Compliance Risk Assessment Dr. David Barst, Compliance Operations Director 1. September 2016
Überblick LafargeHolcim
2
LafargeHolcim Global Footprint
3
Agenda
1
Compliance Risikoanalyse – Warum?
2
Compliance Risikoanalyse – Wie?
3
Case Study
4
Gründe für Compliance Risikomanagement
Rechtliche Organisations- und Überwachungspflichten
Operative Effizienz
Vermeidung von finanziellen Risiken
Schutz der Reputation
5
Erwartungshaltung der Bundesanwaltschaft*
* Veröffentlichung der Bundesanwaltschaft vom 22. Mai 2012: "Strafbarkeit der Unternehmung – Anforderungen an die Compliance aus Sicht der Strafverfolungsbehörden nach dem Strafbefehl gegen Alstom"
6
Table of Contents
Compliance Leadership
Risk Assessment
Standards & Controls
Training & Communication
Oversight 7
Foreign Corrupt Practices Act (US) - Resource Guide 2012 SEC & DoJ
"Assessment of risk is fundamental to developing a strong compliance program. […] One-size-fits-all compliance programs are generally ill-conceived and ineffective because resources inevitably are spread too thin, with too much focus on low risk markets and transactions to the detriment of high-risk areas. […] When assessing a company's compliance program, DOJ and SEC take into account whether and to what degree a company analyzes and addresses the particular risks it faces." *
* FCPA – A Resource Guide to the U.S. Foreign Corrupt Practices Act, S. 58 f. 8
UK Bribery Act 2010 Guidance – 6 Principles Principle No. 3 – Risk Assessment
"Risk assessment procedures that enable the commercial organisation accurately to identify and prioritise the risks it faces will, whatever its size, activities, customers or markets, usually reflect a few basic characteristics:
Oversight of the risk assessment by top level management. Appropriate resourcing – this should reflect the scale of the organisation’s business and the need to identify and prioritise all relevant risks. Identification of the internal and external information sources that will enable risk to be assessed and reviewed. Due diligence enquiries Accurate and appropriate documentation of the risk assessment and its conclusions."
* The Bribery Act 2010, Section 9: Guidance – The six principles (Principle No. 3)
9
Organisationspflichten und VR-Haftung in der Schweiz Organisationspflichten
CH TopCo
DELEGATION
Management
Lokale OpCos Management Mitarbeitende
REPORTING & ESKALATION
Verwaltungsrat
VR und (via Delegation) Management sind für gruppenweite Compliance verantwortlich:
9 Prävention (risikobasierte Implementation von Richtlinien, Prozessen und Internal Controls)
9 Erkennen (Untersuchung von Fehlverhalten) 9 Reagieren (Disziplinarmassnahmen und Prozessverbesserung)
VR/Management hat Ermessen und Delegationsbefugnis bzgl. Compliance Management Aspekten:
9 Organisation (effektive Organisation mit klaren Rollen und Verantwortlichkeiten – z.B. Three Lines of Defense Modell)
9 Ressourcen (adäquater und risiko-basierter Einsatz von Ressourcen)
Delegation wandelt die Compliance-Pflichten des VR in aktive Überwachungspflichten
9 Reporting (Regelmässiges Reporting und ad hoc Eskalation)
9 Überwachung (Einrichtung von Hinweisgebersystem, Reviews, Audits)
Organisationspflichtverletzung führt zu Haftung unabhängig von persönlichem Wissen oder Autorisierung 10
Organisationspflichten und VR-Haftung in Frankreich
Frankreich HoldCo Directeurs Management
ABSCHIRMUNG
Derzeitiges Corporate Liability Modell
Unternehmung ist nur haftbar für Verstösse, die von Leitungsorganen autorisiert oder gebilligt wurden:
9 Lokale Haftung für lokale Verstösse 9 Muttergesellschaft hat einen Anreiz, ihre Leitungsorgane von Informationen über lokale Geschäftspraktiken abzuschirmen
9 Keine gruppenweite Organisationspflicht Local OpCos Management Mitarbeitende
Sapin II: Neues Anti-Bestechungsgesetz
Organisationspflicht der Leitungsorgane in Bezug auf Korruptionsprävention von in- und ausländischen Amtsträgern
11
Vermeidung von Reputationsschäden
12
Agenda
1
Compliance Risikoanalyse – Warum?
