Corporate Governance
Schaeffler bekennt sich zu einer verantwortungsvollen Unternehmensführung. Zentral hierfür sind eine effiziente Zusammenarbeit zwischen Vorstand und Aufsichtsrat sowie eine offene und transparente Unternehmens- und Finanzkommunikation als wesentliche Aspekte der Corporate Governance. Grundlegende Managemententscheidungen des Unternehmens sind auf langfristige Wertschöpfung ausgerichtet.
Verantwortungsvolle Unternehmensführung
Das Hauptaugenmerk der Unternehmensführung gilt vertrauensvollen Kundenbeziehungen und integrem Handeln. Geschäfte und Geschäftsbeziehungen, die nicht mit den Unternehmenswerten „nachhaltig“, „innovativ“, „exzellent“ und „leidenschaftlich“ verträglich sind, werden abgelehnt. Die Governance-Struktur der Schaeffler Gruppe unterstützt diese Haltung und schafft die nötige Transparenz in den internen Strukturen, der Organisation und in den Verantwortlichkeiten. Sie sorgt zudem für ein koordiniertes Zusammenwirken dieser Komponenten.
Wichtige organisatorische Säule der Governance in der Schaeffler Gruppe ist das „Group Compliance and Risk Committee“ (GCRC) unter Vorsitz des Group Chief Compliance Officers. Das Gremium ist mit den Leitern der relevanten Governance-Funktionen (unter anderem Compliance, Recht, Internes Kontrollsystem, Interne Revision und Controlling) besetzt und hat den Auftrag, den Vorstand in seinen Organisationspflichten hinsichtlich Compliance und Risikomanagement zu unterstützen. Zu den wesentlichen Aufgaben des GCRC gehört es, Schnittstellen zu definieren und Verantwortlichkeiten klar abzugrenzen, um Dopplungen zu vermeiden. Ferner soll auf Basis einer einheitlichen Bewertungs- und Priorisierungsmethodik ein durchgängiges und vollständiges Bild der Risikosituation in allen Sparten, Funktionen und Regionen geschaffen werden. Ein weiteres Ziel ist es, Maßnahmen zur Risikoreduzierung zu entwickeln und ihre Umsetzung zu überwachen. Operativ unterstützt wird das GCRC durch die „Compliance & Risk Working Group“, die sich aus Vertretern der Arbeitsebene der im GCRC vertretenen Funktionen zusammensetzt.
Die Elemente der Governance-Struktur – internes Kontrollsystem sowie Compliance- und Risikomanagement-System – wirken gemäß dem international anerkannten Modell der drei Abwehrlinien („Three Lines of Defense Model“) zusammen. Das Modell weist klare Verantwortlichkeiten zu, um bestands- und entwicklungsgefährdende Risiken zu handhaben. Es basiert auf dem Grundsatz, dass die Verantwortlichkeit für ein Risiko primär bei dessen Verursacher liegt.
Compliance
Das Compliance Management System (CMS) ist ein Teil der übergreifenden Corporate-Governance-Struktur der Schaeffler Gruppe. Die Geschäftsleitung und alle Mitarbeiter sind nach dem Unternehmenskodex („Schaeffler Code of Conduct“, CoC) dazu angehalten, alle geltenden lokalen, nationalen und internationalen Gesetze und Vorschriften, wo auch immer die Schaeffler Gruppe geschäftlich tätig ist, einzuhalten. Eine die gesamte Schaeffler Gruppe umspannende Compliance-Organisation unterstützt sie hierbei. Das CMS der Schaeffler Gruppe orientiert sich an nationalen und internationalen Standards. Das Konzept des CMS wurde zunächst von einer unabhängigen Wirtschaftsprüfungsgesellschaft nach Maßgabe des Prüfungsstandards IDW PS 980 erfolgreich geprüft. 2018 hat eine weitere unabhängige Wirtschaftsprüfungsgesellschaft die Angemessenheit und Implementierung des Compliance Management Systems der Schaeffler Gruppe bestätigt.
Das CMS dient dem Ziel, Rechtsverstöße auf dem Gebiet der Korruption, der Geldwäsche, des Wettbewerbs- und Kartellrechts sowie der wirtschaftskriminellen Handlungen zu vermeiden beziehungsweise frühzeitig zu erkennen. Darüber hinaus dient es der aktiven Risikosteuerung und hat eine Schutzfunktion sowohl für das Unternehmen als auch für seine Mitarbeiter. Der Group Chief Compliance Officer führt die Compliance-Organisation. Er berichtet direkt an den Vorstandsvorsitzenden. Darüber hinaus unterhält er eine Berichtslinie zum Vorsitzenden des Aufsichtsrats und berichtet regelmäßig an den Vorsitzenden des Prüfungsausschusses.
Der Unternehmenskodex der Schaeffler Gruppe und die Unternehmensrichtlinien zu kartell- und wettbewerbsrechtskonformem Verhalten, zur Korruptionsbekämpfung sowie zum Schutz vertraulicher Informationen und vor Interessenkonflikten beinhalten Vorgaben zur Prävention von Compliance-Verstößen. Diesem Ziel dient weiterhin ein Compliance Helpdesk für die Beratung zu konkreten Sachverhalten. Zudem hat Schaeffler Maßnahmen zur Aufdeckung etwaiger Compliance-Verstöße ergriffen. Hierzu gehören unter anderem Prüfungen und Kontrollen sowie ein weltweites Hinweisgebersystem, das auch das anonyme Melden mutmaßlicher Verstöße ermöglicht. Der Bereich „Forensics & Investigations“ ist als Teil des zentralen Kompetenzteams am Stammsitz Herzogenaurach für die unabhängige Aufklärung von mutmaßlichen Verstößen zuständig.
Compliance-Schulungen
Mit einem systematischen und zielgruppenspezifischen Schulungsprogramm vermittelt das Unternehmen seinen Mitarbeitern das notwendige Verständnis für Compliance-Themen. Im Rahmen von webbasierten Trainings und Präsenzschulungen werden Mitarbeiter und Führungskräfte über die relevanten Vorgaben informiert und für Risiken sensibilisiert. Schulungsschwerpunkte im Jahr 2018 waren der Unternehmenskodex, Compliance im Vertrieb, Informationssicherheit sowie der Schutz vor Internetkriminalität und CEO Fraud, einer Betrugsmasche, bei der Unternehmen unter Verwendung falscher Identitäten zu Zahlungen veranlasst werden. Die Schulungen werden stetig weiterentwickelt und an das Aufgabengebiet der Mitarbeiter angepasst. 9.578 Teilnehmer1) (Vj.: 8.160) haben im Berichtszeitraum an webbasierten Schulungen zum Thema Compliance teilgenommen. Ferner wurden 8.793 (Vj.: 8.741) Mitarbeiter in Präsenzschulungen und Workshops geschult.
Weiterführende Informationen zu den einzelnen Teilsystemen der Governance-Struktur sowie zum Compliance Management System der Schaeffler Gruppe finden sich im Geschäftsbericht 2018, Seite 101 ff.
Due-Diligence-Prozesse: Rechtmäßiges Verhalten systematisch absichern
Um die Vermeidung von Rechts- und Reputationsrisiken systematisch abzusichern, hat die Schaeffler Gruppe ihre Maßnahmen auch im Geschäftsjahr 2018 weiter verstärkt. Der Ausbau eines Wettbewerberkontaktregisters wurde vorangetrieben. Das Register wird bereits an verschiedenen Pilotstandorten weltweit erfolgreich eingesetzt. Es dient der Transparenz und unterstützt den Vorabgenehmigungsprozess für Wettbewerberkontakte. 2018 wurde der Prozess digitalisiert: Dadurch wird die weitere gruppenweite Implementierung deutlich beschleunigt.
