Erfolgreich mit Compliance E-Book

Impressum

978-3-85402-413-2

Auch als Buch verfügbar

978-3-85402-412-5

2., überarbeitete Auflage 2021

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme

auf oder in sonstige Medien oder Datenträger,

auch bei nur auszugsweiser Verwertung,

sind nur mit ausdrücklicher Zustimmung der

Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen

trotz sorgfältiger Bearbeitung ohne Gewähr

und eine Haftung der Autorin oder des Verlages

ist ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.

Es wird an dieser Stelle darauf hingewiesen, dass die ausschließ­liche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2021

Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards International.

Austrian Standards plus GmbH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-355

E [email protected]

www.austrian-standards.at/fachliteratur

ProjektManagement

Gertraud Reznicek

Cover – Fotocredit

© iStockphoto.com/Bedrin-Alexander

Satz/gestaltung

Alexander Mang

Inhalt

Abkürzungsverzeichnis

Vorwort

1 Grundlagen und Rahmenbedingungen

1.1 Begriffsbestimmung Compliance

1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen

1.2.1 Verantwortung von Organisationen im internationalen Rahmen

1.2.2 Verantwortung von Organisationen im nationalen Rahmen

1.2.3 Verantwortung für Compliance in Österreich

1.3 Compliance als Werkzeug des strategischen Managements

1.3.1 Begriffsbestimmung Management-Systeme

1.3.2 Compliance-Management-Systeme

1.4 Abgrenzung Governance – IKS – RMS – CMS

1.4.1 Corporate Governance

1.4.2 Internes Kontrollsystem (IKS)

1.4.3 Risikomanagement-System (RMS)

1.4.4 Compliance-Management (CMS)

1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten

2 Umsetzung der ISO 37301 im Kontext

2.1 Standardisierung von Management-Systemen nach ISO

2.1.1 Management-System-Standards nach ISO High-Level Structure

2.1.2 Integriertes Management-System

2.1.3 ISO 37001 Anti-bribery management systems

2.2 Das Prinzip der fortlaufenden Verbesserung – PDCA-Zyklus

2.2.1 Prinzip der fortlaufenden Verbesserung von ISO Management-System-Standards (MSS)

2.2.2 ISO 37301 im PDCA-Zyklus

2.3 Change-Management als Führungsinstrument zur Umsetzung der ISO 37301

2.3.1 Definition Change-Management

2.3.2 Einflussfaktoren von Change-Management

2.3.3 Leading Change – Das 8-Stufen-Modell nach John P. Kotter

3 Anforderungen der ISO 37301 – Compliance-Management-Systeme

3.1 Einleitung

3.2 Anwendungsbereich der ISO 37301

3.3 Begriffe nach ISO 37301

3.4 Die Organisation und ihr Kontext

3.4.1 Verstehen der Organisation und ihres Kontextes

3.4.2 Erfordernisse und Erwartungen von interessierten Parteien

3.4.3 Bestimmung des Anwendungsbereichs des Compliance-Management-Systems

3.4.4 Compliance-Management-System

3.4.5 Compliance-Verpflichtungen

3.4.6 Compliance-Risikobewertung

3.5 Führung

3.5.1 Führung und Engagement

3.5.2 Compliance-Politik

3.5.3 Rollen, Verantwortlichkeiten und Zuständigkeiten

3.6 Planung

3.6.1 Maßnahmen zur Behandlung von Compliance-Risiken

3.6.2 Compliance-Ziele und Planung zu deren Erreichung

3.6.3 Planung von Änderungen

3.7 Unterstützung

3.7.1 Ressourcen

3.7.2 Kompetenz

3.7.3 Bewusstsein

3.7.4 Kommunikation

3.7.5 Dokumentierte Information

3.8 Betrieb

3.8.1 Operative Planung und Steuerung

3.8.2 Errichtung von Maßnahmen und Kontrollen

3.8.3 Compliance-Bedenken

3.8.4 Untersuchungsprozesse

3.9 Bewertung der Leistung

3.9.1 Überwachung, Messung, Analyse und Bewertung

3.9.2 Internes Audit

3.9.3 Management-Bewertung

3.10 Verbesserung

3.10.1 Kontinuierliche Verbesserung

3.10.2 Nichtkonformität und Korrekturmaßnahmen

4 Leitfaden für kleinere und mittlere Unternehmen (KMU)

4.1 Compliance-relevante Merkmale des Mittelstandes

4.2 Umsetzen und Ausgestalten von Compliance-Management im Mittelstand

4.3 Fazit

5 Externe Überprüfung und Zertifizierung

5.1 Externe Audits von Compliance-Management-Systemen

5.1.1 Grundlagen

5.1.2 Auditprozess

5.2 Zertifizierung eines CMS

5.3 Zertifizierungsprozess im Rahmen von ISO

6 Weiterführende Konzepte

6.1 Organisationskultur als Führungsinstrument

6.1.1 Einflüsse auf Organisationskulturen

6.1.2 Merkmale von Organisationskulturen

6.1.3 Das Kulturmodell nach Schein

6.1.4 Wirkung und Funktion von Organisationskulturen

6.1.5 Messung von Organisationskulturen – das Modell von Denison

6.1.6 Organisationskultur und ein CMS nach ISO 37301

6.2 Risikomanagement

6.2.1 Ein Risikomanagement-System im Überblick

6.2.2 ERM – organisationsweites, ganzheitliches Risikomanagement

6.2.3 ISO 31000 Risk Management

6.2.4 Risikomanagement und ein CMS nach ISO 37301

7 Resümee und Ausblick

Literaturverzeichnis

Die Autorin

Abbildungsverzeichnis

Abbildung 1: COSO Internal Control – Integrated Framework

Abbildung 2: ISO 37301 im Deming-Zyklus der ständigen Verbesserung

Abbildung 3: Phasenschema von Veränderungen nach Lewin

Abbildung 4: Promotoren und Destruktoren nach Ladwig/Domsch

Abbildung 5: Allgemeine Symptome des Widerstandes nach Doppler/Lauterburg

Abbildung 6: Ausgewählte Handlungsfelder von Widerständen nach Reiß

Abbildung 7: 8-Stufen-Modell für Veränderungen nach Kotter

Abbildung 8: PESTLE-Analyse des äußeren Umfeldes

Abbildung 9: Interessierte Parteien/Stakeholder

Abbildung 10: Stakeholder Einfluss-Interessen-Matrix

Abbildung 11: Risikomatrix

Abbildung 12: Ebenen und Eigenschaften eines Verhaltenskodex

Abbildung 13: Wertorientierung des CMS nach Grüninger

Abbildung 14: Compliance als Unterstützung der Organisationsziele

Abbildung 15: Mittel zur Umsetzung der Compliance-Politik

Abbildung 16: Komponenten der Handlungsfähigkeit

Abbildung 17: Fraud Triangle und Ansätze zur Prävention nach Grüninger

Abbildung 18: DMAIC-Zyklus der laufenden Verbesserung

Abbildung 19: Überblick Kommunikationsmittel nach Mast/Maletzke

Abbildung 20: Ablauf eines Monitoring-Verfahrens

Abbildung 21: Ansätze zum Compliance-Management nach Saitz/Tempel/Brühl

Abbildung 22: Zertifizierungsprozess nach ISO/IEC 17021

Abbildung 23: Kulturelles Schachtelmodell nach Thomas

Abbildung 24: Kulturebenen nach Schein

Abbildung 25: Parameter für Organisationskulturen nach Dension

Abbildung 26: Unternehmenskultur und Effektivität

Abbildung 27: Bausteine eines Risikomanagement-Systems

Abbildung 28: COSO ERM Framework

Abbildung 29: Risikomatrix

Abbildung 30: Risikomanagementprozess nach ISO 31000:2018

Tabellenverzeichnis

Tabelle 1: Anforderungen an ein effektives CMS vs. ISO 37301

Tabelle 2: Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301

Tabelle 3: Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001

Tabelle 4: Vergleich HLS-Struktur in verschiedenen ISO MSS – Übersicht

Tabelle 5: Vergleich HLS-Struktur in ISO MSS – Kapitel 8 „Betrieb“

Tabelle 6: Richtlinie zum UK Bribery Act 2010 vs. ISO 37001

Tabelle 7: ICC Anti-Korruptionsrichtlinien vs. ISO 37001

Tabelle 8: Anforderungen an ein effektives Managementsystem zur Korruptionsbekämpfung vs. ISO 37001

Tabelle 9: Vergleich ISO 37301 vs. ISO 37001 auf Basis der HLS-Struktur von ISO MSS

Tabelle 10: Vergleich ISO 37301 vs. ISO 37001 – Kapitel 8 „Betrieb“

Tabelle 11: Interne Bestimmungsfaktoren einer Organisation

Tabelle 12: Skala Eintrittswahrscheinlichkeit

Tabelle 13: Beispiel Risikolandkarte

Tabelle 14: Indikatoren für CMS Ziele nach Johnson/Soreide

Tabelle 15: Informations- und Kommunikationsbedarf (Beispiele) nach Bruhn

Tabelle 16: Klassifikation von Kommunikationsmedien nach Vahs/Wieand

Tabelle 17: EU-Definition KMU

Tabelle 18: Arten von Systemaudits

Tabelle 19: Beispiele Key-Risk-Indikatoren (KRIs)

Abkürzungsverzeichnis

AG

Aktiengesellschaft

AktG

Aktiengesetz

AQAP

Allied Quality Assurance Publications

ArbVG

Arbeitsverfassungsgesetz

AS

Australien

BGBl.

