Kitabı oku: «Compliance», sayfa 25
Anmerkungen
[1]
IDW PS 980 Tz. 6.
[2]
IDW PS 980, Tz. 5.
[3]
IDW PS 980 Tz. 1.
[4]
So geäußert von Rieder/Jerg CCZ 2010, 206.
[5]
Vgl. Withus/Hein CCZ 2011, 130.
[6]
Stellvertretend für viele: Hülsberg/Münzenberg Audit Committee Quartely II/2012, 16 ff.; Schaefer/Baumann NJW 2011, 3601 ff.
[7]
Als solche definiert der Standard Rahmenkonzepte, die von einem autorisierten oder anerkannten Standardsetzer im Rahmen eines transparenten Verfahrens (einschl. Veröffentlichung eines Entwurfs und Einholung von Stellungnahmen) entwickelt und verabschiedet wurden; IDW PS 980 Tz. 9, A6.
[8]
Eine Übersicht über die allgemein anerkannten Rahmenwerke ist dem Standard als Anlage beigefügt; die Anlage nennt auch die Standardsetzer und enthält die Quellennachweise.
[9]
Vgl. auch Schefold ZRFC 2011, 222, der von einer Extraktion aus den Rahmenwerken spricht.
[10]
IDW PS 980 Tz. 10, 23.
[11]
IDW PS 980 Tz. 14-20.
[12]
S. Rn. 108.
[13]
Vgl. von Busekist/Hein CCZ 2012, 45.
[14]
IDW PS 980 nennt in Tz. A3 diese und weitere Beispiele.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › III. Wer – potenzielle Prüfer
III. Wer – potenzielle Prüfer
110
Es besteht i.d.R. keine Verpflichtung für Unternehmen, ihr CMS (extern) prüfen zu lassen, sodass die Prüfung auch unternehmensintern durchgeführt werden kann.[1] Sofern die Entscheidung für eine externe Prüfung fällt, kommen regelmäßig verschiedene Berufsgruppen und Unternehmen in Betracht; hierzu zählen insbesondere Wirtschaftsprüfer und Rechtsanwälte, aber auch sonstige Personen mit Sachverstand im Bereich von CMS.[2] Auch ist eine Prüfung – intern wie extern – nicht zwingend nach einem bestimmten Standard durchzuführen, wobei in diesem Kapitel ausschließlich eine Prüfung nach IDW PS 980 betrachtet wird. Sofern der Standard nicht allein deswegen zur Anwendung kommt, weil die Prüfung von einem IDW-Mitglied durchgeführt wird, so sollte er doch in seinen Grundzügen auch von anderen sachverständigen Prüfern angewendet werden, da er sich von den sonstigen Prüfungskonzepten durch seinen hohen Standard erheblich unterscheidet.[3] Am Markt sind auch Prüfungsangebote zu finden, die überwiegend oder ausschließlich auf einer Selbstbeurteilung („Self Assessment“) der Unternehmen beruhen; dies erreicht i.d.R. nicht die Qualität einer Prüfung nach IDW PS 980.
111
Unter Beachtung des vorstehend Gesagten ist der Kreis der potenziellen Prüfer weit zu ziehen:
– | Interne Prüfungen eines CMS werden üblicherweise durch die Innenrevision vorgenommen, wobei die Arbeitsgruppe 2 des Forum Compliance & Integrity des Anwenderrats für Wertemanagement die Innenrevision als neutrale Stelle gleichwertig mit externen Prüfern wie Wirtschaftsprüfern und Rechtsanwälten sieht[4] und als Vorteil der Innenrevision anführt, dass diese mit den Prozessen und der Kultur des Unternehmens vertraut sei und daher wertvollere Erkenntnisse und Ergebnisse bringen könne als ein externer Berater bzw. Prüfer.[5] An eine Prüfung des CMS durch die Innenrevision in Anwendung der Grundzüge des Standards sind hinsichtlich Unabhängigkeit und fachlicher Qualifikation die Anforderungen des Institute of Internal Auditors in den Standards IIA 1100 ff. und IIA 1200 ff.[6] zu beachten. |
– | Externe Prüfungen können durch Wirtschaftsprüfer oder andere Dritte vorgenommen werden, die den erforderlichen Sachverstand mitbringen bzw. multidisziplinäre Teams zusammenstellen können, um den notwendigen juristischen Sachverstand zur Beurteilung der Abdeckung relevanter Gesetze sowie den betriebswirtschaftlichen Sachverstand in Hinsicht auf Prozessabläufe und Organisationsstrukturen abzudecken.[7] Der Standard verlangt bereits bei der Auftragsannahme die Prüfung, ob die notwendigen Fach- und Branchenkenntnisse sowie Erfahrungen mit den einschlägigen rechtlichen Anforderungen vorhanden sind.[8] Der Standard sieht vor, dass zur Abdeckung besonderer Anforderungen (z.B. bei IT-gestützten Bestandteilen des CMS) und insbesondere für die durch die Prüfung abzudeckenden Rechtsgebiete Spezialisten hinzuzuziehen sind.[9] Insofern wird die Prüfung im Regelfall durch multidisziplinäre Teams von Wirtschaftsprüfern und Rechtsanwälten, fallweise ergänzt durch weitere Spezialisten, durchgeführt werden.[10] Der zwischenzeitlich von einigen Rechtsanwälten unternommene Versuch, im Rahmen von Fachartikeln Lobbyarbeit zu betreiben und ausschließlich Rechtsanwälten die Kompetenz zur Prüfung eines CMS zuzuweisen,[11] ist von der Unternehmenspraxis wie von der Literatur[12] inzwischen als durchscheinend und untauglich zurückgewiesen worden. Auch die Frage, ob der Abschlussprüfer eines Unternehmens auch dessen CMS nach dem Standard prüfen darf, kann unter Beachtung der gesetzlich und berufsrechtlich anzulegenden Unabhängigkeitsregeln bejaht werden.[13] |
Anmerkungen
[1]
Der Banken-, Versicherungs- und Wertpapiersektor wird hier nicht betrachtet. Daneben gibt es einige Branchenstandards wie das „Pflichtenheft zum Compliance Management in der Immobilienwirtschaft“ des Initiativkreises Corporate Governance in der deutschen Immobilienwirtschaft e.V., die eine externe Auditierung des CMS vorsehen; abrufbar unter www.immo-initiative.de/zertifizierung/pflichtenheft/.
[2]
Vgl. Forum Compliance & Integrity Thesenpapier/Whitepaper „Prüfung von Compliance-Management-Systemen”, Stand: Dezember 2012, abrufbar unter www.dnwe.de/261.html.
[3]
Vgl. Withus/Hein CCZ 2011, 132. Auszunehmen sind die Hinweise des Standards auf den Berufsstand des Wirtschaftsprüfers und die daran geknüpften direkten Berufspflichten.
[4]
Vgl. Forum Compliance & Integrity S. 6 f.
[5]
Vgl. Forum Compliance & Integrity S. 7.
[6]
Abrufbar unter https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx.
[7]
Vgl. Withus/Hein CCZ 2011, 131 f.
[8]
IDW PS 980 Tz. 25 f.
[9]
IDW PS 980 Tz. 25, 26, 32, 49, A38.
[10]
Vgl. Böttcher NZG 2011, 1054; Gelhausen/Wermelt CCZ 2010, 211; Görtz BB 2012, 182.
[11]
Vgl. Rieder/Jerg CCZ 2010, 204 f.
[12]
Stellvertretend für viele und bes. deutlich: Schemmel/Minkoff CCZ 2012, 51.
[13]
Anders: Rieder/Jerg CCZ 2010, 204 f., die dies mit einer „Selbstprüfung“ begründen. Diese liegt aber nur dann vor, wenn der Abschlussprüfer an der Erstellung des CMS mitgewirkt hätte und nicht durch die „Doppel“-Prüfung des CMS in seiner Funktion als Abschlussprüfer und Prüfer des CMS mit separater Beauftragung.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › IV. Wie – Ziel und Vorgehen bei der Prüfung
IV. Wie – Ziel und Vorgehen bei der Prüfung
112
In diesem Abschnitt soll dargestellt werden, welche Formen der Beauftragung eines CMS-Prüfers aus dem Standard abzuleiten sind. Dieser geht in seiner konzeptionellen Ausrichtung davon aus, dass das beauftragende Unternehmen eine Aussage über die tatsächliche Wirksamkeit des CMS einholt. In diesem Fall spricht der Standard hier auch von der „umfassenden Prüfung“[1]. Allerdings wird ebenso explizit darauf hingewiesen, dass auf dem Weg zur umfassenden Wirksamkeitsprüfung der Prozess der Entwicklung und Einführung eines CMS durch den CMS-Prüfer prüferisch begleitet werden kann. Als Zwischenstufen werden dabei die Konzeptionsprüfung sowie die Angemessenheitsprüfung benannt.[2] Beide unterscheiden sich materiell von der Wirksamkeitsprüfung.
1. Konzeptionsprüfung
113
Bei der Konzeptionsprüfung trifft der CMS-Prüfer lediglich eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen zur Konzeption des CMS angemessen dargestellt sind. Sie ist damit alleiniger Prüfungsgegenstand. Die Prüfung ist im Wesentlichen darauf gerichtet, ob alle im Standard definierten Grundelemente mit Maßnahmen und Prozessen ausgestaltet und beschrieben sind. Neben der reinen Vollständigkeit ist die Konzeption darüber hinaus noch daraufhin zu beurteilen, ob sie in der dargelegten Form für das Unternehmen zutrifft. Die Abgrenzung zur hier ebenfalls beschriebenen Angemessenheitsprüfung kann im Zweifelsfall schwierig sein.
114
Bei der Bestimmung von Art und Umfang der Prüfungshandlungen sind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Als Prüfungshandlungen kommen daher insbesondere Befragungen (z.B. der gesetzlichen Vertreter) und die Durchsicht von Organisationsunterlagen (z.B. Protokolle, Berichte der internen Revision, Handbücher) in Betracht.[3]
115
Keinesfalls ist in der Konzeptionsprüfung jedoch zu verifizieren, ob die eingerichteten Prozesse und Maßnahmen überhaupt geeignet sind, die Compliance-Risiken angemessen zu adressieren. Die Prüfungsaussage als solche ist hier demnach sehr eingeschränkt und dürfte in aller Regel nur als Vorstufe zu einer sich anschließenden Angemessenheits- oder Wirksamkeitsprüfung gesehen werden.
116
Das IDW hat in den Entwürfen zu den Prüfungsstandards 981, 982 und 983, die sich mit der Prüfung von Risikomanagementsystemen, Internen Kontrollsystemen sowie dem System der Internen Revision beschäftigen, auf die Durchführung einer Konzeptionsprüfung verzichtet. Da sich auch diese Standards also mit der Prüfung von Management Systemen der Corporate Governance beschäftigen ist davon auszugehen, dass das IDW bewusst auf die Konzeptionsprüfung verzichtet. Dies deckt sich mit Erfahrungen aus der Praxis, in der diese Form der Prüfung wenig Relevanz und Anklang gefunden hat. Problematisch war insbesondere die Abgrenzung zur Angemessenheitsprüfung, was regelmäßig zu Missverständnissen auf der Seite der Empfänger führte. Für die Zukunft ist also davon auszugehen, dass in einer Überarbeitung des PS 980 ebenfalls die Konzeptionsprüfung als Prüfungsvariante entfallen wird.
2. Angemessenheitsprüfung
117
Die Prüfung der Angemessenheit des CMS schließt sich inhaltlich an die zuvor vorgenommene Würdigung der Konzeption an. In diesem Schritt werden allerdings die eingerichteten Prozesse und Maßnahmen noch daraufhin untersucht, ob sie bei tatsächlicher Befolgung geeignet sind, die mit dem CMS verfolgten Ziele zu erreichen, d.h. Regelverstöße zu verhindern oder zeitnah aufzudecken und zu sanktionieren. Dabei definiert der Prüfungsstandard die Angemessenheitsprüfung als Prüfung sowohl der Angemessenheit als auch der Implementierung. Daraus folgt, dass neben der grundsätzlichen Eignung der Prozesse und Maßnahmen zur Erreichung der Compliance Ziele auch untersucht werden muss, ob diese auch zum Prüfungsstichtag implementiert, d.h. eingerichtet waren.
118
Die Angemessenheitsprüfung ist mit der sog. „Design Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach dem PCAOB Auditing Standard 5 untersucht wird: “The auditor should test the design effectiveness of controls by determining whether the company's controls, if they are operated as prescribed by persons possessing the necessary authority and competence to perform the control effectively, satisfy the company's control objectives and can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements.“[4]
119
Der CMS-Prüfer muss also auch sicherstellen, dass die in der CMS-Beschreibung dokumentierten Prozesse und Maßnahmen tatsächlich auch vorgefunden werden. Dem Aspekt der Implementierung kommt insbesondere bei Konzernprüfungen eine große Bedeutung zu, da es hier folglich nicht ausreichend sein kann, die Maßnahmen lediglich auf Konzernebene zu beurteilen ohne sicherzustellen, dass die beschriebenen Kontrollen auch bei den einbezogenen Tochtergesellschaften in der Praxis umgesetzt worden sind. Dazu ist es geboten, die Prüfungshandlungen schwerpunktmäßig dezentral, d.h. vor Ort (z.B. im betroffenen Unternehmensteil bzw. im Rahmen einer Konzernprüfung bei der betroffenen Tochtergesellschaft) vorzunehmen. Nur dadurch kann wirklich eine Aussage getroffen werden, ob die in der CMS-Beschreibung enthaltenen Maßnahmen auch tatsächlich so durchgeführt werden.[5]
120
In Analogie zum IDW Prüfungsstandard 261 umfasst die Angemessenheitsprüfung deshalb u.a. auch die Befragungen von Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen. Weiterhin kann sich der Prüfer mittels Durchsicht von Dokumenten, z.B. Organisationshandbüchern, Arbeitsplatzbeschreibungen und Ablaufdiagrammen einen Überblick über die Prozesse und Maßnahmen verschaffen. Die Beobachtung von Aktivitäten und Arbeitsabläufen im Unternehmen, einschließlich der IT-gestützten Verfahren kann darüber hinaus wertvolle Beweise für die Implementierung geben.[6]
121
Sollte der CMS-Prüfer zum Ergebnis kommen, dass das eingerichtete CMS nicht angemessen ausgestaltet bzw. implementiert ist, so ist eine anschließende Prüfung der Wirksamkeit nicht zweckmäßig, da auch bei effektiver Umsetzung von nicht angemessenen Prozessen und Maßnahmen keine Wirksamkeit gegeben sein kann. Diese Feststellungen aus der Angemessenheitsprüfung sind daher zunächst zu adressieren und durch das Unternehmen zu beseitigen, bevor der nächste Prüfungsschritt begonnen werden kann. Dem wird in der Praxis häufig dadurch begegnet, dass der designierte CMS-Prüfer bereits in die Konzeptions- und Implementierungsphase involviert wird und eine projektbegleitende Prüfung durchführt. Die Grenzen der vom designierten CMS-Prüfer gegebenen Hinweise werden durch das Selbstprüfungsverbot gesetzt.[7]
3. Wirksamkeitsprüfung
122
Die Prüfung der Konzeption sowie der Angemessenheit beinhalten keine Aussage zur tatsächlichen Wirksamkeit des CMS und sind in erster Linie als Vorstufe an die Unternehmensorgane gerichtet, die an einer unabhängigen Beurteilung des Entwicklungsstands des CMS interessiert sind.[8] Eine Wirksamkeit ist erst dann gegeben, wenn durch entsprechende Prüfungshandlungen – in der Regel auf Stichprobenbasis – sichergestellt wurde, dass die eingerichteten angemessenen Prozesse und Maßnahmen auch tatsächlich befolgt und umgesetzt werden.
123
Die Wirksamkeitsprüfung ist mit der sog. „Operating Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach PCAOB Auditing Standard 5 untersucht wird: “The auditor should test the operating effectiveness of a control by determining whether the control is operating as designed and whether the person performing the control possesses the necessary authority and competence to perform the control effectively.“[9] Sie schließt daher inhaltlich immer die Prüfung der Konzeption und Angemessenheit ein.
124
Ebenfalls in Analogie zum IDW Prüfungsstandard 261 n.F. umfasst die Wirksamkeitsprüfung deshalb die Befragung von Mitarbeitern, die Durchsicht von Nachweisen über die Durchführung der Maßnahmen, Beobachtung der Durchführung von Maßnahmen, Nachvollzug von Kontrollaktivitäten, Auswertung von Ablaufdiagrammen, Checklisten und Fragebögen, Einsichtnahme in die Berichte der Internen Revision sowie IT-gestützte Prüfungshandlungen.[10]
125
Welche der hier dargestellten Prüfungshandlungen sich für die einzelnen Maßnahmen und Prozesse eignet, hängt von einer Vielzahl von Faktoren ab. Insbesondere sollte sich der Prüfer die Komplexität der Kontrollhandlung sowie die Folgen des Kontrollversagens vor Augen führen. Bei anspruchsvollen Kontrollen wäre z.B. wahrscheinlich ein Nachvollzug (d.h. eine eigene Wiederholung der Prüfungshandlung) angemessen. Bei einfachen Aktivitäten kann die bloße Einsichtnahme in die dokumentierte Kontrolle ausreichend sein. Mittels dieser Prüfungshandlungen kann durch den CMS-Prüfer festgestellt werden, ob die als angemessen eingeschätzten Maßnahmen und Prozesse auch so umgesetzt, d.h. im Unternehmen gelebt, werden. Wie im Rahmen einer risikoorientierten und effizienten Prüfung üblich, kann eine solche Prüfung der Prozesse und Maßnahmen in den meisten Fällen nur stichprobenartig erfolgen. Dabei sind insbesondere der Stichprobenumfang sowie die zeitliche Streuung der Stichprobenelemente zu bestimmen.
126
Während einzelne Aussagen in der Compliance Beschreibung aussageorientiert prüfbar sind (z.B. das Vorliegen eines Code of Conduct), entziehen sich andere dargestellte Maßnahmen und Prozesse hingegen aufgrund ihrer hohen Transaktionszahl einer solchen vollständigen Überprüfung (z.B. Vier-Augen-Prinzip oder das Einhalten von Unterschriftenregelungen). Hier stellt sich die Frage, nach welcher Vorgabe eine Stichprobenauswahl zu erfolgen hat. Der CMS-Prüfer wird den Stichprobenumfang so festlegen, dass er auf Basis der ausgewählten Elemente eine hinreichende Sicherheit bzgl. der Aussage über die Wirksamkeit der Einzelmaßnahme treffen kann. Auf Basis anerkannter internationaler Prüfungsgrundsätze (vgl. International Standard on Auditing ISA 530) hängt der Stichprobenumfang im Wesentlichen davon ab, wie häufig eine entsprechende Kontrolle durchgeführt wird, wie hoch die Wahrscheinlichkeit des Kontrollversagens und wie materiell das hierdurch adressierte Risiko ist.
127
Die Wirksamkeitsprüfung ist immer zeitraumbezogen, d.h. der CMS-Prüfer stellt sicher und bescheinigt, dass die Maßnahmen und Prozesse innerhalb eines fest definierten Zeitraums wirksam waren. Als Folge dessen sind die ausgewählten Stichprobenelemente so zu wählen, dass sie eine verlässliche Aussage über den gesamten Prüfungszeitraum zulassen. Im Falle von Einsichtnahmen in Unterlagen kann dies auch zum Ende des Prüfungszeitraums durch eine entsprechende Auswahl von Sachverhalten und Transaktionen aus Vormonaten erfolgen. Bei Interviews und Beobachtungen sind jedoch Prüfungshandlungen aufgrund der Natur der Prüfungshandlung auch schon innerhalb des zu prüfenden Zeitraums unerlässlich.
128
Grundsätzlich gilt, dass sich der CMS-Prüfer bei der Entscheidung über Art und Umfang der Prüfungshandlungen an den allgemeinen berufsrechtlichen Anforderungen orientiert, die zum Teil durch Kriterien im Prüfungsstandard konkretisiert werden. Keinesfalls kann es als Aufgabe von IDW PS 980 verstanden werden, eine vollumfängliche Beschreibung der Prüfungshandlungen zu liefern. Vielmehr setzt er einen Rahmen, innerhalb dessen der CMS-Prüfer ein der Unternehmensgröße, der Branche, der inneren Struktur, der geographischen Tätigkeit sowie der Aufbau- und Ablauforganisation sowie dem Teilbereich angemessenes Prüfprogramm individuell entwickelt.[11]
129
Der Prüfungsstandard richtet sich an Wirtschaftsprüfer und ist somit immer im Kontext mit den bereits existierenden allgemeinen Grundsätzen der Prüfung zu sehen. Konkretisierende Prüfungshandlungen und Grundsätze finden sich somit in den deutschen Prüfungsstandards des Instituts der Wirtschaftsprüfer sowie in den internationalen Prüfungsstandards. Hierin finden sich anerkannte Prüfungstechniken und -methoden, die eine ausreichende theoretische und praktische Fundierung der Prüfung sicherstellen.[12]