Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Prüfung von Compliance Management-Systemen


Compliance-Prüfungen: Aufbau, Überwachung und Verbesserung von Compliance Management-Systemen (CMS)
Neuer Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW): Bürokratie oder geeigneter Rahmen?

Von Andreas Wermelt und Christian Große (*)

(17.05.10) - Unternehmen und deren Management sollen im Einklang mit dem geltenden Recht und sonstigen regulatorischen oder vertraglichen Vorgaben handeln. Dies ist eine Binsenweisheit, die in den letzten Jahren auch in Deutschland unter dem Begriff Compliance eine beeindruckende Karriere gemacht hat – nicht zuletzt aufgrund zahlreicher Fälle von Korruption oder Kartellverletzungen, die aufgezeigt haben, dass Compliance offenbar nicht überall eine Selbstverständlichkeit ist.

Diese Entwicklung mag einer zunehmend sensibilisierten Öffentlichkeit geschuldet sein, die Unternehmen verstärkt hinsichtlich ihrer Verantwortung für die Auswirkungen ihres Handelns betrachtet. Dabei stehen insbesondere Bereiche wie z.B. bei Mitarbeiter, Lieferanten, Verbrauchern oder auch die Umwelt im Interesse der öffentlichen Diskussion, denen ein besonderes Schutzbedürfnis gegenüber den Auswirkungen "unternehmerischen" Handeln unterstellt wird,.

Die intensive Berichterstattung der Medien über die gesellschaftliche Verantwortung von Unternehmen und Verstöße gegen geltende Gesetze und Vorschriften lassen Unternehmen und ihre verantwortlichen Organe zunehmend aufhorchen. Wurden doch in vielen Unternehmen bereits in der Vergangenheit umfangreiche Maßnahmen zur Verbesserung der Compliance und zu deren organisatorischen Verankerung umgesetzt.

Heute stellt sich in diesem Zusammenhang für die Verantwortlichen verstärkt die Frage, warum trotz aller Vorkehrungen Compliance-Verletzungen im Unternehmen auftreten können. Auch ohne aktuelle Compliance-Verstöße im eigenen Unternehmen wird insbesondere vor der Erfahrung prominenter Unternehmen zunehmend hinterfragt, ob die eigenen Maßnahmen zur organisatorischen Umsetzung und Verankerung von Compliance tatsächlich ausreichen. In diesem Kontext kann eine unabhängige Einschätzung zur Angemessenheit und Wirksamkeit des implementierten Compliance Management Systems (CMS) im Rahmen einer Compliance-Prüfung einen wichtigen Beitrag zur Überwachung und Verbesserung leisten. Diese unterstützt die Geschäftsleitung und den Aufsichtsrat dabei, ihre Organisations- und Überwachungspflichten effizient zu erfüllen und nachzuweisen. Der Anfang April 2010 durch das Institut der Wirtschaftsprüfer veröffentlichte Entwurf eines Standards zur Durchführung von Prüfungen des Compliance Management Systems (EPS 980) bietet hier einen Orientierungsrahmen.

Compliance – die schwierige organisatorische Umsetzung von rechtlichen Rahmenbedingungen

Lange Zeit standen bei Compliance rechtliche Aspekte angesichts steigender Regulierungsdichte für Unternehmen im Vordergrund.

Die Praxis hat vielfach gezeigt, dass zu den rechtlichen Herausforderungen erhebliche und insbesondere kostenintensive organisatorische Umsetzungsprobleme kommen. Dazu gehört zu allererst die Frage, für welche Compliance-Risiken überhaupt Präventionsmaßnahmen eingeführt werden sollen und endet bei der Herausforderung, wie diese Maßnahmen konkret ausgestaltet sein müssen, damit die Mitarbeiter in der täglichen Arbeit die regulatorischen Anforderungen auch tatsächlich beachten.

Die Auswahl der Compliance-Risiken ist nicht ohne Folgen, da eine Überschätzung des Risikos zu einem Übermaß an organisatorischen Vorkehrungen und damit zu einer teureren Bürokratisierung führt. Unnütze Bürokratie ist nicht nur teuer, sie beschädigt auch die Akzeptanz von notwendigen Compliance-Maßnahmen bei den Mitarbeitern. Eine Unterschätzung von Risiken birgt allerdings auch die Gefahr von systematischen Compliance-Verstößen. Die Folgen wären im schlimmsten Fall rechtliche und finanzielle Konsequenzen für das Unternehmen und oft auch persönlichen Konsequenzen für Management, Mitarbeiter und Aufsichtsräte.

