Warning: main(templates/google-analytics/add.php) [function.main]: failed to open stream: No such file or directory in /hp/ah/aa/ch/www/main.php on line 41

Warning: main() [function.include]: Failed opening 'templates/google-analytics/add.php' for inclusion (include_path='.:/opt/php4/usr/share/php') in /hp/ah/aa/ch/www/main.php on line 41

Warning: main(templates/google-add/add.php) [function.main]: failed to open stream: No such file or directory in /hp/ah/aa/ch/www/main.php on line 54

Warning: main() [function.include]: Failed opening 'templates/google-add/add.php' for inclusion (include_path='.:/opt/php4/usr/share/php') in /hp/ah/aa/ch/www/main.php on line 54
Internet-Zeitschrift für Compliance, Risisikomanagement, Governance und Datenschutz


Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Prüfung von Compliance Management-Systemen


Compliance-Prüfungen: Aufbau, Überwachung und Verbesserung von Compliance Management-Systemen (CMS)
Neuer Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW): Bürokratie oder geeigneter Rahmen?

Von Andreas Wermelt und Christian Große (*)

(17.05.10) - Unternehmen und deren Management sollen im Einklang mit dem geltenden Recht und sonstigen regulatorischen oder vertraglichen Vorgaben handeln. Dies ist eine Binsenweisheit, die in den letzten Jahren auch in Deutschland unter dem Begriff Compliance eine beeindruckende Karriere gemacht hat – nicht zuletzt aufgrund zahlreicher Fälle von Korruption oder Kartellverletzungen, die aufgezeigt haben, dass Compliance offenbar nicht überall eine Selbstverständlichkeit ist.

Diese Entwicklung mag einer zunehmend sensibilisierten Öffentlichkeit geschuldet sein, die Unternehmen verstärkt hinsichtlich ihrer Verantwortung für die Auswirkungen ihres Handelns betrachtet. Dabei stehen insbesondere Bereiche wie z.B. bei Mitarbeiter, Lieferanten, Verbrauchern oder auch die Umwelt im Interesse der öffentlichen Diskussion, denen ein besonderes Schutzbedürfnis gegenüber den Auswirkungen "unternehmerischen" Handeln unterstellt wird,.

Die intensive Berichterstattung der Medien über die gesellschaftliche Verantwortung von Unternehmen und Verstöße gegen geltende Gesetze und Vorschriften lassen Unternehmen und ihre verantwortlichen Organe zunehmend aufhorchen. Wurden doch in vielen Unternehmen bereits in der Vergangenheit umfangreiche Maßnahmen zur Verbesserung der Compliance und zu deren organisatorischen Verankerung umgesetzt.

Heute stellt sich in diesem Zusammenhang für die Verantwortlichen verstärkt die Frage, warum trotz aller Vorkehrungen Compliance-Verletzungen im Unternehmen auftreten können. Auch ohne aktuelle Compliance-Verstöße im eigenen Unternehmen wird insbesondere vor der Erfahrung prominenter Unternehmen zunehmend hinterfragt, ob die eigenen Maßnahmen zur organisatorischen Umsetzung und Verankerung von Compliance tatsächlich ausreichen. In diesem Kontext kann eine unabhängige Einschätzung zur Angemessenheit und Wirksamkeit des implementierten Compliance Management Systems (CMS) im Rahmen einer Compliance-Prüfung einen wichtigen Beitrag zur Überwachung und Verbesserung leisten. Diese unterstützt die Geschäftsleitung und den Aufsichtsrat dabei, ihre Organisations- und Überwachungspflichten effizient zu erfüllen und nachzuweisen. Der Anfang April 2010 durch das Institut der Wirtschaftsprüfer veröffentlichte Entwurf eines Standards zur Durchführung von Prüfungen des Compliance Management Systems (EPS 980) bietet hier einen Orientierungsrahmen.

Compliance – die schwierige organisatorische Umsetzung von rechtlichen Rahmenbedingungen

Lange Zeit standen bei Compliance rechtliche Aspekte angesichts steigender Regulierungsdichte für Unternehmen im Vordergrund.

Die Praxis hat vielfach gezeigt, dass zu den rechtlichen Herausforderungen erhebliche und insbesondere kostenintensive organisatorische Umsetzungsprobleme kommen. Dazu gehört zu allererst die Frage, für welche Compliance-Risiken überhaupt Präventionsmaßnahmen eingeführt werden sollen und endet bei der Herausforderung, wie diese Maßnahmen konkret ausgestaltet sein müssen, damit die Mitarbeiter in der täglichen Arbeit die regulatorischen Anforderungen auch tatsächlich beachten.

