EPS 980 versus SAS 117 – Compliance Audit Standards im Vergleich

Einleitung

Bereits Anfang des Jahres 2010 hat der Hauptfachausschuss des IDW einen neuen Prüfungsstandard im Entwurf veröffentlicht, den IDW EPS 980. Dieser behandelt die Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen und gewinnt zunehmend an Bedeutung, da vor allem das Nichteinhalten vorgegebener Regeln für ein Unternehmen zu gravierendem finanziellem Schäden sowie für Unternehmensorgane zu persönlichen Haftungs- und strafrechtlichen Risiken führen kann. Viele Unternehmen haben deshalb damit begonnen, sogenannte Compliance-Management-Systeme (CMS) einzuführen und diese durch Wirtschaftsprüfer prüfen zu lassen. Nun hat auch das Amerikanische Institut der Wirtschaftsprüfer (AICPA) einen aktualisierten Standard zur Prüfung von Compliance-Management-Systemen veröffentlicht, den SAS 117 – „Compliance Audits“. Dieser Standard löst alle bisherigen Standards und Veröffentlichungen des AICPAs zu diesem Thema ab. Das steigende Interesse an Compliance Management Themen und deren Prüfung wirft zusätzlich die Frage auf, inwieweit der EPS 980 mit dem amerikanischem Standard SAS 117 des AICPA vergleichbar ist und welche Auswirkungen er möglicherweise auch auf deutsche Unternehmen haben kann.

Der deutsche Standard EPS 980

Der deutsche EPS 980 des Instituts der Wirtschaftsprüfer (IDW) verdeutlicht den Inhalt freiwilliger Prüfungen von Compliance Management Systemen (CMS-Prüfungen) und legt die Berufsauffassung dar, nach der Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit derartige Aufträge durchführen. Er ist nach derzeitigem Stand erstmals für CMS-Prüfungen anzuwenden, die nach dem 30. Juni 2011 durchgeführt werden und steht im Einklang mit dem International Framework for Assurance Engagements und dem International Standard on Assurance Engagements (ISAE) 3000 „Assurance Engagements other than Audits or Reviews of Historical Financial Information“. Ziel einer CMS-Prüfung ist es, dem Prüfer anhand der festgelegten Kriterien eine Aussage mit hinreichender Sicherheit darüber zu ermöglichen (vgl. Tz. A7), ob

  • die Aussagen der gesetzlichen Vertreter in der CMS-Beschreibung zur Konzeption des CMS in allen wesentlichen Belangen zutreffend dargestellt sind und die CMS-Beschreibung auf sämtliche genannten Grundelemente eines CMS eingeht (Auftragstyp 1) oder
  • die Aussagen der gesetzlichen Vertreter in der CMS-Beschreibung über die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt sind, dass die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern und dass die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind (Auftragstyp 2), oder
  • die Aussagen der gesetzlichen Vertreter in der CMS-Beschreibung über die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt sind, dass die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern und dass die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind und während eines bestimmten Zeitraums wirksam waren (Auftragstyp 3).

Hierbei schreibt der EPS 980 nicht vor, welche Compliance-Risiken ein Unternehmen im Einzelnen beachten soll. Er gibt jedoch eine Beurteilung innerhalb der Prüfung dahingehend vor, ob nach einer systematischen Risikoanalyse abgeleitet wird, für welche Rechtsgebiete oder Unternehmenseinheiten eine Compliance-Maßnahme notwendig ist und worauf das Unternehmen verzichten will. Diesbezüglich empfiehlt der Standard folgende Grundelemente:

  • Compliance-Kultur: Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
  • Compliance-Ziele: Die gesetzlichen Vertreter legen auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insb. die Festlegung der relevanten Teilbereiche und der in den einzelnen Teilbereichen einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.
  • Compliance-Organisation: Das Management regelt die Rollen und Verantwortlichkeiten (Aufgaben) sowie Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung.
  • Compliance-Risiken: Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu wird ein Verfahren zur systematischen Risikoerkennung und -berichterstattung eingeführt. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen (z.B. Schadenshöhe) analysiert.
  • Compliance-Programm: Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Das Compliance-Programm wird zur Sicherstellung einer personenunabhängigen Funktion des CMS dokumentiert.
  • Compliance-Kommunikation: Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert, damit diese ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Im Unternehmen wird festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z.B. den Compliance-Beauftragten, die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) berichtet werden.
  • Compliance-Überwachung und Verbesserung: Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Voraussetzung für die Überwachung ist eine ausreichende Dokumentation des CMS. Werden im Rahmen der Überwachung Schwachstellen im CMS bzw. Verstöße festgestellt, werden diese an das Management bzw. die hierfür bestimmte Stelle im Unternehmen berichtet. Die gesetzlichen Vertreter sorgen für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.

Der amerikanische Standard SAS 117

Der SAS 117 ist für alle Prüfungen von CMS für Geschäftsjahre, die nach dem 15.06.2010 enden verpflichtend und löst den SAS 74 („Compliance Auditing Considerations in Audits of Governmental Entities and Recipients of Governmental Financial Assistance“) ab. Er gibt eine Richtline zur Durchführung und Berichterstattung einer CMS Prüfung vor und steht hierbei im Einklang mit den GAAS (Generally Accepted Auditing Standards) und den GAGAS, (Generally Accepted Government Auditing Standards), so dass diese Prüfung die staatlichen Anforderungen der USA erfüllt.

Bei einem SAS 117 gibt es ebenfalls drei Berichtstypen (Report on Compliance Only, Report on Compliance & Internal Control Over Compliance, Separate Report on Internal Control Over Compliance). Dadurch stellt er sicher, dass die Financial Statements frei von wesentlichen Fehlaussagen sind, die durch das Missachten von Gesetzen und Regeln verursacht wurden. Diesbezüglich hat der SAS 117 folgende wesentlichen Anforderungen an eine Compliance Prüfung:

  • Adapting & Applying GAAS: Durchführen einer Konformitätsprüfung, so dass die GAAS und GAGAS im Einklang mit den Prüfungszielen stehen.
  • Materiality Levels: Festlegen der wesentlichen Prüfungsschwerpunkte auf Basis der staatlichen Anforderungen. Diese werden in der Regel auf Basis der gesamtstaatlichen Richtlinien festgelegt und können jedoch je nach Zielgruppe angepasst werden.
  • Risk Assessment Procedures: Für alle staatlichen und geltenden Compliance Anforderungen, die für die Prüfung ausgewählt wurden, sollte der Prüfer eine Risikobewertung vornehmen, um ausreichend Kenntnis über die Compliance Anforderungen und die vorhandenen Kontrollen des Unternehmens zu erlangen.
  • Assessing the Risks of Material Noncompliance: Der Prüfer muss für alle Risiken bewerten, welche Folgen durch vorsätzliche oder unabsichtliche Verstöße gegen Compliance Vorgaben für das Unternehmen entstehen können und ob sich diese materiell auf die Vermögens-, Finanz- oder Ertragslage des Unternehmens auswirken werden.
  • Testing: Sollte der Prüfer über gravierende Risiken Kenntnis erlangen, die wesentlich die Unternehmens Compliance beeinflussen, so sollten durch den Prüfer weitere detaillierter Tests über die Effektivität der Kontrollen durchgeführt werden.
  • Reporting: Gemäß SAS 117 muss der Prüfer seine Ergebnisse in einem Bericht festhalten, der eine Vielzahl an Anforderungen erfüllen muss und sich in drei verschiedene Berichtstypen untergliedern lässt.
  • Documentation: Der Prüfer ist verpflichtet zu dokumentieren wie er sich ein Verständnis über das Risiko und die dazugehörigen internen Compliance-Kontrollen verschafft hat. Außerdem muss er die Herleitung und die Auswahl der Wesentlichkeitsgrenze, die Testmethoden und Ergebnisse sowie die Erfüllung der staatlichen Anforderungen dokumentieren.

Bemerkenswert am Standard sind zwei Auffälligkeiten: Zum einen „emanzipiert“ sich die Compliance-Prüfung mit diesem Standard und ist nicht mehr auf Regierungseinrichtungen beschränkt, wie dies noch beim SAS 74 der Fall war. Zum anderen wird aus der Nomenklatur – es ist ein Audit und nicht etwa ein Attest Standard – klar, dass Compliance Audits Teil der gesetzlich vorgeschriebenen Prüfungen im Rahmen der Jahresabschlussprüfung sind, oder zumindest sein sollen.

Unterschiede und Gemeinsamkeiten der Prüfungsstandards

Im Gegensatz zum EPS 980, der erst greift für CMS-Prüfungen die nach dem 30. Juni 2011 durchgeführt werden, ist der SAS 117 bereits für alle Prüfungen von CMS für Geschäftsjahre, die nach dem 15.06.2010 enden verpflichtend und löst einen bereits bestehenden Standard ab, den SAS 74 ab.

Neben einigen Unterschieden weisen die beiden Prüfungsstandards jedoch auch eine Reihe an Gemeinsamkeiten auf. Grundsätzlich geben beide Standards Richtlinien für eine CMS Prüfung vor. Sowohl der EPS 980 als auch der SAS 117 können je nach Intensität der Prüfung in drei Auftragstypen untergliedert werden, die je nachdem über unterschiedliche Berichtspflichten und Prüfungshandlungen verfügen. Beim Prüfungsvorgehen fällt vor allem die relativ freie Formulierung der beiden Standards auf. Sowohl der SAS 117 als auch der EPS 980 lassen dem Prüfer bei der Auswahl der relevanten Prüffelder und der Wahl der Wesentlichkeitsgrenze sehr viel Spielraum. Bei beiden Standards müssen durch eine Risikoanalyse die wesentlichen Prüfungsschwerpunkte herausgearbeitet werden und der Prüfer muss sich einen Überblick über die Integration des CMS in die Organisationsstruktur verschaffen. Auch was die Dokumentation der Prüfergebnisse, der Unabhängigkeit, der Risikoanalyse und der Wesentlichkeitsgrenzen anbelangt steht der deutsche EPS 980 dem amerikanischen SAS 117 in nichts nach. Allerdings: während der EPS 980 dem Prüfer vorgibt, worauf er beim geprüften Unternehmen achten muss, gibt der SAS 117 eher vor, wie der Prüfer zu arbeiten hat.

Insgesamt kann festgehalten werden, dass Compliance-Prüfungen hier mit unabhängigen Aussagen zur Angemessenheit und Wirksamkeit des implementierten CMS einen wichtigen Beitrag zur Überwachung leisten können. Insbesondere kann eine solche Prüfung für den Compliance Beauftragten und die zuständigen Organe (Vorstand und Aufsichtsrat) ein guter Nachweis sein, dass sie sich pflichtgemäß mit der Angemessenheit und Wirksamkeit des CMS beschäftigt haben.

Anwendung der Prüfungsstandards

Welche Unternehmen können oder müssen nun diese Prüfungsstandards besonders berücksichtigen?

Der EPS 980 stellt klar, dass es sich bei der Prüfung um eine freiwillige Prüfung handelt. Beauftragt das Unternehmen gleichwohl einen Wirtschaftsprüfer mit einer solchen Prüfung, so wird gemeinsam festzulegen sein, welcher Prüfungs- und damit welcher Berichtstyp der jeweiligen Unternehmenssituation und dem Informationsbedarf evtl. Adressaten benötigt und/oder angemessen ist. Bei der eigentlichen Prüfung wird der Wirtschaftsprüfer gezielt die Elemente, die im Standard genannt sind, versuchen zu identifizieren und sie anhand des Standards zu beurteilen. Der SAS 117 hingegen ist tendenziell eher an die Jahresabschlussprüfung gebunden und scheint daher obligatorisch zu werden.

Dennoch: Aufgrund der gegenwärtigen Lage steht es den Unternehmen frei, nach welchem Standard sie sich prüfen lassen. Unternehmen, die ihren Abschluss gemäß den US-GAAP erstellen oder Teil einer amerikanischen Unternehmensgruppe sind, ist der SAS 117 zu empfehlen.