2
Compliance Risikoanalyse – Wie?
3
Case Study
13
Compliance Risikoanalyse - Basics Brutto-Risiko vs. Netto-Risiko BruttoRisiko
Implementierte Prozesse & Kontrollen
NettoRisiko GAP-Analyse "Risk Appetite"
1
Compliance Risikoanalyse
Identifikation der Brutto-ComplianceRisiken in den relevanten Fokus-bereichen, z.B.: Anti-Korruption Wettbewerbs- und Kartellrecht Geldwäsche Embargo/Sanktionslisten
2
Compliance Audit/Zertifizierung
Prüfung der Angemessenheit und des Implementierungs-grads von Kontrollen & Monitoring-Prozessen Ableitung des Netto-Compliance-Risikos GAP-Analyse je Risikoausprägung ermöglicht Priorisierung der Handlungsempfehlungen und Ableitung eines strukturierten Maßnahmenplans
Compliance Risikoanalyse: Methodische Ansätze (1)
Fremd- vs. Self-Assessment
Gruppenweite Risikoanalyse
=
Kostenbewusste Abstufung der Detailtiefe
Interview- und/oder Datenanalyse-basierte Risikoanalyse Zur pragmatischen und kosteneffizienten gruppenweiten Erfassung von Compliance Risiken hat sich in den letzten Jahren ein zweigliedriges BestPractice Modell entwickelt
Strukturierte Interviews und ggf. (stichprobenweise) Datenbankauswertung zur Erfassung quantitativer und qualitativer Risiken von ausgewählten, wichtigen Gruppengesellschaften.
+
Konsistente gruppenweite Abbildung der relevanten Risiken
Risiko-Self-Assessment
Fragebogenbasiertes Self-Assessment zur Bestimmung der quantitativen Compliance-Risiken für die übrigen Gruppengesellschaften.
Compliance Risikoanalyse: Methodische Ansätze (2)
Risikokategorie- vs. Aktivitätsbasierte Analyse
Analyse pro Risiko-Kategorie
Analyse pro Geschäftsaktivität
Identifikation der Compliance-Risiken in den relevanten Risiko-Kategorien, z.B.:
Identifikation der mit den relevanten Geschäftsaktivitäten verbundenen Compliance-Risiken, z.B.:
Anti-Korruption Wettbewerbs- und Kartellrecht Geldwäsche Embargo/Sanktionslisten
Im ersten Schritt systematischer zu erheben; staatl. Verfolgungsbehörden sind auch nach Risikoart strukturiert
Business Development Einkauf Vertrieb Umwelt & Sicherheitsmanagement
Höhere Akzeptanz bei den „Risk-Owners“ und ggf. effizientere Risikoverminderung
Compliance Risikoanalyse nach Risiko-Kategorie: Fokusbereiche
Exemplarische Fokusbereiche Jeder Fokusbereich verfügt über eine Vielzahl von Risikoausprägungen, die zur Ermittlung des quantitativen und qualitativen Brutto-Compliance-Risikos herangezogen werden sollten:
Anti-Korruption AKTIVE KORRUPTION Regionale Vertriebsstruktur Kundenstruktur Intermediäre Regulierung Sales Incentivierung Verfahren in der Vergangenheit PASSIVE KORRUPTION Einkaufsregion Beauftragungsart Einkaufsorganisation Procurement Incentivierung
Wettbewerbs- und Kartellrecht WETTBEWERB (HORIZONTAL) Wettbewerberkontakte Anzahl Marktteilnehmer Innovationsgrad WETTBEWERB (VERTIKAL) Exklusivvereinbarungen Preisbindung MARKTMISSBRAUCH Marktanteil Marktzutrittsschranken Konstanz der Marktanteile
Weitere Fokusbereiche GELDWÄSCHE/EMBARGO Geschäftsaktivitäten in Embargo-/ Risikoländer Zahlungsmodalitäten Cash Handling INTERESSENSKONFLIKTE SCHUTZ DES BETRIEBSVERMÖGENS ARBEITSSICHERHEIT & UMWELTSCHUTZ
Beispiel 1: Risikofeld Aktive Korruption
Kundenstruktur des Geschäfts (privater vs. öffentlicher Sektor)
Frühere Unregelmässigkeiten oder "nearhits"
Sales Channels und Incentivierung
Direkte Kontakte mit Behörden/Zoll
Elemente der Risikoanalyse
Einsatz von Intermediären bzw. Geschäftspartnern
Regionale Märkte und Präsenz (TI/CPI score)
Art der Tätigkeit Produktportfolio
Umfang der internen Buchhaltungskontrollen
Erstellung einer umfassenden "Heatmap" mit den aktiven Korruptionsrisiken (graphisch nach Regionen und/oder Geschäftsbereichen aufgliedert). Korruptionsrisiken können zielgerichtet identifiziert und verringert werden.
