B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980

Transkript

1 kationsstrategie für den Umgang mit Unternehmensangehörigen sowie für die allgemeine Öffentlichkeit, insbesondere die Medien, festgelegt werden. Diese muss eine eindeutige Zuständigkeit für sämtliche unternehmensinternen und -externen Äußerungen enthalten: Pressemeldungen, interne Verlautbarungen, die Beauftragung von Fachgutachten, die Einschaltung von externen Beratern und Spezialisten sind von einer verantwortlichen Funktion zu beauftragen und zu gestalten. Nur durch ein derartiges striktes Reglement von Aufgaben und Zuständigkeiten kann das Reputationsrisiko minimiert und möglicher Schaden vom Unternehmen abgewendet werden. B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 I. Einleitung 105 Das Institut der Wirtschaftsprüfer in Deutschland e.v. (IDW) hat mit dem am vom IDW-Hauptfachausschuss verabschiedeten Prüfungsstandard Grundsätze ordnungsmäßiger Prüfung von Compliance Management-Systemen (IDW PS 980; nachfolgend auch Standard ) ein breites Echo in der betriebswirtschaftlichen und juristischen Literatur hervorgerufen 46 und auch die Diskussion in den Unternehmen um ein gutes Compliance Management und eine mögliche Reduktion der strafund zivilrechtlichen Konsequenzen für Organmitglieder aus Compliance-Verfehlungen angeregt. 106 Dabei richtet sich der IDW PS 980 wie alle IDW-Prüfungsstandards streng genommen nur an die Mitglieder des IDW, die aus der Satzung des Vereins eine Verpflichtung zur Beachtung der Standards haben. 47 Die Rechtsnatur der Standards für Nicht- Mitglieder ist unumstritten: der IDW hat als privater Verein keinerlei direkte oder derivative Rechtssetzungskompetenz. 48 Allerdings geht die Bedeutung gerade des IDW PS 980 als [ ] Beitrag sachkundiger Wirtschaftsprüfer zur Formulierung allgemein umschriebener, nicht konkret bezeichneter Grundsätze [ ] 49 faktisch über den gesteckten Rahmen weit hinaus. Dies lässt sich neben der zugemessenen Sachkunde im Wesentlichen aus zwei Gründen herleiten: Zum einen füllt der Standard ein Vakuum bei der Gestaltung von Compliance Management-Systemen, da es in Deutschland keinen Standard und keine komprimierten und veröffentlichten Good oder Best Practices für Compliance Management-Systeme gibt und gesetzliche Vorgaben wie in den USA oder Großbritannien fehlen. Da jede Prüfung ein Soll-Objekt erfordert, hat der Standard Anforderungen an zu prüfende Systeme formuliert und so Unternehmen und Beratern Hilfestellung bei der Ausgestaltung von CMS gegeben. 46 Stellvertretend für viele: Böttcher NZG 2011, 1054 ff.; Görtz BB 2012, 178 ff.; Gelhausen/Wermelt CCZ 2010, 208 ff.; Rieder/Jerg CCZ 2010, 201ff.; Schefold ZRFC 2011, 221 ff.; Schefold ZRFC 2012, 209 ff.; Schemmel/Minkoff CCZ 2012, 49 ff.; Withus/Hein CCZ 2011, 125 ff.; von Busekist/Hein CCZ 2012, 41 ff.; von Busekist/Schlitt CCZ 2012, 86 ff. 47 Vgl. MünchKomm HGB/Ebke 2. Aufl. 2009, 323 Rn Vgl. Böttcher NZG 2011, 1054 ff. 49 Vgl. Böttcher NZG 2011, 1056 m.w.n. 152 Hülsberg/Laue

2 Die Prüfung von Compliance Management-Systemen nach IDW PS Zum anderen hat der mit der Erarbeitung des IDW PS 980 beauftragte Arbeitskreis des IDW während des rund zweijährigen Entstehungsprozesses des Standards zahlreiche Unternehmensvertreter einbezogen und so den Entwicklungsstand der Compliance Management-Systeme und die Anforderungen und Erwartungen der Unternehmen an eine Prüfung in den Standard eingearbeitet. Nach Veröffentlichung des Standards hat der Arbeitskreis erste Erfahrungen mit dem Standard sowie mögliche