Fachartikel

Prüfung von Compliance Management-Systemen

Compliance-Prüfungen: Aufbau, Überwachung und Verbesserung von Compliance Management-Systemen (CMS)
Neuer Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW): Bürokratie oder geeigneter Rahmen?

Von Andreas Wermelt und Christian Große (*)

(17.05.10) - Unternehmen und deren Management sollen im Einklang mit dem geltenden Recht und sonstigen regulatorischen oder vertraglichen Vorgaben handeln. Dies ist eine Binsenweisheit, die in den letzten Jahren auch in Deutschland unter dem Begriff Compliance eine beeindruckende Karriere gemacht hat – nicht zuletzt aufgrund zahlreicher Fälle von Korruption oder Kartellverletzungen, die aufgezeigt haben, dass Compliance offenbar nicht überall eine Selbstverständlichkeit ist.

Diese Entwicklung mag einer zunehmend sensibilisierten Öffentlichkeit geschuldet sein, die Unternehmen verstärkt hinsichtlich ihrer Verantwortung für die Auswirkungen ihres Handelns betrachtet. Dabei stehen insbesondere Bereiche wie z.B. bei Mitarbeiter, Lieferanten, Verbrauchern oder auch die Umwelt im Interesse der öffentlichen Diskussion, denen ein besonderes Schutzbedürfnis gegenüber den Auswirkungen "unternehmerischen" Handeln unterstellt wird,.

Die intensive Berichterstattung der Medien über die gesellschaftliche Verantwortung von Unternehmen und Verstöße gegen geltende Gesetze und Vorschriften lassen Unternehmen und ihre verantwortlichen Organe zunehmend aufhorchen. Wurden doch in vielen Unternehmen bereits in der Vergangenheit umfangreiche Maßnahmen zur Verbesserung der Compliance und zu deren organisatorischen Verankerung umgesetzt.

Heute stellt sich in diesem Zusammenhang für die Verantwortlichen verstärkt die Frage, warum trotz aller Vorkehrungen Compliance-Verletzungen im Unternehmen auftreten können. Auch ohne aktuelle Compliance-Verstöße im eigenen Unternehmen wird insbesondere vor der Erfahrung prominenter Unternehmen zunehmend hinterfragt, ob die eigenen Maßnahmen zur organisatorischen Umsetzung und Verankerung von Compliance tatsächlich ausreichen. In diesem Kontext kann eine unabhängige Einschätzung zur Angemessenheit und Wirksamkeit des implementierten Compliance Management Systems (CMS) im Rahmen einer Compliance-Prüfung einen wichtigen Beitrag zur Überwachung und Verbesserung leisten. Diese unterstützt die Geschäftsleitung und den Aufsichtsrat dabei, ihre Organisations- und Überwachungspflichten effizient zu erfüllen und nachzuweisen. Der Anfang April 2010 durch das Institut der Wirtschaftsprüfer veröffentlichte Entwurf eines Standards zur Durchführung von Prüfungen des Compliance Management Systems (EPS 980) bietet hier einen Orientierungsrahmen.

Compliance – die schwierige organisatorische Umsetzung von rechtlichen Rahmenbedingungen

Lange Zeit standen bei Compliance rechtliche Aspekte angesichts steigender Regulierungsdichte für Unternehmen im Vordergrund.

Die Praxis hat vielfach gezeigt, dass zu den rechtlichen Herausforderungen erhebliche und insbesondere kostenintensive organisatorische Umsetzungsprobleme kommen. Dazu gehört zu allererst die Frage, für welche Compliance-Risiken überhaupt Präventionsmaßnahmen eingeführt werden sollen und endet bei der Herausforderung, wie diese Maßnahmen konkret ausgestaltet sein müssen, damit die Mitarbeiter in der täglichen Arbeit die regulatorischen Anforderungen auch tatsächlich beachten.

