ISO 19600 und IDW PS 980 im Vergleich

Inhalt

1 NORMEN ZU COMPLIANCE-MANAGEMENT-SYSTEMEN
1.1 Problemstellung
1.2 Zielsetzung und Aufbau der Untersuchung

2 THEORETISCHE GRUNDLAGEN
2.1 Compliance
2.2 Compliance-Management-System
2.3 Normen

3 DIE INTERNATIONALE NORM ISO 19600
3.1 Rahmenwerk für Compliance-Management-Systeme
3.2 Struktur der Norm
3.3 Inhalt
3.4 Praxisrelevanz der ISO-Norm

4 DER NATIONALE PR ÜFUNGSSTANDARD IDW PS 980
4.1 Leitfaden zur Prüfung von Compliance-Management-Systemen
4.2 Grundsätze der Prüfung
4.3 Grundelemente eines Compliance-Management-Systems
4.4 Praxisrelevanz des Prüfungsstandards

5 KRITISCHE W ÜRDIGUNG

6 FAZIT

1 Normen zu Compliance-Management-Systemen

1.1 Problemstellung

Dass sich Unternehmen intensiv mit dem Thema Compliance auseinander-setzen ist ein relativ junges Phänomen. Vor allem in den letzten zehn Jah-ren häufen sich Skandale, welche u. a. auf mangelnde Compliance zurück-zuführen sind, wie beispielsweise die Siemens-Affäre aus dem Jahr 2006.¹

Die aus dem Defizit an Erfahrung und Wissen resultierende Unsicherheit im Umgang mit Compliance kann durch die Etablierung von Normen zur Ori-entierung reduziert werden. Diese Normen können als Grundlage zur Etab-lierung und Verbesserung von Compliance-Management-Systemen (CMS) dienen, um (Rechts-)Sicherheit zu schaffen und Regelkonformität zu för-dern.

In dieser Arbeit geht es um zwei Normen, welche die Themen Compliance und speziell CMS betreffen. Dabei tritt jedoch das Problem auf, dass diese von unterschiedlichen Institutionen entwickelt wurden und ebenso unter-schiedliche Intentionen verfolgen.

Zum einen existiert die ISO 19600, die als Rahmenwerk zur Konzeptionie-rung und zum Betrieb von CMS fungiert. Zum anderen gibt es den IDW PS 980, welcher speziell für die Prüfung von CMS erarbeitet wurde.

1.2 Zielsetzung und Aufbau der Untersuchung

Im Rahmen dieser Arbeit sollen die Spezifika der beiden Normen ausgear-beitet werden. Etwaige Unterschiede, Ähnlichkeiten und Parallelen gilt es im Laufe der Arbeit herauszustellen. Final soll das Verhältnis der beiden Normen zueinander geklärt werden. Durch die Aufarbeitung soll die Frage beantwortet werden, ob die beiden Normen als gegensätzlich, ähnlich oder komplementär anzusehen sind. Des Weiteren werden die spezifischen An-wendungsmöglichkeiten aufgezeigt.

Mittels Vergleiches der beiden Normen werden die Kerninhalte herausge-arbeitet, um die Fragestellungen zu beantworten. Zusätzlich fließen Stel-lungnahmen diverser Institutionen, Kommentare von Sachverständigen so-wie Fälle aus der Rechtsprechung ein, um alle relevanten Aspekte des The-mas miteinzubeziehen.

Da es sich bei der vorliegenden Arbeit um den hauptsächlich inhaltlichen Vergleich zweier Normen handelt, ist die Arbeit vorwiegend in Form der Li-teraturuntersuchung gestaltet. Dabei ist die Untersuchung hauptsächlich qualitativer Natur.

2 Theoretische Grundlagen

2.1 Compliance

Zunächst sollen Begriffe geklärt werden, welche im Kontext dieser Arbeit wichtig für das Verständnis sind. Bislang existieren für den Begriff Compli­ance weder eine allgemein gültige Definition noch gesetzliche Bestimmun-gen.²

Im betriebswirtschaftlichen Kontext kann Compliance als die Sicherstellung der Einhaltung von geltendem Recht³ aber auch gesellschaftlichen sowie unternehmensinternen Normen und Wertvorstellungen⁴ verstanden wer-den. Aus Sicht der Unternehmen ist Compliance dabei formal legalistisch orientiert⁵ und dient vorrangig der Haftungsvermeidung.

Diese utilitaristische⁶ Sichtweise der Compliance ist auf durch Regelver-stöße entstehende materielle und immaterielle Risiken ausgerichtet. So sol-len finanzielle und andere Schäden, wie beispielsweise durch wirtschafts-kriminelle Delikte, abwendet werden.⁷

Neben möglichen finanziellen Schäden drohen bei unzureichender Compli­ance weitere Gefahren. Durch Regelverstöße kann es zu Reputations- und Vertrauensverlusten seitens der Stakeholder kommen⁸, da insbesondere die Öffentlichkeit für solche Themen hochgradig sensibilisiert ist.⁹

Daraus folgt, dass Compliance durch finanzielle, rechtliche sowie Reputati­ons- und Vertrauensgründe theoretisch begründet werden kann und folglich der Existenzsicherung der Unternehmen dient.¹⁰ Compliance ist daher auch Aufgabe des Managements. Hinzu kommen weitere Haftungsrisiken für Ma-nager.¹¹

2.2 Compliance-Management-System

Das CMS umfasst alle Maßnahmen, die der Sicherstellung der Einhaltung von Regeln und Gesetzen innerhalb einer Organisation oder eines Unter-nehmens dienen.¹² Damit bildet das CMS die Grundlage einer angemesse-nen und wirksamen Compliance.

Während Compliance bereits den Prozessaspekt (Prävention, Aktion und Reaktion) samt zugehöriger Verhaltensweisen und Maßnahmen implizit enthält, ergänzt das CMS den Controlling-Aspekt. Konkret bedeutet dies die ganzheitliche Steuerung sämtlicher Maßnahmen eines Unternehmens mit dem Ziel der systematischen Gewährleistung des regelkonformen Verhal-tens aller Akteure. Dies soll in Abstimmung mit den Unternehmenszielen sowie der Gesamtheit der Stakeholder geschehen.¹³

Damit bildet das CMS die grundlegende Organisationsstruktur für Compli­ance im Unternehmen.¹⁴ Es trägt zur Erfüllung der Sorgfaltspflichten und Verantwortlichkeiten der Geschäftsleitung bei.¹⁵ Dies gilt insbesondere für die angemessene Informationsorganisation¹⁶ sowie Risikosteuerungs- und Überwachungspflichten. Die Einrichtung eines CMS gehört zur Gesamtver-antwortung des Vorstands,¹⁷ was auch den Empfehlungen des Deutschen Corporate Governance Kodex (DCGK) entspricht.¹⁸

Ein CMS kann auch zu einer Entlastung im Rahmen von Vorwürfen im Sinne der §§ 30, 130 OWiG beitragen.¹⁹ Selbst eine Verringerung des Straf-maßes bei bereits aufgetretenen Unregelmäßigkeiten kann durch die ernst-hafte Implementierung eines CMS erreicht werden.²⁰

Der Aufsichtsrat hat die Pflicht, den Vorstand auch im Kontext der Compli­ance zu überwachen.²¹ Er hat sich laut Aktiengesetz selbst um Informatio-nen zu bemühen (Holschuld).²² Damit haben sich sowohl Vorstand als auch Aufsichtsrat mit dem CMS zu befassen.

2.3 Normen

Für den weiteren Verlauf der Arbeit gilt es noch zu klären, was Normen sind und warum es diese gibt. Das Deutsche Institut für Normung (DIN) definiert eine Norm als „ein Dokument, das Anforderungen an Produkte, Dienstleis-tungen oder Verfahren festlegt“²³, um Klarheit über deren Eigenschaften zu schaffen. Grundsätzlich ist die Anwendung solcher Normen laut DIN freiwil-lig. Ist eine Norm jedoch Bestandteil eines Vertrags oder verpflichtet der Gesetzgeber zu deren Einhaltung wird diese obligatorisch.²⁴

Die Verwertbarkeit von Normen und Zertifizierungen vor Gericht ist fragwür-dig.²⁵ Normen können aber durchaus eine Strafmilderung bewirken. Eine Zertifizierung nach der ISO 19600 oder dem IDW PS 980 kann als Nach-weis dienen, der Pflicht zur Einrichtung eines Systems zur Minimierung un-ternehmensspezifischer Risiken nachgekommen zu sein. Eine Zertifizie-rung nach solchen Normen ist jedoch kein Freibrief und dient lediglich als Hilfsmittel im Rechtsstreit.²⁶ Die Begriffe Norm und Standard werden im Rahmen dieser Arbeit synonym verwendet.

3 Die internationale Norm ISO 19600

3.1 Rahmenwerk f ü r Compliance-Management-Systeme

Die International Organization for Standardization (ISO) ist eine unabhän-gige, nichtstaatliche Organisation mit Sitz in der Schweiz. Ihr Hauptzweck ist die Ausarbeitung von Normen. Bereits mehr als 20.000 solcher Normen wurden seit 1947 initiiert.²⁷

ISO-Normen sind weltweit verbreitet und anerkannt.²⁸ Die ISO 19600 aus dem Jahr 2014 ist die ISO-Norm für die Einrichtung, Entwicklung, Imple-mentierung, Auswertung, Aufrechterhaltung und Verbesserung von CMS. Diese bietet diese Compliance-Verantwortlichen Unterstützung bei der In­stallation eines CMS.²⁹

Die ISO 19600 dient als Rahmenwerk für Organisationen, nicht nur Unter-nehmen.³⁰ Sie enthält Empfehlungen und bewährte Praktiken aber keine eigentlichen Vorgaben oder Pflichten. Damit ist diese flexibel anwendbar.³¹ Jedoch müssen Organisationen bei der Anwendung die eigenen Anforde-rungen beachten.³²

Haben Organisationen noch kein CMS installiert, kann die ISO 19600 mit geringem Aufwand adaptiert werden. Sie ist ebenfalls dazu geeignet, an-dere Management-Systeme im Hinblick auf den Compliance-Aspekt zu er-gänzen. Des Weiteren ist die Norm mit anderen ISO-Normen kompatibel, wie beispielsweise der ISO 9001, der ISO 31000 oder der ISO 26000.³³

3.2 Struktur der Norm

Der Aufbau der Norm folgt der sog. High-Level-Structure, welche die ISO für ihre Management-System-Normen eingeführt hat. Daraus resultieren re-lativ abstrakte Überschriften, welche nur beschränkt zum inhaltlichen Ver-ständnis beitragen.³⁴ Die Methodik der ISO 19600 folgt der Systematik der laufenden Verbesserung (Plan-Do-Check-Act) und ist in zwei Phasen un-terteilt.³⁵

Die erste Phase umfasst die Etablierung des CMS. Darin werden der An-wendungsbereich, der Aufbau und die Ziele des CMS bestimmt. Dabei flie-ßen interne und externe Themen, die Anforderungen von Interessengrup-pen sowie die Grundsätze der Good Governance³⁶ mit ein.

Die zweite Phase ist in fünf Abschnitte unterteilt (Fehler! Verweisquelle k onnte nicht gefunden werden.). Zunächst werden die Compliance-Risi-ken und bindenden Verpflichtungen erfasst. Daraufhin werden Maßnahmen zur Risikobewältigung und Zielerreichung geplant und anschließend opera-tionalisiert, um die Risiken zu steuern. Die Evaluation und Berichterstattung erlauben die Bearbeitung von Compliance-Verstößen und die Beseitigung von Mängeln. Die fünf Abschnitte laufen iterativ ab, was auf die kontinuier-liche Verbesserung des CMS abzielt.³⁷

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Ablaufdiagramm eines CMS nach ISO 19600³⁸

Die Compliance-Kultur und die Führung sind die zentralen Elemente des CMS.³⁹ Beide werden maßgeblich durch die Verhaltensweisen des Mana­gements beeinflusst. Die Unabhängigkeit der Compliance-Funktion und Verantwortlichkeiten auf allen Ebenen sind ebenfalls Voraussetzungen für die Effektivität des CMS. Des Weiteren sollten die Funktionen des CMS auf verschiedene Weise unterstützt werden, wie beispielweise durch die Bereit-stellung von Ressourcen.

[...]

¹ Vgl. Czycholl (2015).

² Vgl. Quentmeier (2012), S. 13.

³ Vgl. Erben (2014), S. 1.

⁴ Vgl. Fahrig (2010), S. 52.

⁵ Vgl. Hänel (2016), S. 112 f.

⁶ Der Utilitarismus bewertet in der Ethik die Richtigkeit einer Handlung ausschließlich nach deren Folgen (auch Konsequentialismus). Richtiges Handeln wird als Wahl zwischen Handlungsalternativen verstanden, welche nach den jeweiligen Folgen be-wertet werden. Vgl. Behrens (2004), S. 30.

⁷ Vgl. Holzmann (2016), S. 19 f.

⁸ Vgl. Holzmann (2016), S. 20.

⁹ Vgl. Schach / Christoph (2015), S. 1.

¹⁰ Vgl. Otremba (2016), S. 126.

¹¹ Weitergehende Ausführungen dazu sind im nachfolgenden Abschnitt enthalten.

¹² Vgl. Schmola / Rapp (2016), S. 25 ff.

¹³ Vgl. Hein (2016), S. 13 f.

¹⁴ Vgl. Wecker / Laak (2009), S. 45.

¹⁵ Siehe § 91 Abs. 2, § 93 Abs. 1 S. 1, 2 AktG; § 43 Abs. 1 GmbHG.

¹⁶ Siehe § 93 Abs. 1 S. 2 AktG.

¹⁷ Vgl. LG München I, Urt. v. 10.12.2013; Sünner (2015), S. 2.

¹⁸ Vgl. DCGK (2015), Tz, 4.1.3 in Verbindung mit § 161 Abs. 1 AktG.

¹⁹ Vgl. Merz (2015).

²⁰ Vgl. Lucke / Lütge (2011), S. 312 f.

²¹ Vgl. Habersack (2014), S. 1 ff.

²² Siehe § 111 Abs. 2 AktG in Verbindung mit § 90 Abs. 3 AktG.

²³ Deutsches Institut für Normung (o.J.).

²⁴ Vgl. Deutsches Institut für Normung (o.J.).

²⁵ Vgl. Schwab (2016), S. 300.

²⁶ Vgl. Sarhan (2015), S. 7.

²⁷ Vgl. International Organization for Standardization (o.J.).

²⁸ Vgl. International Organization for Standardization (1997), S. 8 f.

²⁹ Vgl. ISO 19600 (2014), S. 1.

³⁰ Vgl. ISO 19600 (2014), S. 1.

³¹ Vgl. ISO 19600 (2014), S. v.

³² Vgl. Withus / Kunz (2015), S. 686.

³³ Vgl. ISO 19600 (2014), S. vi.

³⁴ Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (2016), S. 175 f.

³⁵ Vgl. ISO 19600 (2014), S. vi.

³⁶ Die Governance-Grundsätze im Kontext dieser Norm bestehen im direkten Zugang zum obersten Organ, der Unabhängigkeit der Compliance-Funktion sowie der ange-messenen Autorität und Ausstattung mit Ressourcen der Compliance-Funktion. Vgl. ISO 19600 (2014), S. 6.

³⁷ Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (2016), S. 177.

³⁸ In Anlehnung an ISO 19600 (2014), S. vi.

³⁹ Vgl. Fissenewert (2015), S. 203.