Die Auswahl der Compliance-Risiken ist nicht ohne Folgen, da eine Überschätzung des Risikos zu einem Übermaß an organisatorischen Vorkehrungen und damit zu einer teureren Bürokratisierung führt. Unnütze Bürokratie ist nicht nur teuer, sie beschädigt auch die Akzeptanz von notwendigen Compliance-Maßnahmen bei den Mitarbeitern. Eine Unterschätzung von Risiken birgt allerdings auch die Gefahr von systematischen Compliance-Verstößen. Die Folgen wären im schlimmsten Fall rechtliche und finanzielle Konsequenzen für das Unternehmen und oft auch persönlichen Konsequenzen für Management, Mitarbeiter und Aufsichtsräte.

Genau aus diesem Grund sollen Aufsichtsräte im Rahmen ihrer – aktuell vom Gesetzgeber mit dem § 107(3) AktG weiter konkretisierten – Überwachungstätigkeit beurteilen, inwieweit das vom Management eingerichtete CMS den unternehmensindividuellen Anforderungen gerecht wird.

Compliance-Prüfungen können hier mit unabhängigen Aussagen zur Angemessenheit und Wirksamkeit des implementierten CMS einen wichtigen Beitrag zur Überwachung leisten. Insbesondere kann eine solche Prüfung für den Compliance Officer und die zuständigen Organe (Vorstand und Aufsichtsrat) ein guter Nachweis sein, dass sie sich pflichtgemäß mit der Angemessenheit und Wirksamkeit des CMS beschäftigt haben.

Compliance-Prüfung – der Blick durch eine "standardisierte Brille"

Wenngleich sich der Prüfungsstandard in erster Linie an Wirtschaftsprüfer richtet, die entsprechende Prüfungen zukünftig nach dieser Maßgabe durchführen, beinhaltet er auch einige grundlegende Aussagen und Hinweise zum CMS, die gleichermaßen für die Unternehmen interessant sind.

Mit dem neuen Prüfungsstandard des IDW werden Anforderungen an ein Compliance Management-System definiert. Dabei sind aber nur Grundsätze und Grundelemente benannt, die im Rahmen eines angemessenen und wirksamen CMS ausgeprägt sein sollten. Der Standard bietet hierfür ein konzeptionelles Gerüst, das flexibel genug ist, unternehmensindividuelle Besonderheiten einfließen zu lassen.

Beispielhaft kann man dies am Grundelement der Compliance-Risiken erkennen: Der Standard schreibt nicht vor, welche Compliance-Risiken ein Unternehmen im Einzelnen beachten soll. Er gibt jedoch eine Beurteilung innerhalb der Prüfung dahingehend vor, ob nach einer systematischen Risikoanalyse abgeleitet wird, für welche Rechtsgebiete oder Unternehmenseinheiten eine Compliance-Maßnahme notwendig ist und worauf das Unternehmen verzichten will.

Der IDW-Standard empfiehlt für ein angemessenes CMS die folgenden Grundelemente:

  • 1. Compliance-Kultur: Die Kultur ist die Grundlage für die Angemessenheit und Wirksamkeit des CMS. Sie wird geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements und Aufsichtsorgans ("tone at the top").
  • 2. Compliance-Ziele: Die gesetzlichen Vertreter legen auf Basis der Unternehmensziele die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insbesondere die Festlegung der in den einzelnen Teilbereichen einzuhaltenden Regeln.
  • 3. Compliance-Organisation: Es werden die Rollen und Verantwortlichkeiten (Aufgaben) sowie die Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation festgelegt.
  • 4. Compliance-Risiken: Es erfolgt eine Feststellung und Analyse der Risiken, die Verstöße gegen Regeln zur Folge haben können, in einem systematischen Verfahren der Risikoerkennung und -berichterstattung.
  • 5. Compliance-Programm: Auf der Grundlage der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind.
  • 6. Compliance-Kommunikation: Die Mitarbeiter und ggf. Dritte werden über das Compliance-Programm (inkl. Verantwortlichkeiten) informiert, damit diese ihre Aufgaben sachgerecht erfüllen. Es wird festgelegt, wie Risiken und Hinweise auf mögliche und festgestellte Regelverstöße kommuniziert werden.
  • 7. Compliance-Überwachung und Verbesserung: Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Werden im Rahmen der Überwachung Schwachstellen bzw. Verstöße festgestellt, werden Verbesserungen des CMS eingeleitet.


Der Standard gibt insbesondere Hinweise, mit welchen Grundelementen und Konzeptionen (z.B. der Risikoanalyse) derartige Entscheidungen transparent und damit begründbar gemacht werden können und vermeidet damit die Etablierung von Quasi-Standards aufgrund von Compliance-Projekten bei großen Konzernen.

Dieser Rahmen passt somit für das mittelständische Unternehmen ebenso wie für DAX-Konzerne.

Nicht erst die Diskussion um die Stellung der Compliance-Beauftragten aufgrund der aktuellen Rechtsprechung des BGH hat ein Schlaglicht auf die schwierige Rolle des Compliance Offices geworfen. Alle organisatorischen Maßnahmen ziehen Kosten nach sich und unterliegen damit auch einem enormen Rechtfertigungsdruck.

Gerade der Compliance Officer steht hier vor einer besonderen Erwartungshaltung: Er soll kosteneffizient die Beachtung gesetzlicher und sonstiger Vorgaben organisieren bzw. sicherstellen. Dabei kann er de facto aber nur als Koordinator und Moderator agieren. Gerade in dezentral organisierten Unternehmen kann er die nachhaltige Einhaltung der Compliance-Maßnahmen nicht allein durchsetzen oder überwachen.

Ihm obliegt es aber, systematisch Schwachstellen zu ermitteln und Lösungen zu entwickeln und voranzutreiben.

Hier kann der Blick durch eine "standardisierte Brille" helfen, der den Status quo mit allen Risiken benennt und dem Compliance Officer für seine Feststellungen und Empfehlungen wichtige Argumente liefert. In der Regel ergibt sich daraus eine offene Diskussion mit den Verantwortlichen des Unternehmens.

Prüfung individueller Compliance Management Systeme
Der Nutzen von Prüfungsfeststellungen und Empfehlungen hängt für die verantwortlichen Manager und Organe im Unternehmen immer an der Klarheit des geprüften Objektes und der Prüfungsziele.

Neben der oben dargestellten eindeutigen Definition der Grundelemente eines CMS gibt der Prüfungsstandard drei verschiedene Möglichkeiten der Prüfung eines CMS, die sog. Auftragstypen, vor:

  • 1. Beim Auftragstyp 1 geht es um die Beurteilung, ob die Angaben des Unternehmens zur Konzeption des CMS zutreffend sind. Die Konzeption des CMS umfasst u.a. die Maßnahmen zur Förderung einer günstigen Compliance-Kultur und den Prozess zur Feststellung und Analyse der relevanten Compliance-Risiken. Außerdem ist im Auftragstyp 1 zu beurteilen, ob die CMS-Beschreibung auf sämtliche Grundelemente (u.a. Compliance-Programm, Compliance-Kommunikation) eingeht.
  • 2. Der Auftragstyp 2 überprüft – zusätzlich zu den Angaben gemäß Typ 1 – ob die Compliance-Maßnahmen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern. Also, ob die Compliance-Maßnahme in der unternehmensspezifischen Situation angemessen sind. Außerdem ist zu beurteilen, ob die adressierten Compliance-Maßnahmen zu einem bestimmten Zeitpunkt in den jeweiligen Unternehmenseinheiten tatsächlich implementiert sind. Es wird also auch die Existenz beurteilt.
  • 3. Zusätzlich den zu den Aussagen der Typen 1 und 2 untersucht der Auftragstyp 3, ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraums wirksam waren. Es geht also um die Untersuchung, ob die Mitarbeiter in den zu untersuchenden Unternehmenseinheiten die speziellen Compliance-Maßnahmen nachhaltig während eines bestimmten Zeitraums beachtet haben. Diese Aussage erfolgt wie bei jeder Prüfung und Überwachung mit hinreichender Sicherheit, da sich systemimmanente Grenzen auch bei einem ansonsten wirksam erscheinenden CMS (u.a. aus menschlichen Fehlleistungen oder durch Außerkraftsetzung von Maßnahmen durch Zusammenarbeit zweier oder mehrerer Personen) ergeben können.


Insbesondere dann, wenn ein Unternehmen sich in der Einführung oder der Reorganisation eines CMS befindet, kann es von erheblichem Vorteil sein, CMS oder Teilbereiche des Compliance-Programmes in verschiedenen Stadien zu überprüfen. Diese können gemäß den drei Auftragstypen von der Konzeption bis hin zur Implementierung und letztendlich der Überprüfung der Wirksamkeit des Compliance Management Systems reichen.

Die Prüfung der Konzeption des CMS vor der Einführung der Maßnahmen im Unternehmen kann der Geschäftsführung bzw. den verantwortlichen Compliance Officer wertvolle Hinweise zur Vollständigkeit oder Angemessenheit der vorgesehenen Maßnahmen geben. Es bietet sich an, in der Praxis CMS Bestandteile zu pilotieren und einen "Praxis-Check" durchzuführen, bevor große Teile des CMS unternehmensweit ausgerollt werden. Diesen Praxis-Check kann der Prüfer ebenfalls begleiteten und seine Expertise einbringen.

Die Auftragstypen des Standards – nach deren Maßgabe Wirtschaftsprüfer zukünftig prüfen müssen – bieten dafür ausreichende Flexibilität und machen durch die Typisierung der Prüfungsaussagen den Prüfungsumfang für jeden Beteiligten vergleichbar und verständlich.

Aufgrund des unterschiedlichen Prüfungsumfangs sind natürlich auch der Prüfungsaufwand und damit die Kosten unterschiedlich zu bemessen. Dies stellt einen wichtigen Aspekt für Unternehmen dar, deren Compliance Management bei aller Notwendigkeit auch ein Kostenfaktor ist. (PricewaterhouseCoopers: ra)

Autoreninfo:
(*) Die Autoren Andreas Wermelt (Partner) und Christian Große (Senior Manager) sind Mitarbeiter des Bereiches Corporate Governance Services von PriceWaterhouseCoopers WPG AG. Als Wirtschaftsprüfer haben die Autoren langjährige Erfahrungen bei der Einführung und Prüfung von Compliance Management Systemen.

PricewaterhouseCoopers: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Beste Liquidität sind vermiedene Ausgaben

    Durch die wirtschaftlichen Auswirkungen der weltweiten Corona-Pandemie sind viele Familienunternehmen mit existenziellen Herausforderungen konfrontiert - auch wenn sie bisher mit einem hervorragenden Geschäftsmodell und wirtschaftlich kerngesund unterwegs waren. Innerhalb weniger Tage muss das Management unverschuldet in den Krisenmodus umschalten, muss lose Enden von der Supply Chain bis zu den Absatzkanälen zusammenhalten, auf Sicht fahren und das Unternehmen ausschließlich über Liquidität steuern - und dies bei rechtlichen Rahmenbedingungen, die sich laufend ändern bzw. unklar sind. Doch wie in diesem Umfeld den Betrieb aufrechterhalten? Vier Schritte führen durch bzw. aus der die Krise.

  • Compliance-bezogene Kosten

    Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

  • Triage-Entscheidungen treffen

    Bei der Bewältigung der Corona-Pandemie kann auch das deutsche Gesundheitssystem an seine Kapazitätsgrenzen stoßen. Abhängig von der weiteren Entwicklung der Pandemie kann es wie etwa in Italien zu Situationen kommen, in denen nicht mehr alle Patienten einer lebenserhaltenden Intensivbehandlung zugeführt werden können. Entscheidungen über die Zuteilung knapper Ressourcen wären dann unausweichlich. Da es an rechtsverbindlichen Vorgaben für solche Entscheidungen fehlt, bewegen sich Mediziner auf ethisch wie rechtlich ungesichertem Terrain. Im Ernstfall drohen Ärzten und Krankenhäusern erhebliche Haftungsrisiken, wenn einem Patienten die medizinisch erforderliche Behandlung verweigert wird.

  • Was bedeutet RTS SCA/CSC für PSD2?

    Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

  • Datenqualität sowie Datenmaskierung

    FinTechs machen es den traditionellen Geldinstituten vor, worin die Zukunft liegt: In den Kundendaten. Diese dürfen Banken jedoch nicht mehr in einen großen Pool leiten und in Datensilos verteilen. Stattdessen müssen sie dafür sorgen, dass ihre Abteilungen und Entwickler unkompliziert auf Daten zugreifen und diese datenschutzkonform verarbeiten. Erst dann können Banken ihren Kunden in Echtzeit personalisierte Angebote machen. Sobald eine Kunde etwas tut, gleichen gute Finanz-Startups die Aktion mit der Historie ab, um sofort ein personalisiertes Angebot zu unterbreiten. Diese Agilität ist der große Vorteil. Allerdings haben viele Verbraucher ihr Geld noch überwiegend bei einer klassischen Bank liegen. Die wenigsten wickeln ihre Überweisungen über FinTechs oder Messenger ab. Der Grund: Geldinstitute genießen bei Verbrauchern vor allem hinsichtlich des Datenschutzes das höchste Vertrauen. Diese Einschätzung trifft die "BLC Studie Datenschutz 2018", durchgeführt von Berg, Lund & Company. "Den Vertrauensvorschuss und ihre große Kundenbasis müssen Banken nutzen, um neue Geschäftsmodelle mutig anzugehen", empfiehlt die Studie. Bleibt die Frage nach dem Wie? Das schnelle Entwickeln einer App ist die Antwort. Doch dafür gilt es zunächst, für Datenqualität und -schutz zu sorgen - und zwar so, dass sich der Datenzugriff nicht verlangsamt. Genau das blockieren die Datensilos, welche die meisten Banken verwalten.