Q1 Roundtable Compliance 2016 - Interview Teil 1 c Johannes Stern, Austrian Standards

Management

Mehr Compliance bitte!

17. Februar 2016, 15:10

Mitte Jänner fand in Wien der erste Q1 Roundtable zum Thema Compliance statt. Eingeladen waren mehrere Experten zu diesem spannenden Thema: Dr. Barbara Neiger (Juristin, Auditorin), Dr. Johannes Barbist (Rechtsanwalt), Ing. Wolfgang Hackenauer, MsC (Umweltgutachter), Ing. Heinrich Preiss (Berater). Der Tenor: Noch hat sich die Idee Compliance nicht ausreichend in den Organisationen durchgesetzt. Ein durchdachtes Compliance Management System würde aber in Unternehmen zu mehr Effizienz und Effektivität verhelfen – und die eine oder andere Verwaltungsstrafe verhindern.

Interview: Peter R. Nestler

Q1: Was gehört heute alles zum Thema Compliance – wie begegnen Sie dem Thema in Ihrem beruflichen Alltag?

Wolfgang Hackenauer: Ich möchte da mit einem Zitat einleiten: Wer die Leistungen der Gegenwart für die Zukunft einschätzen will, muss die Vergangenheit kennen. Als leitender Umweltgutachter der Quality Austria gehöre ich zu jener Berufsgruppe, die ein Problem bekommen könnte, wenn bei einem Kunden im Nachhinein festgestellt wird, nicht compliant zu sein. Das kann mir nämlich meine Zulassung kosten, wenn ich diesen Kunden geprüft habe. Der Auditor sitzt also in dem Fall mit dem Kunden im selben Boot. Die Audits kommen ja aus der Ecke der Compliance Audits der 60er- und 70er-Jahre in den USA. Nur haben die Amerikaner einen ganz anderen Zugang zu dem Thema. Wir hier in Europa beschäftigen uns mit Managementsystemen und die sind in den USA nicht so gern gesehen, weil sie dort vor allem mit Compliance Audits in Verbindung gebracht werden.
Ich beschäftige mich seit den 90er-Jahren mit rechtlichen Verpflichtungen, die Betriebe managen müssen – überwiegend im Umweltrecht und bei Arbeitnehmerschutzbestimmungen.  Und in dieser Themenwelt haben wir uns lange Zeit wohlgefühlt und dann kam auf einmal das Thema Compliance Management daher. Zunächst war der Eindruck: Mit dem Thema haben wir uns ohnehin die längste Zeit schon auseinandergesetzt, da geht es um die Ermittlung rechtlicher Vorschriften, das Erkennen der Auswirkungen auf die Organisation bis hin zur Bewertung und Erfüllung dieser relevanten Rechtsvorschriften. Wir dachten, dass sei die gleiche Themenwelt, was aber nicht stimmt. Plötzlich hatten wir auch mit dem Thema Wirtschaftsstrafrecht zu tun. Da haben wir es als Auditoren immer wieder mit Kunden zu tun, die Verwaltungsstrafen ausgefasst haben. Dabei muss man sagen: Unsere Kunden erhalten eine Strafe, wenn sie etwas nicht getan haben – unterlassene Vorsorgemaßnahmen, nicht abgeleitete Maßnahmen aus Unfällen etc. Sollte es in diesem Zusammenhang zu einem weiteren, tödlichen Unfall kommen, kann es da auch zu zivilrechtlichen Verfahren kommen.
Zusammengefasst: Es hat sich herausgestellt, dass wir es durchaus mit mehreren Disziplinen der Compliance zu tun haben, wo wir die längste Zeit geglaubt haben, das ist alles eins. Und das ist die Herausforderung für eine Organisation, für ein Unternehmen.

Wie kann es aus Belangen der Compliance zu einem Gerichtsverfahren und in der Folge zu einem Strafverfahren kommen?

Hackenauer: Eine Verwaltungsstrafe basiert auf dem Prinzip, dass es im Gesetz dazu auch einen Straftatbestand geben muss. Die Organisationen, die das trifft, haben aus einem Rechtsregister begonnen herauszuarbeiten, was die betrieblichen Ge- und Verbote sind und haben sich ein System aufgebaut, das gewährleisten soll, dass die technischen Prüfpflichten erfüllt werden, dass die rechtlichen Ge- und Verbote eingehalten werden – und sie haben sich mit dem relativ sicher gefühlt. Und dennoch gibt es Fälle, wo nach einem Unfall eine relativ empfindliche Verwaltungsstrafe aufgebrummt wurde, und zwar beispielsweise wegen Unwirksamkeit des Kontrollsystems. Und da haben wir das Pendant zur Compliance-Welt, denn da sind wir in der Regelungswelt drinnen. Das Kontrollsystem beruht nämlich auf Nachweisführung. In dem konkreten Fall sind Maßnahmen aus einem ähnlich gelagerten früheren Arbeitsunfall nicht entsprechend umgesetzt und dokumentiert worden. In dem Fall entsteht auch die Frage, wer sich zu vergewissern hat, ob die Maßnahmen durchgeführt werden. Es mündet in der Frage: Wie gehen Organisationen und vor allem deren verantwortlich Beauftragte mit dem Thema Strafbestimmungen um – das ist auch eine Art des Risikomanagements. Oft ist das auch ein Problem der Delegation in den Unternehmen, das bei den meisten Unternehmen in Österreich nicht richtig durchgeführt wird.

Neiger: Beim Thema Compliance geht es aus meiner Erfahrung auch stark um die Wirkung nach innen, ins Unternehmen selber. Wenn ich mit  Aufsichtsräten spreche, bestätigen diese, dass sie die Zertifizierungen als sehr  effektives Führungsinstrument wahrnehmen, um die Message nach innen, an die Mitarbeiter zu bringen. Es wird im Vorfeld viel darüber geredet, dass ja jemand kommt und eine Zertifizierung durchführt – das ist Anspannung, selbst, wenn man als Mitarbeiter nicht direkt davon betroffen ist. Es hat seitens der Aufsichtsräte immer geheißen: Das ist das Instrument gewesen, das wirklich das Bewusstsein geschärft hat. Das sehen wir auch, wenn wir zum zweiten Mal ins Unternehmen kommen, dass ein gesteigertes Bewusstsein vorhanden ist in der Gestalt: Es geht nicht nur darum, dass im Anlassfall etwas getan wird, sondern zu erkennen, dass es hier oder da eine kritische Situation geben könnte, die unabhängig vom Zertifizierungsprozess hinterfragt wird.

Welches Konzept steht hinter der Überlegung, dass ein Geschäftsführer für eine Verwaltungsübertretung, die er selbst nicht begangen hat , trotzdem verwaltungsstrafrechtlich belangt werden kann?  

Barbist: Das mag auf den ersten Blick tatsächlich eigenartig erscheinen, ist aber dem Umstand geschuldet, dass anders als im gerichtlichen Strafrecht eine juristische Person nicht schuldfähig ist. Aus diesem Grunde greift das Verwaltungsstrafrecht primär auf die nach außen vertretungsbefugten Organe, um Fehlverhalten von Mitarbeitern sanktionieren zu können. Ein Geschäftsführer kann zwar nur bei einem persönlichen Organisationsverschulden bestraft werden. Gleichwohl muss er sich häufig durch den Nachweis eines wirksamen Kontrollsystems zu entlasten versuchen. Dies gelingt selten, wenn man sich nicht kontinuierlich um rechtskonformes Verhalten im Unternehmen bemüht.

Hackenauer: Ich möchte da noch ergänzen, es ging in dem beschriebenen Fall nicht darum, dass der Unfall nicht verhindert wurde, sondern dass sich niemand vergewissert hat, dass aus einem Unfall, der Jahre zurückgelegen ist, die Maßnahmen, die damals daraus abgeleitet worden sind, auch tatsächlich umgesetzt worden sind. Es ging also nur um die Wirksamkeit des Kontrollsystems.
Barbist: Man muss sich auch von der Vorstellung lösen, dass der Unternehmer oder ein verantwortlicher Beauftragter immer alles persönlich wissen muss. Er wird allerdings „gehängt“ von der Behörde, wenn etwas passiert und er keine wirksamen organisatorischen Vorkehrungen getroffen hat. Er wird im konkreten Fall sozusagen dafür bestraft, dass die Organisation aus diesem früheren Verstoß nicht gelernt hat.

Wie sieht das in der Praxis aus bei einem Geschäftsführerwechsel? Wer muss was tun, um sicher gehen zu können und das Risiko zu minimieren in einen Gerichtsfall verwickelt zu werden, obwohl man noch gar nicht in dem Unternehmen war?

Neiger: Es gibt zum Beispiel ein Abschlussaudit, um zu prüfen, was zu diesem Zeitpunkt alles an offenen The- men bestanden hat. Und dieses Audit dient dann als Übergabe an einen neuen Geschäftsführer. Und in dem genannten Fall muss es ja eine Dokumentation geben –  in der Revision, etc. Anhand deren kann und muss sich die neue Geschäftsleitung informieren.

Welchen Stellenwert haben in diesem Zusammenhang Zertifizierungen? Die werden von den Unternehmen ja gerne hergezeigt, aber helfen sie dem Unternehmer auch konkret weiter? Was tragen sie zum Risikomanagement bei?

Barbist: Ein wesentlicher Treiber für Zertifizierungsprozesse ist die Aufarbeitung der Vergangenheit. Auch um dem Markt, vor allem den Geschäftspartnern zu zeigen: „Seht her, ich bin sauber“. Ein entsprechender Anstoß kann aber auch vom Geschäftspartner kommen um KYC-Prüfungen zu erleichtern. Gegenüber Behörden und Gerichten können Compliance-Management-Systeme die Argumentation stützen, dass man im Unternehmen sorgfältig vorgegangen ist.

Neiger: Es zeigt, dass sich das Unternehmen mit dem Thema befasst hat und nicht darauf vertraut: Bei uns passiert nichts. Eine Zertifizierung hat ja auch etwas gekostet und ist mit einem gewissen Aufwand verbunden. Das ist nicht eine Geschichte, wo sich drei Leute für zwei Stunden zusammensetzen und damit ist alles erledigt. Somit ist es auch gerechtfertigt zu sagen, dass da aktive Handlungen gesetzt wurden, entsprechende Maßnahmen zu setzen, um regelkonformes Verhalten sicherzustellen.

Wo liegen die Aha-Erlebnisse bei den Unternehmen, die sich zum Thema Compliance beraten lassen?

Heinrich Preiss: Wir versuchen seit rund 20 Jahren Compliance-Managementsysteme aufzubauen und zu implementieren. Es gibt die eine Sichtweise: Man braucht den Compliance-Managementprozess für ein Zertifikat und macht das dann eben durch. Lieber sind mir die Unternehmen, die diesen Prozess auch wirklich aus dem Aspekt der Rechtssicherheit heraus durchlaufen. Also nicht das Zertifikat als Motiv sondern die Sache an sich. Der Aufbau eines solchen Compliance-Managementsystems ist zweifelsohne viel Arbeit. Denn da geht es nicht nur darum, irgendwelche Listen auszufüllen. Es bedarf eines gut geplanten Projekts und das ist vielen gewerberechtlichen Geschäftsführern nicht so richtig bewusst. Oft herrscht auch die Meinung vor, dass es sich um eine einmalige Aktion handelt. Es ist aber vielmehr als Managementsystem zu sehen, das Entwicklung und ständige Wartung braucht. Das ist für viele Industrie- und Gewerbebetriebe schon eine große Herausforderung, so ein Projekt auch aufzusetzen. Es bedarf technischen und juristischen Know-hows, organisatorisches Know-how und die entsprechenden Leute im Unternehmen, die das auch alles tun wollen. Und gerade das findet man in Gewerbe und Industrie nicht unbedingt zuhauf.
Zum Bereich Compliance gehört dann auch beispielsweise das Bescheidmanagement. Auch da fehlt es in den Betrieben oft am nötigen Bewusstsein, dass zu Beginn ganz einfache Dinge zu erledigen sind. Man muss als Unternehmen die Bescheide systematisch ablegen, um die überhaupt zu finden. Wenn man da in den Geschäftsführungen nachfragt, kommt dann immer wieder keine Antwort, weil man diese Sache delegiert hat und angenommen wurde, dass es ein System gibt. Dieses ist aber oft nicht vorhanden, weil man sich bei der Einrichtung des Kontrollsystems nicht darum gekümmert hat. Und da muss man ganz klar für Zertifizierungen dankbar sein, weil die Unternehmer dann von diesen Managementsystemen Druck bekommen, ein ordentliches Bescheidmanagement in dieser Organisation durchzuführen.

Neiger: Darum gibt es in Compliance-Managementsystemen auch die Anforderung, dass eine Organisation ihre Dokumente zu managen hat. Compliance heißt eben nicht nur: Ich frage meinen Rechtsanwalt an, es heißt auch: Wie manage ich eine Dokumentation, mit der ich nachweisen kann, was wann wie getan wurde beziehungsweise zu tun ist. Compliance soll nicht nur so verstanden werden, dass ich als Organisation wissen muss, welche Rechtsvorschriften zu erfüllen sind. Das ist ohnehin selbstverständlich. Vielmehr geht es darum zu wissen, was sich daraus ableitet. Und ein wichtiges Instrument dazu ist sicher das Dokumentenmanagement. Compliance ist tatsächlich ein Werkzeug, um in Unternehmen Effizienz und Effektivität herzustellen. Wenn die Dokumente ordentlich abgelegt wurden und zugänglich sind, verliere ich auch keine Zeit, wenn man etwas nachschauen muss.

Preiss: Dokumentenmanagement ist ein Riesenthema bei Compliance. Wer liest denn schon sorgfältig die externen technischen Prüfberichte? Die werden einfach abgelegt und zum Teil findet man sie in den Unternehmen gar nicht mehr. Möglicherweise ist aber genau etwas, das da drinnen steht, der Grund dafür, dass zwei Jahre später ein Arbeitsunfall geschieht. Ein Dokument muss so abgelegt werden, dass auch die Chance besteht, daraus Maßnahmen abzuleiten.

Wie kann ein Unternehmen, eine Organisation zielführend das Risiko reduzieren, was mögliche Verstöße gegen verwaltungsrechtliche Bestimmungen angeht. Wie sieht das Wechselspiel zwischen Compliance Management und Zertifizierung in der Praxis aus?

Hackenauer: Es gibt einen entscheidenden Unterschied zwischen diesen beiden Disziplinen. Beim Compliance Management, das wir über die ISO 19600 kennen, wird über Risikoermittlung festgestellt, welche Regeln eingehalten werden müssen, um diese dann entsprechend abzusichern. Dazu kommt noch die Frage, welches Sicherheitssystem eine Organisation aufbauen kann, etwa zur Meldung von Regelverstößen etc. In der rechtlichen Systematik braucht es tatsächlich ein Kontrollsystem. Da nützt es gar nichts, wenn nur nachgesehen wird, ob Regeln erfüllt werden. Das Unternehmen muss sich trotzdem vergewissern, ob Maßnahmen, die aus einer Nachevaluierung folgend – zum Beispiel nach einem Unfall – abgeleitet wurden, auch ordnungsgemäß umgesetzt wurden. In der Praxis konzentrieren sich viele bei der Compliance noch sehr auf die bloße Regelung.

Neiger: Die ISO 19600 schafft da schon gute Voraussetzungen, wenn Kontrollen auf drei Ebenen vorgesehen sind. Die Einhaltung der getroffenen Maßnahmen muss einmal im laufenden Geschäftsbetrieb – zum Beispiel durch Stichproben – überprüft werden. Eine unabhängige Stelle, wie eine interne Revision, schaut dann in bestimmten Abständen von außen auf die Maßnahmen, ob diese auch richtig gestalten sind. Und schließlich muss sich die Geschäftsleitung von durchgeführten Kontrollen und Überprüfungen überzeugen. Und davon, ob eventuell abgeleitete Änderungen auch umgesetzt wurden.

Wir danken den Teilnehmern des Q1 Rountables „Compliance“ für die rege Diskussion!

Den zweiten Teil der Diskussion lesen Sie im nächsten Magazin Q1, Ausgabe Nr. 2/2016, Erscheinungstermin: 11. April 2016

Sichern Sie sich noch jetzt ein Abo von Q1 und Sie erhalten Ausgabe 1/2016 mit dem ersten Teil des Roundtables „Compliance“ gratis dazu!

Verpackungslösungen

Eurofoam pactec

Verpackungslösungen aus Schaumstoff Was haben Marienkäfer und die pactec gemeinsam? Unsere Spezialeinheit entwickelt und produziert Verpackungen, die sich passgenau um Produkte legen und damit das Wertvolle im Innenraum schützen. Entwickelt werden die individuellen Lösungen für Verpackungs- und Transportschutz sowie  [ weiterlesen ]

CCE INTERNATIONAL 2019


CCE INTERNATIONAL
12. und 14. März 2019
[zum Magazin]

Glas

Schöner die Gläser nie klirren

30 Prozent mehr Altglas zu den Feiertagen – Countdown für neuen Jahressammelrekord Die Festtage rund um Weihnachten und Neujahr bedeuten Hochsaison in der Recyclingwelt – der Verbrauch von Glasverpackungen jeder Art, von der Sektflasche bis zum Olivenglas, schnellt um  [ weiterlesen ]

Thementag

STRATEGISCHES KANALMANAGEMENT

Der EPC Thementag "Strategisches Kanalmanagement" wendet sich an AnlagenbetreiberInnen, VertreterInnen von Gemeinden und Reinhaltungsverbänden und an alle, die an diesem Thema interessiert sind.  [ weiterlesen ]

Verpacken

Ein Display mit Profil

Dieses Display hat Profil. Mit seinen unterschiedlichen Kuben, seinem eckigen Design und seiner aussergewöhnlichen Verarbeitung zeigt es, wohin der Trend geht und welche Möglichkeiten sich daraus ergeben. Model hat das zukunftweisende Design zur Präsentation einer ebenfalls neuen Handcreme-Verpackung entwickelt. Die  [ weiterlesen ]