Zudem wurde ein IT-gestützter „Geschäftspartner-Due-Diligence-Workflow“ erstellt, der in die bestehenden Geschäftsprozesse integriert ist. Dieser neue Prozess erleichtert und verbessert die Geschäftspartnerprüfung. Seit 2018 wird der Workflow im Rahmen eines Pilotprojekts angewendet.
Datenschutz, Informations- und IT-Sicherheit
Der Schutz von Persönlichkeitsrechten hat für Schaeffler einen hohen Stellenwert und ist Bestandteil des Unternehmenskodex. Bei der Verarbeitung der Daten von Geschäftspartnern und Mitarbeitern wird mit großer Umsicht und Sensibilität vorgegangen. Die entsprechenden Prozesse stimmen mit den jeweiligen Vorgaben des Datenschutzes überein. Im Jahr 2018 wurden sie insbesondere im Hinblick auf die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) weiter verbessert. Der Datenschutzbeauftragte der Schaeffler AG nimmt dabei eine zentral steuernde Rolle ein. Er ist dem Bereich „Compliance & Corporate Security“ und damit dem Ressort des Vorstandsvorsitzenden zugeordnet.
Die Maßnahmen zur Informationssicherheit der Schaeffler Gruppe orientieren sich am ISO/IEC 27001 Standard und berücksichtigen nationale sowie branchenspezifische Regelungen. Sie zielen darauf ab, das geistige Eigentum von Schaeffler sowie die Geschäftsgeheimnisse von Geschäftspartnern vor Diebstahl, Verlust, unbefugter Weitergabe, rechtswidrigen Zugriffen oder Missbrauch zu schützen.
Präventionsmaßnahmen insbesondere zum Schutz vor Cyberkriminalität werden unter anderem im Rahmen des „Information & Cyber Security“-Programms schrittweise ausgebaut und mit Schulungs- und Informationsangeboten begleitet. 2018 wurde zudem ein umfassendes „Informationssicherheitsschulungs- und Awareness-Konzept“ entwickelt. Es soll bis 2020 global eingeführt werden.
Schaeffler hat 2018 einen „IT Security by Design“-Prozess eingeführt, der sich an nationalen und internationalen Standards orientiert. Er soll sicherstellen, dass IT-Sicherheit bereits bei der Entwicklung von Systemen und Anwendungen berücksichtigt wird. Entsprechende Schutzmaßnahmen werden in Abhängigkeit vom Schutzbedarf im Prozess integriert. Die globale Implementierung des „IT Security by Design“ -Prozesses ist in den Regionen für das Jahr 2019 geplant.
2018 widmete Schaeffler auch seine Compliance-Konferenz dem Thema Informations- und Cybersicherheit. An der Konferenz nehmen Compliance-Mitarbeiter aus den Schaeffler-Regionen weltweit teil. Dabei ging es nicht nur um den Schutz der eigenen Daten, sondern auch um den Ausbau eines Informationssicherheitsmanagementsystems. Dieses umfasst auch die Steuerung von Risiken in der Lieferkette und setzt Kundenanforderungen um.
Business Continuity und Krisenmanagement
2018 hat Schaeffler begonnen, die Aktivitäten zur Aufrechterhaltung der Lieferfähigkeit (Business Continuity) auf Konzernebene zu bündeln und zu koordinieren. Elemente wie ein wirksames Notfall- und Krisenmanagement sind etabliert. Ein einheitliches Vorgehen zu einer Business-Impact-Analyse ist erstellt und wird 2019 als Pilot in einem Werk in China getestet werden. Die Einführung in relevanten Businessbereichen erfolgt bis 2021. Die Mitglieder der Krisenstäbe werden in fortlaufenden Übungen und Trainingsmaßnahmen befähigt, ihre Aufgabe in Krisensituationen zu bewältigen.
1) Mitarbeiter inkl. Aushilfen, Auszubildenden, Praktikanten und Leiharbeitern.