Erfolgreich mit Compliance. Barbara Neiger
zu entwickeln.
Risikosteuerung – Risiken können durch Unterlassen einer Geschäftsaktivität vermieden werden. In allen anderen Fällen werden Maßnahmen zur Verringerung zu setzen sein, sei es durch Kontrollen oder durch Übertragung (z.B. Versicherungen).
1.4.4 Compliance-Management (CMS)
Als drittes Instrument einer effizienten und effektiven Governance-Struktur ist ein Compliance-Management-System darauf ausgerichtet, die Einhaltung von gesetzlichen, regulatorischen oder freiwillig eingegangenen Verpflichtungen bei der Ausübung der Geschäftstätigkeit zu gewährleisten. Durch geeignete Maßnahmen sollen Nichteinhaltungen von Compliance-Verpflichtungen verhindert werden. Verstöße sind rechtzeitig zu erkennen sowie Maßnahmen zur Bereinigung der Situation zu setzen. Durch Verbesserungen und Anpassungen des CMS werden Wiederholungen von Verstößen vermieden und Compliance der Organisation in Bezug auf die Abwicklung ihre Geschäftstätigkeiten (wieder)hergestellt.
Als Fazit ist festzuhalten, dass ein IKS, ein RMS und ein CMS Instrumente für eine effektive und effiziente Führung von Organisationen sind, die nicht losgelöst voneinander betrachtet werden können bzw. sollten. Ein CMS unterstützt bei der Bewältigung von Compliance-
Risiken und ist somit ein Teil des RMS. Die Bestimmung jener Compliance-Verpflichtungen, deren Einhaltung durch ein CMS und seine Maßnahmen zu gewährleisten ist, ergibt sich aus der Risikobewertung dieser Compliance-Verpflichtungen. Die Prinzipien eines Risikomanagements sind somit Teil eines wirksamen CMS. Compliance – als Organisationsziel – sicherzustellen, ist ein Kernelement eines IKS. Für seine Angemessenheit wird durch die Beurteilung der Gesamtrisikosituation einer Organisation vorgesorgt.
1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten
Compliance-Management-Systeme haben sich erstmalig im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt. Als treibende Kraft für die Festlegung von Standards im Kampf gegen Geldwäsche und Terrorismusfinanzierung wird seit ihrer Gründung im Jahre 1989 die Financial Action Task Force (FATFA) angesehen. Seit ihrem ersten Erscheinen 1990 gelten die regelmäßig aktualisierten 40 Recommendations (Empfehlungen) von FATFA[49] als Grundlage für internationale wie nationale Vorschriften. Für ausgewählte Risikogebiete (Geldwäsche, Finanzmarkttransaktionen oder Korruptionsbekämpfung) gibt es lokale oder regionale Richtlinien für Compliance-Programme, die die Einhaltung der entsprechenden Vorschriften sicherstellen sollen. Die Gefahr besteht jedoch darin, dass in einer Organisation mehrere Compliance-Management-Systeme nebeneinander entstehen, wodurch Effektivität und Effizienz verloren gehen und Compliance-Management zu einer Erschwerung der Geschäftsabwicklung wird.
Durch den systemorientierten Ansatz können in einem CMS nach ISO 37301 mehrere Compliance-Verpflichtungen zusammengefasst werden. Regelkonformes Verhalten wird in der Organisation unterstützt und gleichzeitig die Effizienz durch eine adäquate Allokation von Ressourcen gesteigert. Compliance-Management wird zur Unterstützung für eine nachhaltige Geschäftsentwicklung.
Die strafrechtliche Verantwortung von Organisationen (Verband) ist in Österreich im Verbandsverantwortlichkeitsgesetz geregelt.[50] Ein Verband ist für eine von einem Mitarbeiter begangene Straftat u.a. dann verantwortlich, wenn wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung der Tat unterlassen wurden. Es gibt keine Erläuterungen oder allgemein anwendbare Richtlinien, was unter „wesentliche technische, organisatorische oder personelle Maßnahmen“ zu verstehen ist. Eine ähnliche Reglung zur strafrechtlichen Verantwortung von Organisationen sieht das Schweizerische Strafgesetzbuch vor (§ 102 Abs.2 StGB).[51] Ein Unternehmen wird bestraft, wenn es nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getroffen hat, um die gegenständliche Straftat zu verhindern. Erläuterungen bzw. eine allgemein anwendbare Richtlinie zu „erforderlichen und zumutbaren organisatorischen Vorkehrungen“ gibt es nicht. Das – in der Gesetzgebung befindliche – Deutsche Verbandssanktionengesetz[52] sieht vor, dass eine Verbandsstrafe verhängt werden kann, wenn die Straftat durch angemessene Vorkehrungen zur Vermeidung – wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht – hätte verhindert oder wesentlich erschwert hätte werden können. Erläuterungen über „angemessene Vorkehrungen“ sieht das Gesetz nicht vor (eine Richtlinie zur Anwendung liegt derzeit ebenfalls nicht vor).
Das Vorliegen eines Organisationsmangels ist in allen drei Gesetzen (Österreich, Schweiz und Deutschland) Voraussetzung für die Strafbarkeit der Organisation. Die Schwere und das Ausmaß des Organisationsmangels, oder umgekehrt, die Angemessenheit und die Wirksamkeit von Maßnahmen und Vorkehrungen, werden bei der Bemessung der Strafe mitberücksichtigt. In allen drei Ländern enthalten die Vorschriften über die Bekämpfung von Geldwäsche fundamentale Bestimmungen über die Einführung einer Compliance-Organisation.[53] Neben diesen branchenspezifischen Regelungen gibt es keine allgemein gültige Vorschrift, die die Errichtung eines CMS vorsieht oder gar vorschreibt.
Auf internationaler Ebene haben sich in einigen Ländern Regelungen etabliert, die Anforderungen an Compliance-Maßnahmen festlegen. Die Beurteilung der Effektivität dieser Maßnahmen kann einerseits die Strafbemessung beeinflussen. Der Nachweis, dass eine Organisation die gebotene Sorgfalt zur Verhinderung der Straftat angewendet hat, kann anderseits vor Strafverfolgung schützen. In Tabelle 1 werden drei Beispiele aufgezeigt, in denen Anforderungen an die Elemente einer wirksamen Compliance-Organisation bestimmt sind. Deren Wirksamkeit wird bei der Entscheidung über eine Strafverfolgung und/oder das Strafausmaß berücksichtigt.
Tabelle 1
Anforderungen an ein effektives CMS vs. ISO 37301[54]
| ISO 37301 | Italien | Spanien | US DOJ |
| Kapitel 4 Kontext der Organisation | 2.a Risikobewertung | 1. Risikobewertung | I.A. Risikobewertung |
| 1.d Proaktive Wachsamkeit | |||
| Kapitel 5Führung | 1.a Engagement der obersten Leitung | 1. Engagement und Handlung der obersten Leitung | II.A. Engagement der Führungskräfte |
| 1.a Einbeziehung des Aufsichtsgremiums | 2. Compliance-Funktion | II.B. Autonomie & Ressourcen | |
| 2.e Sanktionen | 5. Sanktionen | ||
| Kapitel 6 Planung | 2. Geeignete Verfahren | I.B. Politiken & Verfahren | |
| Kapitel 7Unterstützung | 2.b Schulungen | 3. Schulungen | I.C. Schulungen |
| 2.c Geeignete Ressourcen | 5. Sanktionen | II.C. Anreize und Disziplinarmaßnahmen | |
| 2.e Sanktionen | |||
| Kapitel 8Betrieb | 2.b Interne Verfahren | 3. Finanzielle Kontrollen | I.B. Politiken & Verfahren |
| 2.d Äußern von Bedenken | 4. Äußern von Bedenken | I.D. Vertrauliche Berichtsstruktur | |
| I.D. Untersuchungsprozess | |||
| I.E. Drittparteien Mgt. | |||
| I.F. Mergers & Acquisitions | |||
| III.B. Untersuchung von Fehlverhalten | |||
| Kapitel 9Leistungsbeurteilung | 6. Kontrolle der Umsetzung | III.A. Regelmäßige Tests und Überprüfungen | |
| Kapitel 10Kontinuierliche Verbesserung | III.A. Ständige Verbesserung | ||
| III.B Untersuchung von Fehlverhalten |
Gemäß dem italienischen Gesetzesdekret Nr. 231 (2001) kann eine Organisation von der Haftung befreit werden, wenn sie u.a. nachweist, dass wirksame und spezifische interne Compliance-Maßnahmen ergriffen wurden. In Spanien etablierte die Änderung des Strafgesetzbuchs (2015) die Befreiung von der strafrechtlichen Haftung für juristische Personen, die eine wirksame Umsetzung eines Verbrechensverhütungs- oder Compliance-Programms nachweisen können.
Die Grundsätze der Bundesverfolgung von Unternehmensverbänden im Justizhandbuch des US-Justizministeriums[55] beschreiben spezifische Faktoren, die bei der Durchführung einer Untersuchung von Unternehmen zu berücksichtigen sind. Zu diesen Faktoren gehören die Umsetzung und Verbesserung eines wirksamen Compliance-Programmes zum Zeitpunkt der Straftat und zum Zeitpunkt der