Читать книгу Erfolgreich mit Compliance - Barbara Neiger - Страница 22
1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten
ОглавлениеCompliance-Management-Systeme haben sich erstmalig im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt. Als treibende Kraft für die Festlegung von Standards im Kampf gegen Geldwäsche und Terrorismusfinanzierung wird seit ihrer Gründung im Jahre 1989 die Financial Action Task Force (FATFA) angesehen. Seit ihrem ersten Erscheinen 1990 gelten die regelmäßig aktualisierten 40 Recommendations (Empfehlungen) von FATFA[49] als Grundlage für internationale wie nationale Vorschriften. Für ausgewählte Risikogebiete (Geldwäsche, Finanzmarkttransaktionen oder Korruptionsbekämpfung) gibt es lokale oder regionale Richtlinien für Compliance-Programme, die die Einhaltung der entsprechenden Vorschriften sicherstellen sollen. Die Gefahr besteht jedoch darin, dass in einer Organisation mehrere Compliance-Management-Systeme nebeneinander entstehen, wodurch Effektivität und Effizienz verloren gehen und Compliance-Management zu einer Erschwerung der Geschäftsabwicklung wird.
Durch den systemorientierten Ansatz können in einem CMS nach ISO 37301 mehrere Compliance-Verpflichtungen zusammengefasst werden. Regelkonformes Verhalten wird in der Organisation unterstützt und gleichzeitig die Effizienz durch eine adäquate Allokation von Ressourcen gesteigert. Compliance-Management wird zur Unterstützung für eine nachhaltige Geschäftsentwicklung.
Die strafrechtliche Verantwortung von Organisationen (Verband) ist in Österreich im Verbandsverantwortlichkeitsgesetz geregelt.[50] Ein Verband ist für eine von einem Mitarbeiter begangene Straftat u.a. dann verantwortlich, wenn wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung der Tat unterlassen wurden. Es gibt keine Erläuterungen oder allgemein anwendbare Richtlinien, was unter „wesentliche technische, organisatorische oder personelle Maßnahmen“ zu verstehen ist. Eine ähnliche Reglung zur strafrechtlichen Verantwortung von Organisationen sieht das Schweizerische Strafgesetzbuch vor (§ 102 Abs.2 StGB).[51] Ein Unternehmen wird bestraft, wenn es nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getroffen hat, um die gegenständliche Straftat zu verhindern. Erläuterungen bzw. eine allgemein anwendbare Richtlinie zu „erforderlichen und zumutbaren organisatorischen Vorkehrungen“ gibt es nicht. Das – in der Gesetzgebung befindliche – Deutsche Verbandssanktionengesetz[52] sieht vor, dass eine Verbandsstrafe verhängt werden kann, wenn die Straftat durch angemessene Vorkehrungen zur Vermeidung – wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht – hätte verhindert oder wesentlich erschwert hätte werden können. Erläuterungen über „angemessene Vorkehrungen“ sieht das Gesetz nicht vor (eine Richtlinie zur Anwendung liegt derzeit ebenfalls nicht vor).
Das Vorliegen eines Organisationsmangels ist in allen drei Gesetzen (Österreich, Schweiz und Deutschland) Voraussetzung für die Strafbarkeit der Organisation. Die Schwere und das Ausmaß des Organisationsmangels, oder umgekehrt, die Angemessenheit und die Wirksamkeit von Maßnahmen und Vorkehrungen, werden bei der Bemessung der Strafe mitberücksichtigt. In allen drei Ländern enthalten die Vorschriften über die Bekämpfung von Geldwäsche fundamentale Bestimmungen über die Einführung einer Compliance-Organisation.[53] Neben diesen branchenspezifischen Regelungen gibt es keine allgemein gültige Vorschrift, die die Errichtung eines CMS vorsieht oder gar vorschreibt.
Auf internationaler Ebene haben sich in einigen Ländern Regelungen etabliert, die Anforderungen an Compliance-Maßnahmen festlegen. Die Beurteilung der Effektivität dieser Maßnahmen kann einerseits die Strafbemessung beeinflussen. Der Nachweis, dass eine Organisation die gebotene Sorgfalt zur Verhinderung der Straftat angewendet hat, kann anderseits vor Strafverfolgung schützen. In Tabelle 1 werden drei Beispiele aufgezeigt, in denen Anforderungen an die Elemente einer wirksamen Compliance-Organisation bestimmt sind. Deren Wirksamkeit wird bei der Entscheidung über eine Strafverfolgung und/oder das Strafausmaß berücksichtigt.
