Prüfung von Compliance Management Systemen

IDW EPS 980: Risiken und Nebenwirkungen ausufernder Kontrollsysteme


Peter Hager, Frank Romeike
News

Das ehrbare Verhalten eines Kaufmanns sicherte schon in früheren Zeiten seinen langfristigen Erfolg im Geschäftsleben und Ansehen in der Gesellschaft. In den vergangenen Jahren gab es wiederholt Anlass sich über Grundsätze des "guten Benehmens" im wirtschaftlichen Handeln Gedanken zu machen (auch "Good Corporate Governance" bezeichnet). Mangels besserer Umsatzquellen wird das Thema nun von einigen Berufsgruppen verstärkt instrumentalisiert um neuen Beratungs- und Prüfungsaufwand zu erzeugen.

Der IDW-Entwurf vom 11. März 2010 beschreibt die Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW EPS 980). Das Dokument umfasst 45 Seiten und bietet inhaltlich wenige neue Erkenntnisse. Unter Compliance Management Systemen ist Organisation des ordnungsmäßigen und gesetzestreuen Verhaltens von Unternehmen respektive ihrer Vertreter zu verstehen. Für sich genommen also eine Selbstverständlichkeit. Die Selbstverständlichkeit des "guten Benehmens" verspricht seit einiger Zeit Juristen und Wirtschaftsprüfern eine ewige Zusatzrente.

Das Compliance Management System beinhaltet neben organisatorischen Regelungen insbesondere die Compliance Ziele und Maßnahmen zu deren Erreichung wie beispielsweise "[…] Funktionstrennung, Berechtigungskonzepte, Genehmigungsverfahren und Unterschriftsregelungen, Vorkehrungen zum Vermögensschutz und andere Sicherheitskontrollen, unabhängige Gegenkontrollen (4-Augen-Prinzip) und Job-Rotationen…". Das Compliance-Risiko besteht in der Nichterreichung dieser Ziele. Um das zu verhindern ist aus Sicht der Prüfer eine Compliance-Kultur, Compliance-Organisation, Compliance-Kommunikation, ein Compliance-Programm und eine Compliance-Überwachung und Verbesserung zwingend notwendig. Das sind die Spielregeln, die es noch umfangreich zu dokumentieren, archivieren und regelmäßig extern zu prüfen gilt.

Während auf der Seite des zu prüfenden Unternehmens Compliance-Gremien oder Beauftragte erforderlich sind, bedarf es auf der Prüferseite speziell ausgebildeter Spezialisten für die Prüfung des guten Benehmens im Wirtschaftsleben. So stellt der IDW in seinem Entwurf klar:

  • Der neue Umsatzgarant ist nur den großen WP-Gesellschaften vorbehalten: "…ist insb. festzustellen, ob die für die Durchführung des Auftrags notwendigen Fach- und Branchenkenntnisse verfügbar sind, Erfahrungen mit den einschlägigen rechtlichen Anforderungen vorliegen oder erlangt werden können und erforderliche Spezialisten zur Verfügung stehen…" (Vgl. Abschnitt 5.2, Tz. 22).
  • Falls trotz der im "guten Benehmen" erfahrenen Spezialisten etwas schief gehen sollte: "…In den Auftragsbedingungen ist darauf hinzuweisen, dass keine Prüfungssicherheit über die tatsächliche Einhaltung von Regeln erlangt wird, sondern ausschließlich die von den gesetzlichen Vertretern in der CMS-Beschreibung getroffenen Aussagen zum CMS beurteilt werden…"
  • Dafür ist die Prüfung aber umso umfangreicher. Drei (aufeinander aufbauende) Auftragsarten der Prüfung unterscheidet der IDW: Konzeption des CMS, Aufbau des CMS und Funktionsprüfung des CMS.
  • Prädestiniert sind für diese Aufgabe natürlich dieselben Wirtschaftsprüfer, die auch schon die Rechnungslegung prüfen: "…Sofern es sich bei dem CMS-Prüfer um den Abschlussprüfer des Unternehmens handelt, werden die erforderlichen Kenntnisse teilweise bereits vorhanden sein. …" Aber auch in solchen Fällen ist ein zusätzlicher (bezahlter) Prüfungsaufwand erforderlich: "…Die in diesem Zusammenhang erworbenen Kenntnisse über das rechtliche Umfeld des Unternehmens werden daher für die Zwecke der CMS-Prüfung im Allgemeinen nicht ausreichend sein…" (beide Zitate aus Abschnitt 6 A25).
  • Die einmalige Prüfung ist des CMS genügt noch nicht, umso fester sitzt aber der einmal bestellte Prüfer im Sattel: "…Bei der Festlegung der Prüfungshandlungen kann der Prüfer bei wiederkehrenden Aufträgen Ergebnisse früherer CMS-Prüfungen verwerten…." (Abschnitt 6 A28).

Im Gegenzug gibt es sehr viel Papier. Die Dokumentation der Prüfung ist in Abschnitt 5.5 und die Berichterstattung in Abschnitt 5.6 geregelt (insgesamt TZ 61 bis 69). Es gibt auch Sicht der Prüfer viele Bereiche die Gegenstand einer CMS-Prüfung sein können wie beispielsweise Antikorruptionsrecht, Börsenrecht, Vorschriften zur Unternehmensführung und -überwachung (DCGK), Geldwäsche-gesetz, Verrechnungspreisrecht, umweltrecht, Außenwirtschaftsrecht und Exportkontrolle, Datenschutz und Gleichstellungsverordnung (vgl. Abschnitt 6 A2).

Typische Prüfungshandlungen zur Feststellung eines ordnungsgemäß konzipierten, implementierten und funktionierenden CMS umfassen die Befragung von Mitgliedern des Managements und Aufsichtsorgans, CMS-Beauftragten, das Lesen von CMS-Dokumentationen und Reports sowie Beobachtung von Arbeitsabläufen in dem zu prüfenden Unternehmen. Hinzu kommt das "kritische Lesen von Protokollen über […] Sitzungen des Verwaltungsorgane" und anderen unternehmensinternen Berichten. Wer mit Praktikern und Insidern der letzten großen Schmiergeldskandale in der Wirtschaft spricht wird sehr schnell die Wirksamkeit solcher Prüfungshandlungen zu Verhinderung von Regelverstößen in Frage stellen. Der Mehrwert einer geprüften CMS-Papierversion dürfte sich auf eine kosmetische Verbesserung in der Außendarstellung eines Unternehmens beschränken. Denn wie schon Abschnitt 6 A8 klarstellt: "…Hinreichende Sicherheit bedeutet nicht absolute Sicherheit: Auch ein ansonsten wirksam erscheinende CMS unterliegt systemimmanenten Grenzen…". Um es deutlich zu sagen: Der Wirtschaftsprüfer prüft nicht ob ein Unternehmen "compliant" ist, sondern ob die vom Unternehmen selbst aufgestellten Ziele, Regeln und deren organisatorische Umsetzung grundsätzlich geeignet sind um sich "compliant" zu verhalten. Die Überzeugung vom Nutzen eines detailliert dokumentierten und geprüften Compliance Management System soll allen Beteiligten unbenommen bleiben.
Denjenigen die sich den vermutlich sechsstelligen Betrag für die Prüfung ihres ordnungsmäßigen und gesetzeskonformen Verhaltens nicht leisten können sei zum Trost gesagt: "Der Kreis der "Betroffenen" … muss nicht auf die vom Unternehmen beschäftigten Mitarbeiter begrenzt sein. Zum Beispiel kommen auch Mitarbeiter eines Zulieferers des Unternehmens als von den Grundsätzen und Maßnahmen Betroffene in Betracht…". Auf diese Weise erhält jeder eine Chance sein "gutes Benehmen" mal extern überprüfen zu lassen!

Der deutsche Schriftsteller Thomas Mann (geboren am 6. Juni 1875 in Lübeck; gestorben am 12. August 1955 in Zürich) hatte die Kernbotschaft bereits vor vielen Jahrzehnten zusammengefasst: "Sei am Tage mit Lust bei den Geschäften, aber mache nur solche, dass du des Nachts ruhig schlafen kannst".

[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

Nils /12.05.2010 16:30
Im Kern geht es um persönliche Integrität und Führungsverantwortung. Beide Dinge kann ich nicht mit Compliance-Kultur, Compliance-Organisation, Compliance-Kommunikation, Compliance-Programm oder einer Compliance-Überwachung sicherstellen. Auch die Enrons dieser Welt hatten einen "Code of Conduct" und ähnliche nette Papiere ... ;-((
Vielleicht müssten wir auch an den Schulen und den Universitäten nicht nur Wirtschaft und Mathematik vermitteln, sondern Ethik und individuelle Verantwortungskultur!!
duck /12.05.2010 17:10
wir brauchen keine compliance-richtlinien. wir brauchen vielmehr eine diskussion, ob es okay ist, wenn goldman sachs 100 millionen dollar pro tag verdient und auf der anderen seite milliarden steuergelder zur rettung von griechenland bereit gestellt werden. das hat auch etwas mit integritaet und verantwortung zu tun ...
Karl-Heinz /20.05.2010 14:49
Unternehmen müssen sich Gedanken machen, wie sie die Compliance in Ihren Unternehmen sicherstellen. Natürlich sind hier persönliche Integrität und Führungsverantwortung wesentlich.
Fakt ist, dass Vertrauen gut, Kontrolle aber besser ist. Wie genau Kontrolle und entsprechende Systeme zur Kontrolle auszusehen haben hängt von den Umständen der jeweiligen Gesellschaft ab. Ein System, dass mit hunderten von Regeln und Vorschriften nur dem Zweck dienen soll, den Vorstand abzusichern, wird kaum von den Mitarbeitern akzeptiert und gelebt werden. Ein solches System verfehlt seinen Zweck (auch den der Absicherung des Vorstands). Wer unter Compliance Management System nur so etwas versteht, hat es nciht verstanden worum es geht.
Wie gesagt, Vertrauen ist gut, aber Kontrolle nicht nur besser, sondern zwingend notwendig. Übrigens to control heißt im Englischen auch etwas steuern, hier nämlich die Einhaltung von Regeln.
Der EPS 980 schreibt hier überhaupt nichts vor, sondern verweist letztlich auf bekannt Rahmenwerke. Natürlich sagt der EPS hier nichts Neues, das war auch nicht die Absicht des IDW Compliance Management Systeme neu zu erfinden. Zielsetzung war, zu definieren, welche Voraussetzungen allgemein erfüllt sein müssen, damit ein externer (Wirtschaftsprüfer) eine Aussage zur Eignung und Wirksamkeit eines Compliance Management Systems abgeben kann.
Es geht hier nicht darum künstlich neue Aufgabenfelder zu generieren, sondern festzulegen, wie der wachsenden Nachfrage nach einer solchen Prüfung verantwortungsvoll begegnet werden kann.
Sorry, aber der Aufsatz strotzt nur von Halbwissen, Unkenntnis und Vorurteilen.
Notwendiges Fachwissen heißt natürlich nicht, dass das nur bei großen WP Gesellschaften vorhanden ist. Am Entwurf haben auch Vertreter von kleineren Gesellschaften mitgearbeitet. Was ist falsch daran zu fordern, dass jemand, der ein Prüfungsurteil abgibt, sich auch auskennen sollte?
Der Hinweis, dass auch ein wirksames CMS keine absolute Sicherheit bietet ist eigentlich Allgemeingut, gegen kriminalität gibt es z.B. kaum Mittel (außer man möchte das von Aufsatz ja auch abgelehnte CMS - Monstrum schaffen).
Und natürlich kann man sich nicht ausruhen, wenn einmal die Wirksamkeit festgestellt wurde. Die Lebenswirklichkeiten ändern sich fortlaufend und die Compliance-Risiken auch.
Wenn ich den Aufsatz lese, dann klingt das etwas nach : Das bringt doch alles nichts, also brauche ich auch nichts zu machen. Aber leider zeigt die Wirklichkeit in der Wirtschaft weltweit, dass ohne die Sicherstellung der Compliance durch angemessene Maßnahmen es keine Compliance gibt.
Also, wenn schon Kritik, dann bitte auch vorschlagen was man statt dessen machen soll.
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden