Die Wohnungswirtschaft Deutschland. GdW Arbeitshilfe 78. Compliance in der Wohnungswirtschaft

Transkript

1 Die Wohnungswirtschaft Deutschland GdW Arbeitshilfe 78 Compliance in der Wohnungswirtschaft in Zusammenarbeit mit dem AGV Arbeitgeberverband der Deutschen Immobilienwirtschaft e.v. Februar 2017

2 Compliance in der Wohnungswirtschaft - Begriffsbestimmung Compliance - Verantwortlichkeiten der Unternehmensorgane - typische Risikofelder in der Wohnungswirtschaft - Umsetzungsmaßnahmen

3 Vorwort Compliance ist das ein Thema mit dem wir uns beschäftigen müssen in der Wohnungswirtschaft? In vielen Branchen waren in den letzten Jahren Unternehmen von Bilanzfälschungen, Schmiergeldaffären und Unterschlagungen betroffen. In der Wohnungswirtschaft hat man hiervon bisher kaum etwas gehört. Aber auch in unserer Branche bestehen Risiken, die zu materiellen Schäden als auch zu Imageschäden für die Unternehmen führen können. Diese Risiken bestehen u. a. in den Kerngeschäftsfeldern jedes Wohnungsunternehmen, wie z. B. bei der Auftragsvergabe aber auch bei Leistungen an Mitglieder der Unternehmensleitung und des Aufsichtsrats sowie an Mitarbeiter. Seit dem Jahr 2016 ist das Thema Tax Compliance stark in der öffentlichen Diskussion. Steuerlichen Risiken sind ebenso in das Compliance-System eines Wohnungsunternehmens einzubeziehen. 1 Daher ist es sehr empfehlenswert, durch angemessene und klare Regelungen wirksame Prävention zu leisten. Die zu schaffenden Regelungen müssen dabei die Mitarbeiter sowie die Geschäftsführung und auch die Aufsichtsorgane umfassen. In der vorliegenden Arbeitshilfe wird zunächst der Begriff "Compliance" erläutert, die Verantwortlichkeit der Organe des Unternehmens behandelt, typische Risikofelder der Wohnungswirtschaft aufgezeigt und die Sicherungsmaßnahmen im Wohnungsunternehmen im Rahmen der Satzungen/Gesellschaftsverträge und Geschäftsordnungen für die Gremien einerseits und des Risikomanagements andererseits beschrieben. Ein weiterer wesentlicher Bestandteil dieser Arbeitshilfe ist die Schilderung der Maßnahmen zur Umsetzung von Compliance im Personalbereich, insbesondere der Abschluss einer Betriebsvereinbarung oder der Erlass einer Dienstanweisung. Die Mustertexte für Betriebsvereinbarungen und Dienstanweisungen enthalten praxisrelevante Vorschläge zu einzelnen Regelungen, die unternehmensindividuell ausgewählt, zusammengestellt oder abgewandelt werden können. Durch den Abschluss einer Betriebsvereinbarung oder Erlass einer Dienstanweisung können Regelungen verpflichtend für die Arbeitsverhältnisse eingeführt und damit Vorgaben für das Verhalten in bestimmten Situationen geschaffen werden. Dies dient dem Schutz der Mitarbeiter, aber auch der Unternehmensorgane sowie des Unternehmens selbst. 1 Ein Arbeitskreis aus dem Fachausschuss Steuern des GdW erarbeitet eine weiterführende Information zum Thema "Tax-Compliance". Diese soll voraussichtlich Anfang April 2017 veröffentlicht werden.

4 Die Arbeitshilfe wurde in Zusammenarbeit mit dem AGV Arbeitgeberverband der Deutschen Immobilienwirtschaft e.v., Düsseldorf, erstellt. Im Einzelnen haben mitgewirkt: vom AGV: RA Prof. Dr. Michael Worzalla für die Konferenz der Prüfungsdirektoren des GdW: RA WP/StB Prof. Dr. Klaus-Peter Hillebrand, Prüfungsdirektor BBU Verband Berlin-Brandenburgischer Wohnungsunternehmen e.v., Berlin sowie Verband Sächsischer Wohnungsgenossenschaften e.v., Dresden WP/StB Hans Maier, Verbandsdirektor VdW Bayern Verband bayerischer Wohnungsunternehmen e.v., München sowie vbw Verband baden-württembergischer Wohnungs- und Immobilienunternehmen e.v., Stuttgart WP/StB Thomas Brandt, Vorstand Prüfung VdWg Verband der Wohnungsgenossenschaften Sachsen- Anhalt e.v., Magdeburg WP/StB Gerhard Viemann, Prüfungsdirektor Verband der Wohnungs- und Immobilienwirtschaft in Niedersachsen und Bremen e.v., Hannover sowie VNW Verband norddeutscher Wohnungsunternehmen e.v., Hamburg WP Susanne Kalbow DOMUS AG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Berlin sowie vom GdW: WP/StB Ingeborg Esser WP Claudia Buchta und Dr. Matthias Zabel Allen Mitwirkenden an diesem Gemeinschaftsprojekt Dank und Anerkennung für die geleistete umfangreiche und qualifizierte Arbeit. Mit dieser Arbeitshilfe wollen wir einen wirkungsvollen und praxisbezogenen Beitrag zur Umsetzung von Compliance in den Wohnungsunternehmen leisten. Berlin, im Februar 2017 Axel Gedaschko Präsident des GdW Bundesverband deutscher Wohnungs- und Immobilienunternehmen e.v.

5 Inhalt Seite 1 Begriffsbestimmung Begriffsbestimmung der Compliance Zweck von Compliance-Regelungen Die Entstehung von korrupten Handlungen als zentraler Aspekt der Compliance 6 2 Verantwortlichkeiten der Unternehmensorgane Grundlagen der Organisationsverantwortung Verantwortlichkeit der Unternehmensleitung Verantwortlichkeit des Aufsichtsgremiums 14 3 Typische Risikofelder in der Wohnungswirtschaft Identifizierung der Risiken Risikofeld Bauwesen und Auftragsvergabe Risikofeld Wohnungsvergabe und Wohnungsverwaltung Risikofeld Verkehrssicherungspflichten Risikofeld Steuern (Tax-Compliance) Risikofeld Geschenke, Zuwendungen, Spenden und Sponsoring Weitere sensible Bereiche der Wohnungs- und Immobilienwirtschaft 24

6 4 Umsetzungsmaßnahmen Umsetzung im Rahmen von Satzungen/Gesellschaftsverträgen und Geschäftsordnungen Unternehmensleitbild/Verhaltenskodex Umsetzung im Rahmen des Risikomanagementsystems Vorbemerkungen Internes Kontrollsystem (IKS) Compliance Management System (CMS) als besondere Ausprägung des IKS Controlling Risikofrüherkennungssystem Umsetzung im Personalbereich Allgemein Betriebsvereinbarung Dienstanweisung 53 Anlagen 57 Anlage 1 Risikoanalyse (Selbsteinschätzung) 58 Anlage 2 Gesetzliche Bestimmungen 60

7 1 Begriffsbestimmung 1.1 Begriffsbestimmung der Compliance Für den Begriff "Compliance" (Regelüberwachung) gibt es verschiedene Definitionen. Eine einheitliche Begriffsdefinition hat sich bisher weder in den Gesetzen noch in der Literatur durchgesetzt. 2 Im Grunde geht es immer um die Einhaltung von Regelungen. Im Sinne dieser Arbeitshilfe wird Compliance definiert als die Gesamtheit aller zumutbaren Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organe und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote sowie unternehmensinterner Regelungen und Anweisungen begründen. Mit Hilfe der Compliance soll die Einhaltung von gesetzlichen Regelungen auf der Unternehmensebene sichergestellt werden. Die entsprechenden gesellschaftsrechtlichen Regelungen sind vor allem im HGB, GenG, AktG und dem GmbHG sowie den Steuergesetzen, insbesondere der Abgabenordnung (AO) enthalten. Daneben gelten das Strafgesetzbuch sowie weitere Gesetze. Für die Umsetzung und Überwachung der rechtlichen Anforderungen auf Unternehmensebene sind die gesetzlichen Vertreter, also der Vorstand bzw. die Geschäftsführung (Unternehmensleitung) verantwortlich. Die Überwachungsaufgabe kommt dabei dem Aufsichtsorgan (Aufsichtsrat) zu. Ausfluss der gesellschaftsrechtlichen Anforderungen sind die Festlegungen in den Satzungen bzw. in den Gesellschaftsverträgen. Die Vollständigkeit und Richtigkeit der Inhalte von Satzungen und Gesellschaftsverträgen wird zum einen durch den begleitenden Anwalt/ Notar aber auch durch die Registergerichte überprüft. Ein weiteres Element der Compliance stellt die Zugrundelegung von Mustersatzungen und Mustergesellschaftsverträgen 3 dar, die alle notwendigen gesetzlichen Ge- und Verbote enthalten, darüber hinaus aber auch bereits weitere Regelungen, die gesetzlich nicht zwingend und die somit den unternehmensinternen Regelungen zuzuordnen sind. 2 Vgl. Bergmoser/Theusinger/Gushurst, Corporate Compliance Grundlagen und Umsetzung, Betriebs-Berater, BB-Spezial zu Heft 25/2008, S Vgl. GdW Arbeitshilfe 80, Neufassung Mustersatzungen, Mustergeschäftsordnungen und Musterwahlordnung für Wohnungsgenossenschaften 2017, GdW (Hrsg.), Februar 2017 sowie Gesellschaftsvertrag Muster für Wohnungsgesellschaften (GmbH) und Geschäftsordnungen für Geschäftsführer und Aufsichtsrat (GmbH), GdW (Hrsg.), Bezug über Haufe Verlag, Freiburg,

8 Durch entsprechende Maßnahmen ist die Einhaltung dieser Vorgaben auf Unternehmensebene sicherzustellen. Daneben besteht die Möglichkeit, auf Unternehmensebene ein Unternehmensleitbild bzw. einen Verhaltenskodex zu schaffen, die jeweils Einfluss auf das Verhalten bzw. die Ethik- und Moralvorstellungen des Unternehmens nehmen. Neben der Vermeidung von rechtlichen und Reputationsrisiken, wird damit die gesellschaftliche Akzeptanz des Unternehmens bei den relevanten Stakeholdern (u. a. Mitarbeiter, Lieferanten, Mitglieder/Mieter) verfolgt. Vorstand/Geschäftsführung unterliegen als gesetzliche Vertreter der Unternehmen gesetzlichen Rechten und Pflichten, insbesondere Sorgfaltspflichten, die sich entweder direkt aus dem Gesetz und/oder aus der Satzung bzw. dem Gesellschaftsvertrag ergeben. Dies betrifft ebenso das Aufsichtsorgan. Die Compliance der Rechte und Pflichten der Unternehmensleitung und des Aufsichtsorgans lässt sich durch die Verwendung von Mustergeschäftsordnungen 4 weiter konkretisieren. Diese stehen neben der Satzung/dem Gesellschaftsvertrag und ergänzen und präzisieren die darin enthaltenen Vorschriften. Im Rahmen ihrer Leitungsfunktion hat die Unternehmensleitung u. a. auch dafür Sorge zu tragen, dass ein Risikomanagementsystem eingerichtet ist. Durch dieses System stellt die Unternehmensleitung sicher, dass grundlegende organisatorische Sicherungsmaßnahmen eingerichtet sind, wie z. B. das Prinzip der Funktionstrennung und das Vier-Augen-Prinzip. Zur Sicherstellung ordnungsmäßiger Prozessabläufe muss die Unternehmensleitung u. a. Arbeitsablaufbeschreibungen und Regelungen zu Auftragsvergaben bzw. Zahlungsermächtigungen erstellen und im Rahmen von internen Arbeitsanweisungen festschreiben und kommunizieren. Mit diesen Elementen der Compliance stellt sie einen ordnungsmäßigen Geschäftsablauf sicher, der ständig zu aktualisieren und zu überwachen ist. Darüber hinaus kommt der Unternehmensleitung eine erhebliche Vorbildfunktion zu (tone at the top). Vor allem das Verhalten der Vorgesetzten, die Beachtung der externen und internen Vorgaben sowie das Vorleben des Unternehmensleitbildes beeinflussen maßgeblich das Verhalten der übrigen Mitarbeiter. Die internen Anweisungen und Regelungen wirken sich direkt auf die Mitarbeiter des Unternehmens aus und halten sie zu gesetzesund regelkonformen Verhalten an. Die Mitarbeiter sind dazu verpflichtet die internen Anweisungen zu beachten, um so einen ordnungsmäßigen Ablauf der Arbeitsprozesse zu gewährleisten. Die internen Arbeitsanweisungen dienen zusätzlich der Strukturierung von Arbeitsabläufen, legen aber auch Nachweis- und Dokumentationspflichten sowie Überwachungspflichten fest. 4 Vgl. GdW Arbeitshilfe 80, Neufassung Mustersatzungen, Mustergeschäftsordnungen und Musterwahlordnung für Wohnungsgenossenschaften 2017, GdW (Hrsg.), Februar 2017 sowie Gesellschaftsvertrag Muster für Wohnungsgesellschaften (GmbH) und Geschäftsordnungen für Geschäftsführer und Aufsichtsrat (GmbH), GdW (Hrsg.), Bezug über Haufe Verlag, Freiburg,

