Erfolgreich mit Compliance

1.2.3 Verantwortung für Compliance in Österreich

In Österreich gibt es – ähnlich wie in Deutschland und in der Schweiz – kein für alle Organisationen verpflichtendes Regelwerk, das die Einführung eines Compliance-Management-Systems regelt bzw. dessen Einführung fordert. In Österreich sind nur Organisationen, die dem Wertpapieraufsichtsgesetz unterliegen, gem. § 18 WAG zur Einführung einer Compliance-Organisation verpflichtet.[18] Im österreichischen Corporate Governance Kodex (dessen Geltung auf freiwilliger Basis beruht) wird festgehalten, dass der Vorstand einer börsennotierten Aktiengesellschaft geeignete Maßnahmen zur Sicherstellung der Einhaltung der für das Unternehmen relevanten Gesetze zu treffen hat. Der Prüfungsausschuss des Aufsichtsrates hat die Wirksamkeit des internen Kontrollsystems und des Risikomanagement-Systems zu überwachen. [19]

Durch die in § 76 Abs. 1 AktG[20] und § 25 Abs. 1 GmbHG[21] geforderte Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsführers wird eine implizite Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen begründet. Nach § 82 AktG und § 22 (1) GmbHG haben der Vorstand bzw. die Geschäftsführung dafür zu sorgen, dass neben einem adäquaten Rechnungswesen ein den Erfordernissen der Gesellschaft entsprechendes internes Kontrollsystem eingeführt wird. Ähnliche Verpflichtungen ergeben sich aus dem Genossenschaftsgesetz (§ 22(1) GenG).[22]

1.3 Compliance als Werkzeug des strategischen Managements

Unter einem Management-System werden miteinander in Wechselwirkung stehende Elemente (Strukturen als statisches und Abläufe als dynamisches Element) verstanden, die dazu dienen, dass eine Organisation die ihr gesetzten Ziele erreicht. Da unter Strategie jener Plan verstanden wird, mit dem die Ziele einer Organisation umgesetzt werden, sind Management-Systeme Teil des strategischen Managements.[23] Dieses Kapitel gibt einen Einblick über die Entwicklung von Management-Systemen und von Compliance-Management-Systemen und ermöglicht die Einordnung des CMS nach ISO 37301 in diesem Kontext.

1.3.1 Begriffsbestimmung Management-Systeme

Entscheidend für den heute geläufigen und auch der ISO 37301 zugrundeliegenden Ansatz des systemorientierten Managements sind Entwicklungen von Lehre und Praxis in den USA und in Deutschland, die sich durch unterschiedliche Zugänge zu diesem Thema voneinander abgrenzen.

Die Geschichte der Betriebswirtschaftslehre in Deutschland geht auf die Gründung von Handelshochschulen Ende des 19. Jhdt. in Deutschland, Österreich und der Schweiz zurück. Neben der Vermittlung von Sprachkenntnissen und technologischem Wissen gewann schon bald die Systematisierung des vorhandenen Wissens an Bedeutung. Zum Zwecke der Abgrenzung zur Volkswirtschaftslehre wurde und wird bis heute intensiv die Bestimmung des Erkenntnisobjektes diskutiert. Der anfänglich im Vordergrund stehende Handelsbetrieb wurde ergänzt durch produzierende Betriebe (Industrie) und private Haushalte. Die inhaltliche Entwicklung der Betriebswirtschaftslehre konzentrierte sich zunächst auf das Rechnungswesen und auf Fragen der Kostenverursachung und der Finanzierung. In weiterer Folge wurden diese Teilgebiete durch die Untersuchung von Absatz-, Produktions- und Organisationsfragen erweitert.[24] Stand in der Wiederaufbauphase nach dem Zweiten Weltkrieg vorerst die kurzfristige Planung von Finanzströmen im Mittelpunkt, so entwickelte sich ab den 1960er-Jahren eine auf den Ergebnissen der Vergangenheit beruhende Langfristplanung mit Gewinnprognosen für weiter in der Zukunft liegende Perioden. Die Ölkrise 1973 und die zunehmende globale politische Destabilisierung machten deutlich, dass diese Vorgangsweise nicht mehr ausreichte, sondern eine Analyse des Umfeldes zur Identifikation von zukünftigen Risiken und Chance erforderlich wurde. Als Ergänzung zur betriebswirtschaftlichen Planungsrechnung fand das vorrangig in den USA entwickelte Konzept des strategischen Managements zunehmend auch in Deutschland und in ganz Europa Verwendung.[25]