Die Auswahl der Compliance-Risiken ist nicht ohne Folgen, da eine Überschätzung des Risikos zu einem Übermaß an organisatorischen Vorkehrungen und damit zu einer teureren Bürokratisierung führt. Unnütze Bürokratie ist nicht nur teuer, sie beschädigt auch die Akzeptanz von notwendigen Compliance-Maßnahmen bei den Mitarbeitern. Eine Unterschätzung von Risiken birgt allerdings auch die Gefahr von systematischen Compliance-Verstößen. Die Folgen wären im schlimmsten Fall rechtliche und finanzielle Konsequenzen für das Unternehmen und oft auch persönlichen Konsequenzen für Management, Mitarbeiter und Aufsichtsräte.

Genau aus diesem Grund sollen Aufsichtsräte im Rahmen ihrer – aktuell vom Gesetzgeber mit dem § 107(3) AktG weiter konkretisierten – Überwachungstätigkeit beurteilen, inwieweit das vom Management eingerichtete CMS den unternehmensindividuellen Anforderungen gerecht wird.

Compliance-Prüfungen können hier mit unabhängigen Aussagen zur Angemessenheit und Wirksamkeit des implementierten CMS einen wichtigen Beitrag zur Überwachung leisten. Insbesondere kann eine solche Prüfung für den Compliance Officer und die zuständigen Organe (Vorstand und Aufsichtsrat) ein guter Nachweis sein, dass sie sich pflichtgemäß mit der Angemessenheit und Wirksamkeit des CMS beschäftigt haben.

Compliance-Prüfung – der Blick durch eine "standardisierte Brille"

Wenngleich sich der Prüfungsstandard in erster Linie an Wirtschaftsprüfer richtet, die entsprechende Prüfungen zukünftig nach dieser Maßgabe durchführen, beinhaltet er auch einige grundlegende Aussagen und Hinweise zum CMS, die gleichermaßen für die Unternehmen interessant sind.

Mit dem neuen Prüfungsstandard des IDW werden Anforderungen an ein Compliance Management-System definiert. Dabei sind aber nur Grundsätze und Grundelemente benannt, die im Rahmen eines angemessenen und wirksamen CMS ausgeprägt sein sollten. Der Standard bietet hierfür ein konzeptionelles Gerüst, das flexibel genug ist, unternehmensindividuelle Besonderheiten einfließen zu lassen.

Beispielhaft kann man dies am Grundelement der Compliance-Risiken erkennen: Der Standard schreibt nicht vor, welche Compliance-Risiken ein Unternehmen im Einzelnen beachten soll. Er gibt jedoch eine Beurteilung innerhalb der Prüfung dahingehend vor, ob nach einer systematischen Risikoanalyse abgeleitet wird, für welche Rechtsgebiete oder Unternehmenseinheiten eine Compliance-Maßnahme notwendig ist und worauf das Unternehmen verzichten will.

Der IDW-Standard empfiehlt für ein angemessenes CMS die folgenden Grundelemente:

• 1. Compliance-Kultur: Die Kultur ist die Grundlage für die Angemessenheit und Wirksamkeit des CMS. Sie wird geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements und Aufsichtsorgans ("tone at the top").
• 2. Compliance-Ziele: Die gesetzlichen Vertreter legen auf Basis der Unternehmensziele die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insbesondere die Festlegung der in den einzelnen Teilbereichen einzuhaltenden Regeln.
• 3. Compliance-Organisation: Es werden die Rollen und Verantwortlichkeiten (Aufgaben) sowie die Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation festgelegt.
• 4. Compliance-Risiken: Es erfolgt eine Feststellung und Analyse der Risiken, die Verstöße gegen Regeln zur Folge haben können, in einem systematischen Verfahren der Risikoerkennung und -berichterstattung.
• 5. Compliance-Programm: Auf der Grundlage der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind.
• 6. Compliance-Kommunikation: Die Mitarbeiter und ggf. Dritte werden über das Compliance-Programm (inkl. Verantwortlichkeiten) informiert, damit diese ihre Aufgaben sachgerecht erfüllen. Es wird festgelegt, wie Risiken und Hinweise auf mögliche und festgestellte Regelverstöße kommuniziert werden.
• 7. Compliance-Überwachung und Verbesserung: Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Werden im Rahmen der Überwachung Schwachstellen bzw. Verstöße festgestellt, werden Verbesserungen des CMS eingeleitet.

