Gesetzes- und richtlinienkonformes Verhalten

Als Genossenschaftsbank sind auch weiterhin der Schutz sowie das Vertrauen unserer Mitglieder und Kunden für uns von höchster Bedeutung. Zu den zentralen Prinzipien für unsere Unternehmensaktivitäten zählen deshalb die strenge Einhaltung der gesetzlichen und aufsichtsrechtlichen Regeln (Compliance), ein verantwortungsvoller Umgang mit allen Risiken (Risikomanagement) sowie eine transparente Gestaltung der Geschäftsprozesse.  

Der Vorstand hat neben seiner strategischen und operativen Geschäftsführungstätigkeit auch die Einrichtung von Überwachungsverfahren zu gewährleisten, um das Unternehmen sowie dessen Mitglieder und Kunden vor Schaden zu bewahren. Hierzu ist ein umfangreiches internes Kontrollsystem gemäß den MaRisk implementiert. Auf der ersten Ebene sind in die jeweiligen risikorelevanten Geschäftsprozesse Kontrollverfahren, Kontrollen nach dem Vier-Augen-Prinzip sowie umfangreiche Kompetenz- und Genehmigungsstufen implementiert. Hinzu kommt die strenge Einhaltung der Funktionstrennungsvorgaben der Bankenaufsicht.  

Ziel ist es, keinerlei rechtswidriges Verhalten oder Korruptionsfälle zuzulassen. Dieses Ziel gilt grundsätzlich und wurde bisher regelmäßig, also auch im Berichtsjahr 2019, erreicht: Es wurden seit Einführung der Überwachungsverfahren keine Fälle von rechtswidrigem Verhalten oder Korruptionsfälle bekannt.  

Auf der zweiten Ebene hat die Bank vielfältige Compliance-Funktionen eingeführt, welche federführend in der eigens hierfür im Jahr 2015 gegründeten Abteilung Compliance-Management zentral koordiniert und gesteuert werden, um die immer anspruchsvolleren und komplexeren regulatorischen Anforderungen langfristig mit einem Höchstmaß an Rechtssicherheit zu erfüllen. Dazu zählen die Bereiche Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen gemäß §25h Kreditwesengesetz; zusätzlich dezidierte Vorgaben zum Umgang mit Zuwendungen in Form einer Geschenke- und Zuwendungsrichtlinie, vollständige Transparenz und Überwachung der Sozialadäquanz, Angemessenheit und des Interessenkonfliktpotentials; Einrichtung eines anonymen Whistle-Blowing-Kanals über den Verband der Sparda-Banken; Datenschutz; WpHG-Compliance: die Sicherstellung der Gesetzeskonformität in der Wertpapierberatung; MaRisk-Compliance: Hinwirkung auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen gemäß den Vorgaben der Bankenaufsicht und des Bundesverbandes der Volks- und Raiffeisenbanken (BVR) mit dem Fokus des Verbraucherschutzes; Informationssicherheit und Arbeitssicherheit.  

Aufgrund der strengen Compliance-Richtlinien und der regelmäßigen Schulung unserer Mitarbeiter sehen wir keine Risiken für unser Haus in Bezug auf Compliance, die mit der Geschäftstätigkeit und -beziehung, Produkten und Dienstleistungen verknüpft sind.  

Ergänzend zur Abteilung Compliance-Management hat die Sparda-Bank Südwest eG einen Datenschutzbeauftragten sowie einen Informationssicherheitsbeauftragen bestellt, deren Aufgabe es ist, die Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes sowie einen sicheren IT-Betrieb sicherzustellen.  

Die Interne Revision vervollständigt das umfangreiche Überwachungssystem. Eine hohe fachliche Qualifikation und die nötige Unabhängigkeit gewährleisten, dass alle Prüfungen selbstständig, eigenverantwortlich und unbefangen durchgeführt werden können. Durch ein adressatenorientiertes und umfangreiches Berichtswesen ist die zeitnahe und aufsichtskonforme Information an das Aufsichtsorgan sichergestellt. Die Mitarbeiter der Sparda-Bank Südwest eG werden regelmäßig zu den Themen Geldwäsche, Betrugsprävention, Compliance, Datenschutz und Datensicherheiten geschult, was zu einer gelebten Etablierung und Pflege einer Compliance-Kultur dient.  

Alle Mitarbeiter werden regelmäßig in Webbased-Trainings inklusive dokumentiertem Abschluss-Test zu Compliance-relevanten Themen geschult. Die Inhalte dieser Trainings werden regelmäßig aktualisiert und an neue Gesetze und Erkenntnisse angepasst. Der Aufsichtsrat hat im Berichtsjahr 2019 die ihm nach Gesetz, Satzung und Geschäftsordnung obliegenden Aufgaben erfüllt. Er nahm seine Überwachungsfunktion wahr und fasste die in seinen Zuständigkeitsbereich fallenden Beschlüsse. Dies umfasste auch die Befassung mit der Prüfung nach § 53 GenG. Auch die Prüfung der DNK-Erklärung zählt zu den Aufgaben des Aufsichtsrats. Der Vorstand informierte den Aufsichtsrat und die Ausschüsse des Aufsichtsrats in regelmäßigen Sitzungen über die Geschäftsentwicklung, die Risikosituation, die Vermögens-, Finanz- und Ertragslage sowie über besondere Ereignisse. Darüber hinaus stand der Aufsichtsratsvorsitzende in einem engen Informations- und Gedankenaustausch mit dem Vorstand.

Compliance

Wir bekennen uns klar zu ethischen Grundsätzen und geltenden Rechtsnormen. Dies haben wir in unseren Guiding Principles und dem Code of Conduct verankert. Um konzernweit integres und rechtskonformes Verhalten sicherzustellen, haben wir ein sogenanntes Compliance-Management-System implementiert: Dies ist ein ganzheitlicher Ansatz, um Risiken erfolgreich zu begegnen und Regeltreue im Unternehmen sicherzustellen. Alle Aktivitäten im Rahmen des Compliance-Managements stehen im Einklang mit den gesetzlichen Vorschriften und unserer Konzernrichtlinie Datenschutz. Diese regelt den Umgang mit personenbezogenen Daten bei der Deutschen Telekom. Die Verantwortung für das Compliance-Management-System ist auf oberster Führungsebene im Vorstandsressort Datenschutz, Recht und Compliance angesiedelt. Zudem gibt es in jedem Unternehmen der Deutschen Telekom auf Geschäftsführungs- beziehungsweise Vorstandsebene ein Mitglied, das für Compliance verantwortlich ist. Der Chief Compliance Officer der Deutschen Telekom AG ist für die konzernweite Ausgestaltung, Weiterentwicklung und Umsetzung des Compliance-Management-Systems verantwortlich. Dazu leitet er den Bereich Group Compliance. Auf der Ebene der operativen Segmente und Landesgesellschaften sind jeweils Compliance Officer (CO) benannt. Diese sind dafür verantwortlich, das Compliance-Management-System und unsere Compliance-Ziele vor Ort umzusetzen.

Jährlich führen wir konzernweit ein sogenanntes Compliance Risk Assessment durch. So identifizieren und bewerten wir unsere Compliance-Risiken und legen Schwerpunkte für geeignete Präventionsmaßnahmen fest. Diese Maßnahmen fassen wir in einem Compliance-Programm zusammen.

Wir wollen erreichen, dass unsere Mitarbeiter in ihrem Arbeitsalltag stets integer und rechtskonform handeln. In unserem konzernweit gültigen Code of Conduct haben wir deshalb klare Anforderungen an das Verhalten unserer Beschäftigten festgeschrieben. Dazu haben wir Compliance-relevante Konzernrichtlinien eingeführt, zum Beispiel Regelungen zu Antikorruption, zu Geschenken, Einladungen und Events sowie zum Umgang mit Beratern und Vermittlern. Eine Richtliniendatenbank unterstützt unsere Mitarbeiter dabei, geltende Vorgaben einfach zu finden und zu befolgen (konzernweite Umsetzung des Code of Conduct).

Neben regelmäßigen Compliance-Schulungen führen wir auch umfassende Antikorruptionsschulungen durch (siehe GRI 205-2). Um darüber hinaus für Compliance zu sensibilisieren, sprechen wir gezielt Führungskräfte als Multiplikatoren an. Ihre Rückmeldungen werden sorgfältig analysiert und genutzt, um bei Bedarf zusätzliche Trainings oder andere Maßnahmen einzuleiten.

Zertifizierung des Compliance-Managements

2017 haben wir die Zertifizierung unseres Compliance-Managements mit dem Schwerpunkt „Antikorruption“ fortgeführt. So wollen wir sicherstellen, dass wir Risiken konsequent begegnen und wirksame Prozesse im Unternehmen etabliert haben. Nachdem 2016 zehn Gesellschaften in Deutschland überprüft wurden, haben wir 2017 zwölf internationale Gesellschaften zertifizieren lassen.

Im Fokus der Zertifizierung standen Prozesse im Einkauf, Vertrieb, Personalbereich und bei Mergers & Acquisitions sowie die Themen Events, Spenden und Sponsoring. In diesen Bereichen ist die potenzielle Korruptionsgefahr am größten. Die Wirtschaftsprüfer haben die Prüfung der Wirksamkeit des Compliance-Management-Systems ohne einschränkende Feststellungen abgeschlossen. Details über die Prüfungsinhalte und geprüfte Unternehmensbereiche zu Antikorruption dokumentieren wir im Prüfbericht.    

Im Rahmen der Risikoanalyse wurden folgende Korruptionsrisiken als am wahrscheinlichsten ermittelt:

1. 1. 1. Annahme eines Vorteils im Hinblick auf eine konkrete Geschäftsentscheidung (z.B. Einladung eines Beschäftigten durch einen Lieferanten zu einer hochwertigen Sportveranstaltung, wobei der Termin der Veranstaltung in einem engen sachlichen und zeitlichen Zusammenhang zu einer anstehenden Verlängerung des bestehenden Rahmenvertrages steht).
      2. Mitarbeiter formuliert die Auswahlkriterien zu Gunsten eines Lieferanten/Beraters. Dem Einkauf bleibt keine Wahl, diesen unter anderen auszuwählen. Alternativ beeinflusst ein Mitarbeiter eine Auktion/Ausschreibung zu Gunsten eines Anbieters. Hierfür erhält der Mitarbeiter von dem Lieferanten/Berater eine Zuwendung.
      3. Beschäftigter vereinbart mit einem Lieferanten einen 10% höheren Rechnungsbetrag. Der Lieferant erstattet die Hälfte des überhöhten Betrages an den Beschäftigten auf ein privates Konto zurück.
      4. Gewährung eines Vorteils an einen Angestellten oder Beauftragten eines Geschäftspartners im Hinblick auf eine konkrete künftige Geschäftsentscheidung, um dadurch eine unlautere Bevorzugung im Wettbewerb zu erreichen (z.B. Einladung eines Entscheidungsträgers des Kunden zu einer hochwertigen Sportveranstaltung, um ihn dadurch zu einer anstehenden Verlängerung des bestehenden Rahmenvertrages zu bewegen).
      5. Gewährung eines Vorteils an einen Angehörigen des öffentlichen Bereichs im Hinblick auf eine dienstliche Handlung (z.B. Vergabe hochwertiger Endgeräte an einen städtischen Ausschreibungsverantwortlichen).

Compliance- und Antikorruptionsrichtlinien
Unter Compliance verstehen wir die Einhaltung aller anwendbaren Gesetze, internen Richtlinien, international anerkannten Verhaltensstandards und freiwilligen Selbstverpflichtungen in allen unseren Geschäftstätigkeiten. Wir sehen regelkonformes Verhalten als zentrale Grundlage für eine erfolgreiche Geschäftsentwicklung an. Integrität und Compliance sind für Bilfinger daher integrale Bestandteile von Strategie und Unternehmenskultur.
 
