Kitabı oku: «Compliance», sayfa 27
2. Herstellen der operativen Prüfbereitschaft
142
Der IDW PS 980 zielt in seiner Darstellung vorrangig auf die Durchführung einer Wirksamkeitsprüfung ab (vgl. Rn. 112 ff. zu den unterschiedlichen Prüfungsarten). Allerdings war bei der Abfassung des Prüfungsstandards aufgrund der hier erstmals vorgenommenen Systematisierung und Definition der Grundelemente und Inhalte berücksichtigt worden, dass die Herstellung der Prüfbereitschaft im Bezug auf die Wirksamkeitsprüfung ggf. über einen vorgelagerten Prozess zu erfolgen hat. Der Standard selber führt dazu aus: „Um den Prozess der Entwicklung und Einführung eines CMS prüferisch zu begleiten, ist es zulässig, Prüfungsleistungen zu erbringen, die sich nur auf die Konzeption des CMS (Konzeptionsprüfung) oder nur auf die Angemessenheit und Implementierung des CMS beziehen (Angemessenheitsprüfung).“ Damit soll sichergestellt werden, dass nicht eine Entwicklung und Einführung eines CMS erfolgt, das entweder nicht den Anforderungen an das Konzept genügt (vollständige Adressierung aller Grundelemente) bzw. nicht angemessen ist, die identifizierten Compliance-Ziele zu erreichen. Eine Wirksamkeitsprüfung der Prozesse und Maßnahmen eines solchen CMS wäre zwecklos.
143
In der Praxis hat sich aber darüber hinaus eine weitere Vorstufe der Prüfung bewährt (häufig je nach Intensivität und Umfang als „Quick Scan“ oder „Readiness Check“ bezeichnet), in der die aktuelle Ausgestaltung des CMS mit sich aus dem Prüfungsstandard ergebenden sowie in der Praxis herausgebildeten Mindestanforderungen verglichen wird. Mit dieser ersten Gegenüberstellung ist sichergestellt, dass wesentliche konzeptionelle Lücken und Fehler noch vor Beginn einer eigentlichen CMS-Prüfung erkannt und somit adressiert werden können.
144
Unternehmen müssen sich darauf einstellen, dass es im Laufe der Prüfung, auch in Abhängigkeit vom gewählten Umfang und Art der Prüfung, zu einer teilweise erheblichen Belastung der einbezogenen Unternehmensbereiche kommen kann. Der Vorbereitung der Prüfung auch im organisatorischen Sinne kommt daher eine große Bedeutung zu. Durch eine planvolle und ausgiebige Vorbereitung kann dieser Aufwand jedoch merklich minimiert werden, in dem z.B. bestimmte Dokumentationen und Nachweise bereits im Vorfeld zusammengestellt und dem Prüfer zu Beginn übergeben werden. Dies erfolgt am besten in enger Abstimmung mit dem CMS-Prüfer und bietet sich als eines der Ergebnisse aus der Durchführung eines Readiness Checks an.
3. Festlegung des Prüfungsumfangs
145
Der Prüfungsstandard ist bewusst auch mit einer hohen Flexibilität hinsichtlich der Durchführung einer Prüfung ausgestaltet. Damit sollte z.B. den unterschiedlichen Unternehmensgrößen und Branchen Rechnung getragen werden. Weiterhin stellt das CMS als solches jedoch ein komplexes System dar, das für eine Prüfung bewusst in sachlicher und zeitlicher Hinsicht beschränkt werden kann. Im Rahmen der Prüfungsvorbereitung muss sich die Unternehmensleitung daher insbesondere mit den folgenden Fragen beschäftigen:
– | Welche Teilbereiche sollen geprüft werden? |
– | Welche zeitlichen Rahmenbedingungen werden gesetzt? |
– | Welche Tochtergesellschaften sollen einbezogen werden? |
146
Das Compliance Management eines Unternehmens sollte grundsätzlich immer darauf ausgerichtet sein, rechtliche Verstöße für alle Rechtsgebiete zu verhindern, aufzudecken und zu sanktionieren. Durch die große Vielfalt an für Unternehmen relevanten Rechtsgebieten ist es, auch im Sinne einer Wesentlichkeitsbetrachtung, jedoch nicht möglich oder zielführend, das CMS mit der gleichen Intensität für sämtliche Bereiche einzurichten. Insofern bietet der Standard die Möglichkeit auch einer Fokussierung der Prüfung, die sich auf Geschäftsbereiche, Unternehmensprozesse oder auf bestimmte Rechtsgebiete (sog. Teilbereiche) beziehen kann.[4] Die Prüfung kann somit z.B. auf den Teilbereich Kartellrecht beschränkt werden und umfasst dann nur Prüfungshandlungen, die sich auf Maßnahmen und Prozesse beziehen, die hierfür relevant sind. Dabei kann es für Unternehmen sinnvoll sein, sich zunächst auf nur wenige Teilbereiche zu beschränken und im Sinne eines Rotationsplans weitere Teilbereiche zu einem späteren Zeitpunkt zu ergänzen. Es ist auch möglich, Compliance-Bereiche außerhalb eines CMS anzusiedeln, z.B. in der Personal- oder Rechtsabteilung. Da in diesen Fällen nicht alle Grundelemente vorliegen, ist eine Prüfung nach dem IDW PS 980 nicht sinnvoll.
147
Eine wesentliche weitere Dimension ist die Festlegung des Prüfungsstichtags sowie des Wirksamkeitszeitraums. Die Prüfung der Angemessenheit und Implementierung geht immer der Frage nach, ob „die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert waren“. Demgegenüber bezieht sich die Wirksamkeitsprüfung immer auf einen Zeitraum, für den es zu überprüfen gilt, ob diese „während eines bestimmten Zeitraums wirksam waren“[5]. Der Wirksamkeitszeitraum wird dabei im Prüfungsstandard nicht fest definiert sondern es wird lediglich ausgeführt, dass die Beurteilung der Kontinuität der Beachtung der Grundsätze und Maßnahmen einen angemessenen Zeitpunkt, z.B. ein Geschäftsjahr abdecken soll.
148
In der Praxis haben sich Zeiträume von mindestens sechs Monaten herauskristallisiert. Es erscheint fraglich, ob ein Unterschreiten der sechs Monate noch eine sinnvolle Aussage über die Wirksamkeit des CMS möglich macht, zumal davon ausgegangen werden muss, dass bestimmte Maßnahmen innerhalb eines sehr kurzen Zeitraums ggf. nicht zum Einsatz kamen, so dass eine Implementierungs- und Wirksamkeitsprüfung hier nicht vorgenommen werden kann. Der Festlegung der zeitlichen Dimension kommt daher eine großen Bedeutung zu und sollte so erfolgen, dass das Unternehmen sich im Vorfeld ausreichend Zeit einräumt, so dass eventuelle Lücken und Schwächen im CMS unbedingt noch vor Prüfungsbeginn (z.B. im Rahmen eines weiter oben dargestellten „Readiness Checks“) abgestellt werden können.
149
Eine weitere Beschränkung der Prüfung erfolgt bei Konzernen durch die eventuelle Abgrenzung der einzubeziehenden nationalen und internationalen Tochtergesellschaften. Grundsätzlich muss davon ausgegangen werden, dass ein Verstoß gegen geltendes Recht innerhalb der ausgewählten rechtlichen Teilbereiche bei einer ausländischen Tochter immer auch dem deutschen Konzern zugerechnet wird. Dennoch kann es aus verschiedenen Gründen (z.B. abweichendes CMS in bestimmten geographischen Regionen) sinnvoll sein, den Geltungsbereich für eine Prüfung auf Teile des Konzerns zu beschränken. Darüber hinaus ist in der Praxis zu beobachten, dass Beteiligungen aus dem Prüfungsumfang herausgenommen werden, bei denen das Unternehmen keinen herrschenden Einfluss ausüben kann (z.B. Joint Ventures). Bei diesen Gesellschaften ist es aufgrund der Mehrheitsverhältnisse oftmals nicht möglich, sämtliche Grundsätze und Maßnahmen des CMS durchzusetzen, wodurch eine vollständige Implementierung und demnach auch die Wirksamkeit nicht sichergestellt werden können.
150
Alle drei hier dargestellten, im Vorfeld der Prüfung zu definierenden, Einschränkungen des Prüfungsumfangs finden sich letztlich in der Bescheinigung des CMS-Prüfers wieder, der in seiner Aussage über das CMS explizit Bezug auf die hier vorgenommene Eingrenzung Bezug nehmen wird. Eine solche eindeutige Bezugnahme ist von elementarer Bedeutung, um eine potentielle Erwartungslücke auf Seiten der Adressaten zu vermeiden.
