Page - 63 - in Austrian Law Journal, Volume 1/2016

ALJ 1/2016 Peter Jonas 63 D. Training und Kommunikation Nicht jeder Regelverstoß eines Mitarbeiters geschieht mit Vorsatz. Das Wissen über die Existenz einer Vorgabe und über die Konsequenzen des eigenen Handelns ist also entscheidend, wenn man Compliance erreichen will. ISO 19600 verlangt folglich laufende Schulungsmaßnahmen, die den Mitarbeiter in die Lage versetzen sollen, Compliance Anforderungen zu kennen und entspre- chend danach zu handeln. Wichtig hierbei ist, dass die Schulungen auf die Funktion des einzelnen Mitarbeiters abgestimmt und praxisgerecht sind und so den Mitarbeiter in die Lage versetzen, zu verstehen, was die seinen Arbeitsplatz betreffenden Vorgaben sind. Ein Vertriebsmitarbeiter zB muss verstehen, was er im Umgang mit Kunden tun darf und was nicht, welche besonderen Randbedingungen es für Amtsträger gibt und ob Einladungen von Kunden erlaubt sind. Die Art wie diese Schulungen stattfinden, kann sehr unterschiedlich sein. In großen Unterneh- men, wenn es darum geht, sehr viele Mitarbeiter in möglichst kurzer Zeit zu schulen, werden sehr oft Methoden des eLearning eingesetzt, um zumindest das Basiswissen rasch an die Mitarbeiter zu bringen. Bei komplexeren Themen und vor allem im Bereich der Führungskräfte ist aber eine Präsenzschulung unabdingbar. Durch laufende Kommunikation von oben nach unten soll eine Unternehmenskultur geschaffen und aufrechterhalten werden, in welcher Compliance die Regel ist. Der sog „tone-from-the-top“, das aktiv kommunizierte Bekenntnis des Top-Managements zum regelkonformen Verhalten als Grundwert der Organisation bei der Ausübung aller Aktivitäten, ist entscheidend für die Wirk- samkeit des CMS. E. Monitoring, interne Audits und Reaktion Monitoring steht für die Beobachtung des laufenden Betriebs des Compliance-Systems. Hier geht es um stichprobenhafte (und auch anlassbezogene) Kontrollen der Einhaltung der internen Vor- schriften durch eine interne Kontrollinstanz (wie zB einer internen Revision). Das bedeutet, dass konkrete Geschäftsfälle (zB ein Verkaufsvorgang oder die Beschaffung einer Leistung) durch das Unternehmen selbst geprüft werden. Weiters sind eine laufende Beobachtung des rechtlichen Umfeldes und die regelmäßige Anpas- sung der Risikoanalyse erforderlich, um das System zu aktualisieren. Interne Audits sind System- checks durch das Unternehmen selbst. Im Gegensatz zum Monitoring wird dabei weniger das Verhalten im Unternehmen (also die Compliance selbst), sondern das Compliance-System als solches einer Überprüfung unterzogen. Festgestellte Compliance-Verstöße erfordern eine Reaktion des Unternehmens. Dazu gehören die Untersuchung des Vorfalls, die Festlegung der Konsequenzen des festgestellten Fehlverhal- tens, sowie die Entscheidung über das weitere Vorgehen. Die Norm kann hier keine konkreten Handlungsanweisungen geben, wie im Falle von Compliance Verstößen genau vorzugehen ist; dies ist in jedem Fall durch das Unternehmen festzulegen. Was die Norm aber generell fordert ist, dass ein Vorfall auf seine Systemrelevanz hin geprüft wird. Korrekturmaßnahmen und Maß- nahmen zur Verhinderung der Wiederholung des Vorfalls (Präventivmaßnahmen) können als Konsequenz eines Compliance-Verstoßes erforderlich sein. Das CMS ist dann entsprechend an- zupassen.