Bekämpfung von Korruption und Bestechung
Der Vorstand der METRO AG bekennt sich zur Einhaltung der geltenden Gesetze, Regeln und Bestimmungen. Mit einem konzernweiten Compliance-Managementsystem (CMS) bündelt METRO Maßnahmen zur Einhaltung von Rechtsvorschriften und selbst gesetzten Verhaltensstandards einschließlich wesentlicher Risiken wie der Bekämpfung von Korruption und Bestechung. Das CMS zielt darauf ab, Regelverstößen im Unternehmen systematisch und dauerhaft vorzubeugen, sie andernfalls aufzudecken und festgestellte Regelverstöße zu sanktionieren sowie daraus Maßnahmen zur Erreichung künftiger Regeltreue abzuleiten.
Die METRO Geschäftsgrundsätze, die konzernweit vor allem durch fortlaufende Trainingsmaßnahmen nachhaltig verankert werden, bilden den inhaltlichen Kern der Compliance-Initiativen. Das CMS setzt auf die METRO Geschäftsgrundsätze auf. Geschäftsgrundsatz Nr. 2 verbietet bspw. ausdrücklich Korruption und Bestechung im Umgang mit Geschäftspartnern und Behörden. Bei der Einrichtung des CMS hat METRO sich an den im Prüfungsstandard IDW PS 980 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Managementsystemen) dargestellten Grundelementen eines solchen Systems orientiert. Es operationalisiert risikobasiert die 7 CMS-Elemente mit einer Fülle von organisatorischen, strukturellen, prozessualen und individuellen Maßnahmen für alle wesentlichen Konzerngesellschaften.
Der Vorstand der METRO AG und die Geschäftsführungen der relevanten METRO Konzerngesellschaften leben das korrekte Verhalten vor. Neben informellem Role Modeling sind regelmäßige Tone-from-the-Top-Botschaften in den Organisationen vorgesehen. Neue Mitglieder von Leitungsgremien und andere Executives erhalten ein Compliance-Onboarding zu Beginn ihrer Tätigkeit. Hinweisen auf Compliance-Vorfälle wird in einem definierten und objektiven Prozess nachgegangen. Daran sind alle relevanten Funktionen einschließlich Compliance, Recht, Revision und Personal beteiligt.
Das definierte Ziel des CMS wird über Steuerungstools des Personalwesens zusätzlich in die Organisation getragen. Im Rahmen der regelmäßigen Mitarbeitergespräche fließen Compliance-Aspekte aus den METRO Guiding Principles in die Bewertung ein.
Grundsätzlich erfolgt die Steuerung der Compliance-Risiken im CMS risikobasiert. Im Rahmen von regelmäßigen Risikoüberprüfungen, etwa in Form von Workshops mit relevanten Stakeholdern in den jeweiligen Einheiten, werden die Compliance-Risiken laufend auf Vollständigkeit und Relevanz überprüft. Darüber hinaus wird jede relevante Konzerneinheit in 1 von 3 Risikoklassen eingestuft. Hierfür werden externe und interne Indikatoren herangezogen wie etwa Indizes von Transparency International, Mitarbeiterfluktuation und der Compliance-Reifegrad in vergangenen Perioden.
Für jede Risikoklasse ist ein Compliance-Programm mit unterschiedlichen Intensitäten definiert. Grundlage sind die für jedes wesentliche Compliance-Risiko entwickelten und durch den Vorstand verabschiedeten Richtlinien. Im Bereich der Bekämpfung von Korruption und Bestechung ist dies eine Richtlinie zum Umgang mit Geschäftspartnern, einschließlich der Leitlinien für eine Geschäftspartnerprüfung sowie zum Umgang mit Amtsträgern.