Anmerkungen
[1]
Vgl. IDW PS 980 Tz. 13.
[2]
Vgl. IDW PS 980 Tz. 11 ff.
[3]
Vgl. IDW PS 980 Tz. A8.
[4]
Vgl. IDW PS 980 Tz. 6.
[5]
Vgl. IDW PS 980 Tz. 14.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › VIII. Die Prüfung der Grundelemente eines CMS
VIII. Die Prüfung der Grundelemente eines CMS
1. Compliance-Kultur
1.1 Definition
151
Der Standard misst der Compliance-Kultur eine zentrale Bedeutung für die Angemessenheit und Wirksamkeit eines CMS zu. Sie wird durch die Grundeinstellungen und den Wertekanon des Managements und des Aufsichtsorgans geprägt und setzt deren klare Bekenntnis zu gesetzes- und regelkonformen Verhalten („Bekenntnispflicht“)[1] und ein Vorleben der Werte durch diese voraus („tone at the top“). Die Compliance-Kultur ist entscheidend für die Bedeutung, die Mitarbeiter und auch Unternehmensfremde dem gesetzes- und regelkonformen Verhalten zumessen und für Ihre Bereitschaft, Gesetze und Richtlinien auch selbst einzuhalten.[2] Zu den wesentlichen Merkmalen einer (guten) Compliance-Kultur zählen neben der Bekenntnis und dem Vorleben durch Management und Aufsichtsorgan die Berücksichtigung von gesetzes- und regelkonformem Verhalten bzw. von Verstößen von Mitarbeitern bei der Einstellung, Beförderung und Vergütung sowie die Sanktionierung von Verstößen ohne Ansehen der Person und ihrer hierarchischen Stellung im Unternehmen.[3]
1.2 Prüfung
152
Die Compliance-Kultur ist ein „weiches“ Grundelement eines CMS und ist schwer messbar. Dennoch ist eine Prüfung der wesentlichen Merkmale und ihrer Wirksamkeit möglich.
153
Ein erster Prüfungsschritt ist Durchsicht von zentralen Rahmenwerken/Richtlinien auf Existenz und Relevanz für den geprüften CMS-Teilbereich. Insbesondere einem Code of Conduct wird regelmäßig eine zentrale Bedeutung für die Kommunikation der Geschäftsleitung zu ihrem Verständnisses und ihrer Selbstverpflichtung zu gesetzes- und regelkonformem Verhalten zukommen. Der Prüfer wird regelmäßig beurteilen, ob die zentralen Rahmenwerke/Richtlinien diese Botschaft klar und eindeutig enthalten und (in Verzahnung mit der Prüfung des Grundelements Compliane-Kommunikation) auch breit und nachhaltig an die Mitarbeiter sowie ggfs. Externe Dritte wie Kunden und Lieferanten transportieren. Ebenso ist zu prüfen, ob das Aufsichtsorgan des Unternehmens das CMS im Rahmen seiner Überwachungspflichten überprüft und diese Überprüfung auch kommuniziert.
154
Des Weiteren wird der Prüfer das Management (Top-Management und die Leitung des geprüften Teilbereichs) sowie andere zentrale Personen in Querschnittsfunktionen (z.B. Leitung Rechtsabteilung, Einkauf, Vertrieb, Interne Revision, Risikomanagement, Unternehmenssicherheit, IT, Unternehmenskommunikation) zu ihrer Einstellung zur Compliance sowie zur von ihnen wahrgenommenen Einstellung ihrer Vorgesetzten, Kollegen und Mitarbeiter befragen (360o-Sicht).
155
Ein weiterer Prüfungsschritt ist die Durchsicht von Protokollen und Sitzungsberichten der Geschäftsleitung und des Aufsichtsorgans sowie – wenn vorhanden – eines Compliance Committees oder ähnlichen Gremiums auf Anhaltspunkte für Nicht-Übereinstimmung mit der beschriebenen bzw. eingeforderten Compliance-Kultur. Auch sind Berichte der Internen Revision auf Anhaltspunkte durchzusehen, ob tatsächlich eine andere Compliance-Kultur „gelebt“ wird.
156
Schließlich wird der Prüfer nachvollziehen, ob die Verankerung der Compliance-Kultur in den Anreizsystemen (Scorecards/Zielvereinbarungen, Bonussysteme) erfolgt ist, bei der Beförderung regelmäßig auf Compliance-Verstöße geprüft und diese in die Entscheidung einbezogen werden, ob bei externen Einstellungen in durch das CMS festgelegten Kernpositionen (z.B. Management, zentrale Einkaufs- und Vertriebspositionen) auf Compliance-Verstöße in vorherigen Positionen geprüft wurde (insb. durch das Einholen von Referenzen) und ob ein transparentes und stringentes Sanktionsverfahren eingerichtet ist, was sowohl Systemverbesserungen als auch personenbezogene Maßnahmen beinhaltet und ob diese personen- und hierarchieunabhängig gestaltet sind. Die hier dargestellten Prüfungshandlungen umfassen bei der Wirksamkeitsprüfung auch Stichproben (etwa die Einsicht in abgeschlossene Zielvereinbarungen, die Einsicht in entsprechende Unterlagen von Bewerbern und das Nachvollziehen von dokumentierten Compliance-Fällen auf Einhaltung der Sanktionsverfahren).
157
Sofern das Unternehmen eine Messung seiner Compliance-Kultur durchführt (durch Mitarbeiterbefragung), ist diese ebenfalls Prüfungsgegenstand. Sofern z.B. in einem sog. Readiness Check für eine CMS-Prüfung Zweifel an einer „guten“ Compliance-Kultur bestehen, kann der Prüfer eine entsprechende Messung anregen. Hierzu stehen Instrumentarien wie das „Integrity Thermometer“[4] oder der „Kultur-Kompass“[5] zur Verfügung. Eine solche Messung kann bei regelmäßiger Durchführung auch die Entwicklung der Kultur durch spezifische Maßnahmen transparent machen. Dabei werden zumeist die Betrachtungsfelder „Nachhaltigkeit“ sowie „Leitbild und Vision“ mit berücksichtigt, um zu ermitteln, mit welcher Ernsthaftigkeit die Compliance-Kultur im Unternehmen gelebt wird.[6] Einige Unternehmen sind zudem dazu übergegangen, die Compliance-Kultur durch „Mystery Customer/Supplier“ testen zu lassen.[7]
2. Compliance-Risiken
2.1 Definition
158
Die Feststellung und Beurteilung von Compliance-Risiken stellt die Grundlage für die Entwicklung eines angemessenen Compliance-Programms[8] und nach überwiegender Meinung des gesamten CMS dar; ohne eine sorgfältige Risikoanalyse lässt sich weder einschätzen, ob eine Compliance-Maßnahme erforderlich ist noch wie sie auszugestalten ist, um der Aufsichtspflicht nach § 130 OWiG nachzukommen.[9] Goette vertritt die Auffassung, dass selbst ein uneingeschränktes Prüfungsurteil vor Gericht nichts hilft, wenn die Risikoanalyse, die das Unternehmen selbst vorzunehmen hat und auf der die Prüfung des CMS basiert, nicht stimmt.[10]
159
Als Compliance-Risiken sind mögliche Ereignisse zu beschreiben, die die Erreichung der festgelegten Compliance-Ziele gefährden könnten. Die entsprechende Risikoanalyse („Risk Assessment“)umfasst[11]
– | Prozesse zur Risikoidentifizierung (Interviews, Fragebögen, Workshops, Auswertung verfügbarer Informationen im eigenen Unternehmen – „Unternehmenshistorie“ – sowie aus der Branche/anderen Unternehmen),[12] |
– | Methoden zur Einschätzung der Eintrittswahrscheinlichkeit,[13] |
– | Methoden zur Bewertung möglicher Folgen (Schadenshöhe),[14] |
– | Entscheidungen der Geschäftsleitung zum Umgang mit identifizierten Risiken (Risikovermeidung, -reduktion, -überwälzung, -akzeptanz). |
Dabei ist die Risikoanalyse keine einmalige Aktivität, sondern ist als Regelprozess im Rahmen der kontinuierlichen Weiterentwicklung und Verbesserung des CMS auszugestalten.[15]
160
Die Abstimmung der Ergebnisse der Risikoanalyse mit den Compliance-Zielen wird bi-direktional und iterativ erfolgen. Schefold vergleicht die Frage, ob zuerst grobe Compliance-Ziele festgesteckt oder zuerst mit der Risikoanalyse begonnen werden solle, mit der „Henne-Ei-Problematik“ und plädiert richtigerweise für den Beginn mit einer Risikoanalyse.[16] Unbeschadet dessen sollte die Geschäftsleitung ihre die Compliance-Kultur prägenden Grundüberzeugungen vorab formulieren, wozu etwa auch der „Zero Tolerance“-Grundsatz als Leitplanke für die anschließende Risikoanalyse zählt.
2.2 Prüfung
161
Der Prüfer wird die vorstehend beschriebenen Schritte der Risikoanalyse darauf prüfen, ob alle Schritte systematisch und mit der notwendigen Betrachtungstiefe durchgeführt wurden und er wird regelmäßig eine Plausibilisierung der Ergebnisse der Risikoanalyse vornehmen. Des Weiteren wird er das Ergebnis der Risikoanalyse mit den Compliance-Zielen und den getroffenen Maßnahmen (Angemessenheitsprüfung) abgleichen.
162
Der Prüfer wird darauf achten, dass das Unternehmen bei der Risikoanalyse insbesondere folgende vom Standard genannte Risikofaktoren einbezogen hat:
– | Änderungen im wirtschaftlichen, rechtlichen, politischen oder gesellschaftlichen Umfeld, |
– | Personalveränderungen, |
– | überdurchschnittliches Wachstum oder signifikante Umsatzrückgänge |
– | neue Technologien, |
– | neue oder atypische Geschäftsfelder und Produkte, |
– | Umstrukturierungen, Fusionen, Akquisitionen, |
– | Eröffnung neuer Niederlassungen/Gründung von Tochtergesellschaften, |
– | Orte der Geschäftstätigkeit (besondere Risikoneigungen, z.B. verbreitete Korruption),[17] |
– | sonstige Expansion in neue Märkte.[18] |
163
Des Weiteren wird der Prüfer den Prozess der Risikoidentifizierung darauf hin nachvollziehen bzw. prüfen,
– | ob der Risikobegriff klar formuliert und zu Beginn der Risikoanalyse kommuniziert wurde; |
– | wie die Teilnehmer für Workshops ausgewählt (Sicherstellung erforderlicher fachlicher Expertise in bestimmten Rechtsgebieten, Nähe zu den analysierte Unternehmensprozessen, Abdeckung der einzelnen geografischen Regionen)und vorbereitet wurden (Briefing Packlages, Einführung in die Thematik während des Workshops, Umgang mit Fragen, Vertraulichkeit der individuellen Beiträge und Hinweise außerhalb der Workshops);[19] |
– | ob bei Einsatz von Fragebögen keine tendenziösen/ausschließenden Formulierungen verwendet wurden und ob auch freie Textfelder für individuelle Hinweise vorgesehen waren; |
– | ob Vorgesetzte und Sachbearbeiter auch getrennt voneinander in Workshops eingebunden wurden, um größtmögliche Offenheit zu gewährleisten; |
– | welche Quellen einbezogen wurden (höchstrichterliche Rechtsprechung, Branchenrisikoeinschätzungen von Verbänden, Beratern und Hochschulen, Presseberichte);[20] Risikohistorie des Unternehmens, insb. gespeist aus der Rechtsabteilung, Personalabteilung und Internen Revision);[21] |
– | und schließlich: wie die identifizierten Risiken bewertet und reduziert wurden (Brutto- und Nettorisiken, Einbezug des Risikoappetits der Geschäftsleitung, zugrundegelegte Risikowesentlichkeit).[22] |
164
Als wesentliche Prüfungsschritte kommen
– | die Durchsicht der für die Risikoanalyse verwendeten Unterlagen, der Auswertungen von Workshops und Fragebögen und der herangezogenen Unterlagen zur Compliance-Historie im Unternehmen sowie der sonstigen Unterlagen, |
– | Interviews mit den Compliance-Verantwortlichen, Vertretern der Rechts- und Personalabteilung sowie der Internen Revision und Workshop-Teilnehmern sowie |
– | Beobachtungen der Durchführung von Compliance-Maßnahmen |
in Frage.