Weiterentwicklungen diskutiert und Mitte 2012 einen Workshop mit Compliance-Beauftragten deutscher Unternehmen sowie Anfang 2013 einen Workshop mit Compliance-Beauftragten, Juristen, Hochschulvertretern und Staatsanwälten durchgeführt. Aus diesen Gründen hat der IDW PS 980 inzwischen erhebliche Relevanz bekommen. Immer mehr Berater Juristen wie Betriebswirte und zahlreiche Unternehmen richten sich an den Grundelementen aus, die der Standard als Prüfungsgegenstand skizziert und zahlreiche Unternehmen lassen ihr Compliance Management-System bereits nach dem Standard prüfen. 50 Der Beitrag ist in die Kernfragen Was wird warum von wem wie geprüft? gegliedert II. Was der Prüfungsgegenstand Der Standard definiert ein Compliance Management-System (CMS) als die Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens des gesetzlichen Vertreters und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen. 51 Regelkonformes Verhalten beinhaltet dabei die Befolgung von Gesetzen und unternehmensinternen Richtlinien und folgt damit dem Compliance-Begriff des Deutschen Corporate Governance Kodex. 52 Der Standard weist eingangs auf die Verantwortung der gesetzlichen Vertreter zur Einrichtung, Ausgestaltung und Überwachung des CMS hin und stellt klar, dass hier eine unternehmerische Entscheidung vorliegt und somit ein Organisationsermessen besteht, das die unternehmensindividuellen Gegebenheiten berücksichtigen kann und soll. 53 Insofern läuft der verschiedentlich geäußerte Vorwurf einer durch den Standard postulierten one size fits all -Lösung a priori ins Leere. 54 Von zentraler Bedeutung für den Prüfungsgegenstand, das Was, ist das Soll-Objekt als Prüfungsmaßstab, wobei zwischen dem juristischen Sollen (Einhaltung von Gesetzen) und dem betriebswirtschaftlichen Soll-Objekt für Prüfungszwecke zu unterscheiden ist Nach einer von den Verfassern zusammengetragenen Marktübersicht lässt rd. ein Drittel der DAX30-Unternehmen derzeit ihr Compliance Management-System gegen den IDW PS 980 prüfen oder hat es bereits prüfen lassen. Dazu kommen rd. 100 börsennotierte sowie zumeist größere mittelständische Unternehmen. Daneben ist das positive Feedback auf internationaler Ebene zu erwähnen, das von verschiedenen nationalen Standard Settern und dem IAASB sowie dem AICPA gegeben wurde. 51 IDW PS 980 Tz IDW PS 980, Tz IDW PS 980 Tz So geäußert von Rieder/Jerg CCZ 2010, Vgl. Withus/Hein CCZ 2011, 130. Hülsberg/Laue 153

3 Das juristische Sollen ist nicht Betrachtungsgegenstand dieses Kapitels. Es sei nur darauf hingewiesen, dass der Meinungsstand eindeutig ist: Die Zielvorstellung, also der gesetzes- und regelkonforme Auftritt des Unternehmens, ist gesetzlich festgelegt worden. Der Weg zur Erreichung dieses Ziels dagegen unterliegt unternehmerischem Ermessen, sodass nicht zwangsläufig die Implementierung eines CMS für jedes Unternehmen geboten ist. 56 AlsLeitfaden für die Konzeption und Ausgestaltung des betriebswirtschaftlichen Soll-Objekts lässt der Standard CMS-Grundsätze zu, die auf allgemein anerkannten Rahmenkonzepten 57 beruhen oder die vom Unternehmen selbst entwickelt wurden. Zu den allgemein anerkannten Rahmenkonzepten zählen u.a. das Foundation Guidelines Red Book, der Australian Standard on Compliance Programs (AS ) oder das aus dem Risikomanagement bekannte COSO II - Framework; daneben verweist der Standard auch auf Rahmenkonzepte für bestimmte Rechtsgebiete (z.b. auf die Geschäftsgrundsätze für die Bekämpfung von Korruption ) oder für bestimmte Branchen (z.b. das Pflichtenheft zum Compliance Management in der Immobilienwirtschaft ). 