WIRTSCHAFTSKRIMINALITÄT 2018 MEHRWERT VON COMPLIANCE - FORENSISCHE ERFAHRUNGEN - PWC
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
In unserer Studie erfahren sie, wie deutsche
Unternehmen mit Wirtschaftskriminalität in der
analogen und digitalen Welt umgehen und wie
Compliance-Programme sich haftungsrechtlich
auswirken.
Wirtschaftskriminalität 2018
Mehrwert von Compliance –
forensische Erfahrungen
www.pwc.de/wirtschaftskriminalitaet_2018
Das digitale Zeitalter geht mit
neuen Formen der Kriminalität
einher: 47 % der Unternehmen
sind bereits Opfer einer Cyber-
Attacke geworden – oder haben
den konkreten Verdacht.
IT-Sicherheit wird zum
existenziellen Thema. Wie
können sich Unternehmen
gegen digitale Angriffe
wappnen? Cyberrisiken
dürfen nicht zum Hemmschuh
für die Industrie 4.0 werden.
Mehrwert von Compliance – forensische
Erfahrungen
Unsere neunte Studie zur Risiko CEO-Fraud In unseren vertieften Interviews
Entwicklung der Wirtschafts Hohe Schäden entstanden auch berichteten Unternehmen über
kriminalität setzt ihre durch CEO-Fraud. 40 % der befragten noch bestehende Schwächen in der
Schwerpunkte auf die weitere Unternehmen berichteten zwar nur Umsetzung ihres CMS, denen sie sich
Entwicklung von Compliance- über einen Versuch, aber bei 5 % verstärkt widmen wollen. Genannt
Programmen und der der Unternehmen war der CEO- wurden Kommunikationsprobleme,
forensischen Praxis der von Fraud erfolgreich und verursachte mangelnde Awareness und eine zu
Wirtschaftskriminalität in den schweren Fällen einen durch formale Ausgestaltung des CMS, eine
betroffenen Unternehmen. schnittlichen Schaden in Höhe von mangelnde Konsistenz der Regelungen
4,4 Millionen Euro. Alarmierend sind sowie eine unzureichende Integration in
Rasanter Anstieg der Fälle von auch Berichte über Angriffe in Form den Geschäftsprozessen, insbesondere
Cybercrime von Distributed Denial of Service bei global agierenden Unternehmen.
Im Unterschied zur rückläufigen (DDoS) und Verschlüsselungs- bzw.
Entwicklung der analogen Wirtschafts Erpressungstrojanern. 8 % der Klarer Trend: Aufstockung der
kriminalität (Abnahme um sechs Prozent Unternehmen berichteten über leichte Budgets für Personal- und Sach
punkte) stellen wir einen rasanten bis schwere DDoS-Fälle und 18 % mittel des CMS
Anstieg im Bereich Cybercrime fest. über Trojaner. Einige Unternehmen In den vergangenen fünf Jahren
Fast jedes zweite Unternehmen (46 %) berichteten sogar, das geforderte Löse beobachteten nahezu alle Unternehmen
berichtete über mindestens einen Fall. geld gezahlt zu haben. eine leichte (34 %) oder starke Zunahme
Dies bedeutet gegenüber 2015 einen (59 %) der Anforderungen an ihr CMS,
Anstieg um zwölf Prozentpunkte. Der Compliance-Programme weiterhin sodass jedes zweite die Personal- und
Abstand zwischen analoger (49 %) und im Aufwind Sachmittelausstattung hierfür leicht
digitaler Kriminalität (46 %) ist somit Drei Viertel der mittelständischen (33 %) oder deutlich (22 %) aufgestockt
weitgehend verschwunden. Unternehmen und Großunternehmen hat. Über eine allenfalls leichte
verfügen über ein Compliance- Reduzierung berichteten nur 2 % der
Allerdings verursachten analoge Management-System (CMS) und bei Unternehmen, bei 43 % der Unternehmen
Formen der Wirtschaftsk riminalität im weiteren 10 % befindet es sich in der blieb das Budget unverändert.
Durchschnitt gesehen weiterhin deutlich Planung. Auch bei kleineren Mittel
höhere Schäden als Cybercrime. Die ständlern mit 500 bis 999 Mitarbeitern Konkret zeigt sich dieser klare Trend
durchschnittlichen Kosten infolge eines ist heute ein CMS überwiegend bei der personellen Aufstockung
schweren Wirtschaftsdelikts bezifferten selbstverständlich (60 %). Der des Compliance-Managements. Im
die betroffenen Unternehmen auf Trend, Compliance-Programme auf Durchschnitt kommen heute rund
7,23 Millionen Euro, während Fälle von zusätzliche Deliktsfelder auszuweiten, 1.500 Mitarbeiter auf eine Compliance-
Cybercrime durchschnittlich Schäden in hält unvermindert an, wobei der Officer-Stelle, während es vor
Höhe von 183.000 Euro verursachten. Fokus auf der Prävention gegen vier Jahren noch rund 2.400 waren.
Korruption (CMS 83 %), Kartellrechts Die Relation ist bei fast zwei Dritteln
verletzungen (CMS 62 %) und Geld der Unternehmen sogar deutlich besser.
wäsche (CMS 65 %) liegt. Bei einem Drittel (33 %) kommen
sogar auf 500 Mitarbeiter bzw. bei
29 % der Unternehmen auf 500 bis
1.000 Mitarbeiter eine Compliance-
Officer-Stelle.
Wirtschaftskriminalität 2018 3
Hinweisgebersysteme waren lange Zeit
umstritten, mittlerweile entwickelten
sie sich zum CMS-Standard.
Compliance-Vertragsklauseln Compliance beats corruption Hinweisgebersysteme waren lange Zeit
werden in der Lieferkette immer Das Eis scheint gebrochen, alle von umstritten, mittlerweile entwickelten
üblicher uns erhobenen Kennwerte deuten auf sie sich zum CMS-Standard. Die
Aufgrund der wachsenden Erwartung eine sinkende Korruptionsbelastung Mehrheit der Unternehmen bietet nicht
im Markt und der Reputations- und der deutschen Wirtschaft hin. Durch nur einen internen Ansprechpartner an,
Haftungsrisiken versuchen die meisten Korruption wurden nur 6 % der sondern auch eine telefonische Hotline
Unternehmen den Compliance- Unternehmen betroffen und gegenüber (57 %), ein webbasiertes System (35 %)
Risiken auch in ihrem geschäftlichen 2015 nahmen die Verdachtsfälle von oder eine Ombudsperson (29 %).
Umfeld konsequent zu begegnen. 19 % auf 11 % ab. Auch der Anteil 86 % der Unternehmen sehen mindestens
Einer deutlichen Mehrheit der der Unternehmen, denen Geschäfte einen dieser Kommunikationskanäle vor.
Unternehmen (82 %) ist mittlerweile vermutlich infolge von Korruption eines In unseren vertieften Interviews zeigten
wichtig bzw. sehr wichtig, dass ihre Wettbewerbers entgangen sind, sinkt sich die Unternehmen ganz überwiegend
Lieferanten und Dienstleister über ein von 21 % auf 9 %. Diese Entwicklung vom Nutzen ihres Hinweisgebersystems
CMS verfügen oder eines einführen. dürfte vor allem auf die wachsende überzeugt und wollen hierauf nicht mehr
Viele Unternehmen berichteten, Zahl von Anti-Korruptionsprogrammen verzichten. Fälle von Missbrauch werden
dass es inzwischen zur Routine zurückzuführen sein, die zunehmend als Ausnahmen angesehen.
gehöre, Compliance-Standards von auch in mittelständischen Unternehmen
ihren Lieferanten und Dienstleistern implementiert wurden.1 Über Hinweisgebersysteme sollten nicht
einzufordern. Dieser Erwartungs drei Viertel (77 %) der Unternehmen mit auf unternehmensinterne Personen
druck in Richtung Geschäftspartner 1.000 bis 4.999 Mitarbeitern und fast beschränkt sein, wie unsere Studien zur
geht immer häufiger auch von mittel zwei Drittel (60 %) der Unternehmen Bedeutung externer Hinweise zeigen.
ständischen Unternehmen aus. mit 500 bis 999 Mitarbeitern verfügen Zudem fordern die Richtlinien des
über ein entsprechendes CMS. Foreign Corrupt Practices Art (FCPA),
Auch sie nutzen zunehmend ihren Rechtlich wurde diese Entwicklung dass solche Systeme außenstehenden
vertraglichen Gestaltungsspielraum. vermutlich auch durch die Erweiterung Dritten zugänglich sind. Jedoch zeigen
Verbreitet sind Compliance- der strafrechtlichen Haftung nach unsere Ergebnisse, dass nur knapp
Verpflichtungserklärungen, die § 299 StGB unterstützt, da nunmehr jedes dritte Hinweisgebersystem
Zusicherung eines Rechts auf anlass Bestechung und Bestechlichkeit auch auch Geschäftspartnern und Sub
bezogene Prüfung und Compliance- außerhalb einer Wettbewerbssituation unternehmen (31 %) und jedes vierte
Haftungsk lauseln. Allerdings nehmen strafbar sind. allgemein der Öffentlichkeit (23 %)
hierdurch auch Konflikte zwischen zugänglich ist. In dieser Hinsicht
verschiedenen Compliance-Standards zu, Schulungen und Hinweisgeber besteht bei vielen Unternehmen noch
die sich jedoch weitgehend vermeiden systeme werden zur Norm Handlungsbedarf.
ließen, wenn Zertifizierungen selbst Für die meisten Unternehmen sind im
verständlicher werden würden. Rahmen ihres korruptionsrechtlichen
Nur knapp die Hälfte der befragten CMS Classroom-Schulungsmaßnahmen
Unternehmen hat eine unabhängige (70 %) ein wesentlicher Bestandteil.
Prüfung nach dem IDW PS 980 oder Zunehmend werden jedoch auch digitale
eine Zertifizierung gemäß ISO 19600 Trainingsformate eingesetzt, fast
durchführen lassen (Abschnitt D6, 47%), zwei Drittel der Schulungsmaßnahmen
sodass in der Praxis eine Vielfalt an erfolgen durch webbasierte Lern
CMS herrscht, die eine gegenseitige programme und Schulungsfilme (61 %).
Anerkennung erschwert.
1
Bei Großunternehmen sind Anti-Korruptionsprogramme selbstverständlich (97 %).
4 Wirtschaftskriminalität 2018
Erste Erfolge im Kampf gegen Überdies können wir mit unserer Interne Untersuchungen sind
Kartellrechtsverstöße Studie als Erste in Deutschland die Regel
Nicht nur in der Bekämpfung der aufzeigen, dass sich ein CMS nicht In dieser Studie haben wir einen
Korruption zeigt sich eine präventive nur in wirtschaftlicher Hinsicht als Schwerpunkt auf die forensische Praxis
Wirkung der Compliance-Programme, vorteilhaft erweist, sondern auch in betroffener Unternehmen gelegt. Die
sondern auch bei den Kartellrechts haftungsrechtlicher. 21 Unternehmen Aufklärung bzw. Aufdeckung etwaiger
verstößen gibt es Anzeichen für berichteten über ihre Erfahrungen Straftaten durch interne oder hiermit
einen Rückgang. Der Anteil der mit den Strafverfolgungsbehörden bei beauftragte externe Spezialisten ist für
Unternehmen, die über einen Verdacht Verfahren nach § 130 Abs. 1 OWiG. eine große Mehrheit der Unternehmen
auf einen kartellrechtlichen Verstoß Über ein Drittel (37 %) der betroffenen selbstverständlich (85 %). Die Leitung
berichteten, sinkt auf 8 %. Gleichzeitig Unternehmen gab an, dass die Tatsache, oblag zumeist entweder der Internen
halten es Unternehmen seltener für dass sie über ein CMS verfügten, die Revision (38 %) oder der Rechts
wahrscheinlich, ein Angebot zu einer Höhe der Geldbuße positiv beeinflusst abteilung (31 %) und aufgrund des
wettbewerbswidrigen Absprache habe. Bei 43 % der Unternehmen, die ein häufig anderen Aufgabenprofils seltener
zu erhalten (4 %). Allerdings sank CMS implementiert hatten, beförderte der Compliance-Abteilung (24 %).
nach den Angaben der befragten dies die Einstellung des Verfahrens. Bei
Unternehmen der Marktanteil (8 %), der jedem dritten Unternehmen hat sich Interne Untersuchungen haben
auf wettbewerbswidrigen Absprachen zudem die nachträgliche Zusage, ein vielfältige Gründe. Sie erfolgten,
beruht, nur leicht. Wir führen diese CMS einzuführen bzw. Verbesserungen um arbeitsrechtliche (54 %) und
Entwicklung auf die wachsende vorzunehmen, auf die Höhe der Geld strafrechtliche (64 %) Maßnahmen
Verbreitung von Compliance- buße positiv ausgewirkt; bei fast jedem vorzubereiten sowie Schadensersatz
Programmen zurück (62 %), und zwar zweiten Unternehmen beförderte dies forderungen durchzusetzen (63 %) und
auch im Mittelstand. die Einstellung des Verfahrens. gesellschaftsrechtliche Verpflichtungen
zu erfüllen (61 %). Oft wollen die
Marktwirtschaftlicher und Hoher Anteil statushoher interner betroffenen Unternehmen aus den
rechtlicher Mehrwert von Täter sowie der organisierten Fällen lernen und nutzen interne
Compliance Kriminalität (OK) Untersuchungen zur Verbesserung des
Unsere Studie zeigt, dass sich aus Sicht Rund die Hälfte der gegen Unternehmen internen Kontrollsystems (IKS 69 %)
der allermeisten Unternehmen ein gerichteten Wirtschaftsstraftaten und zur Optimierung des CMS (55 %).
CMS sowohl auf inländischen als auch wird von Personen aus dem eigenen Immerhin sehen fast zwei Drittel der
ausländischen Märkten vorteilhaft Unternehmen begangen. Dabei handelte Compliance-Programme spezielle
auswirkt. Über ein Drittel (36 %) es sich in jedem vierten Fall (25 %) um Case Reports zur Evaluation des CMS
beurteilt das eigene Compliance- eine Person aus der obersten Führungs vor (61 %).
Programm im Wettbewerb überwiegend ebene. Empirisch gesehen sind folglich
als vorteilhaft und ein Viertel (24 %) besondere Vorsicht und Sorgfalt bei
erkennt hierin sogar einen klaren der Auswahl und Überwachung von
Vorteil. Nur 9 % berichteten über Personen in Führungs- und Vertrauens
Wettbewerbsnachteile im deutschen positionen geboten. Betrachtet man die
Markt, davon nur 1 % über klare Gruppe der externen Täter, beunruhigt
Wettbewerbsnachteile. der relativ hohe Anteil derjenigen,
die vermutlich aus dem Kreis der OK
stammen (19 %).
Wirtschaftskriminalität 2018 5
Bedeutung externer Ermittler Sanktionspraxis bei Compliance-
In der Praxis wurden in über der Hälfte Verstößen
der Fälle zusätzlich externe Ermittler Die Sanktionspraxis vieler Unternehmen
mit den Untersuchungen beauftragt ist in den vergangenen Jahren
(57 %). Ein Grund ist sicherlich, dass konsequenter geworden. In aller Regel
im Vergleich zur Ermittlungstätigkeit erfolgt bei gravierenden Compliance-
der Strafverfolgungsbehörden (sehr Verstößen eine Kündigung (87 %) und
zufrieden: 24 %) die Unternehmen deutlich häufiger als vor sechs Jahren
mit der hauseigenen Aufklärungs wurden zivilrechtliche Schritte
arbeit (51 %) und auch der Arbeit der eingeleitet (65 %) und eine Strafanzeige
hinzugezogenen externen Ermittler erstattet (65 %).
