Loe raamatut: «Erfolgreich mit Compliance»
Impressum
978-3-85402-413-2
Auch als Buch verfügbar
978-3-85402-412-5
2., überarbeitete Auflage 2021
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung der Autorin oder des Verlages
ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.
Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2021
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
Austrian Standards plus GmbH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-355
E service@austrian-standards.at
www.austrian-standards.at/fachliteratur
ProjektManagement
Gertraud Reznicek
Cover – Fotocredit
© iStockphoto.com/Bedrin-Alexander
Satz/gestaltung
Alexander Mang
Inhalt
Abkürzungsverzeichnis
Vorwort
1 Grundlagen und Rahmenbedingungen
1.1 Begriffsbestimmung Compliance
1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen
1.2.1 Verantwortung von Organisationen im internationalen Rahmen
1.2.2 Verantwortung von Organisationen im nationalen Rahmen
1.2.3 Verantwortung für Compliance in Österreich
1.3 Compliance als Werkzeug des strategischen Managements
1.3.1 Begriffsbestimmung Management-Systeme
1.3.2 Compliance-Management-Systeme
1.4 Abgrenzung Governance – IKS – RMS – CMS
1.4.1 Corporate Governance
1.4.2 Internes Kontrollsystem (IKS)
1.4.3 Risikomanagement-System (RMS)
1.4.4 Compliance-Management (CMS)
1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten
2 Umsetzung der ISO 37301 im Kontext
2.1 Standardisierung von Management-Systemen nach ISO
2.1.1 Management-System-Standards nach ISO High-Level Structure
2.1.2 Integriertes Management-System
2.1.3 ISO 37001 Anti-bribery management systems
2.2 Das Prinzip der fortlaufenden Verbesserung – PDCA-Zyklus
2.2.1 Prinzip der fortlaufenden Verbesserung von ISO Management- System-Standards (MSS)
2.2.2 ISO 37301 im PDCA-Zyklus
2.3 Change-Management als Führungsinstrument zur Umsetzung der ISO 37301
2.3.1 Definition Change-Management
2.3.2 Einflussfaktoren von Change-Management
2.3.3 Leading Change – Das 8-Stufen-Modell nach John P. Kotter
3 Anforderungen der ISO 37301 – Compliance-Management-Systeme
3.1 Einleitung
3.2 Anwendungsbereich der ISO 37301
3.3 Begriffe nach ISO 37301
3.4 Die Organisation und ihr Kontext
3.4.1 Verstehen der Organisation und ihres Kontextes
3.4.2 Erfordernisse und Erwartungen von interessierten Parteien
3.4.3 Bestimmung des Anwendungsbereichs des Compliance-Management-Systems
3.4.4 Compliance-Management-System
3.4.5 Compliance-Verpflichtungen
3.4.6 Compliance-Risikobewertung
3.5 Führung
3.5.1 Führung und Engagement
3.5.2 Compliance-Politik
3.5.3 Rollen, Verantwortlichkeiten und Zuständigkeiten
3.6 Planung
3.6.1 Maßnahmen zur Behandlung von Compliance-Risiken
3.6.2 Compliance-Ziele und Planung zu deren Erreichung
3.6.3 Planung von Änderungen
3.7 Unterstützung
3.7.1 Ressourcen
3.7.2 Kompetenz
3.7.3 Bewusstsein
3.7.4 Kommunikation
3.7.5 Dokumentierte Information
3.8 Betrieb
3.8.1 Operative Planung und Steuerung
3.8.2 Errichtung von Maßnahmen und Kontrollen
3.8.3 Compliance-Bedenken
3.8.4 Untersuchungsprozesse
3.9 Bewertung der Leistung
3.9.1 Überwachung, Messung, Analyse und Bewertung
3.9.2 Internes Audit
3.9.3 Management-Bewertung
3.10 Verbesserung
3.10.1 Kontinuierliche Verbesserung
3.10.2 Nichtkonformität und Korrekturmaßnahmen
4 Leitfaden für kleinere und mittlere Unternehmen (KMU)
