Siemens Compliance: CFOs steuern Finance und Payments wirksam

Executive Summary: Warum CFOs jetzt handeln müssen

Compliance in Finance ist keine Compliance-Abteilungsaufgabe, sondern Führungs- und Organisationspflicht des CFO. Das Siemens/Neubürger-Urteil (LG München I, 2013) hat klargestellt: Wer als Vorstand nicht für ein wirksames Compliance-Management-System (CMS) sorgt, haftet persönlich. Für CFOs bedeutet das konkret: Procure-to-Pay (P2P), Zahlungsprozesse und Third-Party-Management müssen so organisiert sein, dass Risiken messbar reduziert, Kontrollen nachweisbar wirksam und Audits ohne Mehraufwand bestanden werden – in der Praxis hängt das oft auch an sauber durchgesetzten Nachweisen wie der E-Rechnung.

Was bringt es konkret?

• Reduktion der Exception Rate in P2P um 60–80 % innerhalb von 12 Monaten
• Senkung der Audit Findings um 50 %
• Vermeidung von Fraud-Fällen (Durchschnitt: 2–5 % des Konzernumsatzes)
• Messbare Prozesskosten-Reduktion durch Standardisierung und Automatisierung
• Nachweis der Wirksamkeit für Vorstand, Aufsichtsrat und externe Prüfer

Was kostet es?

• Initiale Implementierung (Monate 0–12): circa 300.000–800.000 Euro (abhängig von Konzernkomplexität, Anzahl Gesellschaften, ERP-Landschaft)
• Run-Kosten (ab Jahr 2): circa 150.000–300.000 Euro jährlich (Personal, Lizenzen, Monitoring)
• Ressourcenbedarf: 2–4 FTE intern (Compliance, Finance Operations, IT) plus externe Beratung in Peaks

Welches Risiko reduzieren wir?

• Persönliche Vorstandshaftung nach § 93 Abs. 2 AktG
• Bußgelder nach § 30 und § 130 OWiG (bis zu 10 Millionen Euro oder 10 % des Jahresumsatzes)
• Reputationsschäden und Fraud-Schäden
• Audit-Eskalationen und Kapitalmarkt-Sanktionen

Time-to-Value: Erste messbare Verbesserungen nach 90 Tagen; volle Wirksamkeit und Audit-Readiness nach 12 Monaten.

Siemens Compliance als Benchmark: Was der Referenzrahmen für Finance bedeutet

Das Urteil des Landgerichts München I vom 10. Dezember 2013 im Fall Siemens/Neubürger hat in Deutschland einen Maßstab für Compliance-Pflichten gesetzt. Die Siemens AG verklagte ihren ehemaligen Finanzvorstand auf Schadensersatz, weil dieser seine Vorstandspflichten zur Sicherstellung eines rechtmäßigen Verhaltens verletzt hatte. Das Gericht bejahte eine Haftung und formulierte zwei zentrale Leitsätze:

• Ein Vorstandsmitglied muss dafür Sorge tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesübertretungen wie Schmiergeldzahlungen erfolgen
• Die Einrichtung eines funktionierenden Compliance-Management-Systems (CMS) gehört zur Gesamtverantwortung des Vorstands – nicht delegierbar, nicht optional

Wichtiger Disclaimer: Der vorliegende Beitrag dient ausschließlich der Information und stellt keine Rechtsberatung dar. Der Begriff „Siemens Compliance" wird als Benchmark und Referenzrahmen verwendet, nicht als Behauptung einer Nähe, Referenz oder Empfehlung durch die Siemens AG. Jedes Unternehmen muss sein CMS risikobasiert und individuell gestalten. Die Übertragbarkeit der Grundprinzipien ist gegeben, die konkrete Ausgestaltung muss jedoch unter Einbindung interner und externer Rechts- und Compliance-Experten erfolgen.

Die Kernaussagen für CFOs: Haftung, Risikobasierung, Wirksamkeit

Vier Prinzipien sind entscheidend:

1. Compliance ist Führungs- und Organisationspflicht – nicht delegierbar
2. Der Umfang der Maßnahmen ist risikobasiert zu bestimmen: Größe, Branche, Länder, Historie und konkrete Verdachtsfälle bestimmen, wie intensiv Kontrollen ausfallen
3. Wirksamkeit ist Daueraufgabe: Der Vorstand muss sich regelmäßig über Ergebnisse informieren lassen, Konsequenzen ziehen und systematisch Risiken bekämpfen
4. Bei Verdacht gilt der Dreiklang: Aufklären, Abstellen, Ahnden – inklusive Root-Cause-Behebung

Abgrenzung: CMS, IKS und Risikomanagement

Ein Compliance-Management-System (CMS) ist das Dach: Kultur, Organisation, Prozesse, Kontrollen, Nachweise. Das Interne Kontrollsystem (IKS) konzentriert sich auf finanzprozessnahe Kontrollen wie Freigaben, Vier-Augen-Prinzip und Segregation of Duties (SoD). Das Risikomanagement identifiziert und steuert Risiken.

In der Praxis bedeutet das: Finance und IT müssen sicherstellen, dass alle drei Ebenen ineinandergreifen und dass Kontrollen in ERP-Systemen, Workflows und Monitoring-Plattformen technisch durchgesetzt werden.

Warum CFOs in der Verantwortung stehen: Finance-Prozesse sind der Kontrollpunkt

Finance-Prozesse sind der zentrale Berührungspunkt für Compliance-Risiken. Hier laufen Zahlungen, Freigaben, Drittparteien, Rabatte, Provisionen und Stammdaten zusammen. Der CFO trägt die Verantwortung für:

• Auditability und lückenlose Nachweise
• Prozesskosteneffizienz durch Standardisierung
• Kontrolldesign und technische Umsetzung
• Datenqualität und Stammdatenintegrität

Ohne technische Zwangsführung – also den Grundsatz „no bypass" – bleiben Kontrollen wirkungslos, weil Ausnahmen und manuelle Workarounds zum Standard werden.

Must-have versus Nice-to-have: Wo CFOs investieren müssen

Für einen belastbaren Wirksamkeitsnachweis gibt es sieben Must-have-Elemente:

1. Governance und klare Verantwortlichkeiten: Wer ist Owner, wie wird berichtet, wie wird eskaliert?
2. Risikobasiertes Kontrolldesign in P2P und Payments: SoD, Vier-Augen-Prinzip, Schwellenwerte
3. Third-Party-Management: Onboarding, Due Diligence, Vertragsstandards, Monitoring, Payment Controls
4. Hinweisgebersystem mit strukturiertem Investigationsprozess: Case Management, Fristen, Dokumentation
5. Lückenloser Audit-Trail mit revisionssicherer Ablage
6. Messsystem mit KPIs, Key Risk Indicators (KRI), Kontrollwirksamkeit, Ausnahme-Management
7. Definition of Done: Nachweise, die Auditoren und Behörden akzeptieren

Nice-to-have-Elemente, die später sinnvoll sind: Advanced Analytics und Continuous Controls Monitoring mit Machine Learning, branchenübergreifende Collective-Action-Programme, sehr detaillierte ESG-Ausweitungen. Diese setzen voraus, dass die Basis steht.

Business Case: Kosten, Nutzen, Risiko-Quantifizierung

Ein typischer Business Case für ein mittelgroßes bis großes Unternehmen (5.000–20.000 Mitarbeiter, 10–50 Gesellschaften, mehrere ERP-Instanzen) sieht wie folgt aus:

ROI-Logik: Selbst ohne konkrete Fraud-Fälle amortisiert sich die Investition durch Prozesskosten-Reduktion, Audit-Effizienz und Risikominimierung innerhalb von 18–24 Monaten. Bei einem einzigen verhinderten Fraud-Fall (durchschnittlich 1–5 Millionen Euro Schaden) ist der Business Case sofort positiv.

Zielbild: Operating Model für Compliance in Finance – kompakt und umsetzbar

Ein belastbares Operating Model gliedert sich in klare Rollen nach RACI:

• Vorstand (CEO, CFO): Accountable für Zielbild, Risikotoleranz, Top-Risiken, Ressourcen, Eskalationen
• Compliance und Legal: Responsible für Policies, Fallbearbeitung, Beratung, Schulung, Standards für Drittparteien
• Finance Operations/SSC: Responsible für P2P- und Payments-Kontrollen, Ausnahmeprozess, Dokumentation
• IT/Digital Finance: Responsible für Systemzwang, Rollen, Integrationen, Logging, Monitoring-Plattformen
• Internal Audit: Unabhängige Assurance durch Wirksamkeitsprüfung, Stichproben, Control Testing
• HR: Responsible für Disziplinarprozesse, Trainingspflichten, arbeitsrechtliche Maßnahmen

Berichtskette und Eskalationsmechanismen

Minimum: Quartalsweiser CFO- und Board-Report mit KPIs, Top-Risiken, Ausnahmen. Ad-hoc-Eskalation bei High-Severity-Cases, High-Risk-Partnern oder wiederholten Kontrollbrüchen. Diese Mechanismen müssen in Policies verankert und technisch unterstützt werden (z. B. automatische Alerts).

Umsetzungsfahrplan: Minimum Viable Controls in 90 Tagen, volle Wirksamkeit in 12 Monaten

Stufe 1 (Monate 0–3): Transparenz und Stabilisierung – Minimum Viable Controls

• High-Risk-Prozesslandkarte für P2P, Payments, Third Parties erstellen
• No-bypass-Quick-Wins: Pflichtfelder, Standardfreigaben, Sperrlogiken im ERP aktivieren
• Zentrale Ablage für Audit-Trails (Belege, Freigaben, DD-Dokumente) etablieren
• KPI-Baseline definieren: Exception Rate, DD-Coverage, SoD-Violations, Time to Approve

Outcome nach 90 Tagen: Messbare Reduktion der Exception Rate um 20–30 %, erste Audit-Trail-Nachweise verfügbar, Top-5-Risiken identifiziert und dokumentiert.

Stufe 2 (Monate 3–6): Standardisierung und Kontrollen

• Globales P2P- und Payment-Control-Set als Template (mit lokalen Parametern)
• Third-Party-Onboarding standardisiert: DD-Level, Red Flags, Genehmiger
• Rollen- und Berechtigungsmodell verbindlich, SoD technisch durchgesetzt, Logging aktiviert
• Ausnahmeprozess mit Begründung und Genehmigung etabliert

Outcome nach 6 Monaten: Exception Rate um 50 % reduziert, DD-Coverage bei High-Risk-Partnern über 80 %, SoD-Violations unter 5 %.

Stufe 3 (Monate 6–12): Wirksamkeit und Monitoring

• Continuous Controls Monitoring (CCM): Schwellenwerte, Red Flags, Trends
• Case-to-Control-Feedback: Lessons Learned fließen in Prozess- und Systemanpassungen
• Control Testing und Evidence Packs für Audits automatisiert

Outcome nach 12 Monaten: Exception Rate um 60–80 % reduziert, Audit Findings um 50 % reduziert, volle Audit-Readiness, messbare Prozesskosten-Reduktion um 20–30 %.

Stufe 4 (ab Monat 12): Skalierung und Optimierung

• Globale Rollouts, M&A-Integrationsplaybook
• Datenprodukte als Single Source of Truth für Partner-, Zahlungs-, Kontrolldaten
• Advanced Analytics, Anomalieerkennung, Benchmarking

Kernstruktur: Vorbeugen – Erkennen – Reagieren

Vorbeugen: Design und Systemzwang

Präventive Maßnahmen beginnen mit klaren Policies: Code of Conduct, finanzspezifische Richtlinien für Zahlungen, Geschenke, Sponsoring, Provisionen. Schwellenwerte für Genehmigungsstufen, Ausnahmegrenzen, Länder- und Partnerklassen. Prinzip „Quality/No compromise" auf P2P übertragen: Keine Zahlung ohne Mindestnachweise.

Kontrolldesign in P2P und Payments:

• 3-Way-Match und 2-Way-Match je Warengruppe
• Vier-Augen-Prinzip
• SoD (wer Lieferant anlegt ≠ wer Zahlung freigibt)
• Zahlungsarten-Steuerung (Cash-Vermeidung)
• Splitting-Erkennung
• Ausnahmen nur mit Begründung und Genehmigung

Third-Party-Management:

• Risikobasierte Due Diligence (Low, Medium, High) vor Beauftragung
• Red Flags: unklare Leistung, Erfolgshonorare ohne Transparenz, Offshore-Konten, PEP, ungewöhnliche Provisionen
• Vertragsstandards: Leistungsnachweise, marktübliche Vergütung, Anti-Korruptions-Klauseln, Audit-Rechte, Kündigungsrechte
• Zentraler Partner-Repository – keine Schattenlisten

Daten- und Stammdaten-Governance:

• Lieferantenstammdaten mit eindeutiger Identität, Bankdaten, Change-Prozess, USt-ID
• Bank Account Change Controls: Zwei-Faktor-Prüfung, unabhängige Validierung, Cooldown, Genehmigung
• Data Owner und Data Steward klar definiert

Erkennen: Monitoring, Hinweisgebersystem, Auditability

Hinweisgebersystem: mehrsprachig, optional anonym, 24/7, auch für Externe, Vertraulichkeit und Schutz vor Repressalien. Ablauf: Eingang, Triage, Untersuchung, Maßnahmen, Rückmeldung (soweit möglich), Dokumentation.

Monitoring und Red-Flag-Logik (finanz-nah):

• Zahlungs-Red-Flags: Rundbeträge, hohe Bar-/Eilzahlungen, Drittlandkonten, häufige Bankänderungen, viele Kleinrechnungen knapp unter Schwellen
• Partner-Red-Flags: fehlende DD, abgelaufene DD, fehlende Verträge, fehlende Leistungsnachweise
• Prozess-Red-Flags: wiederkehrende Ausnahmen, manuelle Buchungen, ungewöhnliche Benutzerrechte, Umgehung von Workflows

Reporting an CFO, Vorstand, Aufsichtsrat:

• Top-Risiken und Trends (Region, Einheit, Prozess)
• Ausnahmequote und Wiederholer
• Status High-Risk-Third-Parties (Onboarded, Under Review, Blocked)
• Audit-Findings und Remediation-Status (Termine, Owner, Wirksamkeitscheck)

Reagieren: Case Management, Konsequenzen, Systemverbesserung

Untersuchungen: standardisiert, fair, nachweisbar. Case-Management-System mit Fristen, Rollen, Dokumentation, Beweissicherung. Schutz der Rechte Beschuldigter, Need-to-know, saubere Aktenlage. Schnittstellen zu HR, Legal, Internal Audit.

Maßnahmenlogik: Aufklären, Abstellen, Ahnden

• Abstellen: Sperren (Vendor Hold, Payment Hold), zusätzliche Freigaben, Stopp bestimmter Partner
• Ahnden: arbeitsrechtliche Maßnahmen, Vertragsbeendigungen, Rückforderungen, gegebenenfalls Kooperation mit Behörden
• Systemverbesserung: Root-Cause-Analyse, Nachschärfung von Kontrollen, Korrektur von Rollen und Berechtigungen, Aktualisierung von Trainings

Messgrößen und Benchmarks: CFO- und Audit-tauglich

KPIs und KRIs müssen klar definiert und regelmäßig berichtet werden. Beispiele:

• Exception Rate in P2P: Anteil Zahlungen/Rechnungen außerhalb Standardprozess (Ziel: unter 10 % nach 12 Monaten)
• Payments with complete evidence: Anteil Zahlungen mit allen Nachweisen vor Auszahlung (Ziel: über 95 %)
• Cycle Time für Freigaben: Median und 95. Perzentil je Schwellenwert (Ziel: unter 2 Werktage)
• Third-Party-DD-Coverage: Anteil aktiver High-Risk-Partner mit aktueller DD (Ziel: 100 %)
• Bankdaten-Änderungen pro Monat: Anzahl und Trefferquote der Kontrollprüfungen
• Red-Flag-Hit-Rate: Alerts im Verhältnis zu bestätigten Findings (Ziel: über 20 %)
• False-Positive-Rate: (Ziel: unter 30 %)
• Time to Triage und Time to Close bei Hinweisen: SLA-Erfüllung (Ziel: über 90 %)
• Audit Findings: Anzahl und Schweregrad (Ziel: -50 % nach 12 Monaten)
• Remediation-On-Time-Rate: (Ziel: über 95 %)
• Trainingsabdeckung: gesamt und High-Risk-Population, Overdue-Quote (Ziel: 100 % / unter 5 %)
• SoD-Violations: Anzahl kritischer Verstöße und Zeit bis Behebung (Ziel: unter 5 / unter 7 Tage)

Definition of Done: Nachweise, die überzeugen

Für Audits und Behörden sind folgende Nachweise Standard:

• Prozessdokumentation und Kontrolldesign (Owner, Frequenz, Evidenz)
• Systemlogs und Audit-Trails für Freigaben und Stammdatenänderungen
• Evidence Packs pro High-Risk-Zahlung oder Partner (DD, Vertrag, Leistungsnachweis, Genehmigungen)
• Control-Testing und Stichprobenberichte mit Findings und Maßnahmen
• Case-Files (Hinweis, Untersuchung, Entscheidung, Maßnahmen, Lessons Learned)

IT- und Digital-Fokus: Architektur, Integration, Betrieb – Build/Buy/Verantwortung

Die Zielarchitektur umfasst: ERP (FI/MM), Workflow und Approvals, DMS und Archiv, Vendor- und Third-Party-Repository (DD-Status, Risiko, Dokumente), Hinweisgeber- und Case-Management-System, Monitoring und Analytics (CCM, gegebenenfalls SIEM/Logging).

Build/Buy-Entscheidungslogik:

• Für Standard-Controls (SoD, Freigaben, Logging): Buy – nutzen Sie ERP-Standardfunktionen (SAP GRC, Oracle SOD, etc.)
• Für Third-Party-Due-Diligence: Buy – spezialisierte Tools (z. B. Dow Jones Risk & Compliance, LexisNexis, Refinitiv World-Check)
• Für Case Management: Buy – bewährte Plattformen (z. B. NAVEX Global, EQS Integrity Line)
• Für Continuous Controls Monitoring: Buy oder Configure – je nach ERP-Integration (z. B. SAP Continuous Auditing & Monitoring, Workiva, AuditBoard)
• Build nur dort, wo spezifische Prozesslogik (z. B. Custom Approval Rules, Branchen-Red-Flags) nicht abbildbar ist

Datenhoheit und Verantwortungsmodell:

• Data Owner (fachlich): Finance/Procurement für Stammdaten, Compliance für DD-Daten, Legal für Verträge
• Data Steward (operativ): SSC/Finance Operations für Datenqualität, IT für technische Integrität
• Data Governance Board: CFO, CIO, CCO (quartalsweise) zur Steuerung von Datenqualität, Architektur, Tool-Roadmap

Schnittstellen und Datenmodell: Mindestanforderungen sind eindeutige IDs (Partner, Zahlung, Beleg, Genehmiger), Statusfelder (DD-Level, DD-Expiry, Blocked, On Hold, Ausnahmegrund, Kontrollstatus), Event-Logs (Create, Change, Approve, Pay mit Timestamp, User, Reason).

Security und Berechtigungen: rollenbasierte Zugriffe nach Least-Privilege-Prinzip, regelmäßige Rezertifizierung, Manipulationsschutz von Logs, Aufbewahrungsfristen, Datenschutz und Need-to-know technisch durchgesetzt. No bypass durch technische Zwangsführung: Keine Zahlung ohne Mindestdaten.

Betriebsmodell und Rollout: globales Template mit lokalen Parametern für Länderrecht, Steuern, Zahlungswege. Change-Management: Schulung, Policy-to-Process-Mapping, Adoption-Metriken. Migrations- und Rolloutplan: Pilot in High-Risk-Region oder SSC, dann Wellen, Stabilisierung.

ESG und LkSG: Nur dort, wo Finance-Prozesse konkret berührt sind

Das Lieferkettensorgfaltspflichtengesetz (LkSG) und BAFA-Berichtspflichten erweitern Third-Party- und Supplier-Management um Risikoanalyse, Maßnahmen, Beschwerdemechanismen, Dokumentation. Verknüpfung mit P2P: Lieferantenkodex, Onboarding-Checks, Status- und Nachweisführung, Reportingfähigkeit. Fokus: Nachweis- und Prozessfähigkeit, nicht ESG-Breitbanddiskussion. Für CFOs und IT: Integration in bestehende Prozesse und Systeme, nicht parallel.

Mini-Cases: Praxisnahe Beispiele für CFO und IT

Fall 1: Beratervertrag und Zahlung

Vorher: E-Mail-Freigaben, unklare Leistung, fehlende DD.

Nachher: DD-Level festgelegt, Vertragstemplate, Leistungsnachweis gefordert, Workflow-Freigabe durchgesetzt, Audit-Trail erstellt, Payment Hold bei Lücken.

Outcome: Zahlung erst nach vollständiger Evidenz, Audit-Nachweis in 5 Minuten statt 2 Tagen.

Fall 2: Bankdatenänderung beim Lieferanten

Vorher: Ticket oder E-Mail – hohes Fraud-Risiko.

Nachher: unabhängige Validierung (Telefon, Website), Zwei-Personen-Freigabe, Logging, Cooldown (24h), Alerting bei Abweichung.

Outcome: Fraud-Versuch erkannt und gestoppt (potenzieller Schaden: 500.000 €).

Fall 3: Audit fragt nach Wirksamkeit

Nachweise: Exception Rate (von 35 % auf 8 % in 12 Monaten), Evidence Packs (automatisch generiert, 100 % Coverage), Control Testing (quartalsweise, Findings unter 5 %), Red-Flag-Statistik (Hit Rate 25 %), Remediation-Tracking (On-Time-Rate 98 %).

Outcome: Audit ohne Findings bestanden, Auditor lobt „Best Practice".

Checklisten und Tabellen für die praktische Umsetzung

Checkliste High-Risk-Payments:

• Pflichtnachweise (Vertrag, Leistungsnachweis, DD, Rechnung)
• Freigaben (Fachbereich, Compliance, Finance)
• Red Flags (Rundbeträge, Offshore, PEP)
• Sperrgründe (fehlende DD, abgelaufene DD, fehlender Vertrag)

Checkliste Third-Party-Onboarding (Minimum):

• Identität (Name, Registrierung, USt-ID)
• Risiko (Land, Branche, Leistung)
• Due Diligence (Level, Dokumente, Gültigkeit)
• Vertrag (Standard, Anti-Korruption, Audit-Rechte)
• Vergütung (Marktsatz, Transparenz)
• Training (Richtlinien, Bestätigung)
• Monitoring (Red Flags, Review)

Fazit: Compliance ist Führungsaufgabe – wirksam wird sie durch Prozesse, Systeme und Messung

Compliance ist und bleibt Führungs- und Organisationsaufgabe. Wirksam ist nur, was in Prozessen und Systemen umgesetzt, überwacht und kontinuierlich verbessert wird. Der Hebel für CFOs liegt in Procure-to-Pay, Drittparteien und Zahlungen – dort entstehen Risiken, dort lassen sie sich messbar kontrollieren.

Digitale, standardisierte Workflows mit Systemzwang, Audit-Trail, KPIs und Monitoring machen Compliance skalierbar, auditierbar und steuerbar; in vielen Programmen ist dafür auch gezielte E-Rechnung-Beratung ein praktischer Baustein, um Nachweisführung und Datenqualität über Gesellschaften hinweg zu vereinheitlichen.

Das Siemens Compliance-Modell bietet einen klaren Referenzrahmen – nicht als Blaupause, sondern als risikobasiertes Operating Model. Für die Einordnung in ein übergreifendes Compliance-Framework hilft es, Rollen, Kontrollen und Evidenzanforderungen konsistent zu strukturieren.

Der Business Case ist positiv: Investition amortisiert sich durch Prozesskosten-Reduktion, Fraud-Vermeidung und Risikominimierung. Die Umsetzung erfolgt in realistischen Stufen: Minimum Viable Controls in 90 Tagen, volle Wirksamkeit in 12 Monaten.

Wer die Must-haves konsequent implementiert, klare Verantwortlichkeiten definiert, technische Zwangsführung etabliert und messbares Reporting aufsetzt, schafft ein belastbares System, das nicht nur Audits standhält, sondern langfristig Vertrauen und Integrität sichert. Der Dreiklang Vorbeugen, Erkennen, Reagieren ist nicht nur theoretisch schlüssig, sondern praktisch umsetzbar und nachweisbar wirksam – und lässt sich über etablierte Governance-Risk-Compliance-Ansätze dauerhaft im Operating Model verankern.