Bundesgesetzblatt

BWG

Bankwesengesetz

BSI

British Standards Institution

bzgl.

bezüglich

bzw.

beziehungsweise

CMS

Compliance-Management-System

COSO

Committee of Sponsoring Organizations of the Treadway Commission

d.h.

das heißt

DOJ

United States Department of Justice

DMAIC

Define-Measure-Analyse-Improve-Control

DSG

Datenschutzgesetz

DSK

Datenschutzkommission

etc.

et cetera

EU

Europäische Union

ERM

Enterprise Risk Management

ERP

Enterprise Resource Planning

EUR

Euro

FATF

Financial Action Task Force

FCPA

United States Foreign Corrupt Practices Act

FMA

Finanzmarktaufsicht

FSGM

Federal Sentencing Guidelines Manual

GARP

Global Association of Risk Professionals

GenG

Genossenschaftsgesetz

geb.

geboren

gem.

gemäß

ggf.

gegebenenfalls

GmbHG

Gesetz über die Gesellschaft mit beschränkter Haftung

grs.

grundsätzlich

HLS

High Level Structure

ICC

International Chamber of Commerce

idgF

in der geltenden Fassung

idR

in der Regel

IEC

International Electrotechnical Commission

IKS

internes Kontrollsystem

ILO

International Labour Organization

inkl.

inklusive

insb.

insbesondere

ISO

International Organization for Standardization

IT

Informationstechnologie

Jhdt.

Jahrhundert

JTC

Joint Technical Committee

JTCG

Joint Technical Coordinating Group

Kap.

Kapitel

KG

Kommanditgesellschaft

KMU

Klein- und Mittelbetrieb(e)

KPI

Key Performance Indicator

KRI

Key Risk Indicator

KYC

Know Your Customer

MS

Management-System

MMS

Management-System-Standard

NATO

North Atlantic Treaty Organization

NZS

Neuseeland

OECD

Organisation for Economic Cooperation and Development

ÖCGK

Österreichischer Corporate Governance Kodex

OGH

Oberster Gerichtshof

OWiG

Gesetz über Ordnungswidrigkeiten

PACI

Partnering Against Corruption Initiative

PDCA

Plan-Do-Check-Act

RM

Risikomanagement

RMS

Risikomanagement-System

SAI

Social Accountability International

SEC

United States Securities and Exchange Commission

sog.

sogenannt

SOX

Sarbanes-Oxley Act

TC

Technical Committee

TMB

Technical Management Board

u.a.

unter anderem

VAG

Versicherungsaufsichtsgesetz

VbVG

Verbandsverantwortlichkeitsgesetz

vgl.

vergleiche

UGB

Unternehmensgesetzbuch

UN

United Nations (Vereinte Nationen)

UNODC

United Nations Office on Drugs and Crime

UK

United Kingdom

USA, US

United States

usw.

und so weiter

u.U.

unter Umständen

uvm.

und vieles mehr

WAG

Wertpapieraufsichtsgesetz

WBG

The World Bank Group

z.B.

zum Beispiel

Vorwort

Compliance-Management beinhaltet die standardisierte Identifikation von Verpflichtungen und deren systematische Übersetzung in den Organisationsalltag. Die Entwicklung von Strukturen und Maßnahmen und dessen Integration in bestehende Verfahren und Prozesse verringert das Risiko von nicht-regelkonformem Verhalten bei der Ausübung der Geschäftstätigkeit. Ein Compliance-Management-System (CMS) muss jedoch mehr bieten. Um akzeptiert zu werden, müssen Compliance-Maßnahmen eng mit Effektivität und Effizienz verbunden sein und dürfen nicht als bürokratische Hindernisse empfunden werden. Compliance ist demnach keine reine Pflichtübung, um negative Folgen von einer Organisation abzuwenden, sondern trägt zur Verbesserung des operativen Betriebes bei. Dieses Buch leistet dazu einen Beitrag und unterstützt Organisationen aller Art dabei, Compliance-Maßnahmen zur Steigerung von Effektivität und Effizienz der gesamten Organisationssteuerung zu nutzen.

Die ISO 37301:2021 „Compliance-Management-Systems – Requirements with guidance for use“ wurde von Anwendern für Anwender entwickelt. Sie erhebt den Anspruch, ein Best-Practice-Ansatz für weltweit vereinheitlichte Anforderungen zur Entwicklung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines CMS zu sein. Der Umfang, in dem die einzelnen Elemente umgesetzt werden, ist dem Prinzip der Angemessenheit folgend auf die individuellen Besonderheiten der Organisation abzustimmen. Der Standard ist somit auf alle Arten von Organisationen – unabhängig von Größe, Branche, Geschäftstätigkeit oder Rechtsform – anwendbar.

Dieser Kommentar erläutert alle Elemente der ISO 37301 und führt mit zahlreichen Praxistipps an eine schrittweise Umsetzung heran. Durch den ganzheitlichen Ansatz ist ein CMS nach ISO 37301 ein Führungsinstrument des strategischen Managements. Dieses Buch erhebt den Anspruch, die praktische Umsetzung wissenschaftlich zu fundieren, gepaart mit jahrzehntelanger Erfahrung im Aufbau und in der Leitung von komplexen Systemen. Zum Zeitpunkt der Drucklegung dieses Kommentars (Stand Juni 2021) stand eine deutschsprachige Fassung der ISO 37301 noch nicht zur Verfügung. Die Begrifflichkeiten richten sich nach der am 13. April 2021 publizierten englischen Fassung. Die Übersetzungen erfolgten durch die Autorin.

Wie schon der Vorgängerstandard ISO 19600 beruht die ISO 37301 auf einer einheitlichen Vorlage von ISO-Management-System-Standards (ebenso wie z.B. ISO 37001 Managementsysteme zur Korruptionsbekämpfung – Anforderungen mit Leitlinien zur Anwendung) und kann daher in einer integrierten Weise implementiert werden. In diesem Sinne ist der ISO 37301 zu wünschen, dass sie sich – nicht zuletzt wegen der globalen Bekanntheit und Akzeptanz von ISO-Standards – als internationale Benchmark für die angemessene Umsetzung und Verankerung von Compliance in Organisationen aller Arten bewährt.

Ich wünsche allen Leserinnen und Lesern viele hilfreiche Impulse und für Ihre Praxis relevanten Nutzen. Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter [email protected]!