Tabelle 1
Anforderungen an ein effektives CMS vs. ISO 37301[54]
ISO 37301 | Italien | Spanien | US DOJ |
Kapitel 4 Kontext der Organisation | 2.a Risikobewertung | 1. Risikobewertung | I.A. Risikobewertung |
1.d Proaktive Wachsamkeit | |||
Kapitel 5Führung | 1.a Engagement der obersten Leitung | 1. Engagement und Handlung der obersten Leitung | II.A. Engagement der Führungskräfte |
1.a Einbeziehung des Aufsichtsgremiums | 2. Compliance-Funktion | II.B. Autonomie & Ressourcen | |
2.e Sanktionen | 5. Sanktionen | ||
Kapitel 6 Planung | 2. Geeignete Verfahren | I.B. Politiken & Verfahren | |
Kapitel 7Unterstützung | 2.b Schulungen | 3. Schulungen | I.C. Schulungen |
2.c Geeignete Ressourcen | 5. Sanktionen | II.C. Anreize und Disziplinarmaßnahmen | |
2.e Sanktionen | |||
Kapitel 8Betrieb | 2.b Interne Verfahren | 3. Finanzielle Kontrollen | I.B. Politiken & Verfahren |
2.d Äußern von Bedenken | 4. Äußern von Bedenken | I.D. Vertrauliche Berichtsstruktur | |
I.D. Untersuchungsprozess | |||
I.E. Drittparteien Mgt. | |||
I.F. Mergers & Acquisitions | |||
III.B. Untersuchung von Fehlverhalten | |||
Kapitel 9Leistungsbeurteilung | 6. Kontrolle der Umsetzung | III.A. Regelmäßige Tests und Überprüfungen | |
Kapitel 10Kontinuierliche Verbesserung | III.A. Ständige Verbesserung | ||
III.B Untersuchung von Fehlverhalten |
Gemäß dem italienischen Gesetzesdekret Nr. 231 (2001) kann eine Organisation von der Haftung befreit werden, wenn sie u.a. nachweist, dass wirksame und spezifische interne Compliance-Maßnahmen ergriffen wurden. In Spanien etablierte die Änderung des Strafgesetzbuchs (2015) die Befreiung von der strafrechtlichen Haftung für juristische Personen, die eine wirksame Umsetzung eines Verbrechensverhütungs- oder Compliance-Programms nachweisen können.
Die Grundsätze der Bundesverfolgung von Unternehmensverbänden im Justizhandbuch des US-Justizministeriums[55] beschreiben spezifische Faktoren, die bei der Durchführung einer Untersuchung von Unternehmen zu berücksichtigen sind. Zu diesen Faktoren gehören die Umsetzung und Verbesserung eines wirksamen Compliance-Programmes zum Zeitpunkt der Straftat und zum Zeitpunkt der Verfahrensentscheidung. Die umfangreiche Richtline des US-Justizministeriums (Kriminalabteilung, Juni 2020) zur Evaluierung von Corporate-Compliance-Programmen soll Staatsanwälte bei der Bewertung dieser Faktoren unterstützen.
Tabelle 2
Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301[56]
Kriminalabteilung des US-Justizministeriums | Elemente ISO 37301 | |
Evaluierung des Corporate-Compliance-Programms / Juni 2020 | Kapitel | |
I. Ist das Corporate-Compliance-Programm gut konzipiert? | ||
I.A. | Risikobewertung | 4.1 Kontext der Organisation, 4.6 Compliance-Risiko; 7.2.2 Beschäftigungsverfahren |
I.B. | Richtlinien und Verfahren | 6. Planung; 8.1/2 Operative Maßnahmen; 9.1-9.3 Überwachung |
I.C. | Schulung und Kommunikation | 7.2. Kompetenz und Schulung, 7.3 Bewusstsein, 7.4 Kommunikation |
I.D. | Vertrauliche Berichtsstruktur und Untersuchungsprozess | 8.3 Bedenken äußern; 8.4 Untersuchungsprozess |
I.E. | Verwaltung durch Dritte | 8.1 & 8.2 Ausgelagerte Prozesse/Due Diligence |
I.F. | Mergers & Acquisitions (M&A) | 8.1 & 8.2 Ausgelagerte Prozesse/Due Diligence |
II. Ist das Compliance-Programm des Unternehmens angemessen ausgestattet und befähigt, effektiv zu funktionieren? | ||
II.A | Engagement des Senior und Minor Middle Management | 5.1 Führung und Engagement, 5.2 Compliance-Politik; 5.3 Verantwortlichkeiten Führungskräfte |
II.B. | Autonomie und Ressourcen | 5.3. Compliance-Funktion; 7.1 Ressourcen |
II.C | Anreize und Disziplinarmaßnahmen | 7.3 Bewusstsein |
III. Funktioniert das Corporate-Compliance-Programm in der Praxis? | ||
III.A | Kontinuierliche Verbesserung, regelmäßige Tests und Überprüfung | 9.1 Überwachung, 9.2 Internes Audit, 9.4 Überprüfung oberste Leitung (Aufsichtsgremium) |
III.B | Untersuchung von Fehlverhalten | 8.4 Untersuchungsprozess |
III.C. | Analyse und Behebung von zugrunde liegendem Fehlverhalten | 8.4 Untersuchungsprozess; 10.1 Kontinuierliche Verbesserung |
Der umfangreichen Darstellung von Beispielthemen und Fragen kommt aufgrund der Vielzahl an Geschäftsbeziehungen zu Unternehmen der weltweit größten Volkswirtschaft eine gewisse Bedeutung bei der Bemessung der Wirksamkeit eines CMS zu. Jedoch mag es nicht immer angebracht sein, die Richtlinie einer innerstaatlichen Institution als Maßstab heranzuziehen. Die Vereinbarkeit des Anspruches der DOJ-Richtlinie mit den Anforderungen der ISO 37301 wird daher in zweifacher Hinsicht veranschaulicht. In Tabelle 1 wurden die Anforderungen der ISO 37301 den Erwartungen der DOJ-Richtlinie gegenübergestellt. Tabelle 2 zeigt, durch welche Anforderungen der ISO 37301 die Erwartungen der DOJ-Richtline abgedeckt werden. Die DOJ-Richtline wird nicht nur – wie manchmal fälschlich angenommen – auf Korruptionsdelikte angewandt. Das zu bewertende Compliance-Programm kann sich auf alle relevanten Compliance-Verpflichtungen einer Organisation beziehen.[57]
ISO Standards werden im internationalen Kontext von Anwendern für Anwender entwickelt. Dieser Ansatz ermöglicht die Position von ISO Standards als unparteiisches Best-Practice-Instrument. Aufgrund der ähnlich weitreichenden Bedeutung wie die DOJ-Richtlinien zur Bewertung der Wirksamkeit eines Compliance-Programmes werden in der nachfolgenden Tabelle 3 die Richtlinien der Weltbankgruppe an ein wirksames Compliance-Programm dargestellt und den Elementen der ISO 37301 gegenübergestellt.
Tabelle 3
Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001[58]
Die Weltbankgruppe | Elemente ISO 37301 | |
Die Integritäts-Compliance-Richtlinien | Kapitel | |
1 | Einfordern von regelkonformem Verhalten | 5.2 Compliance-Politk |
2 | Verantwortung | 5.1 Führung & Engagement, 5.3 Rollen & Verantwortung |
3 | Programminitiierung, Risikobewertung und Überprüfung | 4.6 Compliance-Risikobewertung; 6. Planung; 9. Leistungsbeurteilung |
4 | Interne Richtlinien | 5.3 Compliance-Funktion, 7.1 Ressourcen |
5 | Richtlinien zu Geschäftspartnern | 8.1 & 8.2 Betriebliche Kontrollen und Verfahren |
6 | Interne Kontrollen | 8.1 & 8.2 Betriebliche Kontrollen und Verfahren |
7 | Schulung & Kommunikation | 7.2 Kompetenz und Ausbildung, 7.4 Kommunikation |
8 | Anreize | 7.3 Bewusstsein |
9 | Berichterstattung | 8.3 Äußern von Bedenken |
10 | Fehlverhalten beheben | 8.4 Untersuchungsprozess |
11 | Kollektive Maßnahmen | 4.2 Interessierte Parteien |
Das Sanktionssystem der Weltbankgruppe (WBG) soll sicherstellen, dass Entwicklungsfinanzierungen in WBG-Operationen nur für die vorgesehenen Zwecke verwendet werden. Der zweistufige Prozess soll sowohl künftiges Fehlverhalten verhindern als auch die Rehabilitation der Sanktionsparteien fördern. Die häufigste Sanktion ist es, eine sanktionierte Partei für einen Mindestzeitraum vom Zugang zu WBG-Finanzierungen auszuschließen (Debarment). Für eine Aufhebung des Ausschlusses ist die Umsetzung eines wirksamen Compliance-Programmes erforderlich.
Das Sanktionssystem der WBG findet auf die Nichteinhaltung unterschiedlicher Compliance-Verpflichtungen Anwendung, wie z.B. Betrug, Korruption, Absprachen oder Zwangspraktiken. Von besonderer Bedeutung ist das sogenannte Cross-Debarment-Regime. Es besagt, dass wenn eine Organisation von einer Entwicklungsbank ausgeschlossen wurde, auch anderen Entwicklungsbanken einen Ausschluss von ihren Finanzierungen verhängen.[59] Es ist weiters üblich, dass Organisationen, die auf der Ausschlussliste der WBG[60] angeführt sind, von öffentlichen Bieterverfahren nationaler Staaten ausgeschlossen werden.
1Vgl. Herbst/Readett 1989, S.219
2Vgl. Hauschka 2010, S.3
3Vgl. Zeder 2006, S.3
4Vgl. Ibid., S.9
5BGBl III 136/2009 idgF
6Vgl. Zeder 2006, S.9-13
7http://www.fatf-gafi.org/ (Stand 05.03.2021)
8https://treaties.un.org/doc/db/Terrorism/english-18-11.pdf (Stand 05.03.2021)
9https://www.unodc.org/unodc/en/treaties/CAC/ (Stand 05.03.2021)
10Vgl. Zeder 2006, S.226ff., https://www.jonesday.com/en/insights/2020/12/2020-crossborder-corporate-criminal-liability-survey (Stand 04.03.2021)
11BGBl I 151/2005 idgF
12Anerkannte Religionsgesellschaften sind für alle nicht die Seelsorge betreffenden Handlungen haftbar, wie z.B. im Zusammenhang mit wirtschaftlichen oder gemeinnützigen (= humanitäre) Tätigkeiten.
13Die Haftung von Körperschaften ist in Österreich im Amtshaftungsgesetz geregelt. BGBl 20/1949 idgF
14Schweizerisches Strafgesetzbuch (StGB) idgF, https://www.fedlex.admin.ch/eli/cc/54/757_781_799/de (Stand 05.03.2021)
15Gesetz über Ordnungswidrigkeiten (OWiG) 1968 idgF, https://www.gesetze-im-internet.de/owig_1968/ (Stand 06.07.2021)
16Vgl. Hauschka 2012, S.8
17Zum Zeitpunkt der Drucklegung dieses Praxiskommentars (Mai 2021) befand sich der Gesetzesentwurf in der Endphase des Gesetzgebungsprozesses. https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_Staerkung_Integritaet_Wirtschaft.pdf?__blob=publicationFile&v=2 (Stand 05.03.2021)
18BGBl I 60/2007 idgF
19http://www.corporate-governance.at/ (Stand 05.03.2021)
20BGBl I 98/1965 idgF
21BGBl 58/1906 idgF
22BGBl 70/1873 idgF
23Vgl. Schertler 1998, S.90f.
24Vgl. Ulrich 1970, S.82ff.
25Vgl. Bea/Haas 2005, S.12ff.
26Vgl. Ulrich 1970, S.92ff.
27Vgl. Stone 1998, S.XI
28Vgl. Drucker 1966, S.48f.
29Vgl. Ibid, S.97f.
30Vgl. Bea/Haas 2005, S.14
31Vgl. Malik 2008, S.27ff.
32Vgl. Duden 2003, S.733: Gesamtheit aller Merkmale. Das Adjektiv „komplex“ ist zu unterscheiden von „kompliziert“, das so viel bedeutet wie: schwierig, umständlich, mit Komplikationen verbunden.
33Vgl. Malik 1994, S.8
34Vgl. Pieth 2011, S.41
35https://www.jonesday.com/en/insights/2020/12/2020-crossborder-corporate-criminal-liability-survey (Stand 02.03.2021)
36Vgl. Wieland 2020, S.15f.
37Vgl. Kieser 2004, S.28; Bea/Göbel 2006, S.284f.
