Seite - 62 - in Austrian Law Journal, Band 1/2016

ALJ 1/2016 Die Internationale Norm ISO 19600 Compliance Management Systems 62 stellt keine Hierarchie in Bezug auf die Wichtigkeit der einzelnen Maßnahmen oder eine zeitliche Reihenfolge in Bezug auf die Implementierung des Systems dar. Schlussendlich liegt es an der Or- ganisation selbst, nach Maßgabe der Erfordernisse, aber auch der vorhandenen Ressourcen, selbst über die Vorgehensweise bei der Einführung und der Aufrechterhaltung des CMS zu entscheiden. A. Bewertung des Umfeldes und der Compliance Risiken Hier geht es zunächst darum, die organisatorischen Rahmenbedingungen sowie das rechtliche Umfeld des Unternehmens zu analysieren und die Compliance-Verpflichtungen zu identifizieren. Diese können sowohl im Bereich der allgemeingültigen gesetzlichen Verpflichtungen liegen (zB Korruptionsstrafbestände, Kartellrecht etc), sich aber auch aus etwaigen Bedingungen/Auflagen eines Lizenzgebers (nur um hier ein Beispiel zu nennen) ergeben. In Verbindung gebracht mit der Analyse der Stakeholder der Organisation und den Aktivitäten der Organisation, ergibt sich eine Art Compliance-Risikolandkarte für das Unternehmen. Diese Diagno- se stellt die Basis für alle weiteren Maßnahmen bei der Einrichtung und dem Betrieb des CMS dar. Hierbei ist es gängige Praxis, dass sich Organisationen auf eine limitierte Anzahl von Rechtsgebieten beschränken und Maßnahmen, nur auf jene Regeln konzentrieren, bei denen ein Compliance Ver- stoß eines Mitarbeiters gravierende Auswirkungen für die gesamte Organisation haben kann. Die Analyse des Umfeldes und der Compliance-Risiken stellt jedoch keine Einmalmaßnahme dar, sondern muss regelmäßig durchgeführt werden, um auf veränderte Bedingungen im Umfeld der Organisation, aber auch auf Veränderungen im eigenen Unternehmen (zB die Produktion eines neuen Produktes) adäquat reagieren und das CMS anpassen zu können. B. Führung Die ISO 19600 legt Wert auf die unterschiedlichen Rollen, Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens und misst hier vor allem der Unternehmensführung (Vorstand und Aufsichtsorgane) eine entscheidende Rolle zu. Zu allererst muss die Unternehmensleitung die Ent- scheidung treffen ein System einzuführen, die Ziele und den Rahmen des CMS festzulegen und die entsprechenden Ressourcen beizustellen. In Unternehmen kommt es sehr auf Vorbildwirkung an. Bekennt sich die Geschäftsleitung zu sauberem, rechtskonformem Wirtschaften und damit dazu, rechtswidrige Praktiken zu verhindern und zu ahnden und lebt sie dieses Bekenntnis auch, dann ist eine wichtige Voraussetzung geschaffen, dass ein Compliance Management System funktioniert. Weiters hat die Leitung der Organisation dafür zu sorgen, dass die mit dem Betrieb des CMS beauf- tragten Personen (üblicherweise werden diese Personen als Compliance Officer bezeichnet) ihre Aufgaben ungehindert erledigen können und mit den nötigen Ressourcen ausgestattet werden. C. Systemische Steuerungs- und Kontrollmaßnahmen Zu den systemischen Maßnahmen, die ein Unternehmen setzen muss, gehören interne Regelwerke wie ein Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen. Diese sind abhän- gig von den Ergebnissen der Risikoanalyse auszuarbeiten und sollten gezielt in Hinblick auf einzelne Compliance-Risiken gestaltet sein. In den Ablauf integrierte Kontrollschritte (wie zB ein Vier- Augenprinzip, Ausgabelimits udgl), die die spezifischen Gefahren, denen das Unternehmen ausge- setzt ist, adressieren, verringern die Wahrscheinlichkeit von Regelverstößen schon im Ansatz.