9 Der Umfang der internen Anweisungen und Regelungen für die Mitarbeiter richtet sich individuell an der Unternehmenstätigkeit sowie an der Unternehmensgröße aus. Je mehr Risikofelder und komplexe Arbeitsgebiete ein Unternehmen aufweist, je mehr Mitarbeiter im Unternehmen beschäftigt sind und je länger und unübersichtlicher die Kommunikationswege sind, desto höherer Regelungsbedarf besteht. Unternehmenstätigkeit - Anzahl der Risikofelder - Komplexität der Arbeitsgebiete Unternehmensgröße - Anzahl der Mitarbeiter - Art der Kommunikationswege Beeinflusst den Umfang interner Anweisungen und Regelungen Doch die Einrichtung der genannten Maßnahmen alleine reicht nicht aus, um die Compliance in einem Unternehmen vollständig sicherzustellen. Es empfiehlt sich, weitere Regelungen zu schaffen, die über die genannten gesetzlich kodifizierten Anforderungen und internen Arbeitsanweisungen hinausgehen. Sie richten sich insbesondere an die Verhaltensweisen der für das Unternehmen agierenden (Unternehmensleitung) bzw. für das Unternehmen tätigen Personen (Mitarbeiter). Eine weitere Maßnahme zur Umsetzung der Compliance stellt die Einführung von Betriebsvereinbarungen bzw. Dienstanweisungen dar, die über die bisher im Unternehmen eingerichteten organisatorischen Maßnahmen hinausgehende Regelungen enthalten. Diese sollen einerseits die Mitarbeiter sensibilisieren und ihnen andererseits Verhaltensregelungen in Interessenkonflikten klar vorgeben. Zu den weiteren Compliance-Regelungen für die Mitarbeiter gehören u. a. folgende elementare Bereiche: - Annahme von Geschenken und Einladungen, - Gewährung von Vorteilen, - Genehmigung von Nebentätigkeiten, - Meldepflicht von Kapitalbeteiligungen, - Geschäfte mit nahe stehenden Personen. Vor der Ausarbeitung von Entscheidungen über die Einleitung einzelner Maßnahmen zur Umsetzung der Compliance im Unternehmen sollte zunächst zur ersten Einschätzung des Regelungsbedarfs bzw. Regelungsumfangs im Unternehmen eine Risikoanalyse zur Selbsteinschätzung erfolgen. Hierfür steht ein Fragebogen in Anlage 1 zur Verfügung. Nach der Risikoanalyse empfiehlt sich je nach Ergebnis eine Überarbeitung der bestehenden internen Anweisungen und Regelungen sowie darauf aufbauend die Festlegung, welche zusätzlichen Regelungen erforderlich sind. 3

10 Der Ablauf lässt sich grafisch wie folgt darstellen: Risikoanalyse (Selbsteinschätzung) Überarbeitung bestehender interner Anweisungen und Regelungen Festlegung weiterer Compliance-Regelungen Je nach Unternehmensgröße lässt sich sogar ein umfassendes Compliance Management System (CMS) einrichten. Die Ausgestaltung hängt dabei u. a. von den festgelegten Compliance-Zielen, den Ergebnissen der Risikoanalyse, der Größe des Unternehmens sowie von Art und Umfang der Geschäftstätigkeit des Unternehmens ab und liegt in der Verantwortung der Unternehmensleitung. Der IDW Prüfungsstandard teilt ein Compliance Management System in sieben Grundelemente ein: Grundelement Compliance-Kultur Compliance-Ziele Compliance-Risiken Compliance-Programm Compliance-Organisation Compliance-Kommunikation Compliance-Überwachung und Verbesserung Inhalt Grundeinstellungen und Verhaltensweisen (tone at the top) Definition der zu erreichenden Ziele Festlegung eines Verfahrens zur Risikoerkennung und Risikoberichterstattung Maßnahmen zur Minimierung von Compliance-Verstößen Festlegung von Rollen und Verantwortlichkeiten Festlegung der Informationspolitik Regelmäßige Überprüfung der Compliance sowie ggf. Anpassungen Nach den Ausführungen in diesem Prüfungsstandard sind diese Grundelemente Bestandteil eines angemessenen Systems und stehen 5 IDW Prüfungsstandard "Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen" (IDW PS 980), Stand , Tz. 23, FN-IDW 4/2011, S. 203 ff. 4

11 miteinander in Wechselwirkung. Darüber hinaus können weitere Elemente ergänzt werden. 1.2 Zweck von Compliance-Regelungen Die Implementierung gesetzlich kodifizierter und die Vorgabe darüber hinausgehender Compliance-Regelungen dienen dem Schutz des Unternehmens, der Unternehmensleitung, des Aufsichtsrats und der Mitarbeiter. Bei Einhaltung von Compliance-Regelungen wird das Unternehmen vor materiellen Schäden, u. a. durch Unterschlagung oder den Missbrauch von Vertrauensstellungen geschützt. Die Regelungen sorgen für ein angemessenes Verhältnis von Leistung und Gegenleistung. Des Weiteren wird das Unternehmen vor Imageschäden bewahrt. Ist der Ruf eines Unternehmens am Markt erst einmal geschädigt (z. B. durch die Annahme von Schmiergeldern), kann es Jahre dauern, bis wieder eine positive Außenwirkung entsteht. Ferner dienen die Regelungen dem Schutz der Unternehmensleitung. Kommt die Unternehmensleitung ihren Sorgfaltspflichten nicht ausreichend nach, können sich daraus haftungsrechtliche Konsequenzen ergeben. Entsprechendes gilt für die Mitglieder des Aufsichtsrats. Der Schutz ehrlicher Mitarbeiter und die Schaffung eines redlichen Bewusstseins sowie die Aufrechterhaltung von Ethik und Moral werden durch die Compliance-Regelungen unterstützt. Compliance-Regelungen stärken zudem das Bewusstsein, dass im Unternehmen Maßnahmen implementiert sind, die Gesetzeskonformität sowie Standards guter Managementpraxis sicherstellen. Dies fördert die Akzeptanz und Identifikation aller ehrlichen Mitarbeiter und erhöht das Entdeckungsrisiko der unehrlichen Mitarbeiter. Zu guter Letzt erschöpft sich eine gut integrierte Compliance-Organisation keinesfalls in den Funktionen der Risikominimierung oder Schadens- und Haftungsverhinderung. Vielmehr können darüber hinaus die Unternehmenseffizienz und über ein positives Image auch der Unternehmenserfolg gefördert werden. 5

12 Compliance-Regelungen umfassen insgesamt die folgenden Aufgaben: Unternehmen Schutz vor materiellen Schäden Schutz vor Imageschäden Förderung des Unternehmenserfolgs Schaffung eines ausgeglichenen Verhältnisses von Leistung und Gegenleistung Schutz vor dem Missbrauch von Vertrauensstellungen Unternehmensorgane Einhaltung von Gesetzen und internen Anweisungen Einhaltung der Sorgfaltspflichten Schutz vor Schadenersatzansprüchen Identifikationswirkung Abschreckungswirkung Mitarbeiter Einhaltung von Gesetzen und internen Anweisungen Einhaltung der Sorgfaltspflichten Stärkung von Ethik und Moral Schutz und Motivation ehrlicher Mitarbeiter Abschreckungswirkung 1.3 Die Entstehung von korrupten Handlungen als zentraler Aspekt der Compliance Compliance-Regelungen dienen wie beschrieben dem Schutz des Unternehmens, einer nachhaltigen Unternehmensentwicklung, der Unternehmensleitung, des Aufsichtsrats sowie der Mitarbeiter und damit insbesondere der Akzeptanz des Unternehmens bei relevanten Stakeholdern sowie der unternehmensinternen Abschreckung vor der Durchführung von korrupten Handlungen. Korruptes Verhalten ist dabei das Ausnutzen einer anvertrauten Machtposition für einen persönlichen Nutzen oder Vorteil unter Missachtung von Gesetzen, Regelungen, Moral und Ethik. Es handelt sich dabei entweder um den Austausch von vorteilhaften Leistungen zwischen zwei oder mehreren Parteien, beispielsweise Entscheidungsbeeinflussung gegen Geld oder auch um eine Einzeltat, beispielsweise um Unterschlagung von Firmengeldern. Die Auswirkungen auf andere wie z. B. die Schädigung des Unternehmens oder der Allgemeinheit wird dabei von den involvierten Parteien ausgeblendet oder übergangen. 6

13 Welche Anreize oder Motivationen bestehen, um korrupte Handlungen auszuführen und damit gegen Gesetz oder interne Anweisungen zu verstoßen, kann mit Hilfe folgender Zusammenhänge nach Donald R. Cressey beschrieben werden: Motivation (Anreiz/Druck) Fraud 6 - Dreieck Gelegenheit Rechtfertigung Abb 1.: Fraud-Dreieck nach Donald R. Cressey In erster Linie muss eine Motivation bestehen, die sich z. B. aus der persönlichen und/oder finanziellen Situation (Anreiz/Druck) eines jeden Einzelnen ergibt. Folgende Motive können dabei eine Rolle spielen: - finanzielle Notlage, - Habgier, - mangelndes Unrechtsbewusstsein, - Aufforderung durch Dritte, - Verschleierung eigener Fehler, - ungenügende Kommunikation und Transparenz im Unternehmen, - Geltungsbedürfnis gegenüber Vorgesetzten, Kollegen, Kunden,... - Suchtverhalten (Beschaffungskriminalität), - fehlende Loyalität/Identifizierung gegenüber dem Arbeitgeber, - Management setzt sich auch über Regelungen hinweg (tone at the top), - Angst um Arbeitsplatz bei Nichterreichung vorgegebener Ziele, - Verlustängste in Bezug auf Macht, Ansehen, Arbeitsplatz, - unzureichende Kommunikation der Unternehmensethik. Als Nächstes muss sich eine Gelegenheit ergeben. Diese Gelegenheit wird z. B. durch ein fehlendes oder ungenügend ausgeprägtes internes Kontrollsystem begünstigt. In der Regel erfolgt eine Abwägung zwischen der Entdeckungswahrscheinlichkeit und der möglichen Strafe. Aber erst durch die innere Rechtfertigung, z. B. aufgrund mangelnder Vergütung und/oder geringer Wertschätzung der Arbeitsleistung, kommt es zur eigentlichen korrupten Handlung. Insbesondere in 6 Fraud = Betrug/betrügerische Handlung, dolose Handlung 7

14 wirtschaftlich schwierigen Zeiten fällt es leichter, das eigene Fehlverhalten sich selbst gegenüber zu rechtfertigen. Je größer der Anreiz, die Gelegenheit oder auch die eigene Rechtfertigung ist, desto größer ist die Eintrittswahrscheinlichkeit von korrupten Handlungen im Unternehmen! Korrupte Handlungen können dabei von Personen der Unternehmensorgane sowie von den Mitarbeitern begangen werden. Um die drei Elemente des Fraud-Dreiecks im positiven Sinne zu beeinflussen und damit korrupte Handlungen zu verhindern, sind die in dieser Arbeitshilfe beschriebenen Maßnahmen der Compliance umzusetzen und von der Unternehmensleitung regelmäßig zu überwachen. 8

15 2 Verantwortlichkeiten der Unternehmensorgane 2.1 Grundlagen der Organisationsverantwortung Die organschaftliche Verpflichtung zur Vornahme systematischer Compliance-Maßnahmen und zur Unterhaltung einer allgemeinen Compliance-Organisation lässt sich aus verschiedenen gesetzlichen Vorgaben ableiten. Worin besteht die Organisationsverantwortung? Wie ist das geführte Unternehmen zu organisieren? Das Unternehmen selbst sowie die dort beschäftigten Mitarbeiter müssen alle für die unternehmerische Tätigkeit wesentlichen Verhaltensanforderungen beachten, die sich aus den unternehmensspezifischen gesetzlichen oder internen Regelwerken ergeben. Angesichts vermehrt auftretender Unternehmens- und Börsenskandale nehmen Rechtsprechung und Fachliteratur die Leitungs- und Aufsichtsorgane von Unternehmen zunehmend in die Pflicht, ihrer Organisationsverantwortung gerecht zu werden. Hieraus entsteht stets auch eine Ausstrahlungswirkung auf kleinere, nicht börsennotierte Unternehmen. Die Implementierung eines Compliance Systems kann hierbei im Zweifelsfall bereits ein Indiz darstellen, dass weder Vorsatz noch Leichtfertigkeit zu einem Regelverstoß geführt haben. Vor allem Vorstand bzw. Geschäftsführung haben im Rahmen der ihnen übertragenen Leitungsaufgabe dafür Sorge zu tragen, dass die interne Organisation des Unternehmens sowie dessen Auftreten am Markt sich durchgehend an den Anforderungen und Handlungsvorgaben der Rechtsordnung orientieren. Verantwortung für eine wirksame Unternehmensüberwachung tragen neben den gesetzlichen Vertretern auch die Aufsichtsgremien. Ihre Aufgabe ist es, die Geschäftsführung zu überwachen und somit sicherzustellen, dass die internen Maßnahmen zur Verhinderung oder Aufdeckung von Unrichtigkeiten und Verstößen wirksam sind. Der Umfang der Compliance-Organisation hängt immer von der jeweiligen Geschäftsstruktur, von der Größe und Komplexität des Unternehmens sowie natürlich vom individuellen Risikoprofil ab. Dabei kann es für die Unternehmen keine konfektionierten Maßnahmen geben. Die Unternehmensleitung hat hierzu die Risikofaktoren und das Gefahrenpotenzial genau zu untersuchen und zu bewerten. Versäumnisse hiergegen stellen einen Sorgfaltsverstoß dar. Kommt das Leitungs- oder Aufsichtsorgan seiner Sorgfaltspflicht bzw. Verantwortlichkeit, für eine sorgfältige Organisation des Unternehmens zu sorgen, nicht nach, liegt eine Sorgfaltspflichtverletzung vor. Die Unternehmensleitung ist aufgrund der Organzugehörigkeit 9

16 bei einem Schaden unbeschränkt persönlich zum Schadenersatz verpflichtet. Weitere Rechtsfolgen können strafrechtlicher Natur sein, Sanktionen des Ordnungswidrigkeitenrechts beinhalten, aber auch zu aufsichtsrechtlichen, steuerrechtlichen und gesellschaftsrechtlichen Konsequenzen führen (vgl. hierzu im Einzelnen Anlage 2). Die Unternehmensleitung muss zudem bei Pflichtverletzungen mit einer fristlosen Kündigung des Anstellungsvertrags rechnen. Betriebsverfassungsgesetz (BetrVG) Aktiengesetz (AktG) Steuergesetze (z. B. AO) Ordnungswidrigkeitengesetz (OWiG) Konsequenzen bei Pflichtverletzung Genossenschaftsgesetz (GenG) Strafgesetzbuch (StGB) GmbH- Gesetz (GmbHG) 2.2 Verantwortlichkeit der Unternehmensleitung Wie oben bereits angesprochen, ist die Pflicht der Unternehmensleitung zur Einrichtung und Überwachung der Compliance in verschiedenen Ausprägungen gesetzlich kodifiziert. 93 Abs. 1 AktG, 43 Abs. 1 GmbHG und 34 Abs. 1 GenG verpflichten Geschäftsleiter "bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters" anzuwenden. Diese Sorgfaltspflicht umfasst die Pflicht zur sorgfältigen Unternehmensleitung sowie die Obliegenheit, stets das geltende Recht bei der Führung der Geschäfte zu beachten ("Legalitätspflicht"). 7 Dabei ist die Unternehmensleitung an die Kompetenzordnung gebunden, die sich aus Satzung und Anstellungsvertrag ergibt, und sie hat alles zu unterlassen, was das Unternehmen schädigen könnte. 7 Vgl. Kammerer-Galahn, Compliance Herausforderung für Unternehmensleiter und deren Rechtsberater, AnwBl 2009, S

17 Die Geschäftsführung bzw. der Vorstand hat auch die steuerlichen Pflichten des Unternehmens zu erfüllen. Bei Pflichtverletzungen greift sogar eine persönliche Haftung ( 43 Abs. 2 GmbHG, 93 Abs. 2 AktG, 34 Abs. 2 GenG, 34, 69 AO). Ebenso können auf Ebene der Verwaltungs- und Abteilungsleiter (selbst bei den einzelnen Mitarbeitern) persönliche Haftungen begründet sowie Geldbußen gegen das Unternehmen festgesetzt werden (sog. "Verbandsgeldbuße" gemäß 30 OWiG). Werden leichtfertig oder sogar grob fahrlässig oder vorsätzlich steuerliche Pflichten verletzt, drohen Folgen der leichtfertigen Steuerverkürzung ( 378 AO) bis hin zur Steuerhinterziehung ( 370 AO). Hier setzt das sog. Tax-Compliance an. Weitere Ausführungen hierzu enthalten die Kapitel 3.5 und Die Pflicht zur ordentlichen und gewissenhaften Geschäftsführung beinhaltet jedoch neben der Pflicht zu gesetzestreuem Verhalten auch eine Organisations- und Überwachungspflicht. In Bezug auf die Legalitätspflicht hat der Vorstand somit die Aufgabe, das Unternehmen so zu organisieren, dass die Einhaltung der rechtlichen Rahmenbedingungen durch die Mitarbeiter des Unternehmens weitestgehend gewährleistet ist und überprüft wird. Ein wesentlicher Anknüpfungspunkt ist auch 91 Abs. 2 AktG, wonach der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Überwachungssystem einzurichten, um den Fortbestand der Gesellschaft gefährdende Entwicklungen rechtzeitig zu entdecken und entsprechende Gegenmaßnahmen einleiten zu können (Risikofrüherkennungssystem 8 ; siehe auch Ausführungen in Kapitel 4.3.5). Die Verpflichtung zur Einrichtung eines Risikofrüherkennungssystems nach 91 Abs. 2 AktG ist zwar ausschließlich im Aktiengesetz formuliert. Nach der Gesetzesbegründung zum KonTraG 9 soll diese Vorschrift jedoch auch für Gesellschaften anderer Rechtsform anzuwenden sein. Der Gesetzgeber schränkt diese Verpflichtung jedoch insoweit ein, als Größe und Komplexität der Unternehmensstruktur für die Ausgestaltung eines Früherkennungssystems 10 maßgeblich sein sollte. D. h. die Regelung ist grundsätzlich auch für Wohnungsunternehmen in der Rechtsform der GmbH und der Genossenschaft von Bedeutung, jedoch nur, wenn die Größe und Komplexität der Unternehmensstruktur ein solches detailliertes Früherkennungssystem erfordern. Mit "gefährdenden Entwicklungen" i. S. d. Vorschrift sind Veränderungen und Prozesse gemeint, nicht ein Zustand. Eine sachgerechte und angemessene Compliance-Organisation beinhaltet diesen Risikopräventionsansatz und ist eine unerlässliche Maßnahme für eine sachgerechte Unternehmensführung. Die dargestellte Rechtspflicht trifft die Unternehmensleitung grundsätzlich als Gesamtorgan (vgl. 43 Abs. 2 GmbHG, 93 Abs. 2 Satz 1 AktG, 34 Abs. 2 Satz 1 GenG). Der gesamte Vorstand bzw. die gesamte Geschäftsführung hat für eine Organisation zu sorgen, die die Einhaltung des geltenden Rechts sowie die Erkennung von bestandsgefährdenden Entwicklungen durch geeignete Maßnahmen 8 Vgl. GdW Arbeitshilfe 27, Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), GdW (Hrsg.), März BT-Drs. 13/9712, S Vgl. GdW Arbeitshilfe 76, Zukunftsfähigkeit von Wohnungsunternehmen, GdW (Hrsg.), Mai 2016, Kapitel

18 gewährleistet. 11 Die einzelnen Vorstandsmitglieder haben als Gesamtvorstand die Aufgabe, die jeweils einzelnen Ressortleiter zu kontrollieren und zu überwachen. 12 Nach einer BGH-Entscheidung zur Organhaftung bei einer Genossenschaft trifft die Gesamtverantwortung für die Rechtmäßigkeit des Vorstandshandelns auch unentgeltliche und ehrenamtliche Vorstandsmitglieder. 13 Sollte im Unternehmen kein angemessenes Compliance-Management-System implementiert sein, stellt dies eine Pflichtverletzung dar. Die Leitungspersonen haften in diesem Fall persönlich. 14, 15 Bezüglich der Beweislast ist zu differenzieren: 16 Die Gesellschaft hat zu beweisen, dass ihr durch ein Verhalten eines Leitungsorgans ein Schaden entstanden ist. Die jeweiligen Leitungspersonen haben zu beweisen, dass sie ihre Pflichten nicht verletzt oder jedenfalls schuldlos gehandelt haben. Die Unternehmensleitung hat namentlich zu beweisen, dass sie das ihr und dem Unternehmen Mögliche und Zumutbare unternommen hat, um Rechtsverstöße zu verhindern. Noch nicht abschließend geklärt ist die Frage, ob und inwiefern die sog. "Business Judgement Rule" im Fall eines unzureichenden Compliance-Management-Systems zur Geltung kommen kann. 17 Nach der "Business Judgement Rule" liegt eine Pflichtverletzung nicht vor, wenn die verantwortlichen Personen bei einer unternehmerischen Entscheidung vernünftigerweise annehmen konnten, dass sie auf Grundlage richtiger und angemessener Informationen zum Wohle des Unternehmens handeln. Diese sog. Business Judgement Rule ist zwar derzeit nur im Aktiengesetz kodifiziert ( 93 Abs. 1 Satz 2 AktG). Allerdings wird die "Business Judgement Rule" überwiegend als ein allgemeiner Grundsatz des Gesellschaftsrechts angesehen, der auch im GmbH-Recht und im Genossenschaftsrecht Anwendung findet. 18 Fraglich ist jedoch, inwieweit Organisations-, Planungs- und Überwachungspflichten eine unternehmerische Entscheidung darstellen. Hier gilt es zwischen dem "Ob" und dem "Wie" zu differenzieren. 19 Die Unternehmensleitung hat für eine ordnungsgemäße Unternehmensorganisation, -planung und -überwachung zu sorgen. Hinsichtlich der Art und Weise ihrer Pflichterfüllung wird man ihr jedoch ein Organisations- und Planungsermessen zubilligen müssen. Dies ist 11 Vgl. Liese, Ist der Vorstand einer Aktiengesellschaft verpflichtet, eine Compliance-Organisation zu implementieren?, Betriebs-Berater, BB-Spezial zu Heft 25/2008, S Vgl. Cobe/Kling, Die business judgement rule im Genossenschaftsrecht, NZG 2015, S. 48, Siehe BGH, NJW-RR 2004, S. 900 ff. 14 Vgl. Hillebrand, Haftungsrisiken von Unternehmensleitern in der Krise, DW Die Wohnungswirtschaft, 4/2016, S Vgl. GdW Arbeitshilfe 76, Zukunftsfähigkeit von Wohnungsunternehmen, GdW (Hrsg.), Mai 2016, Kapitel Siehe BGH, NZG 2013, S. 293, 294, Rz Siehe dazu Fleischer, in: Spindler/Stilz, Aktiengesetz, 3. Auflage 2015, 93 Rn Siehe Cobe/Kling, Die business judgement rule im Genossenschaftsrecht, NZG 2015, S. 48 ff. Keßler/Herzberg, Zur gesetzlichen und statuarischen Geltung der "Business Judgement Rule" im Genossenschaftsrecht, BB 2010, S. 907 ff. 19 Siehe dazu Fleischer, in: Spindler/Stilz, Aktiengesetz, 3. Auflage 2015, 93 Rn

19 auch auf die Einrichtung eines Compliance-Management-Systems zu übertragen. 20 Der Unternehmensleitung ist bei ihrer Entscheidung über konkrete Compliance-Maßnahmen, die sie aus der ex-ante-perspektive treffen, ein großer Gestaltungsspielraum zuzubilligen. Dementsprechend kann ihnen aus der ex-post-perspektive nicht vorgeschrieben werden, wie sie ihr Unternehmen hätten organisieren müssen. Die Unternehmensleitung verfügt bei der näheren Ausgestaltung des Compliance- Management-Systems über ein Organisationsermessen. Insofern kann ihr bezüglich ihrer konkreten Einrichtungs- und Ausgestaltungsentscheidung die "Business Judgement Rule" zugutekommen. Innerhalb des Unternehmens und in dessen Umfeld darf es keinen Zweifel daran geben, dass in verantwortungsvoller Weise mit der Thematik umgegangen wird. Der erste und einfachste Schritt, noch vor Einführung eines Systems zur Risikovorsorge, sollte sein, durch das eigene Handeln den Mitarbeitern, Kunden und Geschäftspartnern Rechtstreue vorzuleben (tone at the top). Neben guten Worten werden aber vor allem organisatorische Vorgaben und Maßnahmen im Unternehmen dazu dienen, Rechtsverstöße zu verhindern oder zu erschweren. Sofern Compliance-Verstöße erwiesen sind, ist die Unternehmensleitung verpflichtet, eine sog. "Internal Investigation" 21 einzuleiten. Gleiches dürfte auch gelten, wenn behördliche Ermittlungen begonnen haben oder mit an Sicherheit grenzender Wahrscheinlichkeit bevorstehen. 22 Die sog. "Internal Investigation" ist von der Einrichtung eines Compliance-Management-Systems abzugrenzen. Zwar wird auch in Vollzug des Compliance-Management-Systems routinemäßig kontrolliert, diese vorbeugende Kontrolle ist einer Internal Investigation aber vorgelagert und soll verhindern, dass es überhaupt zu Anlässen kommt, die eine Sonderuntersuchung erforderlich machen. 23 Unter einer "Internal Investigation" wird zumeist verstanden: - Eine private, d. h. durch das Unternehmen selbst initiierte, Untersuchung, - die durch externe Ermittler oder zumindest in Zusammenarbeit mit ihnen erfolgt und - die im Zusammenhang mit drohenden oder stattfindenden staatlichen Ermittlungsverfahren gegen das Unternehmen oder gegen Angehörige des Unternehmens steht Siehe diesbezüglich Fleischer, in: Spindler/Stilz, Aktiengesetz, 3. Auflage 2015, 93 Rn Siehe dazu näher Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881 ff. 22 Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881, Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881, Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881,

20 2.3 Verantwortlichkeit des Aufsichtsgremiums Aus den Leitungs- und Organisationsaufgaben der Unternehmensleitung ergeben sich spiegelbildliche Überwachungsaufgaben des Aufsichtsrats ( 111 AktG, 52 GmbHG, 38 GenG). Der Aufsichtsrat muss überwachen, ob die Unternehmensleitung seinen Organisationspflichten nachkommt. Darüber hinaus trifft den Aufsichtsrat auch selbst die Pflicht, seine eigene Arbeit sachgemäß zu organisieren. Diese Organisationspflicht erstreckt sich auch auf die Compliance- Überwachung. 25 Diese größeren organisatorischen Spielräume führen aber gleichzeitig zu einer gestiegenen organisatorischen Verantwortung des Aufsichtsrats. 26 Bei der Erledigung ihrer Aufgaben gelten für die Aufsichtsratsmitglieder sinngemäß die gleichen Sorgfaltspflichten und Verantwortlichkeiten wie für die Vorstandsmitglieder bzw. Mitglieder der Geschäftsführung (vgl. 41 GenG, 116 AktG, 52 Abs. 1 GmbHG). Die Aufsichtsgremien haben das Risiko einzuschätzen, inwiefern die implementierten Kontrollmaßnahmen durch das Management außer Kraft gesetzt werden und ob in sonstiger Art und Weise z. B. auf den Rechnungslegungsprozess Einfluss genommen wird. Um dieser Aufgabe gerecht zu werden, muss das Aufsichtsgremium den Jahresabschluss und den Lagebericht prüfen. Es hat das Recht die Bücher, Schriften und Vermögensgegenstände des Unternehmens einzusehen und zu prüfen (vgl. 38 Abs. 1 Satz 2 GenG, 111 Abs. 2 Satz 1 AktG, 52 Abs. 1 Satz 1 GmbHG). Das Aufsichtsgremium muss die unternehmensinternen Risikoüberwachungssysteme entsprechend ihres originären Zwecks, also den Fortbestand des Unternehmens gefährdende Entwicklungen frühzeitig erkennbar zu machen, überwachen. Eine derartige Überwachung erfolgt meist durch einen Prüfungsausschuss innerhalb des Aufsichtsrats (Audit Committee) und setzt das Vorliegen sowie die Herausgabe relevanter Informationen durch die Unternehmensleitung voraus. Das Überwachungsfeld des Aufsichtsrats umfasst dabei alles, was ihm nach Gesetz und Satzung zu berichten ist. Die gesetzlichen Regelungen zur Berichtspflicht der Geschäftsführung bzw. des Vorstands an das Aufsichtsgremium finden sich vorwiegend in 90 AktG, 52 GmbHG und 38 GenG. Die Unternehmensleitung hat dem Aufsichtsrat über Einrichtung, Form und Zuverlässigkeit des Überwachungssystems zu berichten. Hierzu sollte das Aufsichtsgremium klarstellen, dass es von der Unternehmensleitung einen Regelbericht auch über das interne Überwachungssystem und seine Wirksamkeit erwartet. Um seinen Aufgaben umfassend und verantwortungsvoll nachkommen zu können, sollte vom Aufsichtsrat in einer Art Leitfaden die von 25 Vgl. Seibt, Effizienzprüfung der Aufsichtsratstätigkeit, Der Betrieb, Heft 39/2003, S ff. 26 Vgl. Hommelhoff/Mattheus, Corporate Governance nach dem KonTraG, Die Aktiengesellschaft, Heft 6/1998, S. 249 ff. (250) 14

21 der Unternehmensleitung zeitnah zu berichtenden Tatsachen und Vorgänge festgeschrieben werden. Diese Informationsordnung dient der Unternehmensleitung als Richtlinie für die Informationen, über die der Aufsichtsrat entsprechende Berichte verlangt. Die Überwachung der Unternehmensleitung muss vor dem Hintergrund spektakulärer Unternehmenszusammenbrüche aufgrund nicht ausreichend offengelegter Risiken verstärkt unter dem Gesichtspunkt der Unabhängigkeit betrachtet werden. Hierdurch wird unweigerlich die Frage zu den Möglichkeiten des Aufsichtsrats, an managementunabhängige Informationen heranzukommen aufgeworfen (z. B. durch Mitarbeiter des Unternehmens, die Interne Revision oder mittels des Einsichts- und Prüfungsrechts). Der Überwachungsauftrag des Aufsichtsorgans soll ihm den Zugang zu allen relevanten Informationen sichern. Dies setzt ein auf den Überwachungszweck begrenztes Direktionsrecht gegenüber den aufgabenverantwortlichen Mitarbeitern voraus. Die im Einzelfall nötige Anhörung der Mitarbeiter sollte zur Wahrung der Leitungsautorität möglichst über das geschäftsführende Organ in die Wege geleitet werden. Ist jedoch durch den Weg über die Unternehmensleitung der Zweck der Anhörung gefährdet bzw. weigert sich die Unternehmensleitung, der Bitte um Anhörung von Mitarbeitern nachzukommen, ist der Aufsichtsrat befugt, die zu befragenden Personen selbst zu laden und unabhängig vom Leitungsorgan zu befragen. Alternativ ist eine Vereinbarung zwischen Unternehmensleitung und Aufsichtsrat zu empfehlen, durch die der direkte Zugriff auf Informationen durch das Aufsichtsgremium auf eine sichere Rechtsgrundlage gestellt wird. Neben dem Vorstand kann aufgrund seiner gesetzlichen Überwachungspflicht ( 111 Abs. 1 AktG) auch der Aufsichtsrat zur Einleitung und Durchführung einer sog. "Internal Investigation" 27 berufen sein. 28 Hier tritt ein Spannungsverhältnis zwischen Geschäftsleitung und Aufsichtsrat zu Tage. Die Einleitung und Durchführung einer "Internal Investigation" ist eine "klassische" Überwachungsmaßnahme, wenn der Aufsichtsrat den Verdacht hegt, dass es bei der Geschäftsführung zu Unregelmäßigkeiten gekommen ist. Andererseits handelt es sich gleichzeitig um eine Geschäftsführungsmaßnahme und diese dürfen dem Aufsichtsrat nicht übertragen werden ( 111 Abs. 4 Satz 1 AktG). Dieses Spannungsverhältnis wird man wie folgt auflösen können: 29 - Sofern davon auszugehen ist, dass ausschließlich die Organisation unterhalb des Vorstandes in die Compliance-Verstöße verwickelt ist, ist primär der Vorstand zur Einleitung und Durchführung einer "Internal Investigation" berufen. - Sollte jedoch der Verdacht bestehen, dass auch einzelne Vorstandsmitglieder Tatbeteiligte sind, ist ausschließlich der Aufsichtsrat berufen. 27 Siehe dazu bereits oben Kapitel Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881, Siehe Fuhrmann, Internal Investigations: Was dürfen und müssen die Organe beim Verdacht von Compliance Verstößen tun?, NZG 2016, S. 881,

22 3 Typische Risikofelder in der Wohnungswirtschaft 3.1 Identifizierung der Risiken Der erste Schritt bei der Umsetzung von Compliance-Maßnahmen ist die Identifizierung der im jeweiligen Unternehmen vorhandenen Risiken. Diese Risikoanalyse der Unternehmensleitung muss auf die konkrete Unternehmenssituation ausgerichtet werden. Dies gilt insbesondere für die von einem Unternehmen zu beachtenden Rechtsregeln, die von vielen Faktoren bestimmt werden, vor allem von seiner Rechtsform, Organisation, Größe und Komplexität und vor allem der speziellen Branche, in der es tätig ist. Zunächst gibt es branchenunabhängige Pflichtenkreise wie z. B. die allgemeinen Regelungen des Gesellschafts-, Handels- und Steuerrechts, Arbeitssicherheit, Geräte- und Produktsicherheit, Wettbewerbsrecht, AGG, Datenschutzrecht, Straf- und Ordnungswidrigkeitenrecht. Ein Mindestmaß an Prävention ist in diesen Bereichen in allen Unternehmen auch unabhängig von der Größe rechtlich erforderlich. 30 Nachfolgend werden darüber hinaus typische Risikofelder in der Wohnungswirtschaft dargestellt, die erhebliches Gefahrenpotenzial von materiellen Schäden und Imageschäden beinhalten. 30 Vgl. Wecker/van Laak, Compliance in der Unternehmenspraxis, 1. Auflage 2008; Hauschka/Greeve, Compliance in der Korruptionsprävention was müssen, was sollen, was können die Unternehmen tun? Betriebs-Berater, Heft 4/2007, S. 165 ff. 16

23 3.2 Risikofeld Bauwesen und Auftragsvergabe Das Bauwesen ist eine im Sinne von Compliance besonders gefährdete Branche, da sie stark anfällig für Bestechungs- und Schmiergeldzahlungen ist. In dem Bundeslagebild Korruption des Bundeskriminalamt belegt die Baubranche in den letzten Jahren durchgehend den negativ betrachtet dritten Platz. Die Immobilienwirtschaft im Ganzen belegte im Bundeslagebild 2013 noch den fünften Platz und wird seitdem unter "Sonstige" aufgeführt. 31 Ein typisches Risikofeld der Wohnungswirtschaft stellt die Auftragsvergabe in den Bereichen Wohnungsbau, Wohnungsmodernisierung und Instandhaltung dar. Bei der Auftragsvergabe kann es zu wettbewerbsbeschränkenden Absprachen bei der Ausschreibung oder zur Verwirklichung von Straftatbeständen wie Submissionsbetrug, Bestechlichkeit bzw. Vorteilsnahme kommen. Dieser Bereich betrifft alle Wohnungsunternehmen unabhängig von ihrer Größe, da auch kleinere Unternehmen für Baumaßnahmen, Instandhaltungs- und Modernisierungsleistungen hohe Summen veranschlagen. Es bestehen bei der Auftragsvergabe vielfältige Manipulationsmöglichkeiten, die zu hohen Schäden für den Auftraggeber führen können. Für das Risikofeld Bauwesen und Auftragsvergabe ergeben sich insbesondere folgende typische Korruptionsmuster: (1) Phase vor der Ausschreibung - De-facto-Vergabe, d. h. Auftragsvergabe ohne förmlich durchgeführtes Auftragsvergabeverfahren. - Aufforderung zur Abgabe eines Angebotes nur an den Kreis begünstigter Bieter. - Bewusstes Unterschreiten von Schwellenwerten, um die innerbetrieblichen Anforderungen an die Auftragsvergabe zumindest aufzuweichen. - Gezielte Manipulation und/oder Steuerung von Informationen des Auftraggebers zugunsten bestimmter Bieter. - Einbeziehung begünstigter Bieter in den Prozess der Bauplanung. - Aufnahme von Scheinpositionen (Luftnummern) in das Leistungsverzeichnis in Absprache mit begünstigten Bietern, die diese Positionen besonders günstig anbieten können. - Die Ausgestaltung der Ausschreibung wird für den begünstigten Bieter "passend gemacht". 31 Vgl. Bundeskriminalamt, Korruption Bundeslagebild 2015, S. 11 und Bundeskriminalamt, Korruption Bundeslagebild 2013, S

24 (2) Angebot, Verhandlung und Auftragsvergabe - Manipulation durch nicht ordnungsgemäße Submission (z. B. Vorzeitiges Öffnen der Angebote und Weitergabe von Angebotspreisen der Mitanbieter oder falsches Verlesen und spätere Anpassung von Angebotspreisen). - Ggf. Benachteiligung von Bietern bei Ermessensentscheidungen (z. B. Eignungsprüfung). - Preisabsprachen und abgestimmtes Angebotsverhalten zwischen den Bietern. (3) Phase nach der Auftragsvergabe - Manipulation der Abrechnung, z. B. durch nicht oder nur minderwertig ausgeführte Lieferungen und Leistungen, Manipulation der Stundenlohnabrechnung, Abrechnung von überhöhten Mengen oder Doppelabrechnungen. - Freihändige Vergabe von überteuerten Nachtragsaufträgen. Ergänzend ist auf die Problematik der Verknüpfung von betrieblicher und privater Auftragsvergabe (z. B. Inanspruchnahme von Nachlässen wie Boni und Rabatte von Mitarbeitern) sowie die Problematik der Auftragsvergabe an nahestehende Personen hinzuweisen. Zur Vermeidung von Korruption bei der Auftragsvergabe sollten grundsätzlich Regelungen zur Annahme von Geschenken, zum Umgang mit Einladungen oder anderen Vergünstigungen von Geschäftspartnern getroffen werden. Darüber hinaus sollte bei einem Wohnungsunternehmen das Auftragsvergabeverfahren im Rahmen einer innerbetrieblichen Richtlinie gesondert geregelt werden. Neben dem Ausschreibungsverfahren, der Anzahl der abzufordernden Angebote in Abhängigkeit von der Auftragshöhe, den Kriterien für die Auswahl der Bieter, den formellen Anforderungen an die Angebotseinholung sind insbesondere die Verantwortlichkeiten zur Umsetzung der Auftragsvergabe in Form von Zeichnungsbefugnissen, unter Berücksichtigung des Vier-Augen-Prinzips, klar zu regeln. Des Weiteren kann die Transparenz innerbetrieblicher Abläufe insbesondere für den Bereich Instandhaltung/Modernisierung durch den Einsatz von IT-gestützten Geschäftsprozessen (z. B. Handwerkerkopplungen) erhöht werden. Gleichzeitig ergeben sich hierdurch systemtechnisch verankerte Funktionstrennungen sowie Überwachungsfunktionen. 18

25 3.3 Risikofeld Wohnungsvergabe und Wohnungsverwaltung Ein weiteres typisches Risikofeld der Wohnungswirtschaft mit zahlreichen Manipulationsmöglichkeiten ist die Wohnungsvergabe ein Problem insbesondere in den Regionen, in denen Wohnungsmangel herrscht. Wesentliches Gefährdungspotenzial liegt dabei in folgenden Bereichen und Prozessen: - begünstigende Vergaben an nahestehende Personen, - Festsetzung einer zu geringen Miete, - Durchführung von Wohnungsmodernisierungen ohne Umlagen, - Geld- und Sachgeschenke als Gegenleistung für eine Wohnung, - Verletzung von Bestimmungen des Datenschutzes. Es empfiehlt sich, Grundsätze und Regelungen zur Vergabe von Wohnungen in einer Wohnungsvergaberichtlinie zu dokumentieren. Gegenstand der Regelungen sollte sein: - personelle Zuständigkeit für die Wohnungsvergabe im Wohnungsunternehmen - Festlegung von Kriterien zur Wohnungsvergabe wie z. B.: - Zeitpunkt des Zugangs der Bewerbung, - bei Genossenschaften: die Dauer der Mitgliedschaft, Festlegung von ggf. abweichenden Reihenfolgen im Zusammenhang mit spezifischer zielgruppenorientierter Belegung in Quartieren o. Ä., - Festlegung der von den Bewerbern einzuholenden Angaben, - Auswahl der Interessenten auf Grundlage der Angaben zur Bewerbung und Berücksichtigung der Vergabegrundsätze, - Aufforderung an den ausgewählten Interessenten zur Erklärung der Bereitschaft der Wohnungsübernahme zu den angegebenen Bedingungen, - Vorstands- bzw. Geschäftsführungsbeschluss auf Grundlage des Angebots und der Erklärung des Bewerbers sowie Mitteilung des Ergebnisses. Die Unternehmensleitung ist berechtigt, Entscheidungen im Zusammenhang mit der Vergabe von Wohnungen zu delegieren. Welche Zuständigkeiten bei der Unternehmensleitung (z. B. bei Ausnahmefällen) und welche bei den Mitarbeitern liegen, sollte in einer Handlungsanweisung festgelegt werden. 19

26 Bei der Vergabe von Wohnungen an Mitglieder der Unternehmensleitung oder des Aufsichtsrats sowie andere Ehegatten, eingetragene Lebenspartner und weitere nahe Angehörige sind Zustimmungsanforderungen der Satzung zu beachten. Die Unternehmensleitung hat sicherzustellen, dass die vertraglich vereinbarte Miethöhe auf der Grundlage eines Vier-Augen-Prinzips ordnungsgemäß als Sollmiete festgelegt und in der vertraglich festgesetzten Höhe eingezogen wird. Das im Vermietungsbereich eingerichtete interne Kontrollsystem sollte dokumentiert und in einer Organisationsrichtlinie festgeschrieben werden. Bei der Befragung der Interessenten zur Ermittlung der benötigten Angaben ist das Bundesdatenschutzgesetz (BDSG) zu beachten. Welche Fragen danach im Vorfeld des Vermietungsgeschäfts zulässig sind, wird von den Datenschutzbeauftragten der Länder und auch den Justiziaren des GdW und der Regionalverbände zum Teil unterschiedlich beurteilt: - Die Fragen zum Geburtsdatum und zum Alter der einziehenden Personen sind nach Auffassung des GdW und der Regionalverbände im Rahmen der Beurteilung nach 28 BDSG zur Wahrnehmung berechtigter Interessen der Wohnungsunternehmen (z. B. ausgewogene Altersstruktur) zulässig. - Die Fragen nach der Telefonnummer und der -Adresse sind nach Auffassung des GdW und der Regionalverbände aus Gründen der Erreichbarkeit des Interessenten zulässig, sie sollten jedoch als freiwillige Angaben gekennzeichnet sein. - Die Frage nach der Nationalität/Abstammung ist diskriminierungsrelevant. Sie soll nur zulässig sein, wenn ein Konzept nach 19 Abs. 3 AGG vorliegt. Nach Auffassung des GdW und der Regionalverbände wäre sie jedoch auch ohne ein entsprechendes Konzept in Hinblick auf die Erhaltung sozial stabiler Bewohnerstrukturen und ausgewogener Siedlungsstrukturen erforderlich. - Angaben über den Wohnberechtigungsschein sind nur bei Wohnungen der sozialen Wohnraumförderung zulässig. Nachweise bzw. Angaben über Sachverhalte und Voraussetzungen, die einen Vorrang bei der Wohnungsversorgung begründen könnten sind z. B. ein Behindertenausweis, ärztliche Atteste oder auch schlüssige, nachvollziehbare Darlegungen des Interessenten. 20

27 3.4 Risikofeld Verkehrssicherungspflichten In zunehmendem Maße haftungsrechtlich relevant sind in der Wohnungs- und Immobilienwirtschaft die Verkehrssicherungspflichten, die den Grundstücks- und Gebäudeeigentümer treffen. Einstandspflichten können sich neben der vertraglichen Haftung gegenüber den Mietern vor allem auch aus dem Deliktsrecht (z. B. 823 und 836 BGB) ergeben. Die Verkehrssicherungspflicht umfasst diejenigen Maßnahmen, die ein umsichtiger und verständiger, in vernünftigen Grenzen vorsichtiger Mensch für notwendig und ausreichend erachtet, um andere vor Schäden zu bewahren. Die Gerichte legen die Verkehrssicherungspflichten auch im Bereich Gebäudesicherheit zunehmend weit aus. Es ist somit eine umfangreiche Überwachung und Kontrolle des Wohnungs- und Immobilienbestandes sowie der mit dem Gebäude und dem Grundstück verbundenen technischen Anlagen notwendig. Dies betrifft Einrichtungen der Ver- und Entsorgung (z. B. Strom- und Gasversorgung, Elektroinstallationen, Heizungsanlagen), erfasst jedoch auch beispielsweise Aufzugsanlagen, Parkplätze, Parkhäuser, Kinderspielplätze sowie ggf. Baustellensicherung. Wichtige Aspekte sind auch die Sicherung der Gebäudezugänge, die Sicherung der Zugänglichkeit von Feuerwehrzufahrten oder die Funktionsfähigkeit von Löscheinrichtungen im Rahmen des vorbeugenden Brandschutzes. 32 Die Gefahrenvorsorge umfasst hierbei die Einhaltung von grundstücksbezogenen Regelungen sowie die Einhaltung anerkannter Regeln der Technik. 3.5 Risikofeld Steuern (Tax-Compliance) Das Herzstück der Tätigkeit eines jeden Wohnungsunternehmens liegt in der (Weiter-)Entwicklung von Wohnquartieren und dem Bau neuer Wohnungen, in der Verwaltung und Bewirtschaftung des Wohnungsbestandes, ggf. auch in dessen Vermarktung. Tax-Compliance-Fragen und deren ordnungsgemäße Handhabung stellen sich in all diesen Bereichen grundsätzlich zunächst erst einmal unabhängig von der Rechtsform und Größe des Wohnungsunternehmens. Wohnungsunternehmen haben die Vorschriften nahezu aller Steuerarten zu beachten: Ertragsteuern (Körperschaftsteuer, Gewerbesteuer, Kapitalertragsteuer z. B. bei Dividendenzahlungen), Umsatzsteuer, Grunderwerbsteuer und Grundsteuer einschließlich der Bewertungsvorschriften für den Grundbesitz, Lohnsteuer (und Sozialversicherung) in Bezug auf die eigenen Mitarbeiter, Kfz-Steuer für den Fuhrpark, 32 Vgl. Kessler, Haftungsrisiken minimieren, 1. Auflage,

28 Energie- und Stromsteuern etc., aber auch die Vorgaben aus der Abgabenordnung zum Steuerrecht bzw. zur Erfüllung steuerlicher Pflichten (wie z. B. termingerechte Abgabe von Steuervoranmeldungen und Jahressteuererklärungen) usw. Je nach Rechtsform und Organisationsstruktur des Wohnungsunternehmens, den unternehmensindividuellen Tätigkeitsbereichen und den daraus resultierenden konkreten Geschäftsvorfällen können allerdings unterschiedliche steuerliche Risiken entstehen. Die nachfolgende Aufzählung soll dies exemplarisch etwas näher unterlegen. 1 Risiken aus der ertragsteuerlichen Grundstruktur: - Voll steuerpflichtiges Wohnungsunternehmen (Kapitalgesellschaft oder Genossenschaft) vs. steuerbefreite Vermietungsgenossenschaft ( 5 Abs. 1 Nr. 10 KStG, 3 Nr. 15 GewStG; Stichwort: 10%-Grenze und deren Einhaltung), - Aufteilung des Kaufpreises eines Grundstücks in Grundstück und Gebäude, Anschaffungskosten und Anschaffungsnebenkosten, Abgrenzung der Herstellungskosten vom Erhaltungsaufwand, anschaffungsnahe Herstellungskosten ( 255 HGB, 6 Abs. 1 Nr. 1 a EStG, Abschreibungsregelungen ( 7 ff. EStG), - Prüfung der Voraussetzungen für die Inanspruchnahme der erweiterten Gewerbesteuerkürzung ( 9 Nr. 1 Satz 2 ff. GewStG), - Erkennen eines gewerblichen Grundstückhandels (Überschreiten der sog. Drei-Objekt-Grenze), - Ausschüttungsverhalten (3/7-Ausschüttungsbelastung bei EK 02- Verwendung bis 2019 vs. EK 02-Abgeltungssteuer, Vorliegen verdeckter Gewinnausschüttungen, Dividendenbesteuerung), - Körperschaft- und gewerbesteuerliche Organschaft und Ergebnisabführungsvertrag, - Zinsschranke, Verlustabzugsbeschränkung usw. 2 Risiken aus der umsatzsteuerlichen Grundstruktur: - Regelbesteuerung vs. Kleinunternehmerregelung ( 19 UStG), - Vermietungstätigkeit: Umsatzsteuerfreie Wohnungsvermietung ohne Recht zum Vorsteuerabzug vs. Option zur umsatzsteuerpflichtigen Gewerbevermietung mit Vorsteuerabzug, Haupt- und Nebenleistung, Berichtigung des Vorsteuerabzugs bei Änderung der Verhältnisse, - Umsatzsteuerliche Organschaft, - Geschäftsveräußerung im Ganzen ( 1 Abs. 1 a UStG), - Umkehr der Steuerschuldnerschaft auf den Leistungsempfänger ( 13 b UStG) usw. 22

29 Weitere mit Blick auf Tax-Compliance risikobehaftete Geschäftsvorfälle liegen z. B. im Bereich des Erwerbs und der Veräußerung von Immobilien oder im Fall von Umstrukturierungsmaßnahmen sowohl innerhalb als auch außerhalb von Konzernstrukturen (Umwandlungssteuerrecht, Asset Deal vs. Share Deal, Grunderwerbsteuer, 6 a GrEStG). Ausführungen zu den Grundlagen eines Tax Compliance Managementsystems (Tax-CMS) enthält das Kapitel Risikofeld Geschenke, Zuwendungen, Spenden und Sponsoring Der korrekte Umgang mit Geschenken, Einladungen, Bewirtungen und anderen Zuwendungen wie z. B. Spenden und Sponsoring ist einer der Ecksteine einer einwandfreien Compliance und bildet gleichzeitig eine Anzahl von Stolperfallen. 33 Unternehmen unterstützen mit Geschenken, Spenden- und Sponsoring-Leistungen Geschäftspartner und andere Unternehmen oder Institutionen. Dies geschieht auch in der Wohnungswirtschaft auf beiden Ebenen, als Spender und "Sponsor" sowie als Spendenempfänger oder "Gesponserter". Geschenke können selbstverständlich aufgrund gesellschaftlicher Gepflogenheiten getätigt werden. Sie müssen aber einen der geschäftlichen Beziehung angemessenen Wert haben. Der Geschenk oder Zuwendungswert sollte nie den Anschein einer Bestechung oder der Bildung eines Abhängigkeitsverhältnisses wecken können. Beim Schenken unter Geschäftspartnern gibt es gelegentlich schleichende Prozesse. Auch kleinere Zuwendungen über einen längeren Zeitraum können zu Beeinflussbarkeit führen, die den Verdacht einer korrupten Handlung nähren könnten. In den Bereich der Zuwendungen fallen beispielsweise die Tätigung und Annahme von Einladungen zum Essen, Reisen und Veranstaltungen. Derartige Einladungen können einen berufsrechtlichen, einen "auch-berufsrechtlichen" oder einen rein privaten Charakter haben. Bis vor kurzem waren Einladungen in "Business-Logen" zu Sportund Kulturveranstaltungen oder in Oktoberfestzelte an der Tagesordnung, heute werden diese Einladungen teilweise abgelehnt. Hier muss sorgfältig differenziert werden. Insbesondere wenn eine Einladung ausgesprochen oder angenommen wird, die eine Begleitperson einschließt, ist Umsicht geboten. Spenden sind in der Regel nicht zweckgebundene Zuwendungen, die freiwillig erbracht werden. Die Geldspende ist die häufigste Form. An dieser Stelle gibt es keine Bewertungsfragen. Spenden an 33 Entsprechende Regelungen können in einer Betriebsvereinbarung oder einer Dienstanweisung getroffen werden (vgl. Kapitel und 4.4.3). 23