Umgesetzt wird das CMS durch die Compliance-Organisation. Hierzu ist in jeder relevanten METRO Konzerngesellschaft ein Compliance-Officer bestellt, der direkt an den Bereich Corporate Compliance der METRO AG als Teil von Corporate Legal Affairs & Compliance berichtet. Corporate Compliance hält das CMS konzeptionell und inhaltlich auf einem risikoangemessenen Stand und gibt für jedes CMS-Element die Konzepte und Tools zur Umsetzung in den METRO Konzerngesellschaften vor. Die disziplinarische und fachliche Führung der Compliance-Officer erfolgt sowohl über institutionalisierte Berichtstermine als auch über Zielvereinbarungen. Die Compliance-Officer berichten in ihren Einheiten regelmäßig direkt an die dortige Geschäftsführung. Daneben werden identifizierte wesentliche Compliance-Risiken im Rahmen der weiteren GRC-Teilsysteme aufgegriffen und in die dortigen Systeme integriert.
Beschäftigte wie externe Dritte haben über ein IT-gestütztes Hinweisgebersystem die Möglichkeit, (auch anonym) Hinweise auf Rechtsverstöße im Unternehmen zu geben. Alle gemeldeten Regelverstöße – unabhängig davon, ob die Maßnahmen zur Einhaltung dieser Regeln in die Zuständigkeit der Compliance-Organisation fallen – werden im Rahmen des CMS durch das etablierte Compliance-Incident-Handling-System, das durch die Compliance-Organisation betrieben wird, systematisch aufgearbeitet und – sofern angemessen und notwendig – sanktioniert.
Compliance-Themen und -Maßnahmen werden über vielfältige Kanäle im Unternehmen systematisch und adressatengerecht an die Belegschaft kommuniziert. Ein Kerninstrument sind verpflichtende Compliance-Schulungen, die entweder als Präsenz- oder E-Training durchgeführt werden. Im Geschäftsjahr 2019/20 wurden in allen relevanten METRO Konzerngesellschaften Compliance-Schulungen durchgeführt. Die Auswahl der relevanten Mitarbeitergruppen erfolgt risikobasiert. Im Rahmen der Schulungen werden praxisnahe Inhalte vermittelt. Neben Schulungen werden viele andere Kommunikationsformate wie z. B. Compliance-Talks, Poster, Flyer, Intranet, Abteilungsbesuche, Funktions- und Führungskräftekonferenzen sowie Personalentwicklungsveranstaltungen genutzt.
Die Gesellschaften von METRO arbeiten mit einer Vielzahl von externen Geschäftspartnern zusammen. Vor Eingehung bestimmter Vertragsbeziehungen erfolgt eine risikobasierte Prüfung, ob aus Compliance-Sicht Gründe gegen die Beauftragung eines Dritten sprechen. Insbesondere bestimmte Gruppen von Geschäftspartnern, wie z. B. Berater mit auftragsgemäßem Kontakt zu Amtsträgern, erfordern eine dem Risiko angemessene vertiefte Prüfung. Hierfür wurde der bestehende Prozess digitalisiert. Der im letzten Geschäftsjahr begonnene konzernweite Roll-out des digitalen Tools zur Compliance-Prüfung von Geschäftspartnern ist beinahe abgeschlossen. Ziel ist die vollständige Inbetriebnahme für relevante METRO Konzerngesellschaften im kommenden Geschäftsjahr. Der Prüfungsansatz ist dabei risikobasiert in verschiedenen Intensitätsgraden etwa in Form von Selbstauskünften, aber auch durch Prüfung von externen Datenbanken mit relevanten Risikoinformationen.
Die ordnungsgemäße Durchführung der risikobasiert definierten Maßnahmen zur Umsetzung des CMS wird über ein regelmäßiges KPI-Reporting für jede relevante METRO Konzerngesellschaft sichergestellt. Über das KPI-Reporting wird jährlich ein Compliance-Reifegrad ermittelt, der wiederum in die Risikoklassifizierung und die Maßnahmendefinition einfließt. Die Wirksamkeit der internen Compliance-Kontrollen ist regelmäßig Teil des Prüfungsplans der internen Revision. Im Rahmen des GRC-Ansatzes von METRO bewertet die Konzernrevision jährlich die Wirksamkeit des konzernweiten CMS. Diese Bewertung wird Vorstand und Aufsichtsrat als Teil der regelmäßigen Berichterstattung zu Compliance-Themen vorgelegt.
Insgesamt belegen die genannten Kontroll- und Monitoringmaßnahmen einen angemessenen Compliance-Reifegrad.