Das von Corporate Legal & Compliance entwickelte Compliance-Programm zielt darauf ab, Compliance-Verstöße zu vermeiden, etwaiges Fehlverhalten frühzeitig zu erkennen und bei entsprechender Identifizierung schnell und konsequent darauf zu reagieren. Das entsprechende Compliance-Programm deckt dabei alle für Bilfinger relevanten Geschäftsbereiche und -prozesse ab.

Grundlage unseres Compliance-Programms ist Integrität im Umgang mit Kunden, Lieferanten, Geschäftspartnern und Kollegen. Sie bildet die Basis unserer Unternehmenskultur. Um diese und die Bedeutung von Compliance stärker im Unternehmen und in den Geschäftsprozessen zu verankern, wurde 2017 ein neuer Bilfinger Verhaltenskodex eingeführt, der für alle Mitarbeiter weltweit verpflichtend ist. Seit Jahresbeginn 2017 wurden darüber hinaus zahlreiche neue Unternehmensrichtlinien („Group Policies“) formuliert und implementiert, die Regelungen für Compliance-gerechtes Verhalten in speziellen Arbeitssituationen enthalten, z.B. beim Umgang mit Drittparteien, der Entgegennahme oder dem Geben von Geschenken sowie bei Interessenskonflikten.
Zur nachhaltigen Verankerung von Compliance als Führungsaufgabe in allen Geschäftsbereichen dient das Compliance Review Board (CRB). Das CRB steuert und überwacht die Ausgestaltung und Implementierung unseres Compliance-Systems. Es setzt sich aus dem Vorstand sowie einer Reihe von Zentralbereichsleitern zusammen und tagt mindestens einmal im Quartal unter der Leitung des General Counsel und Chief Compliance Officer. Das CRB wird seit September 2017 auch von Divisional Compliance Review Boards unterstützt, die die Umsetzung des Programms in den einzelnen Divisionen steuern und überwachen.

In jeder unserer rund 200 Tochtergesellschaften beschäftigen wir mindestens einen Compliance-Manager. Darüber hinaus sind in allen Tochtergesellschaften interne Kontrollsysteme (IKS) implementiert, die bei der Ausgestaltung der Compliance- und Kontrollmaßnahmen das entsprechende Risikoprofil und die jeweiligen geschäftlichen Anforderungen und Notwendigkeiten vor Ort berücksichtigen. In jeder Geschäftsdivision und jeder Tochtergesellschaft ist ein eigener IKS Officer zuständig.

Kontrollfunktionen übernimmt außerdem der Bereich Internal Audit & Controls. Er verifiziert im Rahmen von Anti-Korruptionsprüfungen die Umsetzung der Compliance-Richtlinien und -Prozesse in den einzelnen Geschäftseinheiten.

Von zentraler Bedeutung für unser Compliance-Programm ist eine detaillierte und regelmäßig wiederholte Analyse und Einschätzung von Compliance-Risikofaktoren in den Divisionen und Gesellschaften des Konzerns. Dies bildet die Grundlage für eine entsprechende Risikoklassifizierung und die daraus folgende Ausgestaltung von Compliance-Maßnahmen zur Mitigation potentieller Risiken.

Sensibilisierung von Führungskräften und Beschäftigten
Ziel des Compliance-Programms ist es vor allem, zukünftiges Fehlverhalten zu verhindern. Dafür setzt Bilfinger primär auf Information, Kommunikation, klare Richtlinien, Training, unterstützende Compliance-IT-Tools sowie spezifische, praxisnahe Compliance-Begleitung und Beratung für Mitarbeiter. Neben der regelmäßigen Analyse und Einschätzung von Compliance-Risikofaktoren gehört es zu unseren Schwerpunkten, unsere Mitarbeiter für mögliche Compliance-Verstöße zu sensibilisieren. Aus diesem Grund haben wir unser Compliance-Trainingsprogramm 2017 weiter ausgebaut und thematisch ergänzt. Die einheitlich aufgebauten Trainingsmodule enthalten sowohl Präsenzschulungen wie auch E-Learning-Programme, um die Reichweite unserer Trainingsmaßnahmen zu maximieren. Dabei vermitteln wir nicht nur Wissen, sondern erläutern Compliance-relevante Fragestellungen auch im Rahmen von Fallbeispielen.

Allein von Juli 2016 bis Dezember 2017 fanden mehr als 60 Compliance-spezifische Kommunikationsaktivitäten statt – im Intranet, in Newslettern, als Live-Veranstaltung in Townhall-Meetings, in Management-Konferenzen oder im Rahmen von Compliance-Surveys. Darüber hinaus wurden Compliance Road Shows und Workshops umgesetzt. 2017 fanden erstmals Integrity Days statt. An dieser zweitägigen Veranstaltung nahmen mehr als 250 Teilnehmer der obersten drei Führungskreise und weitere Mitarbeiter teil.

Verantwortung für das Thema Compliance
Geleitet wird der Zentralbereich Corporate Legal & Compliance vom General Counsel und Chief Compliance Officer. Er berichtet direkt an den CEO/Vorstandsvorsitzenden.

Mit Einführung des § 25a des KWG haben wir im Rahmen des Beauftragtenwesens das Thema Compliance geregelt. Im Rahmen einer Bestandsaufnahme klären wir jährlich im Rahmen einer Risikoinventur und ggf. auch anlassbezogen (z.B. bei Veränderung von Geschäftsaktivitäten oder wesentlichen Anpassungsprozessen), ob wesentliche rechtliche Regelungen und Vorgaben bestehen. Hierbei werden insbesondere Erkenntnisse aus der Beobachtung von relevanten rechtlichen Änderungen sowie aus Berichten der Internen Revision, des Beschwerdemanagements oder Auswertungen der Schadensdatenbank zum operationellen Risiko einbezogen.
Die Wesentlichkeit ist insbesondere mit Blick auf mögliche Reputationsschäden, die Nichtigkeit von Verträgen, möglichen Schadensersatzansprüchen oder Geldbußen zu bewerten. Die von uns identifizierten wesentlichen rechtlichen Regelungen einschließlich der Verantwortlichkeiten hinsichtlich der Einhaltung sind in einer gesonderten Bestandsaufnahme festgelegt.
Zu wesentlichen rechtlichen Regelungen und Vorgaben zählen insbesondere:
•    Regelungen zu Wertpapierdienstleistungen (WpHG);
•    Regelungen zu Geldwäsche und Terrorismusfinanzierung;
•    Regelungen zu allgemeinen Verbraucherschutzvorgaben, neben dem WpHG z.B. Recht der AGB, Fernabsatzrecht, Preisrecht (Preisangaben, Preis- und Leistungsverzeichnis), Verbraucherkredit (Werbung, vorvertragliche Informationen, Formerfordernisse, Widerrufsrechte);
•    Verhinderung doloser Handlungen zu Lasten des Institutes;
•    Datenschutzvorgaben
Analog ist das Mitarbeitermeldeverfahren (Whistleblowing) zusätzlich geregelt. Wir entsprechen den aufsichtsrechtlichen Vorgaben, die die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihren Mindestanforderungen formuliert.
Die Themen Geldwäsche und Terrorismusfinanzierung sowie Datenschutz sind an Partner innerhalb der Genossenschaftlichen Finanzgruppe ausgelagert. Im Hause sind Verbindungspersonen benannt, die für Fragen und die Aktualität der Regelungen koordinierende bzw. ausführende Funktion übernehmen.
Mit regelmäßigen Schulungen werden alle Mitarbeiter für die Themen sensibilisiert und fortgebildet.  Interne Regelungen überwachen auch Zahlungen, die auf Geldwäschetransaktionen hin überprüft werden.
Für die Erfüllung der beruflichen Aufgaben unserer Mitarbeiter ist uns eine absolute und unbedingte Integrität wichtig. Eine interne Organisationsrichtlinie regelt und dokumentiert die grundsätzliche Einstellung unserer Bank zur Praxis des Annehmens und Gebens von Geschenke. Dabei gilt es Interessenskonflikte und die Verhinderung sonstiger strafbarer Handlungen zu vermeiden. Diese Arbeitsanweisung ist allen Mitarbeitern bekannt. Zuwiderhandlungen sind uns nicht bekannt.