse nach den gelten-den Rechnungslegungsvorschriften erstellt werden können und diese eine richtige Vermögensaufstellung ermöglichen, und

• der Vermögensausweis in den Büchern ist in angemessenen Zeitabständen mit dem Inventurbestand zu vergleichen.

Ein Zugang zu Vermögensgegenständen sollte nur mit Autorisierung und im Einklang mit den Richtlinien des Unternehmens möglich sein. Auch die Einführung einer so genannten »Whistleblower Hotline«, einer Anlaufstelle für anonyme Hinweisgeber auf Unregelmäßigkeiten im Unternehmen, kann Bestandteil eines wirksamen internen Kon-trollsystems sein.

Haftung bei Verstoß gegen die Rechnungslegungs- und BuchführungsvorschriftenDie Strafen für die Verletzung der Books and Records-Bestimmungen können erheblich sein und unter anderem Strafzahlungen von bis zu US$ 25 Mio. für privatrechtliche Unternehmen und bis zu US$ 5 Mio. und/oder 20 Jahre Haft für natürliche Personen101 nach sich ziehen. Diese Strafen können sich auf eine einzelne Verletzung der Bestim-mungen beziehen.102

3.2.4 Verletzungen des FCPA durch Unternehmen

Die Zahl bekannt gewordener Verletzungen des FCPA stieg in den letzten Jahren erheb-lich. Anhaltspunkte für Verstöße gegen den FCPA stammen beispielsweise von internen

99 Vgl. O’Melveny & Myers LLP (2005), S. 12.100 Vgl. O’Melveny & Myers LLP (2005), S. 13.101 Vgl. 18 U.S.C. § 3571(d).102 Vgl. O’Melveny & Myers LLP (2005), S. 9 f.


Documents

Sarbanes-Oxley und Corporate Compliance · im Register als Link gekennzeichnete Kapitelüberschriften bzw. Seitenangaben zur Verfügung. ... Erfolgreiches Arbeiten wünscht Ihnen