Compliance Risk Assessment Dr. David Barst, Compliance Operations Director 1. September 2016

Überblick LafargeHolcim

2

LafargeHolcim Global Footprint

3

Agenda

1

Compliance Risikoanalyse – Warum?

2

Compliance Risikoanalyse – Wie?

3

Case Study

4

Gründe für Compliance Risikomanagement

Rechtliche Organisations- und Überwachungspflichten

Operative Effizienz

Vermeidung von finanziellen Risiken

Schutz der Reputation

5

Erwartungshaltung der Bundesanwaltschaft*

* Veröffentlichung der Bundesanwaltschaft vom 22. Mai 2012: "Strafbarkeit der Unternehmung – Anforderungen an die Compliance aus Sicht der Strafverfolungsbehörden nach dem Strafbefehl gegen Alstom"

6

Table of Contents

Compliance Leadership

Risk Assessment

Standards & Controls

Training & Communication

Oversight 7

Foreign Corrupt Practices Act (US) - Resource Guide 2012 SEC & DoJ

"Assessment of risk is fundamental to developing a strong compliance program. […] One-size-fits-all compliance programs are generally ill-conceived and ineffective because resources inevitably are spread too thin, with too much focus on low risk markets and transactions to the detriment of high-risk areas. […] When assessing a company's compliance program, DOJ and SEC take into account whether and to what degree a company analyzes and addresses the particular risks it faces." *

* FCPA – A Resource Guide to the U.S. Foreign Corrupt Practices Act, S. 58 f. 8

UK Bribery Act 2010 Guidance – 6 Principles Principle No. 3 – Risk Assessment

"Risk assessment procedures that enable the commercial organisation accurately to identify and prioritise the risks it faces will, whatever its size, activities, customers or markets, usually reflect a few basic characteristics: ƒ ƒ ƒ ƒ ƒ

Oversight of the risk assessment by top level management. Appropriate resourcing – this should reflect the scale of the organisation’s business and the need to identify and prioritise all relevant risks. Identification of the internal and external information sources that will enable risk to be assessed and reviewed. Due diligence enquiries Accurate and appropriate documentation of the risk assessment and its conclusions."

* The Bribery Act 2010, Section 9: Guidance – The six principles (Principle No. 3)

9

Organisationspflichten und VR-Haftung in der Schweiz Organisationspflichten

ƒ

CH TopCo

DELEGATION

Management

Lokale OpCos Management Mitarbeitende

REPORTING & ESKALATION

Verwaltungsrat

VR und (via Delegation) Management sind für gruppenweite Compliance verantwortlich:

9 Prävention (risikobasierte Implementation von Richtlinien, Prozessen und Internal Controls)

9 Erkennen (Untersuchung von Fehlverhalten) 9 Reagieren (Disziplinarmassnahmen und Prozessverbesserung)

ƒ

VR/Management hat Ermessen und Delegationsbefugnis bzgl. Compliance Management Aspekten:

9 Organisation (effektive Organisation mit klaren Rollen und Verantwortlichkeiten – z.B. Three Lines of Defense Modell)

9 Ressourcen (adäquater und risiko-basierter Einsatz von Ressourcen)

ƒ

Delegation wandelt die Compliance-Pflichten des VR in aktive Überwachungspflichten

9 Reporting (Regelmässiges Reporting und ad hoc Eskalation)

9 Überwachung (Einrichtung von Hinweisgebersystem, Reviews, Audits)

ƒ

Organisationspflichtverletzung führt zu Haftung unabhängig von persönlichem Wissen oder Autorisierung 10

Organisationspflichten und VR-Haftung in Frankreich

Frankreich HoldCo Directeurs Management

ABSCHIRMUNG

Derzeitiges Corporate Liability Modell

ƒ Unternehmung ist nur haftbar für Verstösse, die von Leitungsorganen autorisiert oder gebilligt wurden:

9 Lokale Haftung für lokale Verstösse 9 Muttergesellschaft hat einen Anreiz, ihre Leitungsorgane von Informationen über lokale Geschäftspraktiken abzuschirmen

9 Keine gruppenweite Organisationspflicht Local OpCos Management Mitarbeitende

Sapin II: Neues Anti-Bestechungsgesetz

ƒ Organisationspflicht der Leitungsorgane in Bezug auf Korruptionsprävention von in- und ausländischen Amtsträgern

11

Vermeidung von Reputationsschäden

12

Agenda

1

Compliance Risikoanalyse – Warum?

2

Compliance Risikoanalyse – Wie?

3

Case Study

13

Compliance Risikoanalyse - Basics Brutto-Risiko vs. Netto-Risiko BruttoRisiko

Implementierte Prozesse & Kontrollen

NettoRisiko GAP-Analyse "Risk Appetite"

1

Compliance Risikoanalyse

Identifikation der Brutto-ComplianceRisiken in den relevanten Fokus-bereichen, z.B.: ƒ Anti-Korruption ƒ Wettbewerbs- und Kartellrecht ƒ Geldwäsche ƒ Embargo/Sanktionslisten

2

Compliance Audit/Zertifizierung

ƒ Prüfung der Angemessenheit und des Implementierungs-grads von Kontrollen & Monitoring-Prozessen ƒ Ableitung des Netto-Compliance-Risikos GAP-Analyse je Risikoausprägung ermöglicht Priorisierung der Handlungsempfehlungen und Ableitung eines strukturierten Maßnahmenplans

Compliance Risikoanalyse: Methodische Ansätze (1)

Fremd- vs. Self-Assessment

Gruppenweite Risikoanalyse

=

Kostenbewusste Abstufung der Detailtiefe

Interview- und/oder Datenanalyse-basierte Risikoanalyse Zur pragmatischen und kosteneffizienten gruppenweiten Erfassung von Compliance Risiken hat sich in den letzten Jahren ein zweigliedriges BestPractice Modell entwickelt

Strukturierte Interviews und ggf. (stichprobenweise) Datenbankauswertung zur Erfassung quantitativer und qualitativer Risiken von ausgewählten, wichtigen Gruppengesellschaften.

+

Konsistente gruppenweite Abbildung der relevanten Risiken

Risiko-Self-Assessment

Fragebogenbasiertes Self-Assessment zur Bestimmung der quantitativen Compliance-Risiken für die übrigen Gruppengesellschaften.

Compliance Risikoanalyse: Methodische Ansätze (2)

Risikokategorie- vs. Aktivitätsbasierte Analyse

Analyse pro Risiko-Kategorie

Analyse pro Geschäftsaktivität

Identifikation der Compliance-Risiken in den relevanten Risiko-Kategorien, z.B.:

Identifikation der mit den relevanten Geschäftsaktivitäten verbundenen Compliance-Risiken, z.B.:

ƒ ƒ ƒ ƒ

ƒ ƒ ƒ ƒ

Anti-Korruption Wettbewerbs- und Kartellrecht Geldwäsche Embargo/Sanktionslisten

Im ersten Schritt systematischer zu erheben; staatl. Verfolgungsbehörden sind auch nach Risikoart strukturiert

Business Development Einkauf Vertrieb Umwelt & Sicherheitsmanagement

Höhere Akzeptanz bei den „Risk-Owners“ und ggf. effizientere Risikoverminderung

Compliance Risikoanalyse nach Risiko-Kategorie: Fokusbereiche

Exemplarische Fokusbereiche Jeder Fokusbereich verfügt über eine Vielzahl von Risikoausprägungen, die zur Ermittlung des quantitativen und qualitativen Brutto-Compliance-Risikos herangezogen werden sollten:

Anti-Korruption AKTIVE KORRUPTION ƒ Regionale Vertriebsstruktur ƒ Kundenstruktur ƒ Intermediäre ƒ Regulierung ƒ Sales Incentivierung ƒ Verfahren in der Vergangenheit PASSIVE KORRUPTION ƒ Einkaufsregion ƒ Beauftragungsart ƒ Einkaufsorganisation ƒ Procurement Incentivierung

Wettbewerbs- und Kartellrecht WETTBEWERB (HORIZONTAL) ƒ Wettbewerberkontakte ƒ Anzahl Marktteilnehmer ƒ Innovationsgrad WETTBEWERB (VERTIKAL) ƒ Exklusivvereinbarungen ƒ Preisbindung MARKTMISSBRAUCH ƒ Marktanteil ƒ Marktzutrittsschranken ƒ Konstanz der Marktanteile

Weitere Fokusbereiche GELDWÄSCHE/EMBARGO ƒ Geschäftsaktivitäten in Embargo-/ Risikoländer ƒ Zahlungsmodalitäten ƒ Cash Handling INTERESSENSKONFLIKTE SCHUTZ DES BETRIEBSVERMÖGENS ARBEITSSICHERHEIT & UMWELTSCHUTZ