Compliance Risikoanalyse: Vorbereitung 1 Umfang (Scope)
2 Segmentierung
3 Tiefe der Datenerhebung
Gruppenweit ("big bang") oder stufenweise (beginnend mit den am meisten relevanten/ risikoanfälligen Business Units bzw. Ländern)
Intelligente Segmentierung ist entscheidend für die systematisch Erhebung, Auswertung und Ergebnispräsentation (z.B. compliance risk "heat map")
Desk Review von vorhandenem Datenmaterial (z.B. ReportingDaten und SAP Datensätze
Festlegung der relevanten Risikofelder
Methode sollte systematisch ermittelt und dokumentiert sein
Interviews mit Geschäftsleitung
Definition und quantitative Gewichtung der relevanten Risikofaktoren für jedes der Risikofelder
Business Units etc. müssen zumeist weiter segmentiert werden (z.B. je nach Produktgruppe, Region oder Land) Festlegung der relevanten Märkte für die kartellrechtliche Analyse
Analyse von Buchungskonten
Weitere Interviews mit Fachfunktionen und ggf. Landesgeseschäftsführung Audits und Verprobung der Ergebnisse durch Prüfung von Umgehungsmöglichkeiten Stichprobenartiges Screening von E-Mail accounts
Compliance Risikoanalyse – Top 4 Lessons Learned
1
Denken Sie immer an die Auswertung und Ergebnispräsentation – Erhebungsprozess, Dokumentation und Bewertung müssen eine effiziente, fundierte und konsistente Ergebnispräsentation ermöglichen
2
Planung und Evaluation der Datenmenge – der "worst case" wäre die Abfrage einer Detailtiefe, die dann nicht ausgewertet wird
3
Objektive Bewertung und Dokumentation – Risikoanalyse sollte ein wiederholbarer, institutionalisierter Prozess werden; das erfordert eine systematische Methodik und klare Dokumentation
4
Professionelles Project Management – angemessenes Project-Team (ggf. mit externer Unterstützung) und effiziente (Zeit-)Planung, Vermeidung von DoppelAbfragen (Integration von bestehenden Reporting-Prozessen); Interaktion mit Internal Audit, Legal, Accounting, etc.
Risiko-basierte Elemente des Compliance-Programms
Tone from the Top Vorbeugen
Reagieren
Entdecken
Compliance Organisation Verhaltenskodex und Regelwerk Weltweite Schulungen Implementierung von ComplianceProzessen (z.B. Integritätsprüfung von Geschäftspartnern Compliance Helpline (Anfragen & Antworten)
Compliance Kontrollen als integraler Teil des Internal Control System Berichterstattung Interne Revision & Untersuchungsprozess
Durchgängige Beseitigung von Schwachstellen bei Prozessen und Kontrollen Transparente und systematische Disziplinarmaßnahmen
Dokumentation/Verfolgung von Verstößen (Global Case Tracking)
Hinweisgebersystem (Whistleblowing)
Compliance Management System
Vorbeugen Maßnahmen, um systematisches Fehlverhalten und ComplianceRisiken zu vermeiden Entdecken Instrumente, um Fehlverhalten festzustellen Reagieren Sanktionen von Fehlverhalten / Korrektur von Prozessen
Table of Contents
1
Compliance Risikoanalyse – Warum?
2
Compliance Risikoanalyse – Wie?
3
Case Study
22