58 Quasi als Essenz 59 der allgemein anerkannten Rahmenkonzepte zählt der Standard sieben Grundelemente auf, die ein angemessenes CMS in unterschiedlicher Ausprägung beinhaltet: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation, Compliance-Überwachung und Verbesserung 60 und erläutert diese im Anhang. 61 Die Kritik, dass der Standard durch eine willkürliche Zusammenstellung den unzutreffenden Eindruck einer one size fits all - Lösung erweckt, solange die sieben Elemente adressiert sind, 62 hat auch durch die Ableitung aus den anerkannten Rahmenkonzepten keinen Bestand. Darüber hinaus stellen von Busekist/Hein fest, dass sich nach einer genauen Analyse der zu 130 Abs.1 OWiG ergangenen Entscheidungen alle Grundelemente des Standards der gehörigen Aufsicht zuordnen lassen und 130 OWiG damit nicht nur abbilden, sondern weiter präzisieren. 63 Der Standard stellt eingangs fest, dass der Prüfungsgegenstand nicht bzw. nicht notwendigerweise das vollständige CMS eines Unternehmens ist, sondern dass eine 56 Stellvertretend für viele: Hülsberg/Münzenberg Audit Committee Quartely II/2012, 16 ff.; Schaefer/ Baumann NJW 2011, 3601 ff. 57 Als solche definiert der Standard Rahmenkonzepte, die von einem autorisierten oder anerkannten Standardsetzer im Rahmen eines transparenten Verfahrens (einschl. Veröffentlichung eines Entwurfs und Einholung von Stellungnahmen) entwickelt und verabschiedet wurden; IDW PS 980 Tz.9,A6. 58 Eine Übersicht über die allgemein anerkannten Rahmenwerke ist dem Standard als Anlage beigefügt; die Anlage nennt auch die Standardsetzer und enthält die Quellennachweise. 59 Vgl. auch Schefold ZRFC 2011, 222, der von einer Extraktion aus den Rahmenwerken spricht. 60 IDW PS 980 Tz. 10, IDW PS 980 Tz S. Rn Vgl. von Busekist/Hein CCZ 2012, Hülsberg/Laue

4 Die Prüfung von Compliance Management-Systemen nach IDW PS klare Abgrenzung des Prüfungsgegenstandes erforderlich ist. Diese Abgrenzung kann darin bestehen, dass bestimmte Unternehmensbereiche (z.b. Gesellschaften, Sparten, Regionen), Unternehmensprozesse (z.b. Einkauf, Vertrieb, F&E) oder Rechtsgebiete (z.b. Kartellrecht, Datenschutz, Antikorruptionsrecht) als Prüfungsgegenstand festgelegt werden. 64 Diese Festlegung hat elementare Bedeutung für Prüfungsaufwand und -wirkung. Je weiter der Prüfungsgegenstand gefasst wird, desto höher ist naturgemäß der Prüfungsaufwand. Allerdings kann die Prüfung auch ausschließlich in den als Prüfungsgegenstand festgelegten Bereichen ihre intendierten Wirkungen entfalten. Wie im Folgenden anhand des Prüfungsvorgehens deutlich werden wird, ist ein erheblicher Teil der Prüfungshandlungen auf den konzeptionellen Überbau für die einzelnen CMS-Teilgebiete ausgerichtet, sodass sich bei einer weiten Abgrenzung der zu prüfenden Teilgebiete des CMS Skaleneffekte ergeben. III. Wer potenzielle Prüfer Es besteht i.d.r. keine Verpflichtung für Unternehmen, ihr CMS (extern) prüfen zu lassen, sodass die Prüfung auch unternehmensintern durchgeführt werden kann. 65 Sofern die Entscheidung für eine externe Prüfung fällt, kommen regelmäßig verschiedene Berufsgruppen und Unternehmen in Betracht; hierzu zählen insbesondere Wirtschaftsprüfer und Rechtsanwälte, aber auch sonstige Personen mit Sachverstand im Bereich von CMS. 66 Auch ist eine Prüfung intern wie extern nicht zwingend nach einem bestimmten Standard durchzuführen, wobei in diesem Kapitel ausschließlich eine Prüfung nach IDW PS 980 betrachtet wird. Sofern der Standard nicht allein deswegen zur Anwendung kommt, weil die Prüfung von einem IDW-Mitglied durchgeführt wird, so sollte er doch in seinen Grundzügen auch von anderen sachverständigen Prüfern angewendet werden, da er sich von den sonstigen Prüfungskonzepten durch seinen hohen Standard erheblich unterscheidet. 