Beispiel 1: Risikofeld Aktive Korruption

Kundenstruktur des Geschäfts (privater vs. öffentlicher Sektor)

Frühere Unregelmässigkeiten oder "nearhits"

Sales Channels und Incentivierung

Direkte Kontakte mit Behörden/Zoll

Elemente der Risikoanalyse

Einsatz von Intermediären bzw. Geschäftspartnern

Regionale Märkte und Präsenz (TI/CPI score)

Art der Tätigkeit Produktportfolio

Umfang der internen Buchhaltungskontrollen

Erstellung einer umfassenden "Heatmap" mit den aktiven Korruptionsrisiken (graphisch nach Regionen und/oder Geschäftsbereichen aufgliedert). Korruptionsrisiken können zielgerichtet identifiziert und verringert werden.

Compliance Risikoanalyse: Vorbereitung 1 Umfang (Scope)

2 Segmentierung

3 Tiefe der Datenerhebung

ƒ Gruppenweit ("big bang") oder stufenweise (beginnend mit den am meisten relevanten/ risikoanfälligen Business Units bzw. Ländern)

ƒ Intelligente Segmentierung ist entscheidend für die systematisch Erhebung, Auswertung und Ergebnispräsentation (z.B. compliance risk "heat map")

ƒ Desk Review von vorhandenem Datenmaterial (z.B. ReportingDaten und SAP Datensätze

ƒ Festlegung der relevanten Risikofelder

ƒ Methode sollte systematisch ermittelt und dokumentiert sein

ƒ Interviews mit Geschäftsleitung

ƒ Definition und quantitative Gewichtung der relevanten Risikofaktoren für jedes der Risikofelder

ƒ Business Units etc. müssen zumeist weiter segmentiert werden (z.B. je nach Produktgruppe, Region oder Land) ƒ Festlegung der relevanten Märkte für die kartellrechtliche Analyse

ƒ Analyse von Buchungskonten

ƒ Weitere Interviews mit Fachfunktionen und ggf. Landesgeseschäftsführung ƒ Audits und Verprobung der Ergebnisse durch Prüfung von Umgehungsmöglichkeiten ƒ Stichprobenartiges Screening von E-Mail accounts

Compliance Risikoanalyse – Top 4 Lessons Learned

1

Denken Sie immer an die Auswertung und Ergebnispräsentation – Erhebungsprozess, Dokumentation und Bewertung müssen eine effiziente, fundierte und konsistente Ergebnispräsentation ermöglichen

2

Planung und Evaluation der Datenmenge – der "worst case" wäre die Abfrage einer Detailtiefe, die dann nicht ausgewertet wird

3

Objektive Bewertung und Dokumentation – Risikoanalyse sollte ein wiederholbarer, institutionalisierter Prozess werden; das erfordert eine systematische Methodik und klare Dokumentation

4

Professionelles Project Management – angemessenes Project-Team (ggf. mit externer Unterstützung) und effiziente (Zeit-)Planung, Vermeidung von DoppelAbfragen (Integration von bestehenden Reporting-Prozessen); Interaktion mit Internal Audit, Legal, Accounting, etc.

Risiko-basierte Elemente des Compliance-Programms

Tone from the Top Vorbeugen ƒ ƒ ƒ ƒ

ƒ

Reagieren

Entdecken

Compliance Organisation Verhaltenskodex und Regelwerk Weltweite Schulungen Implementierung von ComplianceProzessen (z.B. Integritätsprüfung von Geschäftspartnern Compliance Helpline (Anfragen & Antworten)

ƒ

ƒ ƒ

Compliance Kontrollen als integraler Teil des Internal Control System Berichterstattung Interne Revision & Untersuchungsprozess

ƒ

ƒ

Durchgängige Beseitigung von Schwachstellen bei Prozessen und Kontrollen Transparente und systematische Disziplinarmaßnahmen

Dokumentation/Verfolgung von Verstößen (Global Case Tracking)

ƒ

Hinweisgebersystem (Whistleblowing)

Compliance Management System

Vorbeugen Maßnahmen, um systematisches Fehlverhalten und ComplianceRisiken zu vermeiden Entdecken Instrumente, um Fehlverhalten festzustellen Reagieren Sanktionen von Fehlverhalten / Korrektur von Prozessen

Table of Contents

1

Compliance Risikoanalyse – Warum?

2

Compliance Risikoanalyse – Wie?

3

Case Study

22