Читать книгу Compliance - Markus Böttcher - Страница 213
Оглавление3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › VII. Prüfbereitschaft
VII. Prüfbereitschaft
1. Die CMS-Beschreibung als Prüfungsgrundlage
138
Der Prüfungsstandard definiert als Gegenstand einer Prüfung des CMS die in einer CMS-Beschreibung enthaltenen Aussagen über das CMS.[1] Die Verantwortung für die Erstellung liegt ausschließlich bei den gesetzlichen Vertretern. Damit ist die CMS-Beschreibung Grundlage der Prüfung und stellt analog zum Jahresabschluss in der Jahresabschlussprüfung das Objekt dar, auf das sich jede Aussage in der Berichterstattung und damit jede Prüfungshandlung des CMS-Prüfers bezieht. Die Beschreibung selbst muss unter Berücksichtigung der angewandten CMS-Grundsätze zunächst sämtliche Grundelemente adressieren und so darlegen, wie die Organisation die einzelnen Bestandteile prozessual und mit konkreten Maßnahmen besetzt bzw. umgesetzt hat.[2]
139
Damit ist der erste Schritt bei der Prüfungsvorbereitung grundsätzlich immer eine Bestandsaufnahme der eingerichteten Maßnahmen und Prozesse. Im Rahmen von Workshops und Interviews können die Compliance-Verantwortlichen sich eine Übersicht über den aktuellen Status der Umsetzung verschaffen. Dabei macht es Sinn, sich an den Grundelementen des IDW PS 980 zu orientieren und dann zu festzustellen, wie diese im Unternehmen zum Zeitpunkt der Bestandsaufnahme umgesetzt sind. Diese Inventur ist dann in der Regel Grundlage einer ersten Dokumentation des existierenden CMS in der Form einer CMS-Beschreibung.
140
Um eine objektive Darstellung und Überprüfbarkeit der hier enthaltenen Aussagen zu ermöglichen, sind entsprechende Anforderungen an die Abfassung der Beschreibung zu stellen. So muss die Sprache klar sein. Die einzelnen Aussagen dürfen keine Übertreibungen beinhalten oder Fehlinterpretationen zulassen. Darüber hinaus müssen sie so formuliert werden, dass sie im Rahmen der Prüfung belegbar und somit durch den CMS-Prüfer intersubjektiv nachprüfbar sind.
141
Nachdem der Prüfungsstandard nunmehr vor etwa fünf Jahren veröffentlicht wurde und Grundlage einer Vielzahl an Prüfungen war bzw. auch in der Form eines Ausgestaltungsstandards zum Aufbau von Compliance Management System diente, hat sich mittlerweile eine „good practice“ im Bezug auf die Form, Länge und Struktur der CMS-Beschreibung herausgebildet. Es ist aber bereits festzuhalten, dass die Beschreibung nicht in der Form eines allumfassenden Handbuchs erfolgen muss. Vielmehr spricht der Prüfungsstandard selbst von einer Darstellung mittels Verweis oder durch Aufzählung der Elemente. Es kann demnach nicht gefordert werden, dass die Beschreibung eine detaillierte Wiedergabe der Inhalte sämtlicher Elemente (z.B. Richtlinien, Merkblätter, Unterschriftenregelungen etc.) enthält. Im Sinn einer besseren Verständlichkeit und Nachvollziehbarkeit der Beschreibung ist es allerdings zielführend, mit kurzen Inhaltsangaben zu arbeiten. Der Prüfungsstandard fordert hier lediglich, dass eine CMS-Beschreibung eine Zusammenfassung der relevanten internen Verfahrensbeschreibungen enthält.[3] Mit Abschluss der Erstellung der CMS-Beschreibung ist dann der Prüfungsgegenstand erstellt.