67 Am Markt sind auch Prüfungsangebote zu finden, die überwiegend oder ausschließlich auf einer Selbstbeurteilung ( Self Assessment ) der Unternehmen beruhen; dies erreicht i.d.r. nicht die Qualität einer Prüfung nach IDW PS 980. Unter Beachtung des vorstehend Gesagten ist der Kreis der potenziellen Prüfer weit zu ziehen: Interne Prüfungen eines CMS werden üblicherweise durch die Innenrevision vorgenommen, wobei die Arbeitsgruppe 2 des Forum Compliance & Integrity des Anwenderrats für Wertemanagement die Innenrevision als neutrale Stelle gleichwertig mit externen Prüfern wie Wirtschaftsprüfern und Rechtsanwälten sieht 68 und IDW PS 980 nennt in Tz. A3 diese und weitere Beispiele. 65 Der Banken-, Versicherungs- und Wertpapiersektor wird hier nicht betrachtet. Daneben gibt es einige Branchenstandards wie das Pflichtenheft zum Compliance Management in der Immobilienwirtschaft des Initiativkreises Corporate Governance in der deutschen Immobilienwirtschaft e.v., die eine externe Auditierung des CMS vorsehen; abrufbar unter 66 Vgl. Forum Compliance & Integrity Thesenpapier/Whitepaper Prüfung von Compliance-Management-Systemen", Stand: Dezember 2012, abrufbar unter 67 Vgl. Withus/Hein CCZ 2011, 132. Auszunehmen sind die Hinweise des Standards auf den Berufsstand des Wirtschaftsprüfers und die daran geknüpften direkten Berufspflichten. 68 Vgl. Forum Compliance & Integrity S. 6 f. Hülsberg/Laue 155

5 als Vorteil der Innenrevision anführt, dass diese mit den Prozessen und der Kultur des Unternehmens vertraut sei und daher wertvollere Erkenntnisse und Ergebnisse bringen könne als ein externer Berater bzw. Prüfer. 69 An eine Prüfung des CMS durch die Innenrevision in Anwendung der Grundzüge des Standards sind hinsichtlich Unabhängigkeit und fachlicher Qualifikation die Anforderungen des Institute of Internal Auditors in den Standards IIA 1100 ff. und IIA 1200 ff. 70 zu beachten. Externe Prüfungen können durch Wirtschaftsprüfer oder andere Dritte vorgenommen werden, die den erforderlichen Sachverstand mitbringen bzw. multidisziplinäre Teams zusammenstellen können, um den notwendigen juristischen Sachverstand zur Beurteilung der Abdeckung relevanter Gesetze sowie den betriebswirtschaftlichen Sachverstand in Hinsicht auf Prozessabläufe und Organisationsstrukturen abzudecken. 71 Der Standard verlangt bereits bei der Auftragsannahme die Prüfung, ob die notwendigen Fach- und Branchenkenntnisse sowie Erfahrungen mit den einschlägigen rechtlichen Anforderungen vorhanden sind. 72 Der Standard sieht vor, dass zur Abdeckung besonderer Anforderungen (z.b. bei IT-gestützten Bestandteilen des CMS) und insbesondere für die durch die Prüfung abzudeckenden Rechtsgebiete Spezialisten hinzuzuziehen sind. 73 Insofern wird die Prüfung im Regelfall durch multidisziplinäre Teams von Wirtschaftsprüfern und Rechtsanwälten, fallweise ergänzt durch weitere Spezialisten, durchgeführt werden. 74 Der zwischenzeitlich von einigen Rechtsanwälten unternommene Versuch, im Rahmen von Fachartikeln Lobbyarbeit zu betreiben und ausschließlich Rechtsanwälten die Kompetenz zur Prüfung eines CMS zuzuweisen, 75 ist von der Unternehmenspraxis wie von der Literatur 76 inzwischen als durchscheinend und untauglich zurückgewiesen worden. Auch die Frage, ob der Abschlussprüfer eines Unternehmens auch dessen CMS nach dem Standard prüfen darf, kann unter Beachtung der gesetzlich und berufsrechtlich anzulegenden Unabhängigkeitsregeln bejaht werden. 77 IV. Wie Ziel und Vorgehen bei der Prüfung 113 In diesem Abschnitt soll dargestellt werden, welche Formen der Beauftragung eines CMS-Prüfers aus dem Standard abzuleiten sind. Dieser geht in seiner konzeptionellen Ausrichtung davon aus, dass das beauftragende Unternehmen eine Aussage über die tatsächliche Wirksamkeit des CMS einholt. In diesem Fall spricht der Standard hier auch von der umfassenden Prüfung 78. Allerdings wird ebenso explizit darauf hingewiesen, dass auf dem Weg zur umfassenden Wirksamkeitsprüfung der Prozess der 69 Vgl. Forum Compliance & Integrity S Abrufbar unter 71 Vgl. Withus/Hein CCZ 2011, 131 f. 72 IDW PS 980 Tz. 25 f. 73 IDW PS 980 Tz. 25, 26, 32, 49, A Vgl. Böttcher NZG 2011, 1054; Gelhausen/Wermelt CCZ 2010, 211; Görtz BB 2012, Vgl. Rieder/Jerg CCZ 2010, 204 f. 76 Stellvertretend für viele und bes. deutlich: Schemmel/Minkoff CCZ 2012, Anders: Rieder/Jerg CCZ 2010, 204 f., die dies mit einer Selbstprüfung begründen. Diese liegt aber nur dann vor, wenn der Abschlussprüfer an der Erstellung des CMS mitgewirkt hätte und nicht durch die Doppel -Prüfung des CMS in seiner Funktion als Abschlussprüfer und Prüfer des CMS mit separater Beauftragung. 78 Vgl. IDW PS 980 Tz Hülsberg/Laue

6 Die Prüfung von Compliance Management-Systemen nach IDW PS Entwicklung und Einführung eines CMS durch den CMS-Prüfer prüferisch begleitet werden kann. Als Zwischenstufen werden dabei die Konzeptionsprüfung sowie die Angemessenheitsprüfung benannt. 79 Beide unterscheiden sich materiell von der Wirksamkeitsprüfung. 1. Konzeptionsprüfung Bei der Konzeptionsprüfung trifft der CMS-Prüfer lediglich eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen zur Konzeption des CMS angemessen dargestellt sind. Sie ist damit alleiniger Prüfungsgegenstand. Die Prüfung ist im Wesentlichen darauf gerichtet, ob alle im Standard definierten Grundelemente mit Maßnahmen und Prozessen ausgestaltet und beschrieben sind. Neben der reinen Vollständigkeit ist die Konzeption darüber hinaus noch daraufhin zu beurteilen, ob sie in der dargelegten Form für das Unternehmen zutrifft. Die Abgrenzung zur hier ebenfalls beschriebenen Angemessenheitsprüfung kann im Zweifelsfall schwierig sein. Bei der Bestimmung von Art und Umfang der Prüfungshandlungen sind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Als Prüfungshandlungen kommen daher insbesondere Befragungen (z.b. der gesetzlichen Vertreter) und die Durchsicht von Organisationsunterlagen (z.b. Protokolle, Berichte der internen Revision, Handbücher) in Betracht. 80 Keinesfalls ist in der Konzeptionsprüfung jedoch zu verifizieren, ob die eingerichteten Prozesse und Maßnahmen überhaupt geeignet sind, die Compliance-Risiken angemessen zu adressieren. Die Prüfungsaussage als solche ist hier demnach sehr eingeschränkt und dürfte in aller Regel nur als Vorstufe zu einer sich anschließenden Angemessenheits- oder Wirksamkeitsprüfung gesehen werden. 2. Angemessenheitsprüfung Die Prüfung der Angemessenheit des CMS schließt sich inhaltlich an die zuvor vorgenommene Würdigung der Konzeption an. In diesem Schritt werden allerdings die eingerichteten Prozesse und Maßnahmen noch daraufhin untersucht, ob sie bei tatsächlicher Befolgung geeignet sind, die mit dem CMS verfolgten Ziele zu erreichen, d.h. Regelverstöße zu verhindern oder zeitnah aufzudecken und zu sanktionieren. Dabei definiert der Prüfungsstandard die Angemessenheitsprüfung als Prüfung sowohl der Angemessenheit als auch der Implementierung. Daraus folgt, dass neben der grundsätzlichen Eignung der Prozesse und Maßnahmen zur Erreichung der Compliance Ziele auch untersucht werden muss, ob diese auch zum Prüfungsstichtag implementiert, d.h. eingerichtet waren. Die Angemessenheitsprüfung ist mit der sog. Design Effectiveness vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach dem PCAOB Auditing Standard 5 untersucht wird: The auditor should test the design effectiveness of controls by determining whether the company's controls, if they are operated as prescribed by persons possessing the necessary authority and competence to perform the control effectively, satisfy the company's control objectives and can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements Vgl. IDW PS 980 Tz Vgl. IDW PS 980 Tz. A PCAOB Auditing Standard 5 Tz. 42. Hülsberg/Laue 157

7 118 Der CMS-Prüfer muss also auch sicherstellen, dass die in der CMS-Beschreibung dokumentierten Prozesse und Maßnahmen tatsächlich auch vorgefunden werden. Dem Aspekt der Implementierung kommt insbesondere bei Konzernprüfungen eine große Bedeutung zu, da es hier folglich nicht ausreichend sein kann, die Maßnahmen lediglich auf Konzernebene zu beurteilen ohne sicherzustellen, dass die beschriebenen Kontrollen auch bei den einbezogenen Tochtergesellschaften in der Praxis umgesetzt worden sind. Dazu ist es geboten, die Prüfungshandlungen schwerpunktmäßig dezentral, d.h. vor Ort (z.b. im betroffenen Unternehmensteil bzw. im Rahmen einer Konzernprüfung bei der betroffenen Tochtergesellschaft) vorzunehmen. Nur dadurch kann wirklich eine Aussage getroffen werden, ob die in der CMS-Beschreibung enthaltenen Maßnahmen auch tatsächlich so durchgeführt werden In Analogie zum IDW Prüfungsstandard 261 n.f. umfasst die Angemessenheitsprüfung deshalbu.a.auchdiebefragungen von Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen. Weiterhin kann sich der Prüfer mittels Durchsicht von Dokumenten, z.b. Organisationshandbüchern, Arbeitsplatzbeschreibungen und Ablaufdiagrammen einen Überblick über die Prozesse und Maßnahmen verschaffen. Die Beobachtung von Aktivitäten und Arbeitsabläufen im Unternehmen, einschließlich der IT-gestützten Verfahren kann darüber hinaus wertvolle Beweise für die Implementierung geben Sollte der CMS-Prüfer zum Ergebnis kommen, dass das eingerichtete CMS nicht angemessen ausgestaltet bzw. implementiert ist, so ist eine anschließende Prüfung der Wirksamkeit nicht zweckmäßig, da auch bei effektiver Umsetzung von nicht angemessenen Prozessen und Maßnahmen keine Wirksamkeit gegeben sein kann. Diese Feststellungen aus der Angemessenheitsprüfung sind daher zunächst zu adressieren und durch das Unternehmen zu beseitigen, bevor der nächste Prüfungsschritt begonnen werden kann. 3. Wirksamkeitsprüfung 121 Die Prüfung der Konzeption sowie der Angemessenheit beinhalten keine Aussage zur tatsächlichen Wirksamkeit des CMS und sind in erster Linie als Vorstufe an die Unternehmensorgane gerichtet, die an einer unabhängigen Beurteilung des Entwicklungsstands des CMS interessiert sind. 84 Eine Wirksamkeit ist erst dann gegeben, wenn durch entsprechende Prüfungshandlungen in der Regel auf Stichprobenbasis sichergestellt wurde, dass die eingerichteten angemessenen Prozesse und Maßnahmen auch tatsächlich befolgt und umgesetzt werden. 122 Die Wirksamkeitsprüfung ist mit der sog. Operating Effectiveness vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach PCAOB Auditing Standard 5 untersucht wird: The auditor should test the operating effectiveness of a control by determining whether the control is operating as designed and whether the person performing the control possesses the necessary authority and competence to perform the control effectively. 85 Sie schließt daher inhaltlich immer die Prüfung der Konzeption und Angemessenheit ein. 82 Rieder/Jerg CCZ 2010, Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz Vgl. IDW PS 980 Tz PCAOB Auditing Standard 5 Tz Hülsberg/Laue

8 Die Prüfung von Compliance Management-Systemen nach IDW PS Ebenfalls in Analogie zum IDW Prüfungsstandard 261 n.f. umfasst die Wirksamkeitsprüfung deshalb die Befragung von Mitarbeitern, die Durchsicht von Nachweisen über die Durchführung der Maßnahmen, Beobachtung der Durchführung von Maßnahmen, Nachvollzug von Kontrollaktivitäten, Auswertung von Ablaufdiagrammen, Checklisten und Fragebögen, Einsichtnahme in die Berichte der Internen Revision sowie IT-gestützte Prüfungshandlungen. 86 Welche der hier dargestellten Prüfungshandlungen sich für die einzelnen Maßnahmen und Prozesse eignet, hängt von einer Vielzahl von Faktoren ab. Insbesondere sollte sich der Prüfer die Komplexität der Kontrollhandlung sowie die Folgen des Kontrollversagens vor Augen führen. Bei anspruchsvollen Kontrollen wäre z.b. wahrscheinlich ein Nachvollzug (d.h. eine eigene Wiederholung der Prüfungshandlung) angemessen. Bei einfachen Aktivitäten kann die bloße Einsichtnahme in die dokumentierte Kontrolle ausreichend sein. Mittels dieser Prüfungshandlungen kann durch den CMS-Prüfer festgestellt werden, ob die als angemessen eingeschätzten Maßnahmen und Prozesse auch so umgesetzt, d.h. im Unternehmen gelebt, werden. Wie im Rahmen einer risikoorientierten und effizienten Prüfung üblich, kann eine solche Prüfung der Prozesse und Maßnahmen in den meisten Fällen nur stichprobenartig erfolgen. Dabei sind insbesondere der Stichprobenumfang sowie die zeitliche Streuung der Stichprobenelemente zu bestimmen. Während einzelne Aussagen in der Compliance Beschreibung aussageorientiert prüfbar sind (z.b. das Vorliegen eines Code of Conduct), entziehen sich andere dargestellte Maßnahmen und Prozesse hingegen aufgrund ihrer hohen Transaktionszahl einer solchen vollständigen Überprüfung (z.b. Vier-Augen-Prinzip oder das Einhalten von Unterschriftenregelungen). Hier stellt sich die Frage, nach welcher Vorgabe eine Stichprobenauswahl zu erfolgen hat. Der CMS-Prüfer wird den Stichprobenumfang so festlegen, dass er auf Basis der ausgewählten Elemente eine hinreichende Sicherheit bzgl. der Aussage über die Wirksamkeit der Einzelmaßnahme treffen kann. Auf Basis anerkannter internationaler Prüfungsgrundsätze (vgl. International Standard on Auditing ISA 530) hängt der Stichprobenumfang im Wesentlichen davon ab, wie häufig eine entsprechende Kontrolle durchgeführt wird, wie hoch die Wahrscheinlichkeit des Kontrollversagens und wie materiell das hierdurch adressierte Risiko ist. Die Wirksamkeitsprüfung ist immer zeitraumbezogen, d.h. der CMS-Prüfer stellt sicher und bescheinigt, dass die Maßnahmen und Prozesse innerhalb eines fest definierten Zeitraums wirksam waren. Als Folge dessen sind die ausgewählten Stichprobenelemente so zu wählen, dass sie eine verlässliche Aussage über den gesamten Prüfungszeitraum zulassen. Im Falle von Einsichtnahmen in Unterlagen kann dies auch zum Ende des Prüfungszeitraums durch eine entsprechende Auswahl von Sachverhalten und Transaktionen aus Vormonaten erfolgen. Bei Interviews und Beobachtungen sind jedoch Prüfungshandlungen aufgrund der Natur der Prüfungshandlung auch schon innerhalb des zu prüfenden Zeitraums unerlässlich. Grundsätzlich gilt, dass sich der CMS-Prüfer bei der Entscheidung über Art und Umfang der Prüfungshandlungen an den allgemeinen berufsrechtlichen Anforderungen orientiert, die zum Teil durch Kriterien im Prüfungsstandard konkretisiert werden. Keinesfalls kann es als Aufgabe von IDW PS 980 verstanden werden, eine voll Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz. 73. Hülsberg/Laue 159

9 umfängliche Beschreibung der Prüfungshandlungen zu liefern. Vielmehr setzt er einen Rahmen, innerhalb dessen der CMS-Prüfer ein der Unternehmensgröße, der Branche, der inneren Struktur, der geographischen Tätigkeit sowie der Aufbau- und Ablauforganisation sowie dem Teilbereich angemessenes Prüfprogramm individuell entwickelt Der Prüfungsstandard richtet sich an Wirtschaftsprüfer und ist somit immer im Kontext mit den bereits existierenden allgemeinen Grundsätzen der Prüfung zu sehen. Konkretisierende Prüfungshandlungen und Grundsätze finden sich somit in den deutschen Prüfungsstandards des Instituts der Wirtschaftsprüfer sowie in den internationalen Prüfungsstandards. Hierin finden sich anerkannte Prüfungstechniken und methoden, die eine ausreichende theoretische und praktische Fundierung der Prüfung sicherstellen Grenzen der Wirksamkeitsprüfung 129 Die Wirksamkeitsprüfung (mit ihren beiden Vorstufen der Konzeptions- und Angemessenheits- bzw. Implementierungsprüfung) in der hier dargestellten Form kann nicht als Nachweis dafür gelten, dass Verstöße im Unternehmen vollständig verhindert werden. Zum einen arbeitet der CMS Prüfer in der Regel mit stichprobenartigen Prüfungen der identifizierten Prozesse und Maßnahmen. Zwar wird durch die bewusste und sorgfältige Bestimmung des Stichprobenumfangs eine hohe Wahrscheinlichkeit erzielt, jedoch liegt einer solchen Auswahl immer das Risiko zugrunde, dass Kontrollversagen in der gezogenen Stichprobe nicht identifiziert wird. Darüber hinaus scheitern alle internen Kontrollsysteme, und so auch das CMS, immanent im Falle des sog. management override, wenn durch Vorgesetzte eine eingerichtete Kontrolle durch Ausübung von Druck außer Kraft gesetzt wird. Zwar liefert gerade das CMS durch Instrumente wie das Hinweisgebersystem die Möglichkeit, diese Fälle anonym zu kommunizieren. Eine Umgehung ist dennoch nicht vollumfänglich auszuschließen. 130 Weiterhin stellt auch die Kollusion, d.h. das Zusammenwirken von zwei oder mehr Mitarbeitern im Unternehmen immer das Risiko dar, dass Kontrollen, wie z.b. das Vier-Augen-Prinzip, mit krimineller Energie nicht effektiv sind. Abschließend ist aus der geprüften Wirksamkeit des CMS innerhalb eines bestimmten Zeitraums nicht abzuleiten, ob es in der Vergangenheit (d.h. vor Beginn des Wirksamkeitszeitraums) sowie in der Zukunft (also nach Ende des Wirksamkeitszeitraums) auch wirksam war bzw. sein wird. Aus diesen Einschränkungen ist nicht abzuleiten, dass eine Wirksamkeitsprüfung zu keiner verwertbaren Aussage kommen kann: Der Prüfungsstandard selber weist in Tz. A12 ( auch ein ansonsten wirksames CMS unterliegt systemimmanenten Grenzen ) und Tz. 18 ( sodass möglicherweise auch wesentliche Regelverstöße auftreten können, ohne systemseitig verhindert oder aufgedeckt zu werden ) auf diese Begrenzungen hin. Somit ist das Vorliegen von Verstößen auch bei einem wirksamen CMS möglich und nicht per Definition ein Zeichen für dessen Versagen. 87 Vgl. Gelhausen/Wermelt CCZ 2010, 209 f. 88 So durchgängig Withus/Hein CCZ 2011, 125 ff. 160 Hülsberg/Laue