Das Konzept einer strategischen Unternehmensführung lässt sich in den USA bis zum Anfang des 19. Jhdt. zu Frederick Winslow Taylor (1856-1915) zurückverfolgen. Im Gegensatz zur deutschen Betriebswirtschaftslehre, die sich als eine eigene Wirtschaftswissenschaft etablierte, ging es Taylor – der als Ingenieur aus der Praxis kam – um die Entwicklung eines Konzeptes für die tatsächliche Betriebsführung. Im Vordergrund standen Fragen der Verbesserung der Produktionsleistung (z.B. Gestaltung des Arbeitsplatzes, Entlohnungssysteme) und (noch) nicht Aufgaben der Gesamtführung eines Unternehmens. Die auch weiterhin von Praktikern wie Unternehmensleitern und Beratern getragene Managementlehre wandte sich in der Folge der Erstellung von Regeln und Prinzipien zu und den Fragen von Zusammenarbeit und Mitarbeiterführung. Durch das Hineintragen von Erkenntnissen aus anderen Wissenschaften wie Mathematik, Physik, Soziologie und Technik und letztendlich durch das Aufkommen von Computern entstand eine – nach wie vor – praxisorientierte Systemtheorie des Managements.[26] Als dessen Begründer und einer der wichtigsten Vertreter gilt Peter F. Drucker (1909-2005), der 1943 die Unternehmensführung und Arbeitsweise von General Motors untersuchte.[27] In seinem auf diesen Erkenntnissen basierendem Buch „Concept of the Corporation“ beschreibt Drucker den Konzern als eine Institution (als eine von vielen in einer Gesellschaft) zur Organisation menschlichen Handels zur Erreichung eines Unternehmenszwecks. Entscheidend für die Lösung der damit verbundenen Probleme sind die Unternehmensführung und die von ihr bestimmte Geschäftspolitik sowie die zur Umsetzung dieser Politik festgelegten Vorgangsweisen.[28] Konzerne (wie alle anderen Organisationen) können nicht überleben, wenn sie von einer oder von wenigen Personen abhängig sind. Es bedarf des Zusammenspiels von Managern und Mitarbeitern zur Errichtung eines Systems, das – basierend auf Leitbildern und Prinzipien – die Zielerreichung regelt. Und zwar so regelt, dass dieses System keine starre Planung darstellt, sondern die notwendige Flexibilität aufweist, damit die für die Zielerreichung notwendige Anpassung einzelner Schritte möglich wird.[29] Die zunehmende Erkenntnis über die Bedeutung der Einflüsse der Umwelt auf die Möglichkeiten und die Fähigkeiten eines Unternehmens, seine Ziele zu erreichen, führte zur Entwicklung des strategischen Managements. Die Chancen und Risiken, die sich aus dem Unternehmensumfeld ergaben, wurden ebenso analysiert wie die eigenen Stärken und Schwächen. Die Ergebnisse bilden die Grundlage für die Definition von Zielen und die Entwicklung einer Strategie, wie diese Ziele zu erreichen sind. Praktische Erfahrungen resultierten in einem Verständnis darüber, dass es zur erfolgreichen Implementierung von strategischen Maßnahmen die Akzeptanz der Mitglieder des Unternehmens bedarf. Unter diesem Gesichtspunkt erlangten die sog. soft facts – wie Aufbau- und Ablauforganisation, Personalmanagement, Unternehmenskultur sowie der Erhalt und die Verteilung von Information – eine eigenständige strategische Bedeutung.[30]

Zusammenfassend ist festzuhalten, dass beide Strömungen einen wesentlichen Beitrag zur Entwicklung und Führung von Organisationen leisten. Die aus der Praxis kommende systemorientierte Managementlehre liefert die Werkzeuge für die Umsetzung und die Bewältigung von sich laufend verändernden Anforderungen. Die Betriebswirtschaftslehre steuert durch ein Planungskonzept die fundierten Grundlagen für eine solide Entscheidungsvorbereitung bei.

Aus der Betrachtung von Organisationen als Systeme ergeben sich einige Merkmale, die auf alle Organisationen unabhängig von Größe, Organisationsform oder Aufgabenstellung zutreffen.[31] Bei der Betrachtung einer Organisation als System – in Anlehnung an Biologie oder Ökologie –wird klar, dass alle Elemente ein Wirkungsgefüge bilden und ein Eingriff an einer Stelle Auswirkungen an einer anderen Stelle hat bzw. haben kann. Organisationen müssen deshalb in ihrer Gesamtheit betrachtet werden. Bei der Vornahme von Maßnahmen sind alle Systemkomponenten (Strukturen, Prozesse, Mitarbeiter, Kunden etc.) zu berücksichtigen. Organisationen sind keine statischen Gebilde, sondern dynamische Systeme, gekennzeichnet durch (fortlaufende) Veränderungen. Veränderungen sind einerseits aus der Organisation heraus bedingt, andererseits werden sie durch Einwirkungen aus der Umwelt verursacht. Daraus ergibt sich, dass Organisationen – als Teil eines Netzwerkes von wirtschaftlichen, juristischen und gesellschaftlichen Beziehungen – offene Systeme sind. Das abschließende Merkmal einer systemischen Betrachtung von Organisationen ist ihre Komplexität.[32] Diese ist jedoch nicht als unvermeidbares Übel zu sehen, sondern es sind eben die Vielzahl der Parameter, die es Organisationen erst ermöglicht, sich Anforderungen anzupassen und somit ihre Lebensfähigkeit zu erhalten.

Die Aufgabe und Bedeutung von Management-Systemen liegt darin, komplexe Systeme dadurch beherrschbar zu machen, dass das Verhalten (einer Vielzahl) von Menschen auf ein Ziel hin koordiniert wird.[33] Durch Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche zielorientierte Organisationsausrichtung. Ein CMS nach ISO 37301 folgt diesem Ansatz. Die Zuteilung – als strukturelles oder statisches Element – von Aufgaben und Verantwortung für Compliance einer Organisation bei der Abwicklung ihrer Geschäftstätigkeiten wird unterstützt durch die Integration von Compliance-Maßnahmen (als dynamisches Element) in bestehende Verfahren, Abläufe, Prozesse etc.

1.3.2 Compliance-Management-Systeme

Durch die Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche und zielorientierte Organisationsausrichtung. Nationale wie internationale Rechtsordnungen sehen vor, dass Organisationen eine (implizite) Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen haben. Abgesehen von einigen Ausnahmen gibt es jedoch keine Vorschriften darüber, wie diese Aufsichts- und Kontrollmaßnahmen auszugestalten sind. Insbesondere gibt es keine für alle Organisationen gültige gesetzliche Vorschrift, die die Einführung eines Compliance-Management-Systems (CMS) vorschreibt.

Auf internationaler Ebene haben sich Compliance-Management-Systeme im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt.[34] Dies ist auch in Österreich der Fall. Für Organisationen, die dem Wertpapiergesetz unterliegen, besteht gemäß § 18 Wertpapieraufsichtsgesetz (WAG) die Verpflichtung, eine unabhängige Compliance-Funktion auf Dauer einzurichten, die die Überwachung und regelmäßige Bewertung der Angemessenheit vorgeschriebener Verfahren sowie die Setzung von Maßnahmen zur Behebung etwaiger Mängel zur Aufgabe hat. Die ersten Maßstäbe für Compliance-Management-Systeme in Zusammenhang mit Anti-Korruptionsbestimmungen wurden in den USA und in Großbritannien gesetzt. In beiden Ländern kann ein angemessenes und wirksames Compliance- und Ethik-Programm eine Strafverfolgung beeinflussen, wenngleich in unterschiedlicher Ausprägung. Zahlreiche Staaten haben in den letzten Jahren in ihren Rechtssystemen die strafrechtliche Verantwortlichkeit für juristische Personen umgesetzt. Voraussetzung ist oftmals, dass zum Zeitpunkt der Verfolgung eine Fahrlässigkeit der Organisation vorliegt, d. h. die Organisation hat zuvor keine ordnungsgemäßen und geeigneten Maßnahmen errichtet und umgesetzt, mit dem das Risiko des Auftretens der verfolgten Straftat erheblich verringert werden sollte. [35]

1.4 Abgrenzung Governance – IKS – RMS – CMS

Im weiteren Sinne wird unter Governance alle Instrumente verstanden, die das Erreichen des Zweckes einer Organisation unterstützen und dabei eine ordnungsgemäße und auf nachhaltige und langfristige Wertschöpfung ausgerichtete Steuerung der Organisation im Interesse aller Stakeholder sicherstellt.[36] Dazu gehören alle Vorgänge, die bestimmen, wie in einer Organisation wichtige Entscheidungen getroffen werden, wie Leistung erbracht und Kontrolle ausgeübt wird.[37] Nachfolgend werden drei Institutionen vorgestellt, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden: internes Kontrollsystem (IKS), Risikomanagement-System (RMS) und Compliance-Management-System (CMS).

1.4.1 Corporate Governance

Der Begriff Corporate Governance geht auf die Notwendigkeit zurück, die Interessen von Kapitalgebern gegenüber eigennützigen Handlungen des Managements zu schützen. Bereits Adam Smith behandelte im 18.Jhdt. ausgiebig die Problematik, wie bei wachsender Größe der Unternehmen eine arbeitsteilige Organisation anzuleiten und zu kontrollieren sei. Manager können Aktionären finanziellen Schaden zufügen durch z.B. unzureichende Anstrengungen auf der Suche nach Geschäftsmöglichkeiten oder das Ausbleiben notwendiger Modernisierungen, durch Abschluss von risikoreichen Transaktionen oder unzureichend ausgearbeiteten Investitionen oder durch mangelnde Kontrolle von Aktivitäten innerhalb des Unternehmens. Mit der Trennung von Eigentum am und der Kontrolle über das Unternehmen wurde es notwendig, Regeln zu bestimmen, die sicherstellten, dass die mit der Führung des Unternehmens betrauten Manager (Agenten) im Interesse der Eigentümer (Prinzipale) handelten.[38] Dieses Prinzipal-Agent-Problem[39] ist die Grundlage für die anfangs enge Definition von Corporate Governance als Art und Weise, wie Zuständigkeiten und Rollen zwischen den einzelnen Organen einer Gesellschaft verteilt werden, um den Kapitalgebern (= Eigentümern) die erwartete Rendite zu sichern.[40]

Eine erweiterte Perspektive von Corporate Governance entwickelte sich aus dem Verständnis, dass ein Unternehmen als ein Netzwerk von Verträgen verstanden werden kann, das im Innenverhältnis das Unternehmen selbst darstellt und im Außenverhältnis die Beziehung zu den Stakeholdern regelt.[41] Die Erweiterung des Begriffes erfolgt in Bezug auf mehrere Faktoren: Erstens in Bezug auf die Akteure, weil nicht nur Eigentümer und Manager einbezogen werden, sondern die Interessen eines weiteren Personenkreises (= Stakeholder) berücksichtigt werden, wie z.B. Kunden, Mitarbeiter, Lieferanten oder externe Kapitalgeber. Zweitens steht nicht mehr die Anwendung von finanziellem Schaden der Eigentümer im Vordergrund, sondern die Wahrung der Rechte und legitimen Interessen aller Stakeholder. Corporate Governance kann somit als übergeordneter Steuerungsrahmen verstanden werden, der die Austauschbeziehungen innerhalb einer Organisation einerseits und mit ihrem Umfeld andererseits regelt.[42] Aufgrund der Unterschiedlichkeit von Organisationen gibt es grundsätzlich keine einheitlichen Bestimmungen über Elemente der Aufbau- oder der Ablauforganisation. Die Governance-Strukturen sind auf die individuelle Situation der Organisation anzupassen in dem Sinne, dass die Erreichung der Organisationsziele unterstützt wird. Verschiedene Institutionen haben sich in der Praxis und in weiterer Folge in der Gesetzgebung herausgebildet, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden, wie ein internes Kontrollsystem (IKS), ein Risikomanagement-System (RMS) und ein Compliance-Management-System (CMS).

1.4.2 Internes Kontrollsystem (IKS)

Unter einem IKS werden alle in einer Organisation eingeführten, aufeinander abgestimmten Grundsätze, Methoden und Maßnahmen verstanden, die zur Sicherung des Vermögens, der Ordnungsmäßigkeit, Genauigkeit und Zuverlässigkeit der internen und externen Rechnungslegung sowie der Einhaltung der vorgeschriebenen Geschäftspolitik dienen.[43] Zur Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sollte ein IKS alle wesentlichen Geschäftsprozesse umfassen.

Der Begriff IKS geht auf eine Studie aus dem Jahre 1992 zurück, welche vom Committee of Sponsoring Organizations of the Treadway Commission (COSO)[44] veröffentlicht wurde. Durch das darin vorgestellte „Internal Control System“ wurden Begriffe aus dem Corporate Governance Bereich präzisiert und mit konkreten Maßnahmen unterlegt. Zur richtigen Einordnung dieses Ansatzes ist zu berücksichtigen, dass im Englischen mit dem Wort „control“ nicht nur Kontrollen im Sinne von Überprüfungen gemeint sind, sondern auch die Maßnahmen, die gesetzt wurden, um bestimmte Ergebnisse zu erreichen. Es empfiehlt sich daher, ein IKS als Gesamtheit seiner beiden Teilbereiche zu betrachten: ein internes Steuerungssystem und ein internes Überwachungssystem.[45]

COSO definiert drei Geschäftsziele eines IKS: (i) Effektivität und Effizienz der Geschäftsprozesse, (ii) Verlässlichkeit der finanziellen Berichterstattung und (iii) Einhaltung von gültigen Gesetzen und Vorschriften. Mit „Internal Control“ wird die Summe aller Instrumente verstanden, die erforderlich sind, um die Erreichung dieser drei Zielkategorien sicherzustellen. Die Instrumente sind in fünf Komponenten eingeteilt: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten (im Sinne von Steuerung), Information und Kommunikation sowie Überwachung. Die drei Zielkategorien sowie alle fünf Komponenten werden sowohl auf Konzernebene wie auch auf alle Bereiche und/oder Aktivitäten einer Organisation (Einheiten) angewandt. Die drei Dimensionen sind in Abbildung 1 grafisch dargestellt, die Komponenten der 2. Dimension (Prozesse) werden nachfolgend näher erläutert.[46]

Abbildung 1

COSO Internal Control – Integrated Framework[47]

Kontrollumfeld – Mit dem Kontrollumfeld wird die Basis der Organisation umfasst. Diese wird ausgedrückt durch (i) Einflüsse und Werte, die die Verhaltensweisen lenken, durch (ii) Strukturen, die die Verantwortungen zuteilen und abbilden, und durch (iii) Abläufe, die die Koordination von Aufgaben regeln. All diese Parameter sind so zu gestalten, dass sie die Erreichung der Geschäftsziele unterstützen. Die Risikobereitschaft als Element des internen Umfeldes wird sowohl durch quantitative als auch durch qualitative Ziele und Beschränkungen ausgedrückt und fließt in der weiteren Folge als Messgröße für akzeptables Risiko in die Risikobeurteilung ein.

Risikobeurteilung – Die Bewertung identifizierter Risiken erfolgt durch Festlegung ihrer Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes. Für die nach Risikotransfermaßnahmen (z.B. Versicherung) verbleibenden Restrisiken werden Steuerungsmaßnahmen zu ihrer Bewältigung gesetzt.

