Barbara Neiger - Erfolgreich mit Compliance

Die Aufgabe und Bedeutung von Management-Systemen liegt darin, komplexe Systeme dadurch beherrschbar zu machen, dass das Verhalten (einer Vielzahl) von Menschen auf ein Ziel hin koordiniert wird.[33] Durch Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche zielorientierte Organisationsausrichtung. Ein CMS nach ISO 37301 folgt diesem Ansatz. Die Zuteilung – als strukturelles oder statisches Element – von Aufgaben und Verantwortung für Compliance einer Organisation bei der Abwicklung ihrer Geschäftstätigkeiten wird unterstützt durch die Integration von Compliance-Maßnahmen (als dynamisches Element) in bestehende Verfahren, Abläufe, Prozesse etc.

Durch die Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche und zielorientierte Organisationsausrichtung. Nationale wie internationale Rechtsordnungen sehen vor, dass Organisationen eine (implizite) Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen haben. Abgesehen von einigen Ausnahmen gibt es jedoch keine Vorschriften darüber, wie diese Aufsichts- und Kontrollmaßnahmen auszugestalten sind. Insbesondere gibt es keine für alle Organisationen gültige gesetzliche Vorschrift, die die Einführung eines Compliance-Management-Systems (CMS) vorschreibt.

Auf internationaler Ebene haben sich Compliance-Management-Systeme im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt.[34] Dies ist auch in Österreich der Fall. Für Organisationen, die dem Wertpapiergesetz unterliegen, besteht gemäß § 18 Wertpapieraufsichtsgesetz (WAG) die Verpflichtung, eine unabhängige Compliance-Funktion auf Dauer einzurichten, die die Überwachung und regelmäßige Bewertung der Angemessenheit vorgeschriebener Verfahren sowie die Setzung von Maßnahmen zur Behebung etwaiger Mängel zur Aufgabe hat. Die ersten Maßstäbe für Compliance-Management-Systeme in Zusammenhang mit Anti-Korruptionsbestimmungen wurden in den USA und in Großbritannien gesetzt. In beiden Ländern kann ein angemessenes und wirksames Compliance- und Ethik-Programm eine Strafverfolgung beeinflussen, wenngleich in unterschiedlicher Ausprägung. Zahlreiche Staaten haben in den letzten Jahren in ihren Rechtssystemen die strafrechtliche Verantwortlichkeit für juristische Personen umgesetzt. Voraussetzung ist oftmals, dass zum Zeitpunkt der Verfolgung eine Fahrlässigkeit der Organisation vorliegt, d. h. die Organisation hat zuvor keine ordnungsgemäßen und geeigneten Maßnahmen errichtet und umgesetzt, mit dem das Risiko des Auftretens der verfolgten Straftat erheblich verringert werden sollte. [35]

Im weiteren Sinne wird unter Governance alle Instrumente verstanden, die das Erreichen des Zweckes einer Organisation unterstützen und dabei eine ordnungsgemäße und auf nachhaltige und langfristige Wertschöpfung ausgerichtete Steuerung der Organisation im Interesse aller Stakeholder sicherstellt.[36] Dazu gehören alle Vorgänge, die bestimmen, wie in einer Organisation wichtige Entscheidungen getroffen werden, wie Leistung erbracht und Kontrolle ausgeübt wird.[37] Nachfolgend werden drei Institutionen vorgestellt, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden: internes Kontrollsystem (IKS), Risikomanagement-System (RMS) und Compliance-Management-System (CMS).

Der Begriff Corporate Governance geht auf die Notwendigkeit zurück, die Interessen von Kapitalgebern gegenüber eigennützigen Handlungen des Managements zu schützen. Bereits Adam Smith behandelte im 18.Jhdt. ausgiebig die Problematik, wie bei wachsender Größe der Unternehmen eine arbeitsteilige Organisation anzuleiten und zu kontrollieren sei. Manager können Aktionären finanziellen Schaden zufügen durch z.B. unzureichende Anstrengungen auf der Suche nach Geschäftsmöglichkeiten oder das Ausbleiben notwendiger Modernisierungen, durch Abschluss von risikoreichen Transaktionen oder unzureichend ausgearbeiteten Investitionen oder durch mangelnde Kontrolle von Aktivitäten innerhalb des Unternehmens. Mit der Trennung von Eigentum am und der Kontrolle über das Unternehmen wurde es notwendig, Regeln zu bestimmen, die sicherstellten, dass die mit der Führung des Unternehmens betrauten Manager (Agenten) im Interesse der Eigentümer (Prinzipale) handelten.[38] Dieses Prinzipal-Agent-Problem[39] ist die Grundlage für die anfangs enge Definition von Corporate Governance als Art und Weise, wie Zuständigkeiten und Rollen zwischen den einzelnen Organen einer Gesellschaft verteilt werden, um den Kapitalgebern (= Eigentümern) die erwartete Rendite zu sichern.[40]

Eine erweiterte Perspektive von Corporate Governance entwickelte sich aus dem Verständnis, dass ein Unternehmen als ein Netzwerk von Verträgen verstanden werden kann, das im Innenverhältnis das Unternehmen selbst darstellt und im Außenverhältnis die Beziehung zu den Stakeholdern regelt.[41] Die Erweiterung des Begriffes erfolgt in Bezug auf mehrere Faktoren: Erstens in Bezug auf die Akteure, weil nicht nur Eigentümer und Manager einbezogen werden, sondern die Interessen eines weiteren Personenkreises (= Stakeholder) berücksichtigt werden, wie z.B. Kunden, Mitarbeiter, Lieferanten oder externe Kapitalgeber. Zweitens steht nicht mehr die Anwendung von finanziellem Schaden der Eigentümer im Vordergrund, sondern die Wahrung der Rechte und legitimen Interessen aller Stakeholder. Corporate Governance kann somit als übergeordneter Steuerungsrahmen verstanden werden, der die Austauschbeziehungen innerhalb einer Organisation einerseits und mit ihrem Umfeld andererseits regelt.[42] Aufgrund der Unterschiedlichkeit von Organisationen gibt es grundsätzlich keine einheitlichen Bestimmungen über Elemente der Aufbau- oder der Ablauforganisation. Die Governance-Strukturen sind auf die individuelle Situation der Organisation anzupassen in dem Sinne, dass die Erreichung der Organisationsziele unterstützt wird. Verschiedene Institutionen haben sich in der Praxis und in weiterer Folge in der Gesetzgebung herausgebildet, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden, wie ein internes Kontrollsystem (IKS), ein Risikomanagement-System (RMS) und ein Compliance-Management-System (CMS).

Unter einem IKS werden alle in einer Organisation eingeführten, aufeinander abgestimmten Grundsätze, Methoden und Maßnahmen verstanden, die zur Sicherung des Vermögens, der Ordnungsmäßigkeit, Genauigkeit und Zuverlässigkeit der internen und externen Rechnungslegung sowie der Einhaltung der vorgeschriebenen Geschäftspolitik dienen.[43] Zur Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sollte ein IKS alle wesentlichen Geschäftsprozesse umfassen.

Der Begriff IKS geht auf eine Studie aus dem Jahre 1992 zurück, welche vom Committee of Sponsoring Organizations of the Treadway Commission (COSO)[44] veröffentlicht wurde. Durch das darin vorgestellte „Internal Control System“ wurden Begriffe aus dem Corporate Governance Bereich präzisiert und mit konkreten Maßnahmen unterlegt. Zur richtigen Einordnung dieses Ansatzes ist zu berücksichtigen, dass im Englischen mit dem Wort „control“ nicht nur Kontrollen im Sinne von Überprüfungen gemeint sind, sondern auch die Maßnahmen, die gesetzt wurden, um bestimmte Ergebnisse zu erreichen. Es empfiehlt sich daher, ein IKS als Gesamtheit seiner beiden Teilbereiche zu betrachten: ein internes Steuerungssystem und ein internes Überwachungssystem.[45]