4.1 Compliance-relevante Merkmale des Mittelstandes
4.2 Umsetzen und Ausgestalten von Compliance-Management im Mittelstand
4.3 Fazit
5 Externe Überprüfung und Zertifizierung
5.1 Externe Audits von Compliance-Management-Systemen
5.1.1 Grundlagen
5.1.2 Auditprozess
5.2 Zertifizierung eines CMS
5.3 Zertifizierungsprozess im Rahmen von ISO
6 Weiterführende Konzepte
6.1 Organisationskultur als Führungsinstrument
6.1.1 Einflüsse auf Organisationskulturen
6.1.2 Merkmale von Organisationskulturen
6.1.3 Das Kulturmodell nach Schein
6.1.4 Wirkung und Funktion von Organisationskulturen
6.1.5 Messung von Organisationskulturen – das Modell von Denison
6.1.6 Organisationskultur und ein CMS nach ISO 37301
6.2 Risikomanagement
6.2.1 Ein Risikomanagement-System im Überblick
6.2.2 ERM – organisationsweites, ganzheitliches Risikomanagement
6.2.3 ISO 31000 Risk Management
6.2.4 Risikomanagement und ein CMS nach ISO 37301
7 Resümee und Ausblick
Literaturverzeichnis
Die Autorin
Abbildungsverzeichnis
Abbildung 1: COSO Internal Control – Integrated Framework
Abbildung 2: ISO 37301 im Deming-Zyklus der ständigen Verbesserung
Abbildung 3: Phasenschema von Veränderungen nach Lewin
Abbildung 4: Promotoren und Destruktoren nach Ladwig/Domsch
Abbildung 5: Allgemeine Symptome des Widerstandes nach Doppler/Lauterburg
Abbildung 6: Ausgewählte Handlungsfelder von Widerständen nach Reiß
Abbildung 7: 8-Stufen-Modell für Veränderungen nach Kotter
Abbildung 8: PESTLE-Analyse des äußeren Umfeldes
Abbildung 9: Interessierte Parteien/Stakeholder
Abbildung 10: Stakeholder Einfluss-Interessen-Matrix
Abbildung 11: Risikomatrix
Abbildung 12: Ebenen und Eigenschaften eines Verhaltenskodex
Abbildung 13: Wertorientierung des CMS nach Grüninger
Abbildung 14: Compliance als Unterstützung der Organisationsziele
Abbildung 15: Mittel zur Umsetzung der Compliance-Politik
Abbildung 16: Komponenten der Handlungsfähigkeit
Abbildung 17: Fraud Triangle und Ansätze zur Prävention nach Grüninger
Abbildung 18: DMAIC-Zyklus der laufenden Verbesserung
Abbildung 19: Überblick Kommunikationsmittel nach Mast/Maletzke
Abbildung 20: Ablauf eines Monitoring-Verfahrens
Abbildung 21: Ansätze zum Compliance-Management nach Saitz/Tempel/Brühl
Abbildung 22: Zertifizierungsprozess nach ISO/IEC 17021
Abbildung 23: Kulturelles Schachtelmodell nach Thomas
Abbildung 24: Kulturebenen nach Schein
Abbildung 25: Parameter für Organisationskulturen nach Dension
Abbildung 26: Unternehmenskultur und Effektivität
Abbildung 27: Bausteine eines Risikomanagement-Systems
Abbildung 28: COSO ERM Framework
Abbildung 29: Risikomatrix
Abbildung 30: Risikomanagementprozess nach ISO 31000:2018
Tabellenverzeichnis
Tabelle 1: Anforderungen an ein effektives CMS vs. ISO 37301
Tabelle 2: Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301
Tabelle 3: Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001
Tabelle 4: Vergleich HLS-Struktur in verschiedenen ISO MSS – Übersicht
Tabelle 5: Vergleich HLS-Struktur in ISO MSS – Kapitel 8 „Betrieb“
Tabelle 6: Richtlinie zum UK Bribery Act 2010 vs. ISO 37001
Tabelle 7: ICC Anti-Korruptionsrichtlinien vs. ISO 37001
Tabelle 8: Anforderungen an ein effektives Managementsystem zur Korruptionsbekämpfung vs. ISO 37001
Tabelle 9: Vergleich ISO 37301 vs. ISO 37001 auf Basis der HLS-Struktur von ISO MSS
Tabelle 10: Vergleich ISO 37301 vs. ISO 37001 – Kapitel 8 „Betrieb“
Tabelle 11: Interne Bestimmungsfaktoren einer Organisation
Tabelle 12: Skala Eintrittswahrscheinlichkeit
Tabelle 13: Beispiel Risikolandkarte
Tabelle 14: Indikatoren für CMS Ziele nach Johnson/Soreide
Tabelle 15: Informations- und Kommunikationsbedarf (Beispiele) nach Bruhn
Tabelle 16: Klassifikation von Kommunikationsmedien nach Vahs/Wieand
Tabelle 17: EU-Definition KMU
Tabelle 18: Arten von Systemaudits
Tabelle 19: Beispiele Key-Risk-Indikatoren (KRIs)
Abkürzungsverzeichnis
| AG | Aktiengesellschaft |
| AktG | Aktiengesetz |
| AQAP | Allied Quality Assurance Publications |
| ArbVG | Arbeitsverfassungsgesetz |
| AS | Australien |
| BGBl. | Bundesgesetzblatt |
| BWG | Bankwesengesetz |
| BSI | British Standards Institution |
| bzgl. | bezüglich |
| bzw. | beziehungsweise |
| CMS | Compliance-Management-System |
| COSO | Committee of Sponsoring Organizations of the Treadway Commission |
| d.h. | das heißt |
| DOJ | United States Department of Justice |
| DMAIC | Define-Measure-Analyse-Improve-Control |
| DSG | Datenschutzgesetz |
| DSK | Datenschutzkommission |
| etc. | et cetera |
| EU | Europäische Union |
| ERM | Enterprise Risk Management |
| ERP | Enterprise Resource Planning |
| EUR | Euro |
| FATF | Financial Action Task Force |
| FCPA | United States Foreign Corrupt Practices Act |
| FMA | Finanzmarktaufsicht |
| FSGM | Federal Sentencing Guidelines Manual |
| GARP | Global Association of Risk Professionals |
| GenG | Genossenschaftsgesetz |
| geb. | geboren |
| gem. | gemäß |
| ggf. | gegebenenfalls |
| GmbHG | Gesetz über die Gesellschaft mit beschränkter Haftung |
| grs. | grundsätzlich |
| HLS | High Level Structure |
| ICC | International Chamber of Commerce |
| idgF | in der geltenden Fassung |
| idR | in der Regel |
| IEC | International Electrotechnical Commission |
| IKS | internes Kontrollsystem |
| ILO | International Labour Organization |
| inkl. | inklusive |
| insb. | insbesondere |
| ISO | International Organization for Standardization |
| IT | Informationstechnologie |
| Jhdt. | Jahrhundert |
| JTC | Joint Technical Committee |
| JTCG | Joint Technical Coordinating Group |
| Kap. | Kapitel |
| KG | Kommanditgesellschaft |
| KMU | Klein- und Mittelbetrieb(e) |
| KPI | Key Performance Indicator |
| KRI | Key Risk Indicator |
| KYC | Know Your Customer |
| MS | Management-System |
| MMS | Management-System-Standard |
| NATO | North Atlantic Treaty Organization |
| NZS | Neuseeland |
| OECD | Organisation for Economic Cooperation and Development |
| ÖCGK | Österreichischer Corporate Governance Kodex |
| OGH | Oberster Gerichtshof |
| OWiG | Gesetz über Ordnungswidrigkeiten |
| PACI | Partnering Against Corruption Initiative |
| PDCA | Plan-Do-Check-Act |
| RM | Risikomanagement |
| RMS | Risikomanagement-System |
| SAI | Social Accountability International |
| SEC | United States Securities and Exchange Commission |
| sog. | sogenannt |
| SOX | Sarbanes-Oxley Act |
| TC | Technical Committee |
| TMB | Technical Management Board |
| u.a. | unter anderem |
| VAG | Versicherungsaufsichtsgesetz |
| VbVG | Verbandsverantwortlichkeitsgesetz |
| vgl. | vergleiche |
| UGB | Unternehmensgesetzbuch |
| UN | United Nations (Vereinte Nationen) |