30 politische Parteien und an gemeinnützige Einrichtungen müssen in Übereinstimmung mit den jeweils geltenden Gesetzen und möglichst niedergelegten Vergabegrundsätzen getätigt werden. Bei Genossenschaften muss zumindest ein mittelbarer Zusammenhang mit dem satzungsmäßigen Förderzweck bestehen. Sponsoringverträge wiederum können leicht Fallstricke bilden. Wenn ein Unternehmen kommunale Institutionen, Kultur- oder sportliche Events sponsert, so ist dies möglicherweise für die Kommune, die Sport- oder Kultureinrichtung eine Einnahme, die ihr soziales, sportliches oder kulturelles Angebot unterstützt oder sogar möglicherweise sichert. Der Sponsor fördert ein Projekt mit Geld, Sachmitteln oder Dienstleistungen und erhält als Gegenleistung Werbung und Unterstützung bei Öffentlichkeitsarbeit und Marktkommunikation. In diesen Fällen ist eine sehr sorgfältige Dokumentation von Leistung und Gegenleistung erforderlich. Finanzieller Aufwand des "Sponsors" und die Gegenleistung müssen in einem angemessenen Verhältnis stehen und beim "Sponsor" muss eine Verbindung zum eignen Unternehmenszweck bestehen. 3.7 Weitere sensible Bereiche der Wohnungs- und Immobilienwirtschaft Weitere sogenannte sensible Bereiche der Wohnungs- und Immobilienwirtschaft gibt es unter anderem bei Kick-backs 34 und Scheinrechnungen, im Zahlungsverkehr, bei Kreditzusagen und der Verwaltung von Treuhandvermögen (auch geleistete Mietsicherheiten). In besonderem Maße korruptionsgefährdet sind alle technischen und nichttechnischen Bereiche, in denen vertragliche oder andere Beziehungen mit Dritten, insbesondere mit Liefer- oder Dienstleistungsfirmen, Kreditnehmern, Maklern, Architekten etc. existieren und Entscheidungen getroffen werden, die für einen Dritten von erheblicher finanzieller und/oder existenzieller Bedeutung sind. Als Beispiele hierfür sind vor allem Arbeitsbereiche, in denen Zahlungsverpflichtungen festgesetzt werden, Einkaufs-, Beschaffungsund Auftragsvergabestellen, Arbeitsbereiche, in denen Sach- und/ oder Dienstleistungen gewährt werden sowie Arbeitsbereiche, in denen Kontrolltätigkeiten ausgeführt werden, zu nennen. Hier muss bei der Entwicklung von Organisationsanweisungen oder Geschäftsverteilungsplänen in erster Linie angesetzt werden. 34 Der Begriff "Kick-back" ist kein eindeutig feststehender Terminus technicus. Es handelt sich um eine Bezeichnung für ein Verhalten, bei dem der Empfänger einer geldwerten Leistung im Rahmen einer Geschäftsbeziehung einen Teil an Dritte oder wieder an den Auftraggeber "zurückspielt", also eine "Rückvergütungsvereinbarung" (z. B. als Schmiergeldzahlung und unzulässige Angebotsoptimierung im Zusammenhang mit der Vergabe von Aufträgen oder als Abschlussprovision im Bereich der Finanzdienstleistungen). 24

31 Insbesondere in den Bereichen Einkauf und Beschaffung müssen klare Regelungen und Anweisungen getroffen werden. Sie sollten schriftlich fixiert und jedem Mitarbeiter zur Kenntnis gegeben werden. Diese Regelungen sollten als Mindestanforderung folgendes enthalten: - Bestellberechtigungen (Wer darf was in welcher Höhe bestellen?), - Ggf. Einrichtung von Bezugspools (z. B. Einrichtung eines festen Handwerker-Pools an dessen Mitglieder bestimmte Aufträge immer wieder vergeben werden dürfen), - Festlegung, ab welchem Einkaufsbetrag oder für welche Leistungen mehrere Vergleichsangebote einzuholen sind, - Festlegung wer die Vergleichsangebote auswertet und die Entscheidungsvorlage vorbereitet, - Festlegung, welche Entscheidungsorgane ggf. hinzugezogen werden müssen (Abteilungsleiter Einkauf, Prokurist, Geschäftsleitung, Aufsichtsrat), - Festlegung von Kontrollmechanismen (Vier-Augen-Prinzip), - Festlegung von Dokumentationsanforderungen (z. B. durch Abzeichnung oder elektronische Freigabe/Unterschrift). Aber auch bei der Einholung von Kreditangeboten und deren Abschluss (lange Lauzeiten, hohe Beträge), sollte das oberste Kontrollgremium, der Aufsichtsrat, eingebunden werden. Zu empfehlen ist die Festschreibung der vorherigen Genehmigung von Kreditabschlüssen durch den Aufsichtsrat in der Geschäftsordnung für dieses Gremium. In der Geschäftsordnung für die Unternehmensleitung sollte hingegen eine Verpflichtung zur Entscheidungsvorlage bei Kreditabschlüssen (ggf. Festlegung einer konkreten Betragsgrenze) verankert werden. In diesem Zusammenhang gilt es auch, den Umgang mit gewährten Vorteilen sowie nahestehenden Personen zu regeln. In beiden Fällen entstehen für den jeweils betroffenen Mitarbeiter Interessenskonflikte. Von einem Interessenskonflikt wird gesprochen, wenn in einer gegebenen Situation ein primäres Interesse durch ein sekundäres Interesse beeinflusst werden kann. Unter dem primären Interesse sind das Unternehmensinteresse sowie die spezifischen Anforderungen der jeweiligen Stelle zu subsumieren. Das sekundäre Interesse beschreibt weitere Einflüsse, das heißt private Interessen, wie beispielsweise erhaltene Geschenke, die Verbundenheit zu nahestehenden Personen etc., die den wirtschaftlichen Interessen des Unternehmens entgegenstehen. Interessenskonflikte können immer dann auftreten, wenn eine dritte Partei in Geschäftsvorfälle involviert ist: - Stellenbesetzung, - Nebentätigkeiten eines Mitarbeiters, - Anschlussbeschäftigungen (Wechsel zu einem anderen Unternehmen), - Auftragsvergabe, - Vorteilsnahme durch Verwendung interner Informationen, - Nutzung von Dienstwagen durch Dritte, - Studienreisen mit Ehegatten auf Kosten der Firma, - usw. 25

32 Für das Unternehmen können dadurch unmittelbare wirtschaftliche Schäden entstehen, indem eine objektiv schlechtere Option für das Unternehmen gewählt wird. Daneben können mittelbare wirtschaftliche Schäden in der Form von Imageschäden entstehen. Um möglichen direkten oder indirekten Schäden für das Unternehmen vorzubeugen, sind verschiedene Präventionsmaßnahmen einzurichten. Diese können sich je nach individuellen Anforderungen aus Richtlinien, Sensibilisierung (z. B. durch Schulungen), Vorbildfunktion der Unternehmensleitung, Offenlegungspflichten und dem Vier-Augen-Prinzip zusammensetzen. Ziel der Maßnahmen ist keinesfalls die Sanktionierung, sondern die Schaffung von Transparenz. Per se sind Interessenskonflikte Bestandteil des täglichen Geschäftslebens; ausschlaggebend ist der angemessene Umgang mit ihnen. Eine Präventionsmaßnahme in Zusammenhang mit der Zurverfügungstellung von Dienstwagen ist der Abschluss eines entsprechenden Vertrags. 35 Dieser Vertrag regelt u. a. - Privatfahrten und Benutzung durch Dritte, - Betriebskosten, Instandhaltung und geldwerter Vorteil, - Obliegenheiten und Sorgfaltspflichten. In diesem Vertrag legt der Arbeitgeber ausdrücklich fest, ob eine private Nutzung des Dienstwagens überhaupt erlaubt ist. Falls ja, wird klargestellt, ob die private Nutzung des Dienstwagens auch nahestehenden Personen des Arbeitnehmers gestattet ist. Die dort getroffenen Regelungen sollten keinen Platz für "Grauzonen" lassen. Bei Zuwiderhandlung muss der Arbeitnehmer mit zumindest arbeitsrechtlichen Konsequenzen rechnen. Als weitere Präventionsmaßnahme sollten Regelungen in Bezug auf die Mitnahme von (Ehe-)Partnern zu Veranstaltungen (Geschäftsoder Studienreisen) getroffen werden. Insbesondere muss festgelegt werden, dass die durch die Mitnahme einer dritten Person zusätzlich entstehenden Kosten (Übernachtungskosten, Teilnahmegebühren, Verpflegung etc.), ausnahmslos vom Mitnehmenden (Arbeitnehmer, Unternehmensleitung, Aufsichtsrat) privat zu tragen sind. In der Unternehmenspraxis lässt sich der zunehmende Einsatz von Informationstechnologie beobachten. Der IT Einsatz steigt in fast allen Unternehmensbereichen: Angefangen beim Smartphone bis zur mobilen Wohnungsabnahme einschließlich der Handwerkerbeauftragung und Kopplung zum ERP-System. Hierbei findet häufig eine Vermischung von privater und betrieblicher Nutzung statt. Gleichzeitig ist die Einhaltung der einschlägigen Regelwerke (u. a. Datenschutz, Grundsätze ordnungsgemäßer Buchführungssysteme, Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen usw.) sowie die Integrität der IT-Infrastruktur sicherzustellen. 35 Einen Vertragsentwurf zu diesem Thema (Formular Nr. B-7) stellt der Arbeitgeberverband der Deutschen Immobilienwirtschaft auf seiner Homepage ( im Mitgliederbereich unter der Rubrik "Formulare" zur Verfügung. 26

33 Daher muss auch in diesem Bereich eine Vereinbarung zum gewissenhaften Umgang mit den elektronischen Medien bzw. den Smart Connected Devices (Smartphone, Tablet) getroffen werden. 36 Darf das Diensthandy bzw. das Dienst-Tablet auch privat genutzt werden? Soweit durch Flatrates eine finanzielle Trennung der Nutzungsart nicht möglich (da nicht nachvollziehbar) ist, wäre eine zeitliche Begrenzung der privaten Nutzung in Erwägung zu ziehen. Des Weiteren erlaubt das Internet einen weltweiten Zugriff auf Daten und Programme, wodurch zusätzliche Risiken entstehen. Daher sind auch in diesem Bereich Regelungen zu treffen, damit die Sicherheit des Unternehmensnetzwerks und der Unternehmensdaten gewährleistet ist. Daher sollte Folgendes geregelt werden: - Verpflichtung zur Einhaltung der unternehmensinternen Sicherheitsregelungen (Einrichtung von und Umgang mit Passworten etc.), - Meldung von verdächtigen s an den IT-Bereich, - Keine Installation von privaten Programmen auf dem vom Unternehmen gestellten technischen Geräten (PC/Notebook, Smartphone etc.), - Freigabe der privaten Nutzung des Internets in vertretbaren Maßen, - Verbot der Nutzung der vom Unternehmen gestellten technischen Geräte für gesetzlich verbotene Zwecke (z. B. Erstellung von Raubkopien, Herunterladen von nicht genehmigten Materialien (z. B. Pornografie)). Die rasante Entwicklung der letzten Jahren rückt auch den Einsatz von Social Media Netzwerken in den Fokus der Compliance. Denn die Benutzung von Facebook, Twitter, Instagram oder Snapchat birgt weitere Risiken für das Unternehmen. Der richtige Einsatz dieser Elemente im Rahmen der unternehmerischen Tätigkeit kann aber auch Vorteile bringen. Jedoch sollten Regelungen bzw. Richtlinien vorliegen, die den respektvollen Umgang mit diesen Medien sicherstellen. Dies erfolgt z. B. durch - Erarbeitung einer Strategie zum Einsatz solcher Medien, - Richtlinien/Regelungen zum verantwortungsbewussten Umgang mit Social Media Netzwerken im Bereich der Öffentlichkeitsarbeit (z. B. Bewerbung von freien Wohnungen), - Richtlinien/Regelungen zum Umgang mit Social Media Netzwerken für alle anderen Mitarbeiter, da sie durch das Internet einen ständigen Zugang zu diesen Netzwerken haben, - ggf. Durchführung von Mitarbeiterschulungen zur Erhöhung des sensiblen Umgangs mit diesen Netzwerken. 36 Zu diesem Thema berät der Arbeitgeberverband der Deutschen Immobilienwirtschaft. Kontaktaufnahme unter unter der Rubrik "Kontakt". 27

34 4 Umsetzungsmaßnahmen 4.1 Umsetzung im Rahmen von Satzungen/Gesellschaftsverträgen und Geschäftsordnungen Bei den Regelungen, deren Einhaltung durch Compliance-Maßnahmen sichergestellt werden soll, handelt es sich hauptsächlich um Gesetze sowie um unternehmensinterne Regelwerke. D.h. ein Großteil der compliance-relevanten Regelungen werden in der Satzung bzw. dem Gesellschaftsvertrag sowie in Geschäftsordnungen umgesetzt. 37 Diese Regelungen betreffen direkt die Unternehmensorgane, d. h. Unternehmensleitung und Aufsichtsrat. Die Mitglieder dieser Organe sollen hierdurch zu rechtskonformen und verantwortungsvollem Verhalten angehalten werden. Alle diese Vorschriften haben den Zweck der Risikovorsorge und Schadensabwehr vom Unternehmen zur Sicherstellung einer nachhaltigen Unternehmensentwicklung. In den Satzungen/Gesellschaftsverträgen sollten u. a. folgende Regelungen enthalten sein: Anteilseigner/Mitglieder - Die Anteilseigner/Mitglieder nehmen die ihnen gesetzlich und satzungsgemäß zustehenden Möglichkeiten wahr. - Jeder Anteilseigner/Mitglied ist berechtigt, das Wort zu Gegenständen der Tagesordnung zu ergreifen und sachbezogene Fragen und Anträge zu stellen. - Das Unternehmen soll den Anteilseignern/Mitgliedern die persönliche Wahrnehmung ihrer Rechte erleichtern. Zusammenwirken von Unternehmensleitung und Aufsichtsrat - Vorstand und Aufsichtsrat arbeiten zum Wohle des Unternehmens eng zusammen. - Der Vorstand stimmt die strategische Ausrichtung des Unternehmens mit dem Aufsichtsrat ab. Bei Geschäften grundlegender Bedeutung für das Unternehmen kann ein Zustimmungsvorbehalt des Aufsichtsrats festgelegt werden. 37 Vgl. GdW Arbeitshilfe 80, Neufassung Mustersatzungen, Mustergeschäftsordnungen und Musterwahlordnung für Wohnungsgenossenschaften 2017, GdW (Hrsg.), Februar 2017 sowie Gesellschaftsvertrag Muster für Wohnungsgesellschaften (GmbH) und Geschäftsordnungen für Geschäftsführer und Aufsichtsrat (GmbH), GdW (Hrsg.), Bezug über Haufe Verlag, Freiburg,

35 - Der Aufsichtsrat hat sicherzustellen, dass ausreichende Kenntnisse über das Geschäftsmodell des Unternehmens im Gremium vorhanden sind. - Eine gute Unternehmensführung setzt eine offene Diskussion zwischen Vorstand und Aufsichtsrat voraus. Die umfassende Wahrung der Vertraulichkeit ist dafür entscheidend. - Bei Abschluss einer D&O-Versicherung sind für Vorstand und Aufsichtsrat Selbstbehalte zu vereinbaren (z. B. 10 %). Unternehmensleitung - Der Unternehmensleitung können keine Ehegatten oder eingetragenen Lebenspartner sowie weitere Angehörige eines Vorstands- oder Aufsichtsratsmitglieds angehören. - Die Bestellung der Mitglieder der Unternehmensleitung durch den Aufsichtsrat sollte einer zeitlichen Begrenzung (z. B. höchstens 5 Jahre) unterliegen. Zudem sollte eine Altersgrenze festgelegt werden. - (Rechts-)Geschäfte mit dem Unternehmen dürfen Mitglieder der Unternehmensleitung sowie ihre Ehegatten, eingetragenen Lebenspartner und weitere nahe Angehörige nur nach vorheriger Zustimmung durch den Aufsichtsrat tätigen. Dies gilt ebenso für einseitige Rechtsgeschäfte sowie die Änderung oder Beendigung von Verträgen. - (Rechts-)Geschäfte zwischen dem Unternehmen und juristischen Personen oder Personengesellschaften, an denen ein Mitglied der Unternehmensleitung oder seine nahen Angehörigen beteiligt sind oder auf sie einen maßgeblichen Einfluss haben, dürfen nur nach vorheriger Zustimmung durch den Aufsichtsrat getätigt werden. - Der Unternehmensleitung obliegt die Entwicklung der strategischen Ausrichtung des Unternehmens. In diesem Zuge verantwortet die Unternehmensleitung auch die Einrichtung eines angemessenen Risikomanagements, einschließlich Compliance. Aufsichtsrat - Aufsichtsratsmitglieder können nicht gleichzeitig Mitglieder der Unternehmensleitung sein. - Aufsichtsratsmitglieder dürfen nicht als Mitarbeiter in einem Arbeitsverhältnis bei dem Unternehmen stehen (Ausnahme: mitbestimmungspflichtige Unternehmen). - Dem Aufsichtsrat können keine Ehegatten oder eingetragenen Lebenspartner sowie weitere Angehörige eines Vorstands- oder Aufsichtsratsmitglieds oder eines Mitarbeiters des Unternehmens angehören. - Ehemalige Mitglieder der Unternehmensleitung können erst zwei Jahre nach dem Ausscheiden ab erteilter Entlastung in den Aufsichtsrat gewählt werden. - (Rechts-)Geschäfte mit dem Unternehmen dürfen Mitglieder des Aufsichtsrats sowie ihre Ehegatten, eingetragenen Lebenspartner und weitere nahe Angehörige nur nach vorheriger Zustimmung durch die Unternehmensleitung und den Aufsichtsrat tätigen. Dies gilt ebenso für einseitige Rechtsgeschäfte sowie die Änderung oder Beendigung von Verträgen. - (Rechts-)Geschäfte zwischen dem Unternehmen und juristischen Personen oder Personengesellschaften, an denen ein Mitglied des 29

36 Aufsichtsrats oder seine nahen Angehörigen beteiligt sind oder auf sie einen maßgeblichen Einfluss haben, dürfen nur nach vorheriger Zustimmung durch die Unternehmensleitung und den Aufsichtsrat getätigt werden. - Für Aufsichtsräte sollte eine Altersgrenze festgelegt werden. - Voraussetzung eines Aufsichtsratsmandats ist ausreichend Zeit, um das Mandat entsprechend wahrnehmen zu können. Nimmt ein Aufsichtsrat an weniger als der Hälfte der Sitzungen eines Jahres teil, sollte dies im Bericht des Aufsichtsrats vermerkt werden. In den Geschäftsordnungen sollten u. a. folgende Compliance-Regelungen enthalten sein: Unternehmensleitung - Die Unternehmensleitung muss dafür sorgen, dass die Betriebsorganisation und das Rechnungswesen die Erfüllung der Unternehmensaufgaben gewährleistet. - Ein der Unternehmenstätigkeit angemessenes Risikomanagementsystem einschließlich Compliance ist einzurichten. - Bei Geschäften des Unternehmens mit Mitgliedern der Unternehmensleitung und diesen nahe stehenden Personen ist vorab die Zustimmung des Aufsichtsrates einzuholen. - Bankvollmachten sollten entweder nur von zwei Mitgliedern der Unternehmensleitung oder von einem Mitglied der Unternehmensleitung und einem Prokuristen oder einem sonstigen Zeichnungsberechtigten erteilt werden dürfen. - Für den Fall der Abwesenheit oder Verhinderung eines Mitglieds der Unternehmensleitung sind Regelungen zu treffen. - Bei Besetzung der Unternehmensleitung sowie der Führungspersonen sollte auf Vielfalt (Diversity) im Sinne von Verschiedenheit geachtet werden. Aufsichtsrat - Der Aufsichtsrat hat die Tätigkeit der Unternehmensleitung zu überwachen. Hierzu hat der Aufsichtsrat sicherzustellen, dass er angemessen von der Unternehmensleitung informiert wird. - Im Rahmen dieser Überwachungstätigkeit hat der Aufsichtsrat zu beurteilen, ob das von der Unternehmensleitung eingerichtete Risikomanagementsystem einschließlich der Compliance den betrieblichen Erfordernissen des Unternehmens genügt. - Soweit die Vergütung von Mitgliedern der Unternehmensleitung einen variablen, leistungsbezogenen Anteil enthält, sind konkrete Zielvereinbarungen festzulegen. Diese sind auf eine nachhaltige Unternehmensentwicklung auszurichten. - Bei Geschäften des Unternehmens mit Mitgliedern des Aufsichtsrats und diesen nahe stehenden Personen ist vorab die Zustimmung des Aufsichtsrats einzuholen (Abstimmung ohne das entsprechende Mitglied). - Bei Besetzung des Aufsichtsrats sollte auf Vielfalt (Diversity) im Sinne von Mannigfaltigkeit in den beruflichen Erfahrungen der einzelnen Mitglieder geachtet werden. Im Rahmen der Geschäftsordnungen kann es darüber hinaus sinnvoll sein, Regelungen bezüglich Informationsreisen des Aufsichtsrats und 30

37 der Unternehmensleitung insbesondere unter Begleitung von nahen Angehörigen zu treffen. Vor allem ist es ratsam, das Genehmigungsverfahren und die Abrechnungsmodalitäten festzulegen. Durch die Einhaltung der vorgenannten Regelungen und ihr Verhalten beeinflussen die Unternehmensorgane die im Unternehmen vorhandene Ethik und Moral und damit maßgeblich die Unternehmenskultur. Je höher die ethischen Werte und Moralvorstellungen bzw. die Standards zu verantwortungsvollem Verhalten ausgeprägt sind, desto geringer ist das Risiko für korrupte Handlungen. 4.2 Unternehmensleitbild/Verhaltenskodex Über die Umsetzung von Compliance-Regelungen in Mustersatzungen/-gesellschaftsverträgen sowie Geschäftsordnungen hinaus ist es empfehlenswert, weitere unternehmensinterne Regelungen zu implementieren, um die Organe und Mitarbeiter des Unternehmens zu einer gesetzeskonformen und dem Unternehmensleitbild entsprechenden Arbeitsweise und zu einem entsprechenden Verhalten anzuhalten. Insbesondere größere Unternehmen haben häufig grundlegende Compliance-Regeln in einem Unternehmensleitbild bzw. Verhaltenskodex verankert. Für im DAX und MDAX gelistete Unternehmen sind Angaben hierzu gemäß 161 AktG sogar vorgeschrieben. Demnach ist eine sogenannte Entsprechenserklärung zum Deutschen Corporate Governance Kodex abzugeben. Der Deutsche Corporate Governance Kodex wird jährlich an aktuelle Entwicklungen und Gesetzesänderungen angepasst. Er bietet daher einen guten Ausgangspunkt, um eine adaptierte Version für das eigene Unternehmen zu erstellen. Das Unternehmensleitbild enthält Aussagen zur Unternehmenskultur und damit zum Umgang, Auftreten und Benehmen der für das Unternehmen tätigen Personen. In diesem Sinne soll das Unternehmensleitbild das Ethik- und Moralverhalten der Mitarbeiter steuern. Dies soll wiederum das Risiko mindern, dass korrupte Handlungen vorgenommen werden. Zur Beeinflussung der Wertevorstellungen der Organe und Mitarbeiter, zur gezielten Umsetzung des Unternehmensleitbildes und damit zur Vermeidung von Korruption im Unternehmen kann sich die Einführung eines Verhaltenskodexes empfehlen. Dieser kann z. B. Regelungen zu Diskriminierungsverboten bzw. zur Vielfalt (Diversity) im Sinne von Verschiedenheit und dem Umgang untereinander, Datenschutz, Arbeitsschutz und allgemeine Ethikregeln enthalten. 38 Die Umsetzung und Einhaltung des Verhaltenskodexes zur Vorbeugung 38 Textbausteine zu diesem Thema (Verhaltenskodex: Formular Nr. C-17) stellt der Arbeitgeberverband der Deutschen Immobilienwirtschaft auf seiner Homepage im Mitgliederbereich unter der Rubrik "Formulare" zur Verfügung. 31

38 von Korruption ist dabei nicht nur Aufgabe der Unternehmensorgane, sondern eine Gesamtaufgabe aller Mitarbeiter. Es empfiehlt sich, ein Unternehmensleitbild durch zwei Dokumente festzulegen. Zum einen sollte ein Grundwertekatalog individuell erstellt werden. Hierbei sind Werte, durch die das Unternehmen bestimmt ist, schriftlich festzuhalten. In dem zweiten Dokument sollten auf Grundlage der gesetzlichen und satzungsmäßigen Bestimmungen, der definierten Grundwerte sowie ggf. Dienstanweisungen etc. Verhaltensstandards festgelegt werden. Folgende Anforderungen sollten durch die Grundwerte erfüllt werden: 1. Schriftliches Festhalten der Unternehmensgrundwerte. Die jeweiligen Grundwerte bestimmen sich beispielsweise aus der Unternehmensgeschichte, der Strategie bzw. den verfolgten Zielen. 2. Neben einer expliziten Nennung der individuell bestimmten Grundwerte sollten auch die übergeordneten Unternehmensziele definiert werden. Dies schließt auch Grundsätze der Unternehmensführung und die Benennung wesentlicher Stakeholder (z. B. Mieter/Mitglieder, Mitarbeiter, Lieferanten) ein. 3. Der Grundwertekatalog sollte nicht nur den Mitarbeitern des Unternehmens zur Verfügung stehen, sondern öffentlich zugänglich sein, z. B. auf der Unternehmenshomepage. 4. Der Grundwertekatalog sollte regelmäßig auf Aktualität geprüft und ggf. angepasst werden. Die Verhaltensstandards spiegeln die Grundwerte des Unternehmens sowie Compliance-Ziele wider und geben hierzu Verhaltensweisen vor. Art und Umfang richten sich vor allem nach den unternehmensspezifischen Anforderungen. Insbesondere die folgenden Bereiche sollten schriftlich geregelt werden: 1. Korruptionsverbot, 2. Verbot von Absprachen im Sinn des Kartell- bzw. Wettbewerbsrechts, 3. Umgang mit Geschäftspartnern zur Sicherstellung der Einhaltung der Gesetze sowie der unternehmensinternen Regelungen, 4. Umgang mit Geschenken, Einladungen und vergleichbaren Vorteilen, 5. Umgang mit Interessenskonflikten, Zuwendungen, Spenden und Sponsoring, 6. Schutz von Vermögenswerten, 7. Sozialverhalten im Unternehmen, 8. Sanktionsmechanismen bei Verstößen. Diese Verhaltensstandards müssen insbesondere Richtschnur für die Unternehmensleitung und den Aufsichtsrat sein. Für die Mitarbeiter ergibt sich daraus ein verlässlicher Rahmen für den Umgang im Geschäftsalltag (Sicherheit). 32

39 4.3 Umsetzung im Rahmen des Risikomanagementsystems Vorbemerkungen Unter einem Risikomanagementsystem ist die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit Risiken zu subsumieren. Die Einrichtung eines Risikomanagementsystems liegt dabei in der Verantwortung der Unternehmensleitung und in der Überwachung des Aufsichtsrates. Das Risikomanagementsystem beinhaltet drei Sicherungselemente: das Interne Kontrollsystem (IKS), das Controlling und das Risikofrüherkennungssystem. Das IKS beinhaltet u. a. Regelungen zur Sicherstellung von Compliance. Es stellt sich im Überblick wie folgt dar: Risikomanagementsystem Risikofrüherkennungssystem Controlling Internes Kontrollsystem (IKS) Grundlage des Risikomanagementsystems ist das Interne Kontrollsystem (IKS), das durch organisatorische und systemintegrierte Sicherungsmaßnahmen im Rahmen der Unternehmensorganisation quasi die "Grundsicherung" darstellt und in jedem Unternehmen in Abhängigkeit von der Unternehmensgröße in unterschiedlichen Ausprägungen vorhanden sein muss. Hierunter fallen auch Maßnahmen zur Sicherstellung der Compliance. Eine Ausprägung ist die Tax-Compliance. Unter Tax-Compliance werden alle Regelungen und Richtlinien verstanden, deren Zweck die vollständige und zeitgerechte Erfüllung der steuerlichen Pflichten des Unternehmens ist (vgl. Kapitel 4.3.3). 39 Vgl. Risiko-Managementsystem im Wohnungsunternehmen, Fachbuch für die Wohnungswirtschaft, GdW gemeinsam mit seinen regionalen Prüfungsverbände (Hrsg.), Hamburg,

40 Darauf aufbauend ist das Controlling zu sehen, also die betriebliche Planung, Steuerung und Kontrolle. Wesentliche Tätigkeiten des Controlling sind die Erstellung von Wirtschafts- und Finanzplänen, die Ermittlung von Kennzahlen einschließlich der laufenden Abweichungsanalyse zwischen Plan- und Ist-Daten. Ggf. sind bei Eintritt unerwünschter Entwicklungen entsprechende Maßnahmen zu treffen. Das Risikofrüherkennungssystem 40 als ein Instrument, welches die latenten, im Verborgenen bereits vorhandenen Gefahren so rechtzeitig erkennen soll, dass Reaktionen der Unternehmensleitung noch möglich sind, baut in wesentlichen Teilen auf den vorherigen Komponenten auf. Insbesondere mit dem Controlling besteht eine enge Beziehung, teilweise eine Wechselwirkung, denn die aufbereiteten Unterlagen des Controlling sind die eigentliche Basis des Risikofrüherkennungssystems Internes Kontrollsystem (IKS) Das Interne Kontrollsystem umfasst nach herrschender Meinung sowohl den Organisationsplan als auch sämtliche aufeinander abgestimmte Methoden und Maßnahmen in einem Unternehmen, die dazu dienen, das Vermögen des Unternehmens zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnungsdaten zu gewährleisten und die Einhaltung der vorgeschriebenen Geschäftspolitik zu unterstützen. Daraus lassen sich im Wesentlichen vier Aufgaben des Internen Kontrollsystems ableiten: 1 Sicherung und Schutz des vorhandenen Vermögens vor Verlusten aller Art, 2 Gewinnung genauer, aussagefähiger und zeitnaher Aufzeichnungen, 3 Förderung des betrieblichen Wirkungsgrades durch Auswertung der Aufzeichnungen, 4 Unterstützung bei der Verfolgung der festgelegten Geschäftspolitik. 40 Vgl. GdW Arbeitshilfe 76, Zukunftsfähigkeit von Wohnungsunternehmen, 2016, GdW (Hrsg.), Kapitel 3.3 und

41 Das Interne Kontrollsystem kann wie folgt strukturiert und zugeordnet werden: Komponenten des Internen Kontrollsystems Organisatorische Sicherungsmaßnahmen - Funktionstrennung - Vier-Augen-Prinzip - Anforderungsprofile - Arbeitsablaufbeschreibungen - Vergabe-/Zahlungsermächtigungen - Belege - Zugriffsrestriktionen für das IT-System Systemintegrierte Kontrollmechanismen - Plausibilitätskontrollen - Abstimmungskontrolle - Fehlerprotokolle Interne Revision - Prozessunabhängige Überwachung durch eine Stabsstelle - alle Unternehmensbereiche umfassende Prüfungsplanung Alle der im Folgenden beschriebenen Sicherungsmaßnahmen und Kontrollen stellen ebenso Maßnahmen zur Sicherstellung der Compliance dar. Zum einen gibt es die sogenannten organisatorischen Sicherungsmaßnahmen, zu denen Funktionstrennung, Vier-Augen-Prinzip, Stellenbeschreibungen zur Abgrenzung von Aufgaben und Anweisungen zur Abwicklung von Arbeitsabläufen gehören. - Funktionstrennung Zu den elementarsten Sicherungsmaßnahmen gehört die Funktionstrennung. Im Prozessablauf beinhaltet sie die Trennung zwischen der Aufgabenerfüllung und der Aufgabenüberprüfung, so z. B. sollte die Aufgabe der Stammdateneinrichtung von Kreditoren und die Auslösung und Überprüfung von Zahlungen nicht von der gleichen Person ausgeführt werden. Diese Funktionen sind strikt zu trennen. - Vier-Augen-Prinzip Das Vier-Augen-Prinzip gehört ebenso wie die Funktionstrennung zu den elementarsten Sicherungsmaßnahmen. Das Prinzip besagt, dass kein Mitarbeiter einen Arbeitsvorgang alleine bearbeitet und abschließt. Somit wird der Arbeitsvorgang vor Abschluss durch eine zweite Person überprüft. Das Vier-Augen-Prinzip kann in allen Unternehmensbereichen eingerichtet werden. Zu beachten ist dabei jedoch, dass die überprüfende Person über ausreichende Fachkenntnisse verfügen muss. - Anforderungsprofile Anforderungsprofile dienen dazu, die Aufgabengebiete klar zu definieren. Bei der Einstellung von neuen Mitarbeitern sollten die jeweiligen Fachkenntnissen und die Berufserfahrungen des Bewerbers den Anforderungen der festgelegten Profile entsprechen. 35

42 - Arbeitsablaufbeschreibungen Arbeitsablaufbeschreibungen dienen dazu, Arbeitsabläufe zu strukturieren und zu vereinheitlichen. Ebenso können gesetzliche Anforderungen in die Arbeitsablaufbeschreibungen aufgenommen werden, so dass ihre Umsetzung sichergestellt ist. - Vergabe-/Zahlungsermächtigungen Die Vergabe von Aufträgen gehört zu den Risikofeldern eines Wohnungsunternehmens. Daher sollten für diesen Bereich explizite Anweisungen erstellt werden, wer in welcher Höhe welche Aufträge auslösen kann. Ebenso sind die Grenzen festzulegen, wer in welcher Höhe Zahlungen anweisen kann. In der Regel sind Zahlungsträger (Überweisungsträger, elektronische Überweisungen) immer von zwei Personen zu unterzeichnen, wodurch das Vier-Augen-Prinzip umgesetzt wird. Ab einer festzulegenden Höhe sollten auch Auftragsvergaben durch zwei Personen unterzeichnet werden. - Belege Die Verwendung von Belegen, mit denen Geschäftsvorfälle in der im Beleg vorgegebenen Art und Weise dokumentiert werden, stellen ebenfalls organisatorische Sicherungsmaßnahmen dar, da sie eine Nachweis- und Dokumentationsfunktion haben. Keine Buchung ohne Beleg! - Zugriffsrestriktionen für das IT-System Eine weitere organisatorische Sicherungsmaßnahme stellt die Einrichtung eines Berechtigungskonzeptes dar. Jeder Mitarbeiter soll nur jene Daten in der IT abrufen können, die zur Erledigung seiner Aufgaben notwendig sind. Die Zugriffe unterteilen sich dabei in Lese-, Bearbeitungs- und Administrationsrechte. Für die eingesetzten IT-Systeme sind darüber hinaus spezielle Sicherungsmaßnahmen wie systemintegrierte Kontrollmechanismen vorgesehen. - Plausibilitätskontrollen Durch systemintegrierte Plausibilitätskontrollen etwa in Form von Fehlermeldungen kann verhindert werden, dass beispielsweise Buchungen auf nicht angelegten Konten erfolgen und nicht erkannt werden oder dass Belegnummern doppelt vergeben werden. - Abstimmungskontrollen Abstimmungskontrollen sorgen dafür, dass die Buchungen betragsmäßig in der richtigen Höhe erfolgen, z. B. durch Prüfsummen. - Fehlerprotokolle Bei der Verwendung unterschiedlicher Softwarekomponenten werden viele Daten über sogenannte Schnittstellen ausgetauscht. Dieser Datenaustausch wird von den Systemen regelmäßig mit Hilfe von Fehlerprotokollen dokumentiert. Soweit Fehler beim Datenaustausch erfolgt sind, werden diese im Protokoll aufgeführt, ansonsten erscheint eine Nullmeldung. Durch diese Kontrolle werden Dateninkonsistenzen verhindert. 36

43 Die dargestellten organisatorischen Sicherungsmaßnahmen und systemintegrierten Kontrollen entwickeln sich ständig weiter und passen sich damit der fortschreitenden Digitalisierung an. Davon betroffen sind insbesondere folgende Unternehmensprozesse: - Rechnungsdurchlauf von Eingangsrechnungen und deren Bearbeitung, - Durchführung von Instandhaltungsmaßnahmen (Einsatz von Handwerkerkoppelungen), - Vermietungsprozess (digitaler Abschluss von Mietverträgen, mobile Wohnungsabnahme). Beispielhaft wird dargestellt, wie sich der Prozess "Rechnungsdurchlauf von Eingangsrechnungen" im Unternehmen beim Einsatz digitaler Medien verändern würde: Prozessschritt Ablauf konventionell Rechnungserstellung Rechnung wird als Papierbeleg erstellt Postweg Posteingang Vorsortierung Eingang Rechnungswesen Erfassung Rechnungsdaten Rechnungsprüfung Buchung der Rechnung Zahlung Ablage der Rechnung Versand über den Postweg (Transportzeit 1-3 Tagen) Eingang in der Poststelle Vorsortierung der Rechnungen Übergabe ans Rechnungswesen Erfassung im Rechnungseingangsbuch Weiterleitung der Rechnungen an den Verursacher zur Prüfung Rücklauf ans Rechnungswesen und manuelle Buchung der Rechnungen Zusammenstellung und Freigabe der Zahlung Ablage der Rechnungen in Ordnern Ablauf digital Rechnung wird bereits digital erstellt (z. B. als pdf-datei) Versand per (keine Transportzeiten) entfällt entfällt Eingang im Postfach Erstellung eines digitalen Begleitzettels und Einbindung in den Workflow (automatische Weiterleitung je nach Kostenart und Rechnungshöhe) Prüfung und digitale Freigabe durch den Verursacher Rechnung im Workflow als geprüft gekennzeichnet, dann automatische Buchung digitale Freigabe der Zahlung im Workflow digitale Speicherung, keine Papierablage Durch den verstärkten Einsatz digitaler Verarbeitungsprozesse ändern sich auch die Kontrollen. Diese brauchen dann nicht mehr unbedingt in einer schriftlichen Arbeitsanweisung erläutert werden, sondern 37

44 sind bereits systemtechnisch integriert, so dass die Kontrollen vom System automatisch gesteuert und ggf. erzwungen werden. Diese systemimmanenten Mechanismen sind so zeigt es die Praxis immer wieder für die Vermögenssicherung allein nicht ausreichend. Hier kommt der internen Revision entscheidende Bedeutung bei. Unabdingbar ist, dass Personen mit der Überwachung beauftragt sind, die nicht in den eigentlichen Arbeitsablauf involviert sind. Nur so kann sichergestellt werden, dass eine objektive und unabhängige Überprüfung stattfindet. Interne Revision Im klassischen institutionellen Sinn ist interne Revision eine mit der Durchführung von Prüfungsaufgaben befasste Stelle oder Stellengesamtheit, die entweder unternehmensintern oder -extern besetzt sein kann. Einen Überblick über die Abgrenzung der Internen Revision zum Internen Kontrollsystem und zur Compliance gibt die nachfolgende Abbildung: Dabei wird deutlich, dass die Interne Revision ein Fehler aufdeckendes Kontrollinstrument darstellt, im Gegensatz zur Compliance, die Fehler präventiv verhindern soll. Soweit unternehmensintern z. B. aufgrund der Unternehmensgröße keine Innenrevision eingerichtet werden kann, ist es möglich, die Aufgaben externen Dritten zu übertragen. Dabei zu beachten ist die vertragliche Ausgestaltung (Umfang der Innenrevision, Berichtserstattung) und die Festlegung eines am besten mehrjährigen Revisionsplans. Da die Unternehmensleitung die Überwachungsmaßnahmen in der Regel nicht selbst wird durchführen können, muss sie sie zwangsläufig delegieren. Ob eine interne Revision notwendig ist und ob sie wenn erforderlich Betriebsangehörigen oder Dritten übertragen 38