Genau aus diesem Grund sollen Aufsichtsräte im Rahmen ihrer – aktuell vom Gesetzgeber mit dem § 107(3) AktG weiter konkretisierten – Überwachungstätigkeit beurteilen, inwieweit das vom Management eingerichtete CMS den unternehmensindividuellen Anforderungen gerecht wird.

Compliance-Prüfungen können hier mit unabhängigen Aussagen zur Angemessenheit und Wirksamkeit des implementierten CMS einen wichtigen Beitrag zur Überwachung leisten. Insbesondere kann eine solche Prüfung für den Compliance Officer und die zuständigen Organe (Vorstand und Aufsichtsrat) ein guter Nachweis sein, dass sie sich pflichtgemäß mit der Angemessenheit und Wirksamkeit des CMS beschäftigt haben.

Compliance-Prüfung – der Blick durch eine "standardisierte Brille"

Wenngleich sich der Prüfungsstandard in erster Linie an Wirtschaftsprüfer richtet, die entsprechende Prüfungen zukünftig nach dieser Maßgabe durchführen, beinhaltet er auch einige grundlegende Aussagen und Hinweise zum CMS, die gleichermaßen für die Unternehmen interessant sind.

Mit dem neuen Prüfungsstandard des IDW werden Anforderungen an ein Compliance Management-System definiert. Dabei sind aber nur Grundsätze und Grundelemente benannt, die im Rahmen eines angemessenen und wirksamen CMS ausgeprägt sein sollten. Der Standard bietet hierfür ein konzeptionelles Gerüst, das flexibel genug ist, unternehmensindividuelle Besonderheiten einfließen zu lassen.

Beispielhaft kann man dies am Grundelement der Compliance-Risiken erkennen: Der Standard schreibt nicht vor, welche Compliance-Risiken ein Unternehmen im Einzelnen beachten soll. Er gibt jedoch eine Beurteilung innerhalb der Prüfung dahingehend vor, ob nach einer systematischen Risikoanalyse abgeleitet wird, für welche Rechtsgebiete oder Unternehmenseinheiten eine Compliance-Maßnahme notwendig ist und worauf das Unternehmen verzichten will.

Der IDW-Standard empfiehlt für ein angemessenes CMS die folgenden Grundelemente:

  • 1. Compliance-Kultur: Die Kultur ist die Grundlage für die Angemessenheit und Wirksamkeit des CMS. Sie wird geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements und Aufsichtsorgans ("tone at the top").
  • 2. Compliance-Ziele: Die gesetzlichen Vertreter legen auf Basis der Unternehmensziele die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insbesondere die Festlegung der in den einzelnen Teilbereichen einzuhaltenden Regeln.
  • 3. Compliance-Organisation: Es werden die Rollen und Verantwortlichkeiten (Aufgaben) sowie die Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation festgelegt.
  • 4. Compliance-Risiken: Es erfolgt eine Feststellung und Analyse der Risiken, die Verstöße gegen Regeln zur Folge haben können, in einem systematischen Verfahren der Risikoerkennung und -berichterstattung.
  • 5. Compliance-Programm: Auf der Grundlage der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind.
  • 6. Compliance-Kommunikation: Die Mitarbeiter und ggf. Dritte werden über das Compliance-Programm (inkl. Verantwortlichkeiten) informiert, damit diese ihre Aufgaben sachgerecht erfüllen. Es wird festgelegt, wie Risiken und Hinweise auf mögliche und festgestellte Regelverstöße kommuniziert werden.
  • 7. Compliance-Überwachung und Verbesserung: Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Werden im Rahmen der Überwachung Schwachstellen bzw. Verstöße festgestellt, werden Verbesserungen des CMS eingeleitet.


Der Standard gibt insbesondere Hinweise, mit welchen Grundelementen und Konzeptionen (z.B. der Risikoanalyse) derartige Entscheidungen transparent und damit begründbar gemacht werden können und vermeidet damit die Etablierung von Quasi-Standards aufgrund von Compliance-Projekten bei großen Konzernen.

Dieser Rahmen passt somit für das mittelständische Unternehmen ebenso wie für DAX-Konzerne.

Nicht erst die Diskussion um die Stellung der Compliance-Beauftragten aufgrund der aktuellen Rechtsprechung des BGH hat ein Schlaglicht auf die schwierige Rolle des Compliance Offices geworfen. Alle organisatorischen Maßnahmen ziehen Kosten nach sich und unterliegen damit auch einem enormen Rechtfertigungsdruck.

Gerade der Compliance Officer steht hier vor einer besonderen Erwartungshaltung: Er soll kosteneffizient die Beachtung gesetzlicher und sonstiger Vorgaben organisieren bzw. sicherstellen. Dabei kann er de facto aber nur als Koordinator und Moderator agieren. Gerade in dezentral organisierten Unternehmen kann er die nachhaltige Einhaltung der Compliance-Maßnahmen nicht allein durchsetzen oder überwachen.

Ihm obliegt es aber, systematisch Schwachstellen zu ermitteln und Lösungen zu entwickeln und voranzutreiben.

Hier kann der Blick durch eine "standardisierte Brille" helfen, der den Status quo mit allen Risiken benennt und dem Compliance Officer für seine Feststellungen und Empfehlungen wichtige Argumente liefert. In der Regel ergibt sich daraus eine offene Diskussion mit den Verantwortlichen des Unternehmens.

Prüfung individueller Compliance Management Systeme
Der Nutzen von Prüfungsfeststellungen und Empfehlungen hängt für die verantwortlichen Manager und Organe im Unternehmen immer an der Klarheit des geprüften Objektes und der Prüfungsziele.

Neben der oben dargestellten eindeutigen Definition der Grundelemente eines CMS gibt der Prüfungsstandard drei verschiedene Möglichkeiten der Prüfung eines CMS, die sog. Auftragstypen, vor:

  • 1. Beim Auftragstyp 1 geht es um die Beurteilung, ob die Angaben des Unternehmens zur Konzeption des CMS zutreffend sind. Die Konzeption des CMS umfasst u.a. die Maßnahmen zur Förderung einer günstigen Compliance-Kultur und den Prozess zur Feststellung und Analyse der relevanten Compliance-Risiken. Außerdem ist im Auftragstyp 1 zu beurteilen, ob die CMS-Beschreibung auf sämtliche Grundelemente (u.a. Compliance-Programm, Compliance-Kommunikation) eingeht.
  • 2. Der Auftragstyp 2 überprüft – zusätzlich zu den Angaben gemäß Typ 1 – ob die Compliance-Maßnahmen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern. Also, ob die Compliance-Maßnahme in der unternehmensspezifischen Situation angemessen sind. Außerdem ist zu beurteilen, ob die adressierten Compliance-Maßnahmen zu einem bestimmten Zeitpunkt in den jeweiligen Unternehmenseinheiten tatsächlich implementiert sind. Es wird also auch die Existenz beurteilt.
  • 3. Zusätzlich den zu den Aussagen der Typen 1 und 2 untersucht der Auftragstyp 3, ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraums wirksam waren. Es geht also um die Untersuchung, ob die Mitarbeiter in den zu untersuchenden Unternehmenseinheiten die speziellen Compliance-Maßnahmen nachhaltig während eines bestimmten Zeitraums beachtet haben. Diese Aussage erfolgt wie bei jeder Prüfung und Überwachung mit hinreichender Sicherheit, da sich systemimmanente Grenzen auch bei einem ansonsten wirksam erscheinenden CMS (u.a. aus menschlichen Fehlleistungen oder durch Außerkraftsetzung von Maßnahmen durch Zusammenarbeit zweier oder mehrerer Personen) ergeben können.


Insbesondere dann, wenn ein Unternehmen sich in der Einführung oder der Reorganisation eines CMS befindet, kann es von erheblichem Vorteil sein, CMS oder Teilbereiche des Compliance-Programmes in verschiedenen Stadien zu überprüfen. Diese können gemäß den drei Auftragstypen von der Konzeption bis hin zur Implementierung und letztendlich der Überprüfung der Wirksamkeit des Compliance Management Systems reichen.

Die Prüfung der Konzeption des CMS vor der Einführung der Maßnahmen im Unternehmen kann der Geschäftsführung bzw. den verantwortlichen Compliance Officer wertvolle Hinweise zur Vollständigkeit oder Angemessenheit der vorgesehenen Maßnahmen geben. Es bietet sich an, in der Praxis CMS Bestandteile zu pilotieren und einen "Praxis-Check" durchzuführen, bevor große Teile des CMS unternehmensweit ausgerollt werden. Diesen Praxis-Check kann der Prüfer ebenfalls begleiteten und seine Expertise einbringen.

Die Auftragstypen des Standards – nach deren Maßgabe Wirtschaftsprüfer zukünftig prüfen müssen – bieten dafür ausreichende Flexibilität und machen durch die Typisierung der Prüfungsaussagen den Prüfungsumfang für jeden Beteiligten vergleichbar und verständlich.

Aufgrund des unterschiedlichen Prüfungsumfangs sind natürlich auch der Prüfungsaufwand und damit die Kosten unterschiedlich zu bemessen. Dies stellt einen wichtigen Aspekt für Unternehmen dar, deren Compliance Management bei aller Notwendigkeit auch ein Kostenfaktor ist. (PricewaterhouseCoopers: ra)

Autoreninfo:
(*) Die Autoren Andreas Wermelt (Partner) und Christian Große (Senior Manager) sind Mitarbeiter des Bereiches Corporate Governance Services von PriceWaterhouseCoopers WPG AG. Als Wirtschaftsprüfer haben die Autoren langjährige Erfahrungen bei der Einführung und Prüfung von Compliance Management Systemen.

PricewaterhouseCoopers: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Unterlagen revisionssicher speichern

    Verträge enthalten eine Vielzahl von Verpflichtungen, die Unternehmen erfüllen müssen, um rechtliche, wirtschaftliche und reputationsbezogene Risiken zu vermeiden. Was viele nicht beachten: Diese Verpflichtungen gehen weit über die vereinbarten Leistungen hinaus.

  • Compliance am digitalen Arbeitsplatz

    Die Anforderungen an Sicherheit und Compliance bekommen mit Remote Working bzw. Home-Office eine neue Qualität. Gesetzliche Vorgaben und unternehmensspezifische Regelungen lückenlos durchzusetzen, ist nicht nur nach außen gegenüber Behörden, Kunden und Partnern relevant. Auch Mitarbeiter haben den Anspruch, dass Arbeitgeber digitale Arbeitsplätze ebenso produktiv wie auch sicher gestalten.

  • Daten in virtuellen Datenräumen

    Die Lage der IT-Sicherheit ist weiterhin angespannt und die Zahl der Cyberangriffe steigt stetig. Betroffen sind neben Privathaushalten vor allem Unternehmen, Organisationen und Behörden. Das bestätigt auch die aktuelle Studie des Branchenverbands Bitkom: Neun von zehn Unternehmen wurden im vergangen Jahr Opfer eines Cyberangriffs. Eines der größten Einfallstore für Cyberkriminelle ist dabei der ungesicherte Austausch sensibler Informationen. Rund 68 Prozent der befragten Unternehmen geben an, dass Cyberkriminelle Kommunikationsdaten entwendet haben.

  • Moderne Banken-IT-Sicherheit

    Die Sicherheitsabläufe einer Bank zu verwalten, ist ein komplexes Unterfangen. Es bedarf hohem Aufwand, um mit den sich ständig ändernden Sicherheitsanforderungen Schritt zu halten. Entsprechend lang ist die Liste für Sicherheitsverantwortliche. Da ist die kontinuierliche Integration genannter Anforderungen in die bestehende Infrastruktur: IT-Abteilungen müssen mit den stetigen Veränderungen der Gesetzeslage mithalten.

  • Sich für das Lieferkettengesetz wappnen

    Das Lieferkettengesetz bereitet vielen Unternehmen Kopfzerbrechen - vor allem, weil sie nicht wissen, wie sie seine Anforderungen erfüllen sollen, ohne dass der bürokratische Aufwand und die Kosten aus dem Ruder laufen. Ab dem 1. Januar 2023 treten die Vorschriften des Lieferkettengesetzes stufenweise in Kraft. Danach müssen fast 3.000 Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten sicherstellen, dass ihre nationalen und internationalen Lieferanten keine Menschenrechte verletzen, die Grundsätze der Arbeitssicherheit beachten und die Auflagen des Umweltschutzes erfüllen. Hierfür gilt es in den nächsten Monaten die Voraussetzungen zu schaffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen