Unter dem Begriff „Compliance“ wird allgemein die Einhaltung von Regeln (z.B. Gesetze, vertragliche Verpflichtungen, interne Regeln und Richtlinien) verstanden. Ein Compliance-Management-System (CMS) umfasst daher alle Grundsätze und Maßnahmen, die ein regelkonformes Verhalten aller Beteiligten sicherstellen und Verstöße gegen festgelegte Regeln verhindern sollen. Es umfasst auch die Maßnahmen, die wesentliche Regelverstöße aufdecken.
In diesem Zusammenhang hat das Institut der Wirtschaftsprüfer (IdW) am 11.03.2010 einen Entwurf zum Prüfungsstandard 980 (EPS 980) verabschiedet, welcher die „Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen“ behandelt. Der gestiegene Bedarf nach diesem Prüfungsstandard resultiert aus den zunehmenden Haftungsrisiken für die Aufsichtsräte und Vorstände. Diese sind durch verschiedene Gesetze persönlich haftbar für Verstöße ihrer Unternehmung, falls ihnen eine Vernachlässigung ihrer Aufsichtspflichten nachgewiesen werden kann (z.B. § 91 (2) AktG, § 43 GmbHG). Diese möchten sich durch eine Zertifizierung ihres CMS durch den Wirtschaftsprüfers oder Zertifizierungsstelle bestätigen lassen, allen Aufsichts- und Organisationspflichten nachgekommen zu sein.
Der EPS 980 konkretisiert die Inhalte dieser freiwilligen Prüfung eines CMS. Es hat zum Ziel, den Prüfer in die Lage zu versetzen, „anhand festgelegter Kriterien eine Aussage mit hinreichender Sicherheit über die in der CMS-Beschreibung getätigten Aussagen der gesetzlichen Vertreter zur Konzeption, zur Darstellung, zur Eignung der Maßnahmen zur Risikoerkennung und zur Implementierung der Grundsätze und Maßnahmen des CMS zu ermöglichen“. In den weiteren Abschnitten wird auf die Prüfungsanforderungen eingegangen und neben den Berufspflichten die zu erfüllenden Bedingungen erläutert, nach dem ein Auftrag zur CMS-Prüfung durch die Zertifizierungsstelle angenommen werden darf.
Exkurs CMS
Zum besseren Verständnis, welche wesentlichen Bestandteile ein CMS umfasst, wird hier der Prozess der CMS-Erstellung in vereinfachter Form dargestellt:
- Im ersten Schritt werden die Ziele durch die gesetzlichen Vertreter festgelegt, die durch das CMS erreicht werden sollen, z.B. für welchen Teilbereich das CMS gelten soll.
- Im nächsten Schritt findet die Auswahl eines allgemein anerkannten Rahmenkonzeptes statt (z.B. COSO II, Foundation Guidlines „Red Book“), welches die Grundlage für die CMS-Grundsätze bildet.
- Auf Basis dieses Rahmenkonzeptes werden die einzelnen Grundelemente eines CMS detailliert beschrieben und Grundsätze und Maßnahmen definiert. Folgende Grundelemente sind dabei zu berücksichtigen und zu beschreiben:
- Compliance-Kultur
- Compliance-Ziele
- Compliance-Organisation
- Compliance-Risiken
- Compliance-Programm
- Compliance-Kommunikation
- Compliance-Überwachung und Verbesserung - Im letzten Schritt werden in der CMS-Beschreibung explizite oder implizite Aussagen der gesetzlichen Vertreter zu Art, Umfang und Zeitpunkt der Konzeption des CMS bzw. zur Angemessenheit, Implementierung und Wirksamkeit des CMS zu einem bestimmten Zeitpunkt bzw. in einem bestimmten Zeitraum gemacht. Die CMS-Verantwortlichen gehen in der CMS-Beschreibung detailliert auf die einzelnen Grundelemente und ihre Ausgestaltung ein.
Die Prüfung des CMS
Die CMS-Prüfung nimmt die CMS-Beschreibung als Grundlage für ihre Untersuchungen und prüft die dort getätigten Aussagen der gesetzlichen Vertreter auf ihre Vollständigkeit und Bestandskraft. Dabei unterscheidet der IdW drei Auftragstypen der CMS-Prüfung, die sich nach Gegenstand, Ziel und Umfang unterscheiden:
Auftragstyp 1:
Die Prüfung nach Auftragstyp 1 zielt auf die Beschreibung der Konzeption eines CMS ab. Es wird geprüft, dass in der CMS-Beschreibung auf alle Grundelemente eines CMS (s.o.) eingegangen wird und die Beschreibung vollständig und ausreichend ist.
Auftragstyp 2:
Der Inhalt des Auftragstyps 2 geht einen Schritt weiter und hat die Maßnahmen und Grundsätze im Fokus. Es wird geprüft, dass „die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt sind, dass die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern und dass die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind“.
Auftragstyp 3:
Der Auftragstyp 3 prüft indes über den Auftragstyp 2 hinaus, dass die Maßnahmen und Grundsätze zudem für einen definierten Zeitraum tatsächlich wirksam waren.
Die Beurteilung der Konzeption ist ebenfalls Bestandteil der Auftragstypen 2 und 3. Es kann aber vereinbart werden, dass die Beschreibung zur Konzeption separat beurteilt wird.
Wir werden weitere Beiträge zum Thema hier veröffentlichen. Schauen Sie regelmäßig vorbei!