Der Standard gibt insbesondere Hinweise, mit welchen Grundelementen und Konzeptionen (z.B. der Risikoanalyse) derartige Entscheidungen transparent und damit begründbar gemacht werden können und vermeidet damit die Etablierung von Quasi-Standards aufgrund von Compliance-Projekten bei großen Konzernen.

Dieser Rahmen passt somit für das mittelständische Unternehmen ebenso wie für DAX-Konzerne.

Nicht erst die Diskussion um die Stellung der Compliance-Beauftragten aufgrund der aktuellen Rechtsprechung des BGH hat ein Schlaglicht auf die schwierige Rolle des Compliance Offices geworfen. Alle organisatorischen Maßnahmen ziehen Kosten nach sich und unterliegen damit auch einem enormen Rechtfertigungsdruck.

Gerade der Compliance Officer steht hier vor einer besonderen Erwartungshaltung: Er soll kosteneffizient die Beachtung gesetzlicher und sonstiger Vorgaben organisieren bzw. sicherstellen. Dabei kann er de facto aber nur als Koordinator und Moderator agieren. Gerade in dezentral organisierten Unternehmen kann er die nachhaltige Einhaltung der Compliance-Maßnahmen nicht allein durchsetzen oder überwachen.

Ihm obliegt es aber, systematisch Schwachstellen zu ermitteln und Lösungen zu entwickeln und voranzutreiben.

Hier kann der Blick durch eine "standardisierte Brille" helfen, der den Status quo mit allen Risiken benennt und dem Compliance Officer für seine Feststellungen und Empfehlungen wichtige Argumente liefert. In der Regel ergibt sich daraus eine offene Diskussion mit den Verantwortlichen des Unternehmens.

Prüfung individueller Compliance Management Systeme
Der Nutzen von Prüfungsfeststellungen und Empfehlungen hängt für die verantwortlichen Manager und Organe im Unternehmen immer an der Klarheit des geprüften Objektes und der Prüfungsziele.

Neben der oben dargestellten eindeutigen Definition der Grundelemente eines CMS gibt der Prüfungsstandard drei verschiedene Möglichkeiten der Prüfung eines CMS, die sog. Auftragstypen, vor:

• 1. Beim Auftragstyp 1 geht es um die Beurteilung, ob die Angaben des Unternehmens zur Konzeption des CMS zutreffend sind. Die Konzeption des CMS umfasst u.a. die Maßnahmen zur Förderung einer günstigen Compliance-Kultur und den Prozess zur Feststellung und Analyse der relevanten Compliance-Risiken. Außerdem ist im Auftragstyp 1 zu beurteilen, ob die CMS-Beschreibung auf sämtliche Grundelemente (u.a. Compliance-Programm, Compliance-Kommunikation) eingeht.
• 2. Der Auftragstyp 2 überprüft – zusätzlich zu den Angaben gemäß Typ 1 – ob die Compliance-Maßnahmen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern. Also, ob die Compliance-Maßnahme in der unternehmensspezifischen Situation angemessen sind. Außerdem ist zu beurteilen, ob die adressierten Compliance-Maßnahmen zu einem bestimmten Zeitpunkt in den jeweiligen Unternehmenseinheiten tatsächlich implementiert sind. Es wird also auch die Existenz beurteilt.
• 3. Zusätzlich den zu den Aussagen der Typen 1 und 2 untersucht der Auftragstyp 3, ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraums wirksam waren. Es geht also um die Untersuchung, ob die Mitarbeiter in den zu untersuchenden Unternehmenseinheiten die speziellen Compliance-Maßnahmen nachhaltig während eines bestimmten Zeitraums beachtet haben. Diese Aussage erfolgt wie bei jeder Prüfung und Überwachung mit hinreichender Sicherheit, da sich systemimmanente Grenzen auch bei einem ansonsten wirksam erscheinenden CMS (u.a. aus menschlichen Fehlleistungen oder durch Außerkraftsetzung von Maßnahmen durch Zusammenarbeit zweier oder mehrerer Personen) ergeben können.

Insbesondere dann, wenn ein Unternehmen sich in der Einführung oder der Reorganisation eines CMS befindet, kann es von erheblichem Vorteil sein, CMS oder Teilbereiche des Compliance-Programmes in verschiedenen Stadien zu überprüfen. Diese können gemäß den drei Auftragstypen von der Konzeption bis hin zur Implementierung und letztendlich der Überprüfung der Wirksamkeit des Compliance Management Systems reichen.

Die Prüfung der Konzeption des CMS vor der Einführung der Maßnahmen im Unternehmen kann der Geschäftsführung bzw. den verantwortlichen Compliance Officer wertvolle Hinweise zur Vollständigkeit oder Angemessenheit der vorgesehenen Maßnahmen geben. Es bietet sich an, in der Praxis CMS Bestandteile zu pilotieren und einen "Praxis-Check" durchzuführen, bevor große Teile des CMS unternehmensweit ausgerollt werden. Diesen Praxis-Check kann der Prüfer ebenfalls begleiteten und seine Expertise einbringen.

Die Auftragstypen des Standards – nach deren Maßgabe Wirtschaftsprüfer zukünftig prüfen müssen – bieten dafür ausreichende Flexibilität und machen durch die Typisierung der Prüfungsaussagen den Prüfungsumfang für jeden Beteiligten vergleichbar und verständlich.

Aufgrund des unterschiedlichen Prüfungsumfangs sind natürlich auch der Prüfungsaufwand und damit die Kosten unterschiedlich zu bemessen. Dies stellt einen wichtigen Aspekt für Unternehmen dar, deren Compliance Management bei aller Notwendigkeit auch ein Kostenfaktor ist. (PricewaterhouseCoopers: ra)

Autoreninfo:
(*) Die Autoren Andreas Wermelt (Partner) und Christian Große (Senior Manager) sind Mitarbeiter des Bereiches Corporate Governance Services von PriceWaterhouseCoopers WPG AG. Als Wirtschaftsprüfer haben die Autoren langjährige Erfahrungen bei der Einführung und Prüfung von Compliance Management Systemen.

PricewaterhouseCoopers: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Entscheidungshilfen

Soziale Netzwerke im Web 2.0-Zeitalter Das Privat- und Berufsleben auf Web 2.0-Kommunikationsplattformen wie Facebook, Xing & Co wächst rasant zusammen. Unternehmen müssen jetzt ihre Hausaufgaben in Sachen Nutzungsrichtlinien machen, damit der Umgang mit den Online-Kontaktnetzwerken geregelt ist.

Compliance-Projekte in Finanzinstituten Obwohl Compliance in den letzten Jahren ein zentrales Thema deutscher Banken geworden ist, funktioniert die Umsetzung häufig nicht reibungslos. Viele Kreditinstitute betrachten die Erfüllung der Anforderungen immer noch als notwendiges Übel – die Umsetzung wird daher teilweise kurzfristig und nicht umfassend genug aufgesetzt. Unliebsame Nebenwirkungen, die derzeit bei vielen Banken auf keinem Beipackzettel der Umsetzungsplanung stehen, sind oftmals die Folge. Anstatt die Sicherheit für Bankkunden und Geldhäuser zu erhöhen, lähmen sie die reibungslosen Abläufe im Unternehmen. Umso wichtiger ist es für die Institute, die möglichen Begleiterscheinungen von Compliance und ihre Ursachen zu kennen – nur dann können sie ihnen von Beginn an mit einem umfassenden Projekt systematisch entgegensteuern.

Kostengünstige Umsetzung der BilMoG-Anforderungen Mit dem 29. Mai 2009 ist das BilMoG (Bilanzrechtsmodernisierungsgesetz) in Kraft getreten. Demnach müssen kapitalmarktorientierte Kapitalgesellschaften erstmals die wesentlichen Merkmale ihres internen Kontroll- und Risikomanagementsystems in Hinblick auf den Rechnungslegungsprozess beschreiben. Gerade in Zeiten, in denen die Budgets ohnehin knapp sind, kommen so noch weitere Kosten auf die Unternehmen zu. Dr. Anne-Katrin Straesser, Autorin des Buches "7 Secrets of Highly Profitable Internal Control Systems" gibt dazu vier Tipps, wie Unternehmen Kosten sparen können, wenn diese Anforderung umgesetzt wird.

Compliance garantiert keine Sicherheit Im Compliance-Wettrennen mit internationalen Gesetzgebungen und Richtlinien bleibt die IT-Sicherheit nur zu oft auf der Strecke. Der amerikanische Compliance-Experte Paul Reymann empfiehlt, die Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit zu nehmen, um Kopfschmerzen zu vermeiden und automatisch zur Compliance zu gelangen.

Whistleblowing und Hinweisgebersysteme Im Zuge einer verstärkten Compliance-Diskussion in Deutschland gewinnt auch das Thema Whistleblowing hierzulande immer mehr an Bedeutung. Hinweise, die über Whistleblower die relevanten Stellen im Unternehmen erreichen sollen, werden über sogenannte Hinweisgebersysteme aufgenommen. Obwohl diese Systeme zumeist die gleichen Ziele verfolgen, unterscheiden sich die in den Unternehmen eingesetzten Hinweisgebersysteme in ihrer Anwendung stark voneinander.

Checkliste für sicheren Umgang mit Dokumenten Die Anzahl wichtiger Unternehmensdokumente, die in gedruckter Form auf Papier vorliegen, nimmt im digitalen Zeitalter zwar immer weiter ab. Dennoch müssen Unternehmen auch heute noch mit einer großen Zahl physischer Dokumente umgehen, die es zu indexieren und archivieren gilt - sei es aufgrund rechtlicher Vorschriften oder interner Vorgaben. Iron Mountain hat deshalb eine Checkliste für den sicheren Umgang mit Unternehmensdokumenten zusammengestellt.

Immer häufiger: Die Umsatzsteuer-Nachschau Aus Angst vor Steuerausfällen erschwert das Bundesfinanzministerium (BMF) deutschen Unternehmen das Prozedere bei innergemeinschaftlichen Lieferungen. Mit einem aktuellen Schreiben (BMF-Schreiben vom 06.01.09) stemmt es sich gegen Erleichterungen, die der Europäische Gerichtshof im Hinblick auf die Steuerbefreiung solcher Lieferungen geschaffen hat.

Outsourcing und Compliance In vielen IT-Abteilungen regiert derzeit der Rotstift, da die Auswirkungen der aktuellen Krise an den Finanzmärkten auf die reale Wirtschaft nicht ausbleiben. Das Thema Outsourcing bekommt dadurch erneut Rückenwind: In Boomzeiten gilt es als gute Möglichkeit, um Zugang zu neuen Technologien und Ressourcen zu erhalten und in Krisenzeiten gilt Outsourcing als Kostensenker. Dabei ist kaum ein Thema gleichzeitig so umstritten. Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell, untersuchen, welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen kann und welche Hürden gemeistert werden müssen.

Regelbasiertes Rechtemanagement und Compliance Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen. Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen.

Regeln für die Healthcare Compliance Eine gute und transparente Zusammenarbeit braucht klare Regeln. Gemeinsam mit den Partnern in den Krankenhäusern und der Ärzteschaft engagieren sich der BVMed und seine Mitgliedsunternehmen seit vielen Jahren intensiv dafür, der Kooperation im Gesundheitsmarkt eine sichere und transparente Grundlage zu geben. Gemeinsam wurden der "Kodex Medizinprodukte", der "Gemeinsame Standpunkt" und Mustervertragselemente zur Zusammenarbeit entwickelt.