Wien, im Juli 2021 Barbara Neiger

1Grundlagen und Rahmenbedingungen

1 Grundlagen und Rahmenbedingungen

In fünf Kapiteln werden Grundlagen und Rahmenbedingungen für ein Compliance Management System (CMS) nach ISO 37301 dargelegt. Als Erstes muss die Bedeutung des Begriffes „Compliance“ im Zusammenhang mit diesem Praxiskommentar geklärt werden: die Einhaltung von Verpflichtungen, die für eine Organisation aufgrund obligatorischer Bestimmungen und freiwillig eingegangener Selbstverpflichtungen bindend sind. In Kapitel 1.2 werden die rechtlichen Rahmenbedingungen für Compliance in Organisationen anhand von nationalen und internationalen Vorschriften über die (strafrechtliche) Verantwortung von Organisationen für regelwidrige Handlungen ihrer Mitarbeiter erläutert. Die Verpflichtung der Geschäftsleitung zur Errichtung eines der individuellen Situation der Organisation angemessenen CMS basiert auf deren allgemeiner Sorgfaltspflicht als ordentlicher Kaufmann. Wie in Kapitel 1.3 dargelegt, soll ein CMS als Werkzeug des strategischen Managements durch ein planvolles Vorgehen sicherstellen, dass bei der Abwicklung der Geschäftstätigkeit die für die Organisation relevanten Verpflichtungen eingehalten werden. Durch die Vermeidung von Compliance-Verstößen bzw. durch die Verringerung von deren negativen Auswirkungen wird das Erreichen der Ziele einer Organisation unterstützt. Die Abgrenzung des CMS zu Corporate Governance und zu weiteren Führungsinstrumenten, wie einem internen Kontrollsystem (IKS) und einem Risikomanagement-System (RMS), werden anschließend in Kapitel 1.4 besprochen. Kapitel 1.5 gibt einen Überblick über die Positionierung der ISO 37301 als unparteiisches Best-Practice-Instrument zur Sicherstellung von einem wirksamen Compliance-Management in Organisationen.

1.1 Begriffsbestimmung Compliance

Der Begriff „Compliance“ leitet sich vom Englischen „to comply with something“ (etwas erfüllen oder einhalten)[1] ab und bedeutet im Zusammenhang des vorliegenden Handbuches die Befolgung von Regeln durch eine Organisation. Und zwar jener Regeln, die für die Organisation aufgrund rechtlicher oder regulatorischer Bestimmungen bindend sind, also auch jener, deren Einhaltung sich die Organisation freiwillig unterworfen hat.

Damit bedeutet Compliance zunächst einmal nur, dass Verbindlichkeiten eingehalten werden. Das ist nicht neu und ein in Rechtsstaaten immer schon selbstverständliches Prinzip.[2] Compliance umfasst aber auch die Thematik, wie Organisationen die Einhaltung von Regeln durch ihre Organe und Mitarbeiter sicherstellen. Den verantwortlichen Führungskräften obliegt es dabei im Rahmen ihrer Aufsichts- und Sorgfaltspflicht dafür zu sorgen, dass sich die für die Organisation tätigen Personen im täglichen Geschäftsverkehr an relevante Verbindlichkeiten, wie z.B. gesetzliche, behördliche oder aufsichtsrechtliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien oder Verträge und verbindliche zwei- oder mehrseitige Vereinbarungen halten.

Die Verpflichtung zur Einhaltung von relevanten gesetzlichen, behördlichen oder aufsichtsrechtlichen Vorschriften gilt für alle Organisationen. Auch die Beachtung von Branchenvorgaben und organisationsinternen Richtlinien dient nicht einem Selbstzweck, sondern liegt im Interesse der Organisation. Allen Organisationen, unabhängig von ihrer rechtlichen Form, ihrer Größe oder ihrem Tätigkeitsbereich, stehen beschränkte Ressourcen zur Verfügung, die möglichst effizient und effektiv eingesetzt werden müssen. Es ist unrichtig, zu argumentieren, dass das Erfordernis eines solch wirtschaftlichen Handelns nur für auf Gewinn (Profit) gerichtete Organisationen gilt. Auch Not-for-profit-Organisationen haben begrenzte Ressourcen zur Verfügung, mit deren Einsatz das bestmögliche Ergebnis zu erzielen ist. Negative finanzielle Folgen von Non-Compliance in Form von Straf- und Bußgeld-Zahlungen fallen sicher nicht unter die Definition des „bestmöglichen Ergebnisses“.

1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen

Das angelsächsische Recht (common law wie z.B. in UK, den USA und in anderen Ländern) machte seit jeher keinen grundsätzlichen Unterschied zwischen natürlichen und juristischen Personen. Die Verantwortlichkeit von juristischen Personen für (bestimmte) Straftaten war deshalb in diesem Rechtssystem immer gegeben. In kodifizierten Rechtssystemen (wie z.B. in kontinentaleuropäischen Staaten) gilt ein anderer Grundsatz, nämlich: Societas delinquere non potest – „eine Gesellschaft kann sich nicht vergehen“.[3] Erst die Entwicklungen in den letzten 20 Jahren haben dazu geführt, dass eine Verantwortlichkeit für juristische Personen in diesem Rechtssystem eigens begründet wurde.[4] Zahlreiche zwischenstaatliche Rechtsakte innerhalb und außerhalb der EU verpflichten Mitglieds- und Vertragsstaaten, eine Verantwortlichkeit von juristischen Personen für bestimmte Straftaten vorzusehen.

Der erste Rechtsakt, der eine solche Verpflichtung vorsieht, ist das Zweite Protokoll zum Übereinkommen über den Schutz der finanziellen Interessen der Europäischen Gemeinschaft.[5] Die strafrechtliche Verantwortung von Organisationen wird gefordert, wenn Betrug, Bestechung oder Geldwäsche zu ihren Gunsten von Personen, allein oder als Teil der Organisation der juristischen Person, begangen wurde. Organisationen müssen insbesondere dafür verantwortlich gemacht werden, wenn mangelnde Aufsicht oder Kontrolle die Tat ermöglicht hat. Neben dem Zweiten Protokoll gibt es zahlreiche weitere Rechtsakte, die für ca. 100 Straftatbestände eine Verantwortung von juristischen Personen vorsehen (z.B. Vermögensdelikte wie Betrug, Untreue; Subventionsmissbrauch oder Absprachen bei Vergabeverfahren; Korruptions- und Umweltdelikten; Tatbestände im Urheberrecht, Börsengesetz, Finanzstrafgesetz oder Gesetz gegen den unlauteren Wettbewerb).[6]

Von Rechtsakten außerhalb der EU ist das im Rahmen der OECD geschlossene Übereinkommen für die Bekämpfung der Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr aus 1997 zu erwähnen. Die Verantwortung von juristischen Personen sehen des Weiteren drei im Rahmen des Europarates abgeschlossene Vereinbarungen vor (Schutz der Umwelt 1998; Cyber-Crime 2001; Terrorismusbekämpfung 2005). Zur Bekämpfung von Geldwäsche werden wirksame, angemessene und abschreckende Sanktionen gegenüber juristischen Personen in den Empfehlungen der FAFTA verlangt.[7] Schließlich enthalten die UN-Übereinkommen zur Bekämpfung der Finanzierung von Terrorismus (2000)[8] und von Korruption (2005)[9] weitere Vorschriften für die straf- oder verwaltungsrechtliche Verantwortung von juristischen Personen.

1.2.1 Verantwortung von Organisationen im internationalen Rahmen[10]

Die meisten europäischen Staaten und zahleiche Staaten außerhalb der EU haben die Verantwortlichkeit für juristische Personen in ihren Rechtsystemen umgesetzt. In Kontinentaleuropa werden rein strafrechtliche, rein verwaltungsrechtliche oder gemischte Modelle unterschieden. Angelsächsische Staaten wie UK, Irland oder Zypern kennen kein Verwaltungsstrafrecht. Der Staat und seine Gebietskörperschaften sind in einigen Ländern von der Verantwortlichkeit zur Gänze ausgenommen (z.B. Frankreich, Italien, Schweiz, Ungarn, Polen). In manchen Ländern (Frankreich, Niederlande, Kroatien, UK) gibt es eine derartige Beschränkung nur für hoheitliche Tätigkeiten. Die Verantwortung von Unternehmen, die im öffentlichen Eigentum stehen, ist grundsätzlich nicht beschränkt. In den meisten Ländern umfasst die Verantwortlichkeit von juristischen Personen alle Delikte, in manchen Ländern nur wenige, auf internationale Vereinbarungen beschränkte Delikte (z.B. in Spanien, Italien, Malta, Brasilien, Canada, China und Indien). In einigen Ländern ist für die Zurechenbarkeit der Verantwortlichkeit erforderlich, dass die Tat zu Gunsten, im Auftrag, im Namen oder im Interesse der juristischen Person erfolgte (z.B. Deutschland, Frankreich, Italien, Polen, Slowenien). In manchen Staaten ist für die Begründung der Unternehmenshaftung ein bloßer Zusammenhang mit der Geschäftstätigkeit der juristischen Person ausreichend (z.B. Schweiz, UK). In den meisten Staaten werden Delikte von einem untergeordneten Mitarbeiter nur im Zusammenhang mit mangelnder Kontrolle oder Überwachung durch eine Person in Führungsposition der Verantwortung der juristischen Person zugerechnet (z.B. Deutschland, Frankreich, Niederlande, Italien, Polen, Ungarn). In einigen Ländern reicht die Tat einer beliebigen, für die juristische Person tätigen, Person zur Auslösung der Verantwortlichkeit aus (Belgien, Schweiz, Rumänien). In fast allen Rechtsordnungen ist vorgesehen, dass die Bestrafung der juristischen Person neben der Bestrafung der natürlichen Person erfolgen kann. In Belgien sind, soweit eine natürliche Person nicht wissentlich oder nicht willentlich gehandelt hat, nicht beide zu bestrafen, sondern jene (natürliche oder juristische) Person, der größere Schuld anzulasten ist.

1.2.2 Verantwortung von Organisationen im nationalen Rahmen

Die strafrechtliche Verantwortlichkeit für juristische Personen wird in Österreich in dem am 1. Januar 2006 in Kraft getretenen Verbandsverantwortlichkeitsgesetz (VbVG)[11] begründet und findet für alle absichtlichen und unabsichtlichen Straftaten Anwendung, die strafrechtlich verfolgt werden können. Ausgenommen von der Strafbarkeit sind nur anerkannte Religionsgesellschaften in Ausübung von seelsorgerischen Tätigkeiten[12] und staatliche Einrichtungen.[13] Die Straftat muss von einem „Entscheider“ begangen worden sein oder durch einen Mitarbeiter, entweder zugunsten der juristischen Person oder in Verletzung einer für die juristische Person geltenden Pflicht. Für Straftaten begangen von Mitarbeitern ist die juristische Person grundsätzlich nur verantwortlich, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat und wenn ein Entscheidungsträger unter Außerachtlassen der gebotenen und zumutbaren Sorgfalt die Begehung der Tat dadurch ermöglicht oder wesentlich erleichtert hat, indem wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung solcher Taten unterlassen wurden. Die Strafverfolgung der natürlichen Person, die die Straftat begangen hat, ist nicht Voraussetzung für die Haftung der juristischen Person. Geldstrafen sind mit einer Höchststrafe von insg. 1,8 Mio. EUR begrenzt und bemessen sich nach Tagsätzen, deren Höhe von der Ertragslage der juristischen Person abhängt. Zusätzlich kann als Sanktion eine Schadensgutmachung angeordnet werden.

In der Schweiz ist die strafrechtliche Verantwortlichkeit von juristischen Personen in Artikel 102 des Schweizerischen Strafgesetzbuches (StGB) geregelt. Eine generelle Strafbarkeit ist gegeben, wenn die Straftat in Ausübung kommerzieller Aktivitäten begangen wird und die Straftat aufgrund der unzureichenden Organisation des Unternehmens nicht einer bestimmten Person zugeordnet werden kann. Die primäre Haftung gilt für eine begrenzte Anzahl schwerwiegender Straftaten, einschließlich Geldwäscherei, Bestechung von Schweizer und ausländischen Beamten und Finanzierung von Terrorismus, zu deren Verhinderung das Unternehmen keine angemessenen organisatorischen Maßnahmen ergriffen hat, unabhängig davon, ob diese Straftat einer bestimmten Person zugeordnet werden kann oder nicht.[14]

In Deutschland gilt das Strafgesetzbuch nur für Individuen – nicht für Unternehmen. Diese können nach dem Gesetz über Ordnungswidrigkeiten (OWiG)[15] zivilrechtlich haftbar gemacht werden. Geldstrafen sind mit 10 Mio. EUR begrenzt. Die Beschlagnahme aller durch z.B. Bestechung erlangten wirtschaftlichen Vorteile unterliegt keiner Betragsbeschränkung.[16] Mit Juni 2020 hat das Deutsche Bundesministerium für Justiz und Verbraucherschutz einen Gesetzesentwurf mit dem Titel Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) zur Begutachtung veröffentlicht.[17] Der Gesetzesentwurf sieht die strafrechtliche Verantwortlichkeit von Unternehmen vor und verpflichtet Strafverfolgungsbehörden, Unternehmen entsprechend zu untersuchen und strafrechtlich zu verfolgen.

1.2.3 Verantwortung für Compliance in Österreich

In Österreich gibt es – ähnlich wie in Deutschland und in der Schweiz – kein für alle Organisationen verpflichtendes Regelwerk, das die Einführung eines Compliance-Management-Systems regelt bzw. dessen Einführung fordert. In Österreich sind nur Organisationen, die dem Wertpapieraufsichtsgesetz unterliegen, gem. § 18 WAG zur Einführung einer Compliance-Organisation verpflichtet.[18] Im österreichischen Corporate Governance Kodex (dessen Geltung auf freiwilliger Basis beruht) wird festgehalten, dass der Vorstand einer börsennotierten Aktiengesellschaft geeignete Maßnahmen zur Sicherstellung der Einhaltung der für das Unternehmen relevanten Gesetze zu treffen hat. Der Prüfungsausschuss des Aufsichtsrates hat die Wirksamkeit des internen Kontrollsystems und des Risikomanagement-Systems zu überwachen.[19]

Durch die in § 76 Abs. 1 AktG[20] und § 25 Abs. 1 GmbHG[21] geforderte Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsführers wird eine implizite Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen begründet. Nach § 82 AktG und § 22 (1) GmbHG haben der Vorstand bzw. die Geschäftsführung dafür zu sorgen, dass neben einem adäquaten Rechnungswesen ein den Erfordernissen der Gesellschaft entsprechendes internes Kontrollsystem eingeführt wird. Ähnliche Verpflichtungen ergeben sich aus dem Genossenschaftsgesetz (§ 22(1) GenG).[22]

1.3 Compliance als Werkzeug des strategischen Managements

Unter einem Management-System werden miteinander in Wechselwirkung stehende Elemente (Strukturen als statisches und Abläufe als dynamisches Element) verstanden, die dazu dienen, dass eine Organisation die ihr gesetzten Ziele erreicht. Da unter Strategie jener Plan verstanden wird, mit dem die Ziele einer Organisation umgesetzt werden, sind Management-Systeme Teil des strategischen Managements.[23] Dieses Kapitel gibt einen Einblick über die Entwicklung von Management-Systemen und von Compliance-Management-Systemen und ermöglicht die Einordnung des CMS nach ISO 37301 in diesem Kontext.

1.3.1 Begriffsbestimmung Management-Systeme

Entscheidend für den heute geläufigen und auch der ISO 37301 zugrundeliegenden Ansatz des systemorientierten Managements sind Entwicklungen von Lehre und Praxis in den USA und in Deutschland, die sich durch unterschiedliche Zugänge zu diesem Thema voneinander abgrenzen.

Die Geschichte der Betriebswirtschaftslehre in Deutschland geht auf die Gründung von Handelshochschulen Ende des 19. Jhdt. in Deutschland, Österreich und der Schweiz zurück. Neben der Vermittlung von Sprachkenntnissen und technologischem Wissen gewann schon bald die Systematisierung des vorhandenen Wissens an Bedeutung. Zum Zwecke der Abgrenzung zur Volkswirtschaftslehre wurde und wird bis heute intensiv die Bestimmung des Erkenntnisobjektes diskutiert. Der anfänglich im Vordergrund stehende Handelsbetrieb wurde ergänzt durch produzierende Betriebe (Industrie) und private Haushalte. Die inhaltliche Entwicklung der Betriebswirtschaftslehre konzentrierte sich zunächst auf das Rechnungswesen und auf Fragen der Kostenverursachung und der Finanzierung. In weiterer Folge wurden diese Teilgebiete durch die Untersuchung von Absatz-, Produktions- und Organisationsfragen erweitert.[24] Stand in der Wiederaufbauphase nach dem Zweiten Weltkrieg vorerst die kurzfristige Planung von Finanzströmen im Mittelpunkt, so entwickelte sich ab den 1960er-Jahren eine auf den Ergebnissen der Vergangenheit beruhende Langfristplanung mit Gewinnprognosen für weiter in der Zukunft liegende Perioden. Die Ölkrise 1973 und die zunehmende globale politische Destabilisierung machten deutlich, dass diese Vorgangsweise nicht mehr ausreichte, sondern eine Analyse des Umfeldes zur Identifikation von zukünftigen Risiken und Chance erforderlich wurde. Als Ergänzung zur betriebswirtschaftlichen Planungsrechnung fand das vorrangig in den USA entwickelte Konzept des strategischen Managements zunehmend auch in Deutschland und in ganz Europa Verwendung.[25]

Das Konzept einer strategischen Unternehmensführung lässt sich in den USA bis zum Anfang des 19. Jhdt. zu Frederick Winslow Taylor (1856-1915) zurückverfolgen. Im Gegensatz zur deutschen Betriebswirtschaftslehre, die sich als eine eigene Wirtschaftswissenschaft etablierte, ging es Taylor – der als Ingenieur aus der Praxis kam – um die Entwicklung eines Konzeptes für die tatsächliche Betriebsführung. Im Vordergrund standen Fragen der Verbesserung der Produktionsleistung (z.B. Gestaltung des Arbeitsplatzes, Entlohnungssysteme) und (noch) nicht Aufgaben der Gesamtführung eines Unternehmens. Die auch weiterhin von Praktikern wie Unternehmensleitern und Beratern getragene Managementlehre wandte sich in der Folge der Erstellung von Regeln und Prinzipien zu und den Fragen von Zusammenarbeit und Mitarbeiterführung. Durch das Hineintragen von Erkenntnissen aus anderen Wissenschaften wie Mathematik, Physik, Soziologie und Technik und letztendlich durch das Aufkommen von Computern entstand eine – nach wie vor – praxisorientierte Systemtheorie des Managements.[26] Als dessen Begründer und einer der wichtigsten Vertreter gilt Peter F. Drucker (1909-2005), der 1943 die Unternehmensführung und Arbeitsweise von General Motors untersuchte.[27] In seinem auf diesen Erkenntnissen basierendem Buch „Concept of the Corporation“ beschreibt Drucker den Konzern als eine Institution (als eine von vielen in einer Gesellschaft) zur Organisation menschlichen Handels zur Erreichung eines Unternehmenszwecks. Entscheidend für die Lösung der damit verbundenen Probleme sind die Unternehmensführung und die von ihr bestimmte Geschäftspolitik sowie die zur Umsetzung dieser Politik festgelegten Vorgangsweisen.[28] Konzerne (wie alle anderen Organisationen) können nicht überleben, wenn sie von einer oder von wenigen Personen abhängig sind. Es bedarf des Zusammenspiels von Managern und Mitarbeitern zur Errichtung eines Systems, das – basierend auf Leitbildern und Prinzipien – die Zielerreichung regelt. Und zwar so regelt, dass dieses System keine starre Planung darstellt, sondern die notwendige Flexibilität aufweist, damit die für die Zielerreichung notwendige Anpassung einzelner Schritte möglich wird.[29] Die zunehmende Erkenntnis über die Bedeutung der Einflüsse der Umwelt auf die Möglichkeiten und die Fähigkeiten eines Unternehmens, seine Ziele zu erreichen, führte zur Entwicklung des strategischen Managements. Die Chancen und Risiken, die sich aus dem Unternehmensumfeld ergaben, wurden ebenso analysiert wie die eigenen Stärken und Schwächen. Die Ergebnisse bilden die Grundlage für die Definition von Zielen und die Entwicklung einer Strategie, wie diese Ziele zu erreichen sind. Praktische Erfahrungen resultierten in einem Verständnis darüber, dass es zur erfolgreichen Implementierung von strategischen Maßnahmen die Akzeptanz der Mitglieder des Unternehmens bedarf. Unter diesem Gesichtspunkt erlangten die sog. soft facts – wie Aufbau- und Ablauforganisation, Personalmanagement, Unternehmenskultur sowie der Erhalt und die Verteilung von Information – eine eigenständige strategische Bedeutung.[30]

Zusammenfassend ist festzuhalten, dass beide Strömungen einen wesentlichen Beitrag zur Entwicklung und Führung von Organisationen leisten. Die aus der Praxis kommende systemorientierte Managementlehre liefert die Werkzeuge für die Umsetzung und die Bewältigung von sich laufend verändernden Anforderungen. Die Betriebswirtschaftslehre steuert durch ein Planungskonzept die fundierten Grundlagen für eine solide Entscheidungsvorbereitung bei.

Aus der Betrachtung von Organisationen als Systeme ergeben sich einige Merkmale, die auf alle Organisationen unabhängig von Größe, Organisationsform oder Aufgabenstellung zutreffen.[31] Bei der Betrachtung einer Organisation als System – in Anlehnung an Biologie oder Ökologie –wird klar, dass alle Elemente ein Wirkungsgefüge bilden und ein Eingriff an einer Stelle Auswirkungen an einer anderen Stelle hat bzw. haben kann. Organisationen müssen deshalb in ihrer Gesamtheit betrachtet werden. Bei der Vornahme von Maßnahmen sind alle Systemkomponenten (Strukturen, Prozesse, Mitarbeiter, Kunden etc.) zu berücksichtigen. Organisationen sind keine statischen Gebilde, sondern dynamische Systeme, gekennzeichnet durch (fortlaufende) Veränderungen. Veränderungen sind einerseits aus der Organisation heraus bedingt, andererseits werden sie durch Einwirkungen aus der Umwelt verursacht. Daraus ergibt sich, dass Organisationen – als Teil eines Netzwerkes von wirtschaftlichen, juristischen und gesellschaftlichen Beziehungen – offene Systeme sind. Das abschließende Merkmal einer systemischen Betrachtung von Organisationen ist ihre Komplexität.[32] Diese ist jedoch nicht als unvermeidbares Übel zu sehen, sondern es sind eben die Vielzahl der Parameter, die es Organisationen erst ermöglicht, sich Anforderungen anzupassen und somit ihre Lebensfähigkeit zu erhalten.

Die Aufgabe und Bedeutung von Management-Systemen liegt darin, komplexe Systeme dadurch beherrschbar zu machen, dass das Verhalten (einer Vielzahl) von Menschen auf ein Ziel hin koordiniert wird.[33] Durch Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche zielorientierte Organisationsausrichtung. Ein CMS nach ISO 37301 folgt diesem Ansatz. Die Zuteilung – als strukturelles oder statisches Element – von Aufgaben und Verantwortung für Compliance einer Organisation bei der Abwicklung ihrer Geschäftstätigkeiten wird unterstützt durch die Integration von Compliance-Maßnahmen (als dynamisches Element) in bestehende Verfahren, Abläufe, Prozesse etc.

1.3.2 Compliance-Management-Systeme

Durch die Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche und zielorientierte Organisationsausrichtung. Nationale wie internationale Rechtsordnungen sehen vor, dass Organisationen eine (implizite) Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen haben. Abgesehen von einigen Ausnahmen gibt es jedoch keine Vorschriften darüber, wie diese Aufsichts- und Kontrollmaßnahmen auszugestalten sind. Insbesondere gibt es keine für alle Organisationen gültige gesetzliche Vorschrift, die die Einführung eines Compliance-Management-Systems (CMS) vorschreibt.

Auf internationaler Ebene haben sich Compliance-Management-Systeme im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt.[34] Dies ist auch in Österreich der Fall. Für Organisationen, die dem Wertpapiergesetz unterliegen, besteht gemäß § 18 Wertpapieraufsichtsgesetz (WAG) die Verpflichtung, eine unabhängige Compliance-Funktion auf Dauer einzurichten, die die Überwachung und regelmäßige Bewertung der Angemessenheit vorgeschriebener Verfahren sowie die Setzung von Maßnahmen zur Behebung etwaiger Mängel zur Aufgabe hat. Die ersten Maßstäbe für Compliance-Management-Systeme in Zusammenhang mit Anti-Korruptionsbestimmungen wurden in den USA und in Großbritannien gesetzt. In beiden Ländern kann ein angemessenes und wirksames Compliance- und Ethik-Programm eine Strafverfolgung beeinflussen, wenngleich in unterschiedlicher Ausprägung. Zahlreiche Staaten haben in den letzten Jahren in ihren Rechtssystemen die strafrechtliche Verantwortlichkeit für juristische Personen umgesetzt. Voraussetzung ist oftmals, dass zum Zeitpunkt der Verfolgung eine Fahrlässigkeit der Organisation vorliegt, d. h. die Organisation hat zuvor keine ordnungsgemäßen und geeigneten Maßnahmen errichtet und umgesetzt, mit dem das Risiko des Auftretens der verfolgten Straftat erheblich verringert werden sollte.[35]

1.4 Abgrenzung Governance – IKS – RMS – CMS

Im weiteren Sinne wird unter Governance alle Instrumente verstanden, die das Erreichen des Zweckes einer Organisation unterstützen und dabei eine ordnungsgemäße und auf nachhaltige und langfristige Wertschöpfung ausgerichtete Steuerung der Organisation im Interesse aller Stakeholder sicherstellt.[36] Dazu gehören alle Vorgänge, die bestimmen, wie in einer Organisation wichtige Entscheidungen getroffen werden, wie Leistung erbracht und Kontrolle ausgeübt wird.[37]Nachfolgend werden drei Institutionen vorgestellt, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden: internes Kontrollsystem (IKS), Risikomanagement-System (RMS) und Compliance-Management-System (CMS).

1.4.1 Corporate Governance

Der Begriff Corporate Governance geht auf die Notwendigkeit zurück, die Interessen von Kapitalgebern gegenüber eigennützigen Handlungen des Managements zu schützen. Bereits Adam Smith behandelte im 18.Jhdt. ausgiebig die Problematik, wie bei wachsender Größe der Unternehmen eine arbeitsteilige Organisation anzuleiten und zu kontrollieren sei. Manager können Aktionären finanziellen Schaden zufügen durch z.B. unzureichende Anstrengungen auf der Suche nach Geschäftsmöglichkeiten oder das Ausbleiben notwendiger Modernisierungen, durch Abschluss von risikoreichen Transaktionen oder unzureichend ausgearbeiteten Investitionen oder durch mangelnde Kontrolle von Aktivitäten innerhalb des Unternehmens. Mit der Trennung von Eigentum am und der Kontrolle über das Unternehmen wurde es notwendig, Regeln zu bestimmen, die sicherstellten, dass die mit der Führung des Unternehmens betrauten Manager (Agenten) im Interesse der Eigentümer (Prinzipale) handelten.[38] Dieses Prinzipal-Agent-Problem[39] ist die Grundlage für die anfangs enge Definition von Corporate Governance als Art und Weise, wie Zuständigkeiten und Rollen zwischen den einzelnen Organen einer Gesellschaft verteilt werden, um den Kapitalgebern (= Eigentümern) die erwartete Rendite zu sichern.[40]

Eine erweiterte Perspektive von Corporate Governance entwickelte sich aus dem Verständnis, dass ein Unternehmen als ein Netzwerk von Verträgen verstanden werden kann, das im Innenverhältnis das Unternehmen selbst darstellt und im Außenverhältnis die Beziehung zu den Stakeholdern regelt.[41] Die Erweiterung des Begriffes erfolgt in Bezug auf mehrere Faktoren: Erstens in Bezug auf die Akteure, weil nicht nur Eigentümer und Manager einbezogen werden, sondern die Interessen eines weiteren Personenkreises (= Stakeholder) berücksichtigt werden, wie z.B. Kunden, Mitarbeiter, Lieferanten oder externe Kapitalgeber. Zweitens steht nicht mehr die Anwendung von finanziellem Schaden der Eigentümer im Vordergrund, sondern die Wahrung der Rechte und legitimen Interessen aller Stakeholder. Corporate Governance kann somit als übergeordneter Steuerungsrahmen verstanden werden, der die Austauschbeziehungen innerhalb einer Organisation einerseits und mit ihrem Umfeld andererseits regelt.[42] Aufgrund der Unterschiedlichkeit von Organisationen gibt es grundsätzlich keine einheitlichen Bestimmungen über Elemente der Aufbau- oder der Ablauforganisation. Die Governance-Strukturen sind auf die individuelle Situation der Organisation anzupassen in dem Sinne, dass die Erreichung der Organisationsziele unterstützt wird. Verschiedene Institutionen haben sich in der Praxis und in weiterer Folge in der Gesetzgebung herausgebildet, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden, wie ein internes Kontrollsystem (IKS), ein Risikomanagement-System (RMS) und ein Compliance-Management-System (CMS).

1.4.2 Internes Kontrollsystem (IKS)

Unter einem IKS werden alle in einer Organisation eingeführten, aufeinander abgestimmten Grundsätze, Methoden und Maßnahmen verstanden, die zur Sicherung des Vermögens, der Ordnungsmäßigkeit, Genauigkeit und Zuverlässigkeit der internen und externen Rechnungslegung sowie der Einhaltung der vorgeschriebenen Geschäftspolitik dienen.[43] Zur Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sollte ein IKS alle wesentlichen Geschäftsprozesse umfassen.

Der Begriff IKS geht auf eine Studie aus dem Jahre 1992 zurück, welche vom Committee of Sponsoring Organizations of the Treadway Commission (COSO)[44] veröffentlicht wurde. Durch das darin vorgestellte „Internal Control System“ wurden Begriffe aus dem Corporate Governance Bereich präzisiert und mit konkreten Maßnahmen unterlegt. Zur richtigen Einordnung dieses Ansatzes ist zu berücksichtigen, dass im Englischen mit dem Wort „control“ nicht nur Kontrollen im Sinne von Überprüfungen gemeint sind, sondern auch die Maßnahmen, die gesetzt wurden, um bestimmte Ergebnisse zu erreichen. Es empfiehlt sich daher, ein IKS als Gesamtheit seiner beiden Teilbereiche zu betrachten: ein internes Steuerungssystem und ein internes Überwachungssystem.[45]

COSO definiert drei Geschäftsziele eines IKS: (i) Effektivität und Effizienz der Geschäftsprozesse, (ii) Verlässlichkeit der finanziellen Berichterstattung und (iii) Einhaltung von gültigen Gesetzen und Vorschriften. Mit „Internal Control“ wird die Summe aller Instrumente verstanden, die erforderlich sind, um die Erreichung dieser drei Zielkategorien sicherzustellen. Die Instrumente sind in fünf Komponenten eingeteilt: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten (im Sinne von Steuerung), Information und Kommunikation sowie Überwachung. Die drei Zielkategorien sowie alle fünf Komponenten werden sowohl auf Konzernebene wie auch auf alle Bereiche und/oder Aktivitäten einer Organisation (Einheiten) angewandt. Die drei Dimensionen sind in Abbildung 1 grafisch dargestellt, die Komponenten der 2. Dimension (Prozesse) werden nachfolgend näher erläutert.[46]

Abbildung 1

COSO Internal Control – Integrated Framework[47]

Kontrollumfeld – Mit dem Kontrollumfeld wird die Basis der Organisation umfasst. Diese wird ausgedrückt durch (i) Einflüsse und Werte, die die Verhaltensweisen lenken, durch (ii) Strukturen, die die Verantwortungen zuteilen und abbilden, und durch (iii) Abläufe, die die Koordination von Aufgaben regeln. All diese Parameter sind so zu gestalten, dass sie die Erreichung der Geschäftsziele unterstützen. Die Risikobereitschaft als Element des internen Umfeldes wird sowohl durch quantitative als auch durch qualitative Ziele und Beschränkungen ausgedrückt und fließt in der weiteren Folge als Messgröße für akzeptables Risiko in die Risikobeurteilung ein.

Risikobeurteilung – Die Bewertung identifizierter Risiken erfolgt durch Festlegung ihrer Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes. Für die nach Risikotransfermaßnahmen (z.B. Versicherung) verbleibenden Restrisiken werden Steuerungsmaßnahmen zu ihrer Bewältigung gesetzt.

Steuerungsmaßnahmen – Vorschriften, Richtlinien und Verfahren (wie z.B. Aufgabentrennung, Stichproben etc.) werden implementiert, um den operativen Betrieb, die ordnungsgemäße Rechnungslegung sowie die Einhaltung der für die Organisation relevanten Regeln (Compliance) sicherzustellen.

Information und Kommunikation – Kenntnis über alle wesentlichen Prozessschritte ermöglicht es Mitarbeitern, ihre Verantwortlichkeit wahrzunehmen und ihren Beitrag zu einer effizienten Abwicklung der operativen Tätigkeiten, einer ordnungsgemäßen Rechnungslegung und der Einhaltung aller gesetzlichen Bestimmungen zu leisten.

Überwachung – Alle gesetzten Maßnahmen müssen regelmäßig überwacht und, falls erforderlich, verbessert werden. Die Funktionstätigkeit und Angemessenheit des IKS ist von einer unabhängigen Stelle zu prüfen.

1.4.3 Risikomanagement-System (RMS)[48]

Das Risikomanagement als Teil des IKS und zweites Instrument einer effizienten und effektiven Governance-Struktur ist darauf ausgerichtet, Chancen und Gefahren frühzeitig zu erkennen und dahingehend zu bewerten, wie sie die Erreichung der Unternehmensziele (in strategischer, operativer, Rechnungslegung und Compliance Sicht) beeinflussen können. Die Erkenntnisse unterstützen die Entscheidungsfindung einer zukunftsorientierten Planung und fließen in die Risikosteuerung ein.

Ereignisidentifikation – Es gilt, alle internen und externen Ereignisse zu identifizieren, die das Erreichen der Ziele einer Organisation beeinflussen. Diese Einflüsse können sowohl von positiver (Chance) als auch von negativer Natur (Risiko) sein.

Risikobeurteilung – Die identifizierten potenziellen Risiken werden in einem Risikokatalog zusammengefasst und nach ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkung hin untersucht und bewertet. Anhand der Bewertungsergebnisse werden die Risiken priorisiert, um zielgerichtete Maßnahmen zu ihrer Bewältigung zu entwickeln.

Risikosteuerung – Risiken können durch Unterlassen einer Geschäftsaktivität vermieden werden. In allen anderen Fällen werden Maßnahmen zur Verringerung zu setzen sein, sei es durch Kontrollen oder durch Übertragung (z.B. Versicherungen).

1.4.4 Compliance-Management (CMS)

Als drittes Instrument einer effizienten und effektiven Governance-Struktur ist ein Compliance-Management-System darauf ausgerichtet, die Einhaltung von gesetzlichen, regulatorischen oder freiwillig eingegangenen Verpflichtungen bei der Ausübung der Geschäftstätigkeit zu gewährleisten. Durch geeignete Maßnahmen sollen Nichteinhaltungen von Compliance-Verpflichtungen verhindert werden. Verstöße sind rechtzeitig zu erkennen sowie Maßnahmen zur Bereinigung der Situation zu setzen. Durch Verbesserungen und Anpassungen des CMS werden Wiederholungen von Verstößen vermieden und Compliance der Organisation in Bezug auf die Abwicklung ihre Geschäftstätigkeiten (wieder)hergestellt.

Als Fazit ist festzuhalten, dass ein IKS, ein RMS und ein CMS Instrumente für eine effektive und effiziente Führung von Organisationen sind, die nicht losgelöst voneinander betrachtet werden können bzw. sollten. Ein CMS unterstützt bei der Bewältigung von Compliance-Risiken und ist somit ein Teil des RMS. Die Bestimmung jener Compliance-Verpflichtungen, deren Einhaltung durch ein CMS und seine Maßnahmen zu gewährleisten ist, ergibt sich aus der Risikobewertung dieser Compliance-Verpflichtungen. Die Prinzipien eines Risikomanagements sind somit Teil eines wirksamen CMS. Compliance – als Organisationsziel – sicherzustellen, ist ein Kernelement eines IKS. Für seine Angemessenheit wird durch die Beurteilung der Gesamtrisikosituation einer Organisation vorgesorgt.

1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten

Compliance-Management-Systeme haben sich erstmalig im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt. Als treibende Kraft für die Festlegung von Standards im Kampf gegen Geldwäsche und Terrorismusfinanzierung wird seit ihrer Gründung im Jahre 1989 die Financial Action Task Force (FATFA) angesehen. Seit ihrem ersten Erscheinen 1990 gelten die regelmäßig aktualisierten 40 Recommendations (Empfehlungen) von FATFA[49] als Grundlage für internationale wie nationale Vorschriften. Für ausgewählte Risikogebiete (Geldwäsche, Finanzmarkttransaktionen oder Korruptionsbekämpfung) gibt es lokale oder regionale Richtlinien für Compliance-Programme, die die Einhaltung der entsprechenden Vorschriften sicherstellen sollen. Die Gefahr besteht jedoch darin, dass in einer Organisation mehrere Compliance-Management-Systeme nebeneinander entstehen, wodurch Effektivität und Effizienz verloren gehen und Compliance-Management zu einer Erschwerung der Geschäftsabwicklung wird.

Durch den systemorientierten Ansatz können in einem CMS nach ISO 37301 mehrere Compliance-Verpflichtungen zusammengefasst werden. Regelkonformes Verhalten wird in der Organisation unterstützt und gleichzeitig die Effizienz durch eine adäquate Allokation von Ressourcen gesteigert. Compliance-Management wird zur Unterstützung für eine nachhaltige Geschäftsentwicklung.

Die strafrechtliche Verantwortung von Organisationen (Verband) ist in Österreich im Verbandsverantwortlichkeitsgesetz geregelt.[50] Ein Verband ist für eine von einem Mitarbeiter begangene Straftat u.a. dann verantwortlich, wenn wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung der Tat unterlassen wurden. Es gibt keine Erläuterungen oder allgemein anwendbare Richtlinien, was unter „wesentliche technische, organisatorische oder personelle Maßnahmen“ zu verstehen ist. Eine ähnliche Reglung zur strafrechtlichen Verantwortung von Organisationen sieht das Schweizerische Strafgesetzbuch vor (§ 102 Abs.2 StGB).[51] Ein Unternehmen wird bestraft, wenn es nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getroffen hat, um die gegenständliche Straftat zu verhindern. Erläuterungen bzw. eine allgemein anwendbare Richtlinie zu „erforderlichen und zumutbaren organisatorischen Vorkehrungen“ gibt es nicht. Das – in der Gesetzgebung befindliche – Deutsche Verbandssanktionengesetz[52] sieht vor, dass eine Verbandsstrafe verhängt werden kann, wenn die Straftat durch angemessene Vorkehrungen zur Vermeidung – wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht – hätte verhindert oder wesentlich erschwert hätte werden können. Erläuterungen über „angemessene Vorkehrungen“ sieht das Gesetz nicht vor (eine Richtlinie zur Anwendung liegt derzeit ebenfalls nicht vor).

Das Vorliegen eines Organisationsmangels ist in allen drei Gesetzen (Österreich, Schweiz und Deutschland) Voraussetzung für die Strafbarkeit der Organisation. Die Schwere und das Ausmaß des Organisationsmangels, oder umgekehrt, die Angemessenheit und die Wirksamkeit von Maßnahmen und Vorkehrungen, werden bei der Bemessung der Strafe mitberücksichtigt. In allen drei Ländern enthalten die Vorschriften über die Bekämpfung von Geldwäsche fundamentale Bestimmungen über die Einführung einer Compliance-Organisation.[53] Neben diesen branchenspezifischen Regelungen gibt es keine allgemein gültige Vorschrift, die die Errichtung eines CMS vorsieht oder gar vorschreibt.

Auf internationaler Ebene haben sich in einigen Ländern Regelungen etabliert, die Anforderungen an Compliance-Maßnahmen festlegen. Die Beurteilung der Effektivität dieser Maßnahmen kann einerseits die Strafbemessung beeinflussen. Der Nachweis, dass eine Organisation die gebotene Sorgfalt zur Verhinderung der Straftat angewendet hat, kann anderseits vor Strafverfolgung schützen. In Tabelle 1 werden drei Beispiele aufgezeigt, in denen Anforderungen an die Elemente einer wirksamen Compliance-Organisation bestimmt sind. Deren Wirksamkeit wird bei der Entscheidung über eine Strafverfolgung und/oder das Strafausmaß berücksichtigt.

Tabelle 1

Anforderungen an ein effektives CMS vs. ISO 37301[54]

ISO 37301

Italien

Spanien

US DOJ

Kapitel 4 Kontext der Organisation

2.a Risikobewertung

1. Risikobewertung

I.A. Risikobewertung

1.d Proaktive Wachsamkeit

Kapitel 5Führung

1.a Engagement der obersten Leitung

1. Engagement und Handlung der obersten Leitung

II.A. Engagement der Führungskräfte

1.a Einbeziehung des Aufsichtsgremiums

2. Compliance-Funktion

II.B. Autonomie & Ressourcen

2.e Sanktionen

5. Sanktionen

Kapitel 6Planung

2. Geeignete Verfahren

I.B. Politiken & Verfahren

Kapitel 7Unterstützung

2.b Schulungen

3. Schulungen

I.C. Schulungen

2.c Geeignete Ressourcen

5. Sanktionen

II.C. Anreize und Disziplinarmaßnahmen

2.e Sanktionen

Kapitel 8Betrieb

2.b Interne Verfahren

3. Finanzielle Kontrollen

I.B. Politiken & Verfahren

2.d Äußern von Bedenken

4. Äußern von Bedenken

I.D. Vertrauliche Berichtsstruktur

I.D. Untersuchungsprozess

I.E. Drittparteien Mgt.

I.F. Mergers & Acquisitions

III.B. Untersuchung von Fehlverhalten

Kapitel 9Leistungsbeurteilung

6. Kontrolle der Umsetzung

III.A. Regelmäßige Tests und Überprüfungen

Kapitel 10Kontinuierliche Verbesserung

III.A. Ständige Verbesserung

III.B Untersuchung von Fehlverhalten

Gemäß dem italienischen Gesetzesdekret Nr. 231 (2001) kann eine Organisation von der Haftung befreit werden, wenn sie u.a. nachweist, dass wirksame und spezifische interne Compliance-Maßnahmen ergriffen wurden. In Spanien etablierte die Änderung des Strafgesetzbuchs (2015) die Befreiung von der strafrechtlichen Haftung für juristische Personen, die eine wirksame Umsetzung eines Verbrechensverhütungs- oder Compliance-Programms nachweisen können.

Die Grundsätze der Bundesverfolgung von Unternehmensverbänden im Justizhandbuch des US-Justizministeriums[55] beschreiben spezifische Faktoren, die bei der Durchführung einer Untersuchung von Unternehmen zu berücksichtigen sind. Zu diesen Faktoren gehören die Umsetzung und Verbesserung eines wirksamen Compliance-Programmes zum Zeitpunkt der Straftat und zum Zeitpunkt der Verfahrensentscheidung. Die umfangreiche Richtline des US-Justizministeriums (Kriminalabteilung, Juni 2020) zur Evaluierung von Corporate-Compliance-Programmen soll Staatsanwälte bei der Bewertung dieser Faktoren unterstützen.

Tabelle 2

Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301[56]

Kriminalabteilung des US-Justizministeriums

Elemente ISO 37301

Evaluierung des Corporate-Compliance-Programms / Juni 2020

Kapitel

I. Ist das Corporate-Compliance-Programm gut konzipiert?

I.A.

Risikobewertung

4.1 Kontext der Organisation, 4.6 Compliance-Risiko; 7.2.2 Beschäftigungsverfahren

I.B.

Richtlinien und Verfahren

6. Planung; 8.1/2 Operative Maßnahmen; 9.1-9.3 Überwachung

I.C.

Schulung und Kommunikation

7.2. Kompetenz und Schulung, 7.3 Bewusstsein, 7.4 Kommunikation

I.D.

Vertrauliche Berichtsstruktur und Untersuchungsprozess

8.3 Bedenken äußern; 8.4 Untersuchungsprozess

I.E.

Verwaltung durch Dritte

8.1 & 8.2 Ausgelagerte Prozesse/Due Diligence

I.F.

Mergers & Acquisitions (M&A)

8.1 & 8.2 Ausgelagerte Prozesse/Due Diligence

II. Ist das Compliance-Programm des Unternehmens angemessen ausgestattet und befähigt, effektiv zu funktionieren?

II.A

Engagement des Senior und Minor Middle Management

5.1 Führung und Engagement, 5.2 Compliance-Politik; 5.3 Verantwortlichkeiten Führungskräfte

II.B.

Autonomie und Ressourcen

5.3. Compliance-Funktion; 7.1 Ressourcen

II.C

Anreize und Disziplinarmaßnahmen

7.3 Bewusstsein

III. Funktioniert das Corporate-Compliance-Programm in der Praxis?

III.A

Kontinuierliche Verbesserung, regelmäßige Tests und Überprüfung

9.1 Überwachung, 9.2 Internes Audit, 9.4 Überprüfung oberste Leitung (Aufsichtsgremium)

III.B

Untersuchung von Fehlverhalten

8.4 Untersuchungsprozess

III.C.

Analyse und Behebung von zugrunde liegendem Fehlverhalten

8.4 Untersuchungsprozess; 10.1 Kontinuierliche Verbesserung

Der umfangreichen Darstellung von Beispielthemen und Fragen kommt aufgrund der Vielzahl an Geschäftsbeziehungen zu Unternehmen der weltweit größten Volkswirtschaft eine gewisse Bedeutung bei der Bemessung der Wirksamkeit eines CMS zu. Jedoch mag es nicht immer angebracht sein, die Richtlinie einer innerstaatlichen Institution als Maßstab heranzuziehen. Die Vereinbarkeit des Anspruches der DOJ-Richtlinie mit den Anforderungen der ISO 37301 wird daher in zweifacher Hinsicht veranschaulicht. In Tabelle 1 wurden die Anforderungen der ISO 37301 den Erwartungen der DOJ-Richtlinie gegenübergestellt. Tabelle 2 zeigt, durch welche Anforderungen der ISO 37301 die Erwartungen der DOJ-Richtline abgedeckt werden. Die DOJ-Richtline wird nicht nur – wie manchmal fälschlich angenommen – auf Korruptionsdelikte angewandt. Das zu bewertende Compliance-Programm kann sich auf alle relevanten Compliance-Verpflichtungen einer Organisation beziehen.[57]

ISO Standards werden im internationalen Kontext von Anwendern für Anwender entwickelt. Dieser Ansatz ermöglicht die Position von ISO Standards als unparteiisches Best-Practice-Instrument. Aufgrund der ähnlich weitreichenden Bedeutung wie die DOJ-Richtlinien zur Bewertung der Wirksamkeit eines Compliance-Programmes werden in der nachfolgenden Tabelle 3 die Richtlinien der Weltbankgruppe an ein wirksames Compliance-Programm dargestellt und den Elementen der ISO 37301 gegenübergestellt.

Tabelle 3

Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001[58]

Die Weltbankgruppe

Elemente ISO 37301

Die Integritäts-Compliance-Richtlinien

Kapitel

1

Einfordern von regelkonformem Verhalten

5.2 Compliance-Politk

2

Verantwortung

5.1 Führung & Engagement, 5.3 Rollen & Verantwortung

3

Programminitiierung, Risikobewertung und Überprüfung

4.6 Compliance-Risikobewertung; 6. Planung; 9. Leistungsbeurteilung

4

Interne Richtlinien

5.3 Compliance-Funktion, 7.1 Ressourcen

5

Richtlinien zu Geschäftspartnern

8.1 & 8.2 Betriebliche Kontrollen und Verfahren

6

Interne Kontrollen

8.1 & 8.2 Betriebliche Kontrollen und Verfahren

7

Schulung & Kommunikation

7.2 Kompetenz und Ausbildung, 7.4 Kommunikation

8

Anreize

7.3 Bewusstsein

9

Berichterstattung

8.3 Äußern von Bedenken

10

Fehlverhalten beheben

8.4 Untersuchungsprozess

11

Kollektive Maßnahmen

4.2 Interessierte Parteien

Das Sanktionssystem der Weltbankgruppe (WBG) soll sicherstellen, dass Entwicklungsfinanzierungen in WBG-Operationen nur für die vorgesehenen Zwecke verwendet werden. Der zweistufige Prozess soll sowohl künftiges Fehlverhalten verhindern als auch die Rehabilitation der Sanktionsparteien fördern. Die häufigste Sanktion ist es, eine sanktionierte Partei für einen Mindestzeitraum vom Zugang zu WBG-Finanzierungen auszuschließen (Debarment). Für eine Aufhebung des Ausschlusses ist die Umsetzung eines wirksamen Compliance-Programmes erforderlich.

Das Sanktionssystem der WBG findet auf die Nichteinhaltung unterschiedlicher Compliance-Verpflichtungen Anwendung, wie z.B. Betrug, Korruption, Absprachen oder Zwangspraktiken. Von besonderer Bedeutung ist das sogenannte Cross-Debarment-Regime. Es besagt, dass wenn eine Organisation von einer Entwicklungsbank ausgeschlossen wurde, auch anderen Entwicklungsbanken einen Ausschluss von ihren Finanzierungen verhängen.[59]