(46 %) häufig sehr zufrieden waren.
Die Strafanzeige erfolgte in jedem
Die Beauftragung externer Ermittler zweiten Fall nicht beim ersten Verdacht,
dürfte auf die sachliche und sondern erst im Laufe (23 %) oder nach
rechtliche Komplexität vieler Fälle Abschluss des Verfahrens (23 %). Die
zurückzuführen sein, sodass sie bereits Unternehmen begründeten dies mit der
beim ersten Verdacht (41 %) oder schnelleren Aufklärung durch interne
im Laufe der internen Ermittlungen Untersuchungen (64 %), aber nur selten
(43 %) hinzugezogen werden. Aus mit einer mangelnden fachlichen
diesem Grund gaben die betroffenen Kompetenz der staatlichen Ermittler
Unternehmen am häufigsten (8 %). Kritik an Polizei und Staats
das Erfordernis entsprechender anwaltschaft äußerten jedoch mehr als
Qualifikation an (84 %). ein Viertel der Unternehmen aufgrund
deren zu geringer Kenntnis über
Als weitere Gründe nannten die betriebswirtschaftliche Abläufe (29 %).
betroffenen Unternehmen die höhere
Objektivität externer Ermittler (56 %) An dieser Stelle möchten wir uns
und Kapazitätsgründe (35 %). Die bei den befragten Unternehmen für
Beauftragung externer Ermittler wurde ihre Bereitschaft zur Teilnahme an
seltener mit dem Druck von Stake der vorliegenden Studie bedanken.
holdern (20 %) oder der Presse (5 %) Auch diesmal haben wir uns neuen
begründet. Vermutlich wurden die Themen gewidmet, um über die Sicht
wenigsten Fälle öffentlich bekannt. der Wirtschaft auf zentrale Fragen der
Anders wird die Lage im Falle einer Compliance- und Haftungsentwicklung
skandalisierenden Pressebericht zu berichten und diese zu kommentieren.
erstattung zu beurteilen sein, hier
dürfte sich die Beauftragung externer Frankfurt am Main und Halle an der
Ermittler empfehlen. Saale im Februar 2018
Claudia Nestler
Steffen Salvenmoser
Compliance-Verstöße werden zunehmend
konsequenter von den Unternehmen Prof. Dr. jur. Kai-D. Bussmann
sanktioniert. In 87 % aller Fälle erfolgte
bei schwerwiegenden Verstößen eine
Kündigung. In zwei Drittel der schwer
wiegenden Verstöße wurde eine Straf
anzeige gestellt.
6 Wirtschaftskriminalität 2018
Inhaltsverzeichnis
9 Abbildungsverzeichnis
12 Methodisches Vorgehen
14 Wachsende Risiken in der digitalen Wirtschaft
16 Leichter Rückgang in der analogen Wirtschaft
17 Rückgang der Verdachtsfälle
18 Wachsende Bedrohung der Wirtschaft durch Cybercrime
19 Spezial: CEO-Fraud und Erpressungsfälle keine Seltenheit
21 Hohe Einzelschäden durch Wirtschaftskriminalität
22 Compliance-Programme weiterhin im Aufwind
24 Ausweitung des Anwendungsbereichs von CMS
26 Wahrgenommene Schwächen im Compliance-Management
28 Gestiegene Anforderungen an Compliance-Programme
28 Compliance-Budgets
29 Erhöhung der Budgets für Personal- und Sachmittel
31 Personelle Aufstockung des CMS
32 Trend: Compliance in der Lieferkette
34 Compliance aus Sicht der Auftraggeber
35 Compliance-Vertragskonditionen
38 Compliance beats Corruption
40 Entwicklung der Korruptionsrisiken
41 Der Mittelstand holt auf
42 Verbreitung von Anti-Korruptionsmaßnahmen
42 Schulungen zunehmend auch digital
44 Trend: Hinweisgebersysteme
46 Evaluation des Compliance-Managements
48 Erste Erfolge im Kampf gegen Kartellrechtsverstöße
50 Abnahme der Kartellrechtsverstöße
51 Kartellrechtliche Compliance zunehmend im Mittelstand
Wirtschaftskriminalität 2018 7
52 Mehrwert von Compliance
54 Compliance als Wettbewerbsvorteil
56 Bonus für CMS in Verfahren nach § 130 OWiG
58 Forensische Praxis betroffener Unternehmen
60 Tätermerkmale – Risiko OK
61 Praxis interner Untersuchungen
62 Gründe interner Untersuchungen
63 Bedeutung externer Ermittler in der Praxis
64 Phase der Beauftragung externer Ermittler
64 Gründe für die Beauftragung externer Ermittler
65 Zufriedenheit mit der Arbeit externer und staatlicher Ermittler
66 Sanktionspraxis bei Compliance-Verstößen
68 Folgen für interne Täter
68 Praxis der Strafanzeige
69 Pro und Kontra einer Strafanzeige
70 Ihre Ansprechpartner
72 Impressum
8 Wirtschaftskriminalität 2018
Abbildungsverzeichnis
Abb. 1 Funktion der Interviewperson im Unternehmen.....................................12
Abb. 2 Unternehmensgröße...............................................................................13
Abb. 3 Entwicklung der Wirtschaftskriminalität 2009–2017............................. 16
Abb. 4 Entwicklung der Verdachtsfälle 2011–2017............................................. 17
Abb. 5 Von Cybercrime betroffene Unternehmen – eindeutige
Fälle 2015–2017......................................................................................18
Abb. 6 Verdachtsfälle auf Cybercrime 2015–2017..............................................19
Abb. 7 Von CEO-Fraud und Erpressungsfällen betroffene Unternehmen
in den letzten zwei Jahren.......................................................................20
Abb. 8 Hohe Schäden durch Wirtschaftskriminalität.........................................21
Abb. 9 Status des CMS nach Deliktsgruppen......................................................25
Abb. 10 Entwicklung der Anforderungen an CMS................................................28
Abb. 11 Compliance-Budget nach Anzahl der Mitarbeiter....................................28
Abb. 12 Entwicklung der Personal- und Sachmittel für Compliance in
den letzten zwei Jahren...........................................................................29
Abb. 13 Entwicklung der Personal- und Sachmittel für Compliance
nach Größe der Unternehmen.................................................................29
Abb. 14 Good Practice: Personelle Ausstattung der Compliance-Abteilung..........31
Abb. 15 Bedeutung eines CMS aus Sicht der Auftraggeber...................................34
Abb. 16 Bedeutung eines CMS aus Sicht der Auftraggeber,
nach Unternehmensgröße.......................................................................35
Abb. 17 Verbreitung von Compliance-Vertragskonditionen..................................36
Wirtschaftskriminalität 2018 9
Abb. 18 Regelmäßige Compliance-Vertragskonditionen, nach
Unternehmensgröße...............................................................................37
Abb. 19 Entwicklung der Korruptionsrisiken 2005–2017.....................................40
Abb. 20 Verbreitung von Anti-Korruptionsprogrammen 2013–2017,
nach Unternehmensgröße....................................................................... 41
Abb. 21 Verbreitung der Anti-Korruptionsmaßnahmen 2013–2017.....................42
Abb. 22 Praxis der Schulungen 2013–2017..........................................................43
Abb. 23 Bewertung der Schulungen 2013–2017...................................................43
Abb. 24 Hinweisgebersysteme 2013–2017...........................................................44
Abb. 25 Art der Evaluation des CMS.....................................................................46
Abb. 26 Entwicklung des Risikos wettbewerbswidriger
Absprachen 2011–2017...........................................................................50
Abb. 27 Durch wettbewerbswidrige Absprachen erzielter Umsatzanteil
in der eigenen Branche 2013–2017..........................................................51
Abb. 28 Verbreitung kartellrechtlicher Compliance-Maßnahmen,
nach Unternehmensgröße.......................................................................51
Abb. 29 Compliance im Wettbewerb....................................................................54
Abb. 30 Compliance im Wettbewerb, nach Unternehmensgrößen........................55
Abb. 31 Auswirkungen von CMS auf das Ergebnis in Verfahren
nach § 130 OWiG.....................................................................................57
Abb. 32 Beziehung der Täter zum geschädigten Unternehmen.............................60
Abb. 33 Position des internen/externen Haupttäters............................................60
Abb. 34 Leitung der internen Untersuchungen..................................................... 61
Abb. 35 Gründe interner Ermittlungen................................................................62
10 Wirtschaftskriminalität 2018Abb. 36 Gründe interner Ermittlungen – Vergleich interne versus
externe Täter...........................................................................................63
Abb. 37 Tatsächliche oder hypothetische Beauftragung externer Ermittler.........63
Abb. 38 Phase der Beauftragung externer Ermittler.............................................64
Abb. 39 Gründe für die Beauftragung externer Ermittler.....................................64
Abb. 40 Zufriedenheit mit der Arbeit der Ermittler..............................................65
Abb. 41 Konsequenzen gegenüber internen Haupttätern 2011–2017....................68
Abb. 42 Strafanzeige in welcher Phase der internen Ermittlungen.......................68
Abb. 43 Pro und Contra Strafanzeige...................................................................69
Wirtschaftskriminalität 2018 11Methodisches Vorgehen
Die vorliegende, neunte Studie zur zuständig erklärt hatten. Des Weiteren
Wirtschaftsk riminalität wurde im wurden mit 32 Unternehmen ergänzende
Auftrag von PwC und der Martin- vertiefte Interviews zu ausgewählten
Luther-Universität Halle-Wittenberg Fragen durchgeführt, um detailreichere
von Kantar EMNID durchgeführt. Von Berichte und Einschätzungen zu
Anfang Juli bis Ende September 2017 erhalten.
wurden in Deutschland mithilfe
eines standardisierten Fragebogens Die Befragten stammten zu etwa
Verantwortliche aus 500 Unternehmen einem Drittel (31 %) aus dem Bereich
telefonisch interviewt, die sich in ihrem Compliance, 27 % der Befragten gehörten
Unternehmen für den Themenbereich der Finanzabteilung an und 21 % der
Kriminalitätsprävention und -aufklärung Rechtsabteilung.
Abb. 1 Funktion der Interviewperson im Unternehmen
Mehrfachnennungen waren möglich.
Finanzabteilung
27 %
Revision
15 %
Rechtsabteilung
21 %
Personal
5%
Unternehmenssicherheit
4%
Risikomanagement
5%
Compliance
31 %
anderer Bereich
3%
12 Wirtschaftskriminalität 2018Die Antwortbereitschaft war auch nach US-Recht gegründet wurden, Ein Teil der Fragen ermöglicht einen
dieses Mal hoch. Aufgrund der Art ihren Geschäftssitz in den USA haben, direkten Vergleich mit unseren von 2005
und des Umfangs der Stichproben an einer US-Börse notiert sind oder auf bis 2017 zweijährlich durchgeführten
ziehung handelt es sich um eine andere Weise in den USA geschäftlich Studien. Auch dieser Report enthält
repräsentative Studie zur Sicherheits tätig sind. eine Fallstudie (siehe Seite 66 ff.). Diese
lage von Unternehmen mit mehr als ermöglicht insbesondere die Erhebung
500 Mitarbeitern in Deutschland Fast jedes zweite Unternehmen (46 %) von Tätermerkmalen sowie des
bzw. weltweit. Rund die Hälfte der verfügt über Auslandsvertretungen, Umgangs mit konkreten Verdachtsfällen
Unternehmen verfügt über 1.000 mehr als jedes fünfte (19 %) ist weltweit der betroffenen Unternehmen. 2017
bis 4.999 Mitarbeiter (48 %). Jedes vertreten. Die folgende Abbildung zeigt berichteten die befragten Unternehmen
fünfte Unternehmen (21 %) ist die Größe der befragten Unternehmen von 212 gravierenden Schadens
börsennotiert und 28 % unterliegen nach Anzahl der weltweit beschäftigten fällen, dabei handelte es sich bei jedem
dem US-amerikanischen FCPA, da sie Mitarbeiter. zweiten Fall (49 %) um ein Vermögens
delikt, bei 16 % um wettbewerbswidrige
Abb. 2 Unternehmensgröße Absprachen und bei 9 % um Korruption.
> 10.000
16 %
Beschäftigte weltweit
5.000–10.000
6%
1.000–4.999
48 %
500–999
30 %
In unseren zweijährigen Studien berichten wir
seit 2001 kontinuierlich über die Erfahrungen
von mittelständischen und Großunternehmen
rund um das Risikofeld Wirtschaftskriminalität.
Wirtschaftskriminalität 2018 13Wachsende Risiken in der digitalen Wirtschaft
Während die Belastung der Unternehmen durch
die Risiken klassischer Wirtschaftskriminalität
abnimmt, ist ein dramatischer Anstieg von
Cybercrime-Fällen zu verzeichnen.
Wirtschaftskriminalität 2018 15Leichter Rückgang in der analogen Wirtschaft
Im langfristigen Vergleich zeichnet sich Abb. 3 Entwicklung der Wirtschaftskriminalität 2009–2017
in der deutschen Wirtschaft ein
Rückgang in der Entwicklung der Mehrfachnennungen waren möglich.
(analogen) Wirtschaftsk riminalität ab.
Gegenüber 2015 beobachten wir eine 61 %
weitere Abnahme der Kriminalitäts 52 %
belastung um sechs Prozentpunkte auf alle Deliktsarten 45 %
das Niveau von 2013. Der Höchststand 51 %
lag 2009 bei 61 % (alle Deliktsarten). 45 %
Wir sehen daher unsere These bestätigt,
dass sich die optimierten Compliance- 42 %
Programme zunehmend präventiv 32 %
auswirken.2 Allerdings bleibt das Vermögensdelikt 34 %
37 %
Dunkelfeld groß, wie an den weiterhin
32 %
berichteten Verdachtsfällen deutlich
wird (siehe Seite 17). 4%
3%
Unsere Studie zeigt gegenüber 2015 und Falschbilanzierung 2%
auch im langjährigen Vergleich, dass die 2%
Zahl der von Vermögensdelikten 2%
betroffenen Unternehmen zurückgeht.
Gegenüber 2015 ist die Zahl der 3%
berichteten Verstöße gegen Patent- und 5%
Markenrechte zwar unverändert (13 %), Geldwäsche 4%
5%
aber seit 2009 (23 %) stark rückläufig.
4%
Dies dürfte auch auf das veränderte
Marktumfeld zurückzuführen sein. 23 %
Auch die Emerging Markets und 17 %
insbesondere China zeigen ein eigenes Verstoß gegen Patent-
10 %
und Markenrechte
Interesse am Schutz geistigen 13 %
Eigentums. Vergleichsweise selten 13 %
waren die befragten Unternehmen
durch Industrie- und Wirtschafts 7%
spionage betroffen (3 %). Allerdings 5%
Industrie- und
wissen wir aus vorangegangenen 2%
Wirtschaftsspionage
3%
Studien, dass forschungsintensive
3%
Unternehmen weiterhin sehr viel
höheren Risiken ausgesetzt sind.3 21 %
Diebstahl vertraulicher 12 %
Beim Diebstahl vertraulicher Kunden- Kunden- und 5%
und Unternehmensdaten beobachten Unternehmensdaten 5%
wir langfristig ebenfalls eine positive 7%
Entwicklung (2009: 21 %); der geringe
Anstieg auf 7 % gegenüber 2015 (5 %) 2009 2011 2013 2015 2017
sollte dabei nicht überinterpretiert
werden.
2
gl. PwC, Wirtschaftskriminalität in der analogen und digitalen Wirtschaft, 2016, S. 16 f.
V
3
Vgl. ebenda, S. 34 f.
16 Wirtschaftskriminalität 2018Rückgang der Verdachtsfälle
Gegenüber 2015 sinkt die Zahl insgesamt (2011: 59 %) als auch bei Im Vergleich zu den eindeutigen
der Unternehmen, die mindestens den meisten Deliktsarten. Lediglich Fällen berichteten die Unternehmen
einen konkreten Verdacht auf eine über einen Verdacht auf Patent- und mit Ausnahme der Falschbilanzierung
Wirtschaftsstraftat berichtet haben, um Markenrechtsverletzungen berichteten häufiger über einen Verdacht auf Geld
sieben Prozentpunkte auf 49 %. Auch Unternehmen häufiger als im Jahr 2013, wäsche (8 %), Verstöße gegen Patent-
im langf ristigen Vergleich zeigt sich ein jedoch seltener als 2011 (20 %). und Markenrechte (16 %), Wirtschafts-
Rückgang der Verdachtsfälle4 – sowohl und Industriespionage (7 %) und
Diebstahl vertraulicher Kunden- und
Abb. 4 Entwicklung der Verdachtsfälle 2011–2017 Unternehmensdaten (12 %). Das
Dunkelfeld der Wirtschaftsk riminalität
Mehrfachnennungen waren möglich. bleibt somit groß.
59 %
51 %
alle Deliktsarten
56 %
49 %
26 %
27 %
Vermögensdelikt
32 %
25 %
6%
3%
Falschbilanzierung
4%
2%
10 %
9%
Geldwäsche
12 %
8%
20 %
Verstoß gegen
11 %
Patent- und
14 %
Markenrechte
16 %
13 %
Industrie- und 10 %
Wirtschaftsspionage 9%
7%
23 %
Diebstahl vertraulicher
15 %
Kunden- und
14 %
Unternehmensdaten
12 %
2011 2013 2015 2017
4
Durch den Begriff „konkreter Verdacht“ sollen vage Vermutungen ausgeschlossen werden. Eine Strafanzeige war jedoch nicht Voraussetzung.
Wirtschaftskriminalität 2018 17Wachsende Bedrohung der Wirtschaft durch Cybercrime
Deutliche Zunahme der Cyber zugenommen haben vor allem Computer Stagnation bei Cybercrime-
crime-Attacken betrug (21 %), Computersabotage und Verdachtsfällen
Auch diesmal haben wir untersucht, Datenveränderung (13 %) sowie das Bei den berichteten konkreten
inwieweit die Unternehmen von Cyber Ausspähen und Abfangen von Daten Verdachtsfällen (38 %; 2015: 39 %)
crime betroffen waren.5 Deutlich (14 %). ist keine vergleichbare Entwicklung
zu beobachten. Hier stagniert die
Abb. 5 Von Cybercrime betroffene Unternehmen – eindeutige Fälle 2015–2017 Betroffenheit der Unternehmen. Auch bei
den einzelnen Formen von Cybercrime
Mehrfachnennungen waren möglich. zeigt sich keine signifikante Entwicklung.
34 % Der starke Anstieg bei den eindeutigen
alle Deliktsarten Cybercrime-Fällen kann daher auch
46 %
auf einer erhöhten Awareness und
verbesserten IT-Sicherheitstechnik
13 %
Computerbetrug beruhen, sodass immer mehr Cyber
21 %
crime-Attacken entdeckt werden. Die
Manipulation von Cybercrime-Fälle aus dem Dunkelfeld
11 % gelangen möglicherweise verstärkt
Konto- und
14 % in das Hellfeld der Unternehmen.
Finanzdaten
Dies beruhigt nur bedingt, denn die
Ausspähen und
9% Cybercrime-Bedrohungslage ist somit
Abfangen von Daten
14 % erwiesenermaßen sehr viel ernster, als
(z. B. Passwörter)
in Unternehmen angenommen wird.6
Fälschung beweis 6%
erheblicher Daten 6%
Computersabotage 6%
und Datenveränderung 13 %
Verstoß gegen Patent- 6%
und Markenrechte 6%
Industrie- und 2%
Wirtschaftsspionage 2%
40 %
Diebstahl vertraulicher
6%
Kunden- und
6%
Unternehmensdaten
der Unternehmen
2015 2017
waren vom sogenannten CEO-Fraud
betroffen. Bei 5 % der Unternehmen
war der Angriff erfolgreich.
5
ei Cybercrime handelt es sich um Delikte, die nicht nur durch bloße Nutzung, sondern durch gezielte Ausnutzung elektronischer Systeme und
B
Kommunikationsmittel begangen wurden (auch: cyber-dependent crimes). Ausgeschlossen wurden Delikte, bei denen der Computer oder das Internet
nur gewählt wurden, um beispielsweise einen Betrug einfacher begehen zu können.
6
Ausführlich zu Risiken des Daten- und Wissensverlusts: PwC, Wirtschaftskriminalität in der analogen und digitalen Wirtschaft, 2016, S. 32 ff.
18 Wirtschaftskriminalität 2018Abb. 6 Verdachtsfälle auf Cybercrime 2015–2017 Spezial: CEO-Fraud und
Erpressungsfälle keine
Mehrfachnennungen waren möglich.
Seltenheit
39 % In unserer Studie fragten wir nach
alle Deliktsarten
38 % Versuchen von CEO-Fraud, auch als
„Fake President“-Fraud bezeichnet.
17 % Hierbei handelt es sich um eine Variante
Computerbetrug des Social Engineering, bei dem
15 %
Mitarbeiter vorrangig aus dem Finanz-
Manipulation von und Rechnungswesen vermeintlich
8%
Konto- und im Auftrag des Topmanagements
10 %
Finanzdaten zur Überweisung eines größeren
Ausspähen und Geldbetrags auf ein ausländisches
18 % Konto veranlasst werden – meist durch
Abfangen von Daten
17 % einen Anruf oder eine E-Mail.7 Dabei
(z. B. Passwörter)
werden die Mitarbeiter unter Druck
Fälschung beweis 5% gesetzt, den Transfer schnellstmöglich
erheblicher Daten 4% durchzuführen und Verschwiegenheit
zu bewahren, da es sich um ein
Computersabotage 7% geheimes und vertrauliches Projekt
und Datenveränderung 8% handle.8
Die Täter, die überwiegend der OK
Verstoß gegen Patent- 7%
zuzurechnen sind,9 sammeln zunächst
und Markenrechte 6%
Informationen aus Wirtschaftsberichten
der Unternehmen, aus dem Handels
Industrie- und 7% register, von der Website und aus
Wirtschaftsspionage 5% Werbebroschüren der Unternehmen
oder durch direkte Anrufe, um die sich
Diebstahl vertraulicher
15 % anschließende Kommunikation mit dem
Kunden- und
11 % Mitarbeiter aus der Finanzabteilung
Unternehmensdaten
glaubwürdig zu gestalten.10
2015 2017
BSI: „Social Engineering ist
weiterhin eine vielfach genutzte
Methode, um Cyber-Angriffe
erfolgreich auszuführen oder zu
unterstützen. Für Angreifer ist es
einfacher, die Schwachstelle Mensch
als oftmals schwächstes Glied der
IT-Sicherheitskette zu überwinden,
anstatt komplexe technische
Sicherheitsmaßnahmen mit viel
Aufwand zu umgehen.“ 11
7
gl. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 23; BKA, Bundeslagebild Wirtschaftskriminalität 2016, S. 8.
V
8
Vgl. BSI, Pressemitteilung vom 10.07.2017.
9
Vgl. BKA, Bundeslagebild Wirtschaftskriminalität 2016, S. 8.
10
Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 23; BKA, Bundeslagebild Wirtschaftskriminalität 2016, S. 9.
11
Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 22.
Wirtschaftskriminalität 2018 19Die Zahl der Fälle hat dem Bundes Alarmierend sind auch Berichte über Fälle Als schwerer Fall mit erheblichen
kriminalamt (BKA) zufolge seit 2013 von DDoS und Verschlüsselungs- bzw. Schäden wird dagegen ein länger
kontinuierlich zugenommen. Im Erpressungstrojanern, auch unter dem fristiger Systemausfall verstanden,
Jahr 2013 wurden zwei versuchte und Oberbegriff „Ransomware“ zusammen der das Tagesgeschäft beeinträchtigt
zwei vollendete Fälle von CEO-Fraud gefasst.13 In unserer Studie haben wir und mehrere Rechner oder sogar das
erfasst. Drei Jahre später registrierte zwischen leichten und schweren Fällen gesamte Netzwerk betrifft. Ein schwerer
das BKA dagegen bereits 51 vollendete unterschieden, um die Bedrohungslage Fall liegt auch dann vor, wenn Lösegeld
und 291 versuchte Fälle und gelangte besser evaluieren zu können. Ein leichter gezahlt wird.
zu folgender Einschätzung der Fall mit geringen Schäden wird bei kurz
Sicherheitslage: zeitigen Systemausfällen ohne nennens In unserer Studie berichteten insgesamt
werte Beeinträchtigungen angenommen, 8 % der Unternehmen über leichte und
bei denen nur einzelne Rechner betroffen schwere DDoS-Fälle und 18 % über
BKA: „Bei der Schadensentwicklung sind und ein Back-up ohne großen Trojaner. Zwar waren die Schäden
im Bereich des CEO-Fraud sind Aufwand möglich ist. Das Bundesamt zumeist eher geringer, aber jeweils 2 %
starke Anstiege zu verzeichnen. für Sicherheit in der Informations wurden schwer geschädigt. In unserer
Seit 2014 verdreifachte sich der technik (BSI) warnt allerdings auch vor Stichprobe von 500 Unternehmen
Schaden durch das betrügerische Trittbrettfahrern, die ohne tatsächliche berichteten sogar vier, sie hätten das
Handeln der Täter und lag im DDoS-Angriffe darauf hoffen, dass der geforderte Lösegeld gezahlt.
Berichtsjahr bei 75,2 Mio. Euro Empfänger zahlt.14
(2015: 46,7 Mio. Euro: +61 %).“ 12
Abb. 7 Von CEO-Fraud und Erpressungsfällen betroffene Unternehmen in den
letzten zwei Jahren
Unsere Studie zeigt das Bedrohungs
potenzial des CEO-Fraud: 40 % der
Mehrfachnennungen waren möglich.
befragten Unternehmen berichteten
über einen derartigen Versuch, davon
waren 5 % sogar erfolgreich. Der mindestens einmal schwere 2%
Schäden durch Trojaner
hohe Verbreitungsgrad, aber auch die
Schadensrisiken sind beunruhigend.
Als gravierendstes Wirtschaftsdelikt
mindestens einmal leichte 16 %
Schäden durch Trojaner
in den letzten Jahren nannten sieben
Unternehmen einen CEO-Fraud, der im
Durchschnitt einen Schaden in Höhe
mindestens einmal schwere 2%
Schäden aufgrund DDoS
von 4,4 Millionen Euro verursachte. Im
Bereich Cybercrime sind Fälle von CEO- mindestens einmal leichte 6%
Fraud daher die schadensträchtigsten Schäden aufgrund DDoS
Delikte.
erfolgreiche Fälle von 5%
CEO-Fraud
Versuche von CEO-Fraud
40 %
12
gl. BKA, Bundeslagebild Wirtschaftskriminalität 2016, S. 10.
V
13
Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 20 und 29.
14
Vgl. ebenda, S. 29.
20 Wirtschaftskriminalität 2018Einzelschäden können unkalkulierbare Ausmaße
annehmen, in einem unserer berichteten Fälle
über 10 Millionen Euro.
Hohe Einzelschäden durch Wirtschaftskriminalität
Die finanziellen Folgen von Wirtschafts Abb. 8 Hohe Schäden durch Wirtschaftskriminalität1
kriminalität lassen sich nur bedingt
beziffern, insbesondere wenn man durchschnittliche Schäden je Delikt in Mio. €
auch die zahlreichen indirekten
Konsequenzen wie Schadensersatz
forderungen, straf- bzw. bußgeld > 10.000
24,38
rechtliche Haftungsrisiken, Kosten
11,08
Mitarbeiter weltweit
für Rechtsverfahren, Stakeholder
5.000–10.000
management und Reputations
schäden zu berücksichtigen hat. Der
durchschnittliche Schaden sinkt von 1.000–4.999
2,60
1,55 Millionen Euro im Jahr 2015 auf
723.000 Euro je Unternehmen, wobei
größere Unternehmen wiederum über 500–999
1,58
deutlich höhere Schäden berichteten.
Die geringeren Schadensfolgen
könnten auf verbesserte Compliance-
Durchschnitt für alle 7,23
Unternehmensgrößen
Programme zurückzuf ühren sein.
Die weitere Entwicklung wird jedoch 1
ifferenzierung: betrifft nur die 212 Unternehmen, die Aussagen bzgl. schwerer
D
abzuwarten sein.
Wirtschaftsdelikte getroffen haben.
Einzelne gravierende Wirtschaftsdelikte
führten allerdings zu deutlich höheren
Die von den Unternehmen bezifferten Allerdings waren sie auch hier in Einzel
finanziellen Verlusten. In unserer
Schäden aufgrund von Cybercrime fällen deutlich höher. 6 % berichteten
Studie bezifferten 212 Unternehmen15
fallen im Vergleich zu denen aufgrund über Schadensfolgen in Höhe von
die durchschnittlichen Kosten
analoger Kriminalität auch 2017 500.000 bis 2 Millionen Euro. In einem
aufgrund eines schweren Wirtschafts
deutlich geringer aus. Die betroffenen Fall stieg die Schadensbilanz auf
delikts auf 7,23 Millionen Euro,
Unternehmen schätzten die durch beachtliche 10 bis 50 Millionen Euro.
wobei die Höhe des Schadens stark
Cybercrime verursachten Schäden Auch kann es durch CEO-Fraud zu
von der Größe der Unternehmen
auf durchschnittlich 183.000 Euro. erheblichen Verlusten kommen, wie wir
abhängt. Unternehmen mit mehr
bereits berichtet haben (siehe Seite 19 f.).
als 10.000 Mitarbeitern schätzten
den Gesamtschaden des schwersten
Wirtschaftsdelikts durchschnittlich auf
24,38 Millionen Euro.
15
Bei 49 % der schwersten Fälle handelte es sich um ein Vermögensdelikt, bei 16 % um wettbewerbswidrige Absprachen und bei 9 % um Korruption.
Wirtschaftskriminalität 2018 21Compliance-Programme weiterhin im Aufwind
Compliance und Compliance-Management-Systeme
sind zur Selbstverständlichkeit geworden.
Compliance wird als klarer Wettbewerbsvorteil
empfunden und nicht mehr als „Geschäfts
verhinderung“.
Wirtschaftskriminalität 2018 23Ausweitung des Anwendungsbereichs von CMS
Compliance-Programme haben sich Ferner setzt sich der Trend zu
in der deutschen Wirtschaft etabliert. einer Ausweitung der Compliance-
Drei Viertel der Unternehmen (75 %) Programme auf zusätzliche Delikts
mit mehr als 500 Mitarbeitern verfügen felder fort. Unternehmen richten ihren
über ein CMS und bei weiteren 10 % Compliance-Fokus verstärkt auf die
befindet sich eines in der Planung. Zurückdrängung von Korruption (83 %)
Nahezu alle Großunternehmen mit und Kartellrechtsverletzungen (62 %).
mehr als 10.000 Mitarbeitern verfügen Auch den Risiken der Geldwäsche
über ein CMS (97 %), während widmet sich eine wachsende Zahl von
von den Unternehmen mit 500 bis Compliance-Programmen, zwei Drittel
999 Mitarbeitern nur knapp zwei (65 %) erstrecken sich hierauf. Dies
Drittel (60 %) Compliance-Programme könnte insbesondere auf die Ausweitung
implementiert haben. Wir beobachten des Geltungsbereichs des Geldwäsche
weiterhin eine Top-down-Entwicklung, gesetzes (GwG) im Zuge der Umsetzung
die insbesondere auf den höheren der 4. EU-Geldwäscherichtlinie zurück
rechtlichen und öffentlichen Druck auf zuführen sein. Bei börsennotierten
größere Unternehmen zurückzuführen Unternehmen19 erhält die Prävention
ist.16 Größere Unternehmen operieren gegen Insidertransaktionen (§ 38
häufiger international, unterliegen WpHG) einen höheren Stellenwert,
daher vermehrt der Aufsicht der US- drei Viertel verfügen über ein derart
amerikanischen Behörden und dem ausgerichtetes CMS (76 %).
strikten Reglement des FCPA.17 Diesen
Druck geben die Unternehmen an
wirtschaftlich mit ihnen verbundene
kleinere Unternehmen weiter.18
Nahezu alle Großunternehmen mit mehr
als 10.000 Mitarbeitern verfügen über
ein CMS (97 %).
16
Vgl. PwC, Wirtschaftskriminalität in der analogen und digitalen Wirtschaft, 2016, S. 52 ff.
17
8 % der befragten Unternehmen unterliegen dem US-amerikanischen FCPA.
2
18
Vgl. Bussmann/Salvenmoser/Jeker, Compliance ist im Markt, aber noch nicht im Recht – Ergebnisse aus einer Unternehmensbefragung, in: CCZ
5/2016, S. 236–240.
19
Die entsprechende Frage wurde nach der Börsennotierung gefiltert. In der Stichprobe sind 21 % der Unternehmen börsennotiert.
24 Wirtschaftskriminalität 201865 % der CMS widmen sich den Risiken der Geld
wäsche. Die Ausweitung des Geltungsbereichs
des GWG dürfte die Erklärung für den deutlichen
Anstieg (7 Prozentpunkte) sein.
In die diesjährige Studie haben wir Auch zur Vermeidung von Verstößen
auch die Prävention gegen Betrug und gegen internationale Finanz- und
andere Vermögensdelikte sowie gegen Wirtschaftssanktionen besteht
Cybercrime aufgenommen. Gegen weiterhin Handlungsbedarf bei der
Vermögensk riminalität wappnen sich Compliance-Entwicklung, 49 % der
drei Viertel der Unternehmen durch befragten Unternehmen verfügen über
ein entsprechendes CMS (74 %). Dem ein entsprechendes CMS, obwohl von
gegenüber ist der Schutz vor Cybercrime diesen internationalen Sanktionen nicht
weiterhin eher unterentwickelt (58 %), nur Unternehmen des Finanzsektors
wie auch unsere vorangegangene Studie tangiert sind, sondern Unternehmen fast
ergab.20 aller Branchen.
Abb. 9 Status des CMS nach Deliktsgruppen
79 %
Korruption
83 %
55 %
Kartellrechtsverletzungen
62 %
58 %
Geldwäsche
65 %
strafbarer Insiderhandel 67 %
(börsennotierte Unternehmen) 76 %
89 %
Datenschutzverletzungen
87 %
Verstöße gegen internationale 54 %
Finanz- und Wirtschaftssanktionen 49 %
Vermögensdelikte1
74 %
Cybercrime1
58 %
2015 2017
Basis: Unternehmen mit CMS
1
Keine Daten für 2015.
20
Vgl. PwC, Wirtschaftskriminalität in der analogen und digitalen Wirtschaft, 2016, S. 32 ff.
Wirtschaftskriminalität 2018 25Wahrgenommene Schwächen im Compliance-Management
Viele Unternehmen dehnen ihr CMS Schwachpunkten, wie wir anhand
nicht nur auf weitere Rechtsgebiete einiger Statements aus unseren
aus, sondern arbeiten auch an ihren vertieften Interviews zeigen können:
Kommunikationsprobleme
„Kommunikation ist definitiv der in welchem Arbeitsumfeld wichtig ist zu Strategie: „Wir sind dabei, in unserem
Schwachpunkt – dass nicht immer alles wissen.“ (Pharma und Gesundheits eigenen hausinternen Netzwerk
da ankommt, wo es ankommen soll, wesen, mehr als 10.000 Mitarbeiter ein internes Informationss ystem
und vielleicht auch nicht in der Form weltweit) aufzubauen, um dort mit gängigen
ankommt, wie es ankommen soll.“ Suchmaschinen die Begrifflichkeiten
„Informationsdurchlässigkeit. Das finden zu können. Also im Prinzip
Strategie: „An der Art der Vermittlung heißt, wir sind ein stark diversifiziertes eine Holschuld für die Organisations
müssen wir ganz stark arbeiten, Unternehmen und haben das Problem, einheiten, indem sie sich darüber
also daran, wie wir es besser in den dass Informationen, die in einem informieren müssen, welche
Arbeitsalltag integriert bekommen, Unternehmensteil gut verbreitet sind, in Neuigkeiten existieren.“ (Pharma
ohne immer Tausende von Check einem anderen Unternehmensteil eher und Gesundheitswesen, mehr als
listen ausfüllen zu müssen, sondern noch nicht verankert sind. Also es ist im 10.000 Mitarbeiter weltweit)
dass wir auch wirklich sichergehen Prinzip ein Kommunikationsproblem.“
können, dass verstanden wurde, was
Mangelnde Konsistenz der Regelungen Mangelnde Integration in
Geschäftsprozesse
„Eine Schwäche besteht in der zu einem gesamten konsistenten, vor
Integration der verschiedenen allen Dingen in ihren Bezügen stets „Also ich glaube, das Problem bei
Compliance-relevanten Instrumente. aktuellen Gesamts ystem werden.“ Compliance-Systemen insgesamt
Wenn Sie das innerbetriebliche ist immer, sie am Ende in die letzte
Kontrolls ystem nehmen, wie es mit Strategie: „Wir sind dabei, eine Verästelung des Konzerns zu tragen.
dem Richtlinien-Management-System integrierte Software einzuführen, Und das kann man nicht dadurch
verbunden ist und wie diese beiden die ebendiese Querbezüge zwischen machen, dass man irgendwelche
wiederum verbunden sind mit unserem den Teilinstrumenten überwacht Themen wiederholt.“
Geschäftsprozess-Management-System bzw. erlaubt zu überwachen und uns
und mit unserem IT-Fachverfahren- aktiv auf Inkonsistenzen hinweist.“ Strategie: „Schulungen sind
Management-System: An dieser (Versicherungswirtschaft, mehr als natürlich auch Mittel, aber im
Integration [...] müssen wir noch 10.000 Mitarbeiter weltweit) Grunde funktioniert das am Ende
arbeiten, dass diese ganzen Teils ysteme nur, wenn man in die Geschäfts
prozesse geht. Je besser die Prozesse
sind und je besser die Prozesse
selbst Kontrollen beinhalten, umso
besser wird man auch Compliance
in den Alltag integrieren können.
Wenn man es immer nur auf der
,Ich-denke-mal-dran-da-war-doch-
noch-Compliance‘-Ebene belässt,
Die qualitativen Interviews dann wird das immer dazu führen,
zeigen, dass die Umsetzung dass im Zweifel jemand nicht daran
des CMS im Alltag häufig noch denkt.“ (Handel und Konsum,
mehr als 10.000 Mitarbeiter
auf Hindernisse stößt. weltweit)
26 Wirtschaftskriminalität 2018Umsetzung in einem global agierenden Unternehmen Zu formales CMS
„Wenn Sie im Dax oder MDax Produktions- und Vertriebsstandorten „Das Problem ist vielleicht anders
gelistet sind und global operieren, in so ziemlich jedem Land der Erde – als bei Rechnungslegungss ystemen –
ist es schwierig, in jeder letzten ich glaube, in über 170 Ländern. da hat man Zahlen –, weil es
Einheit in Timbuktu ein Compliance- Weil die Compliance-Organisation eben qualitativer Art ist. Und die
Management-System zu haben, in dieser jetzigen Form noch nicht Frage ist natürlich: Wie kriege ich
insbesondere was das Berichtswesen sehr alt ist und auch noch keine qualitative Dinge in Daten? Das
angeht, das genauso gut funktioniert absolute Homogenität im Wissens ist schon ein bisschen ein Problem.
wie in Deutschland – weil die Wege stand der Kollegen, die Compliance in Und ich sehe da auch die riesen
einfach weiter sind.“ den Ländern oder an den Standorten große Gefahr des Compliance-
betreiben, vorhanden ist, fehlt es noch Management-Systems, dass man
Strategie: „Ich glaube, alles, was ein bisschen an dem einheitlichen Guss, sich dann auf Zahlen stützt und
global ist, lässt sich nur IT-basiert an der gemeinsamen Schlagkraft.“ weniger die Inhalte hinterfragt. Das
beheben, indem man sagt, man ist ein Spannungsfeld, das noch zu
braucht IT-basierte Lösungen für Strategie: „Es soll jetzt nicht lösen ist.“
das Berichtswesen beispielsweise bedeuten, dass die Kollegen deswegen
und IT-basierte Lösungen für die nicht motiviert oder nicht kompetent Strategie: „Es bleibt nichts anderes
Information von Mitarbeitern, und sind, aber es fehlt so ein bisschen dieser übrig, als noch intensiver die
das personenunabhängig gestaltet.“ einheitliche Auftritt und auch die Zahlen zu hinterfragen, vielleicht
(Automobilindustrie, mehr als einheitliche Sprache, weil doch für viele auch mit Revisionsarbeit – und
10.000 Mitarbeiter weltweit) Themen, die wir lokal lösen, da nicht das ist natürlich auch aufwendig,
immer eine Einheitlichkeit gewährt zu hinterf ragen und die Dinge
„Ich glaube, das Wichtigste, was ist [...].“ (Technologiewirtschaft, abzufragen. Das ist ein großes
uns noch ein bisschen fehlt, ist die 5.000 bis 10.000 Mitarbeiter Problem.“ (Industrielle Produktion,
Compliance aus einem Guss, also als weltweit) mehr als 10.000 Mitarbeiter
ein multinationales Unternehmen mit weltweit)
Mangelnde Awareness
„[...] und überhaupt ein Gefühl dafür „[...] und manche Situationen sind
zu bekommen, dass Handlungs noch nicht hundertprozentig in den
bedarf vorhanden ist und dass man Köpfen.“
da was tun muss und dass es, wie es in
mancher Beziehung bisher gelaufen ist, Strategie: „Wir machen im Gegensatz
so nicht weitergehen kann.“ zu früher in dem Bereich wesentlich
mehr webbasierte Schulungen,
Strategie: „Wir haben jetzt ein webbasierte Anwendungen, web
Vormittagsseminar in Planung, das basierte Geschichten, zum Teil
wir gemeinsam mit einem Juristen, mit Verpflichtungscharakter.“
also hausintern, organisieren, an (Technologiewirtschaft, 1.000 bis
dem sich Führungskräfte beteiligen 4.999 Mitarbeiter weltweit)
können, aber auch Mitarbeiter,
und wir werden Kurzschulungen
anbieten und das Ganze noch mal
ein bisschen auf die Agenda packen.“
(Industrielle Produktion, 1.000 bis
4.999 Mitarbeiter weltweit)
Wirtschaftskriminalität 2018 27Gestiegene Anforderungen Abb. 10 Entwicklung der Anforderungen an CMS
an Compliance-Programme
Auch im deutschen (Neben-)Strafrecht stark abgenommen
0%
sind die Anforderungen an ein CMS
höher geworden. So hat die Recht
sprechung entschieden, dass Aufsichts leicht abgenommen
1%
maßnahmen im Sinne des § 130
Abs. 1 OWiG nicht nur innerhalb eines
Unternehmens sicherzustellen sind, unverändert
6%
sondern sogar im Einzelfall konzern
weite Aufsichtspflichten bestehen.21 leicht zugenommen
34 %
Für viele Muttergesellschaften dürfte
die konzernweite Sicherstellung der
Einhaltung strafrechtlicher Vorschriften stark zugenommen
59 %
eine große Herausforderung darstellen.
Des Weiteren können nach der Basis: alle befragten Unternehmen
höchstrichterlichen Rechtsprechung
des Bundesgerichtshofs (BGH)
Compliance-Maßnahmen im
Rahmen der Strafzumessung bei
einer Verbandssanktionierung im Compliance-Budgets
Sinne des § 30 OWiG berücksichtigt
werden.22 Nach einem Rechtsverstoß Viele Unternehmen statten mittlerweile allerdings hängt der Durchschnitts
kommt es für die Strafzumessung ihre Compliance-Programme mit einem wert wesentlich von der Größe des
trotz eines bereits implementierten beachtlichen Budget aus. Unternehmens ab. Die Spannbreite
Compliance-Programms auch darauf der durchschnittlichen Budgets reicht
an, entsprechende Compliance- Das durchschnittliche Budget für von 380.000 Euro bei Unternehmen
Maßnahmen so zu optimieren, „dass die Personal- und Sachmittel einer mit 500 bis 999 Mitarbeitern bis
vergleichbare Normverletzungen Compliance-Abteilung beläuft sich zu 7,41 Millionen Euro bei Groß
zukünftig jedenfalls deutlich erschwert unabhängig von der organisatorischen unternehmen mit mehr als
werden“23. Dies bedeutet, es besteht Zuordnung auf 1,9 Millionen Euro, 10.000 Mitarbeitern.
auch eine Rechtspflicht zur stetigen
Evaluierung und Anpassung der bereits Abb. 11 Compliance-Budget nach Anzahl der Mitarbeiter
vorhandenen Compliance-Maßnahmen.
Budget in Mio. Euro (Mittelwert)
Das rechtliche Umfeld hat sich vor
allem durch die höchstrichterliche
Rechtsprechung mittlerweile stark > 10.000
7,41
verändert. Ein Drittel der befragten
1,50
Mitarbeiter weltweit
Unternehmen (34 %) stellt daher zu
5.000–10.000
Recht eine Zunahme der Anforderungen
in den vergangenen fünf Jahren fest,
59 % gehen sogar von einer starken 1.000–4.999
1,34
Zunahme aus. Nur 6 % können keine
Veränderungen erkennen.
500–999
0,38
21
gl. OLG München, Beschluss vom 23.09.2014 – 3 Ws 599, 600/14, BB 2015, 2004.
V
22
Vgl. BGH, Urteil vom 09.05.2017 – 1 StR 265/16.
23
BGH, Urteil vom 09.05.2017 – 1 StR 265/16.
28 Wirtschaftskriminalität 2018Sie können auch lesen