38Vgl. Tirole 2001, S.2
39Zur Principal-Agent Theory vgl. Moe, 1984; Eisenhardt 1989; Mirrlees/Raimondo 2012.
40Vgl. Berle/Means 1933, S.127ff.; Frese, Graumann/Theuvsen 2011, S.515ff.
41Vgl. Coase 1933, S.392; Putterman/Kroszner 1986, S.111-134
42Vgl. Grüninger 2014, S.50
43Vgl. Bungartz 2010, S.28
44https://www.coso.org/Pages/default.aspx (Stand 03.03.2021)
45Vgl. Bungartz 2010, S.37
46Vgl. Moeller 2011, S.56ff.
47Vgl. Withus 2014, S.45
48Vgl. Pampel/Glage 2010, S.92ff.
49https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%202012.pdf (Stand 05.03.2021)
50Österreich: Verbandsverantwortlichkeitsgesetz https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20004425 (Stand 05.03.2021)
51Schweiz: Schweizerisches Strafgesetzbuch (StGB) idgF, https://www.fedlex.admin.ch/eli/cc/54/757_781_799/de (Stand 05.03.2021)
52Deutschland: Entwurf zum Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG), https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Staerkung_Integritaet_Wirtschaft.html (Stand 05.03.2021) Zum Zeitpunkt der Drucklegung dieses Praxiskommentars befindet sich das Gesetz noch im Gesetzgebungsverfahren.
53Österreich: FMA 01/2019: Rundschreiben „Interne Organisation zur Prävention von Geldwäscherei und Terrorismusfinanzierung“ (Stand 05.03.2021)
Deutschland: Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie Bundesgesetzblatt Jahrgang 2019 Teil I Nr. 50, ausgegeben zu Bonn am 19. Dezember 2019, https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/19_Legislaturperiode/2019-12-19-Gesetz-4-EU-Geldwaescherichtlinie/0-Gesetz.html (Stand 05.03.2021)
Schweiz: FINMA Rundschreiben 2017/1: Leitplanken zur Corporate Governance bei Banken (https://www.finma.ch/de/news/2016/11/20161101-mm-rs-corporate-governance-bei-banken/ (Stand 05.03.2021)
54Italien Executive decree no. 231 of 8 June 2001, “Discipline of the administrative liability of legal persons, of companies and of associations even without a legal status, pursuant to Article 11 of Law no. 300 of 29 September 2000”, published in the Gazzetta Ufficiale no. 140 of 19 June 2000. http://www.oecd.org/investment/anti-bribery/anti-briberyconvention/45508054.pdf (Stand 05.03.2021)
Spanien: Criminal Code, https://www.legislationline.org/download/id/6443/file/Spain_CC_am2013_en.pdf; Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. (Rundschreiben 1/2016 vom 22. Januar über die strafrechtliche Verantwortlichkeit juristischer Personen gemäß der Reform des Strafgesetzbuchs durch das Organgesetz 1/2015.) https://www.boe.es/buscar/doc.php?id=FIS-C-2016-00001, (Stand 05.03.2021)
US: U.S. Department of Justice-Criminal Division: Evaluation of Corporate Compliance Programs (Updated June 2020) https://www.justice.gov/criminal-fraud/page/file/937501/download, (Stand 05.03.2021)
559-28.000 Justice Manual US-Justizministerium (https://www.justice.gov/jm/jm-9-28000-principles-federal-prosecution-business-organizations, (Stand 05.03.2021)
56https://www.ussc.gov/guidelines/2018-guidelines-manual/annotated-2018-chapter-8#NaN (Stand 05.03.2021)
57Vgl. z.B.:(i) United States vs. The Boing Company, Jänner 2021. https://www.justice.gov/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billion . (ii) United States vs. Airbus SE, Jänner 2020. https://www.justice.gov/opa/pr/airbus-agrees-pay-over-39-billion-global-penalties-resolve-foreign-bribery-and-itar-case (Stand 05.03.2021)
58https://www.worldbank.org/en/about/unit/integrity-vice-presidency#3 (Stand 05.03.2021)
59African Development Bank Group, Asian Development Bank, European Bank for Reconstruction and Development, Inter-American Development Bank Group. https://www.ifc.org/wps/wcm/connect/topics_ext_content/ifc_external_corporate_site/ac_home/faqsxb (Stand 05.03.2021)
60: https://www.worldbank.org/en/projects-operations/procurement/debarred-firms (Stand 05.03.2021)