2. Herstellen der operativen Prüfbereitschaft
142
Der IDW PS 980 zielt in seiner Darstellung vorrangig auf die Durchführung einer Wirksamkeitsprüfung ab (vgl. Rn. 112 ff. zu den unterschiedlichen Prüfungsarten). Allerdings war bei der Abfassung des Prüfungsstandards aufgrund der hier erstmals vorgenommenen Systematisierung und Definition der Grundelemente und Inhalte berücksichtigt worden, dass die Herstellung der Prüfbereitschaft im Bezug auf die Wirksamkeitsprüfung ggf. über einen vorgelagerten Prozess zu erfolgen hat. Der Standard selber führt dazu aus: „Um den Prozess der Entwicklung und Einführung eines CMS prüferisch zu begleiten, ist es zulässig, Prüfungsleistungen zu erbringen, die sich nur auf die Konzeption des CMS (Konzeptionsprüfung) oder nur auf die Angemessenheit und Implementierung des CMS beziehen (Angemessenheitsprüfung).“ Damit soll sichergestellt werden, dass nicht eine Entwicklung und Einführung eines CMS erfolgt, das entweder nicht den Anforderungen an das Konzept genügt (vollständige Adressierung aller Grundelemente) bzw. nicht angemessen ist, die identifizierten Compliance-Ziele zu erreichen. Eine Wirksamkeitsprüfung der Prozesse und Maßnahmen eines solchen CMS wäre zwecklos.
143
In der Praxis hat sich aber darüber hinaus eine weitere Vorstufe der Prüfung bewährt (häufig je nach Intensivität und Umfang als „Quick Scan“ oder „Readiness Check“ bezeichnet), in der die aktuelle Ausgestaltung des CMS mit sich aus dem Prüfungsstandard ergebenden sowie in der Praxis herausgebildeten Mindestanforderungen verglichen wird. Mit dieser ersten Gegenüberstellung ist sichergestellt, dass wesentliche konzeptionelle Lücken und Fehler noch vor Beginn einer eigentlichen CMS-Prüfung erkannt und somit adressiert werden können.
144
Unternehmen müssen sich darauf einstellen, dass es im Laufe der Prüfung, auch in Abhängigkeit vom gewählten Umfang und Art der Prüfung, zu einer teilweise erheblichen Belastung der einbezogenen Unternehmensbereiche kommen kann. Der Vorbereitung der Prüfung auch im organisatorischen Sinne kommt daher eine große Bedeutung zu. Durch eine planvolle und ausgiebige Vorbereitung kann dieser Aufwand jedoch merklich minimiert werden, in dem z.B. bestimmte Dokumentationen und Nachweise bereits im Vorfeld zusammengestellt und dem Prüfer zu Beginn übergeben werden. Dies erfolgt am besten in enger Abstimmung mit dem CMS-Prüfer und bietet sich als eines der Ergebnisse aus der Durchführung eines Readiness Checks an.
3. Festlegung des Prüfungsumfangs
145
Der Prüfungsstandard ist bewusst auch mit einer hohen Flexibilität hinsichtlich der Durchführung einer Prüfung ausgestaltet. Damit sollte z.B. den unterschiedlichen Unternehmensgrößen und Branchen Rechnung getragen werden. Weiterhin stellt das CMS als solches jedoch ein komplexes System dar, das für eine Prüfung bewusst in sachlicher und zeitlicher Hinsicht beschränkt werden kann. Im Rahmen der Prüfungsvorbereitung muss sich die Unternehmensleitung daher insbesondere mit den folgenden Fragen beschäftigen:
| – | Welche Teilbereiche sollen geprüft werden? |
| – | Welche zeitlichen Rahmenbedingungen werden gesetzt? |
| – | Welche Tochtergesellschaften sollen einbezogen werden? |
146
Das Compliance Management eines Unternehmens sollte grundsätzlich immer darauf ausgerichtet sein, rechtliche Verstöße für alle Rechtsgebiete zu verhindern, aufzudecken und zu sanktionieren. Durch die große Vielfalt an für Unternehmen relevanten Rechtsgebieten ist es, auch im Sinne einer Wesentlichkeitsbetrachtung, jedoch nicht möglich oder zielführend, das CMS mit der gleichen Intensität für sämtliche Bereiche einzurichten. Insofern bietet der Standard die Möglichkeit auch einer Fokussierung der Prüfung, die sich auf Geschäftsbereiche, Unternehmensprozesse oder auf bestimmte Rechtsgebiete (sog. Teilbereiche) beziehen kann.[4] Die Prüfung kann somit z.B. auf den Teilbereich Kartellrecht beschränkt werden und umfasst dann nur Prüfungshandlungen, die sich auf Maßnahmen und Prozesse beziehen, die hierfür relevant sind. Dabei kann es für Unternehmen sinnvoll sein, sich zunächst auf nur wenige Teilbereiche zu beschränken und im Sinne eines Rotationsplans weitere Teilbereiche zu einem späteren Zeitpunkt zu ergänzen. Es ist auch möglich, Compliance-Bereiche außerhalb eines CMS anzusiedeln, z.B. in der Personal- oder Rechtsabteilung. Da in diesen Fällen nicht alle Grundelemente vorliegen, ist eine Prüfung nach dem IDW PS 980 nicht sinnvoll.
147
Eine wesentliche weitere Dimension ist die Festlegung des Prüfungsstichtags sowie des Wirksamkeitszeitraums. Die Prüfung der Angemessenheit und Implementierung geht immer der Frage nach, ob „die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert waren“. Demgegenüber bezieht sich die Wirksamkeitsprüfung immer auf einen Zeitraum, für den es zu überprüfen gilt, ob diese „während eines bestimmten Zeitraums wirksam waren“[5]. Der Wirksamkeitszeitraum wird dabei im Prüfungsstandard nicht fest definiert sondern es wird lediglich ausgeführt, dass die Beurteilung der Kontinuität der Beachtung der Grundsätze und Maßnahmen einen angemessenen Zeitpunkt, z.B. ein Geschäftsjahr abdecken soll.
148
In der Praxis haben sich Zeiträume von mindestens sechs Monaten herauskristallisiert. Es erscheint fraglich, ob ein Unterschreiten der sechs Monate noch eine sinnvolle Aussage über die Wirksamkeit des CMS möglich macht, zumal davon ausgegangen werden muss, dass bestimmte Maßnahmen innerhalb eines sehr kurzen Zeitraums ggf. nicht zum Einsatz kamen, so dass eine Implementierungs- und Wirksamkeitsprüfung hier nicht vorgenommen werden kann. Der Festlegung der zeitlichen Dimension kommt daher eine großen Bedeutung zu und sollte so erfolgen, dass das Unternehmen sich im Vorfeld ausreichend Zeit einräumt, so dass eventuelle Lücken und Schwächen im CMS unbedingt noch vor Prüfungsbeginn (z.B. im Rahmen eines weiter oben dargestellten „Readiness Checks“) abgestellt werden können.
149
Eine weitere Beschränkung der Prüfung erfolgt bei Konzernen durch die eventuelle Abgrenzung der einzubeziehenden nationalen und internationalen Tochtergesellschaften. Grundsätzlich muss davon ausgegangen werden, dass ein Verstoß gegen geltendes Recht innerhalb der ausgewählten rechtlichen Teilbereiche bei einer ausländischen Tochter immer auch dem deutschen Konzern zugerechnet wird. Dennoch kann es aus verschiedenen Gründen (z.B. abweichendes CMS in bestimmten geographischen Regionen) sinnvoll sein, den Geltungsbereich für eine Prüfung auf Teile des Konzerns zu beschränken. Darüber hinaus ist in der Praxis zu beobachten, dass Beteiligungen aus dem Prüfungsumfang herausgenommen werden, bei denen das Unternehmen keinen herrschenden Einfluss ausüben kann (z.B. Joint Ventures). Bei diesen Gesellschaften ist es aufgrund der Mehrheitsverhältnisse oftmals nicht möglich, sämtliche Grundsätze und Maßnahmen des CMS durchzusetzen, wodurch eine vollständige Implementierung und demnach auch die Wirksamkeit nicht sichergestellt werden können.
150
Alle drei hier dargestellten, im Vorfeld der Prüfung zu definierenden, Einschränkungen des Prüfungsumfangs finden sich letztlich in der Bescheinigung des CMS-Prüfers wieder, der in seiner Aussage über das CMS explizit Bezug auf die hier vorgenommene Eingrenzung Bezug nehmen wird. Eine solche eindeutige Bezugnahme ist von elementarer Bedeutung, um eine potentielle Erwartungslücke auf Seiten der Adressaten zu vermeiden.