| UNODC | United Nations Office on Drugs and Crime |
| UK | United Kingdom |
| USA, US | United States |
| usw. | und so weiter |
| u.U. | unter Umständen |
| uvm. | und vieles mehr |
| WAG | Wertpapieraufsichtsgesetz |
| WBG | The World Bank Group |
| z.B. | zum Beispiel |
Vorwort
Compliance-Management beinhaltet die standardisierte Identifikation von Verpflichtungen und deren systematische Übersetzung in den Organisationsalltag. Die Entwicklung von Strukturen und Maßnahmen und dessen Integration in bestehende Verfahren und Prozesse verringert das Risiko von nicht-regelkonformem Verhalten bei der Ausübung der Geschäftstätigkeit. Ein Compliance-Management-System (CMS) muss jedoch mehr bieten. Um akzeptiert zu werden, müssen Compliance-Maßnahmen eng mit Effektivität und Effizienz verbunden sein und dürfen nicht als bürokratische Hindernisse empfunden werden. Compliance ist demnach keine reine Pflichtübung, um negative Folgen von einer Organisation abzuwenden, sondern trägt zur Verbesserung des operativen Betriebes bei. Dieses Buch leistet dazu einen Beitrag und unterstützt Organisationen aller Art dabei, Compliance-Maßnahmen zur Steigerung von Effektivität und Effizienz der gesamten Organisationssteuerung zu nutzen.
Die ISO 37301:2021 „Compliance-Management-Systems – Requirements with guidance for use“ wurde von Anwendern für Anwender entwickelt. Sie erhebt den Anspruch, ein Best-Practice-Ansatz für weltweit vereinheitlichte Anforderungen zur Entwicklung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines CMS zu sein. Der Umfang, in dem die einzelnen Elemente umgesetzt werden, ist dem Prinzip der Angemessenheit folgend auf die individuellen Besonderheiten der Organisation abzustimmen. Der Standard ist somit auf alle Arten von Organisationen – unabhängig von Größe, Branche, Geschäftstätigkeit oder Rechtsform – anwendbar.
Dieser Kommentar erläutert alle Elemente der ISO 37301 und führt mit zahlreichen Praxistipps an eine schrittweise Umsetzung heran. Durch den ganzheitlichen Ansatz ist ein CMS nach ISO 37301 ein Führungsinstrument des strategischen Managements. Dieses Buch erhebt den Anspruch, die praktische Umsetzung wissenschaftlich zu fundieren, gepaart mit jahrzehntelanger Erfahrung im Aufbau und in der Leitung von komplexen Systemen. Zum Zeitpunkt der Drucklegung dieses Kommentars (Stand Juni 2021) stand eine deutschsprachige Fassung der ISO 37301 noch nicht zur Verfügung. Die Begrifflichkeiten richten sich nach der am 13. April 2021 publizierten englischen Fassung. Die Übersetzungen erfolgten durch die Autorin.
Wie schon der Vorgängerstandard ISO 19600 beruht die ISO 37301 auf einer einheitlichen Vorlage von ISO-Management-System-Standards (ebenso wie z.B. ISO 37001 Managementsysteme zur Korruptionsbekämpfung – Anforderungen mit Leitlinien zur Anwendung) und kann daher in einer integrierten Weise implementiert werden. In diesem Sinne ist der ISO 37301 zu wünschen, dass sie sich – nicht zuletzt wegen der globalen Bekanntheit und Akzeptanz von ISO-Standards – als internationale Benchmark für die angemessene Umsetzung und Verankerung von Compliance in Organisationen aller Arten bewährt.
Ich wünsche allen Leserinnen und Lesern viele hilfreiche Impulse und für Ihre Praxis relevanten Nutzen. Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter office@neiger.eu!
Wien, im Juli 2021 Barbara Neiger
1Grundlagen und Rahmenbedingungen
1 Grundlagen und Rahmenbedingungen
In fünf Kapiteln werden Grundlagen und Rahmenbedingungen für ein Compliance Management System (CMS) nach ISO 37301 dargelegt. Als Erstes muss die Bedeutung des Begriffes „Compliance“ im Zusammenhang mit diesem Praxiskommentar geklärt werden: die Einhaltung von Verpflichtungen, die für eine Organisation aufgrund obligatorischer Bestimmungen und freiwillig eingegangener Selbstverpflichtungen bindend sind. In Kapitel 1.2 werden die rechtlichen Rahmenbedingungen für Compliance in Organisationen anhand von nationalen und internationalen Vorschriften über die (strafrechtliche) Verantwortung von Organisationen für regelwidrige Handlungen ihrer Mitarbeiter erläutert. Die Verpflichtung der Geschäftsleitung zur Errichtung eines der individuellen Situation der Organisation angemessenen CMS basiert auf deren allgemeiner Sorgfaltspflicht als ordentlicher Kaufmann. Wie in Kapitel 1.3 dargelegt, soll ein CMS als Werkzeug des strategischen Managements durch ein planvolles Vorgehen sicherstellen, dass bei der Abwicklung der Geschäftstätigkeit die für die Organisation relevanten Verpflichtungen eingehalten werden. Durch die Vermeidung von Compliance-Verstößen bzw. durch die Verringerung von deren negativen Auswirkungen wird das Erreichen der Ziele einer Organisation unterstützt. Die Abgrenzung des CMS zu Corporate Governance und zu weiteren Führungsinstrumenten, wie einem internen Kontrollsystem (IKS) und einem Risikomanagement-System (RMS), werden anschließend in Kapitel 1.4 besprochen. Kapitel 1.5 gibt einen Überblick über die Positionierung der ISO 37301 als unparteiisches Best-Practice-Instrument zur Sicherstellung von einem wirksamen Compliance-Management in Organisationen.
1.1 Begriffsbestimmung Compliance
Der Begriff „Compliance“ leitet sich vom Englischen „to comply with something“ (etwas erfüllen oder einhalten)[1] ab und bedeutet im Zusammenhang des vorliegenden Handbuches die Befolgung von Regeln durch eine Organisation. Und zwar jener Regeln, die für die Organisation aufgrund rechtlicher oder regulatorischer Bestimmungen bindend sind, also auch jener, deren Einhaltung sich die Organisation freiwillig unterworfen hat.
Damit bedeutet Compliance zunächst einmal nur, dass Verbindlichkeiten eingehalten werden. Das ist nicht neu und ein in Rechtsstaaten immer schon selbstverständliches Prinzip.[2] Compliance umfasst aber auch die Thematik, wie Organisationen die Einhaltung von Regeln durch ihre Organe und Mitarbeiter sicherstellen. Den verantwortlichen Führungskräften obliegt es dabei im Rahmen ihrer Aufsichts- und Sorgfaltspflicht dafür zu sorgen, dass sich die für die Organisation tätigen Personen im täglichen Geschäftsverkehr an relevante Verbindlichkeiten, wie z.B. gesetzliche, behördliche oder aufsichtsrechtliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien oder Verträge und verbindliche zwei- oder mehrseitige Vereinbarungen halten.
Die Verpflichtung zur Einhaltung von relevanten gesetzlichen, behördlichen oder aufsichtsrechtlichen Vorschriften gilt für alle Organisationen. Auch die Beachtung von Branchenvorgaben und organisationsinternen Richtlinien dient nicht einem Selbstzweck, sondern liegt im Interesse der Organisation. Allen Organisationen, unabhängig von ihrer rechtlichen Form, ihrer Größe oder ihrem Tätigkeitsbereich, stehen beschränkte Ressourcen zur Verfügung, die möglichst effizient und effektiv eingesetzt werden müssen. Es ist unrichtig, zu argumentieren, dass das Erfordernis eines solch wirtschaftlichen Handelns nur für auf Gewinn (Profit) gerichtete Organisationen gilt. Auch Not-for-profit-Organisationen haben begrenzte Ressourcen zur Verfügung, mit deren Einsatz das bestmögliche Ergebnis zu erzielen ist. Negative finanzielle Folgen von Non-Compliance in Form von Straf- und Bußgeld-Zahlungen fallen sicher nicht unter die Definition des „bestmöglichen Ergebnisses“.