Steuerungsmaßnahmen – Vorschriften, Richtlinien und Verfahren (wie z.B. Aufgabentrennung, Stichproben etc.) werden implementiert, um den operativen Betrieb, die ordnungsgemäße Rechnungslegung sowie die Einhaltung der für die Organisation relevanten Regeln (Compliance) sicherzustellen.

Information und Kommunikation – Kenntnis über alle wesentlichen Prozessschritte ermöglicht es Mitarbeitern, ihre Verantwortlichkeit wahrzunehmen und ihren Beitrag zu einer effizienten Abwicklung der operativen Tätigkeiten, einer ordnungsgemäßen Rechnungslegung und der Einhaltung aller gesetzlichen Bestimmungen zu leisten.

Überwachung – Alle gesetzten Maßnahmen müssen regelmäßig überwacht und, falls erforderlich, verbessert werden. Die Funktionstätigkeit und Angemessenheit des IKS ist von einer unabhängigen Stelle zu prüfen.

1.4.3 Risikomanagement-System (RMS)[48]

Das Risikomanagement als Teil des IKS und zweites Instrument einer effizienten und effektiven Governance-Struktur ist darauf ausgerichtet, Chancen und Gefahren frühzeitig zu erkennen und dahingehend zu bewerten, wie sie die Erreichung der Unternehmensziele (in strategischer, operativer, Rechnungslegung und Compliance Sicht) beeinflussen können. Die Erkenntnisse unterstützen die Entscheidungsfindung einer zukunftsorientierten Planung und fließen in die Risikosteuerung ein.

Ereignisidentifikation – Es gilt, alle internen und externen Ereignisse zu identifizieren, die das Erreichen der Ziele einer Organisation beeinflussen. Diese Einflüsse können sowohl von positiver (Chance) als auch von negativer Natur (Risiko) sein.

Risikobeurteilung – Die identifizierten potenziellen Risiken werden in einem Risikokatalog zusammengefasst und nach ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkung hin untersucht und bewertet. Anhand der Bewertungsergebnisse werden die Risiken priorisiert, um zielgerichtete Maßnahmen zu ihrer Bewältigung zu entwickeln.

Risikosteuerung – Risiken können durch Unterlassen einer Geschäftsaktivität vermieden werden. In allen anderen Fällen werden Maßnahmen zur Verringerung zu setzen sein, sei es durch Kontrollen oder durch Übertragung (z.B. Versicherungen).

1.4.4 Compliance-Management (CMS)

Als drittes Instrument einer effizienten und effektiven Governance-Struktur ist ein Compliance-Management-System darauf ausgerichtet, die Einhaltung von gesetzlichen, regulatorischen oder freiwillig eingegangenen Verpflichtungen bei der Ausübung der Geschäftstätigkeit zu gewährleisten. Durch geeignete Maßnahmen sollen Nichteinhaltungen von Compliance-Verpflichtungen verhindert werden. Verstöße sind rechtzeitig zu erkennen sowie Maßnahmen zur Bereinigung der Situation zu setzen. Durch Verbesserungen und Anpassungen des CMS werden Wiederholungen von Verstößen vermieden und Compliance der Organisation in Bezug auf die Abwicklung ihre Geschäftstätigkeiten (wieder)hergestellt.

Als Fazit ist festzuhalten, dass ein IKS, ein RMS und ein CMS Instrumente für eine effektive und effiziente Führung von Organisationen sind, die nicht losgelöst voneinander betrachtet werden können bzw. sollten. Ein CMS unterstützt bei der Bewältigung von Compliance-

Risiken und ist somit ein Teil des RMS. Die Bestimmung jener Compliance-Verpflichtungen, deren Einhaltung durch ein CMS und seine Maßnahmen zu gewährleisten ist, ergibt sich aus der Risikobewertung dieser Compliance-Verpflichtungen. Die Prinzipien eines Risikomanagements sind somit Teil eines wirksamen CMS. Compliance – als Organisationsziel – sicherzustellen, ist ein Kernelement eines IKS. Für seine Angemessenheit wird durch die Beurteilung der Gesamtrisikosituation einer Organisation vorgesorgt.

1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten