Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer

Transkript

1 67. Deutscher Betriebswirtschafter-Tag Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer WP StB Ingmar Rega Bereichsvorstand Audit Germany, Partner, KPMG AG WPG Frankfurt, den 19. September 2013

2 Prüfung des Compliance Management Systems (CMS) durch den Wirtschaftsprüfer Überblick 1 Compliance: ein Thema von wachsender Bedeutung 2 Relevanz und Nutzen einer CMS-Prüfung nach IDW PS Erfahrungen aus der Prüfungs-Praxis 4 Aktueller Marktüberblick und weitere Entwicklungen 2

3 Compliance: ein Thema von wachsender Bedeutung Aktuelle Pressestimmen Skandal um Bierkartell weitet sich aus Focus Staatsanwaltschaft nimmt deutsche Rüstungsfirmen ins Visier Hamburger Abendblatt Korruption in der Pflegebranche Deutsche Welle Preisabsprachen bei Autoblechen? Mehrere Konzerne betroffen Weser Kurier Zulieferer zahlen Millionen Euro Strafe für Preisabsprachen bei Kabelbäumen Rheinische Post Chinesische Justiz ermittelt gegen westliche Pharmakonzerne Spiegel Online 3

4 Compliance: ein Thema von wachsender Bedeutung Compliance im Spannungsfeld der Interessen Aufsichtsrat Gesellschafter Unternehmensleitung Kunden und Lieferanten Compliance des Unternehmen Compliance Officer Banken und Ratingagenturen Arbeitnehmer Öffentlichkeit 4

5 Compliance: ein Thema von wachsender Bedeutung Weitreichende Konsequenzen bei Verstößen Vermögensschaden Bußgeldzahlungen bis zu 1 Mio. EUR, mindestens aber in Höhe des aus der Tat erlangten Vorteils ( 130, 30 OwiG) Strafzahlungen aus Spezialgesetzen (z.b. Kartellrecht, UK Bribery Act) Ausschluss aus Vergabeverfahren, anderweitige Sanktionierung Für das Unternehmen Reputationsverlust Für die Unternehmensorgane / handelnde Personen Persönliche Haftung bei Verstoß gegen die Sorgfaltspflichten des Vorstandes ( 93 AktG) des Geschäftsführers ( 43 GmbHG) der Aufsichtsratsmitglieder ( 116 AktG) der Aufsichtspersonen ( 130, 9 OWiG) Freiheitsstrafen der Organe ( 9 OWiG, 14 StGB) aus Spezialgesetzen (z.b. bis zu 10 Jahren bei Bestechung) Arbeitsrechtliche Konsequenzen 5

6 Compliance: ein Thema von wachsender Bedeutung Lösungsweg I: Ausgestaltung eines wirksamen CMS Kultur Überwachung und Verbesserung Ziele Kommunikation CMS Risiken Complianceprogramm Organisation 6

7 Relevanz und Nutzen einer CMS-Prüfung nach IDW PS 980 Lösungsweg II: Prüfung des CMS nach IDW PS 980 Prüfungsumfang Teilbereiche Wirksamkeit Angemessenheit Konzeption 7

8 Relevanz und Nutzen einer CMS-Prüfung nach IDW PS 980 Abgrenzung einer CMS-Prüfung von der Jahresabschlussprüfung Relevanz von Compliance Scoping im Konzern Prüfungsgegenstand Prüfungsergebnis Jahres-/Konzern-Abschlussprüfung Prüfung des Jahresabschlusses und des Lageberichts sowie des rechnungslegungsbezogenen IKS und ggf. des Risikofrüherkennungssystems (nur 319a HGB) Beurteilung von Risiken nur soweit diese Auswirkung auf die Rechnungslegung haben Beachtung der Vorgaben des ISA 600 R und des IDW PS 320 n.f. Testat beurteilt nicht das CMS Prüfung des CMS Umfassende Systemprüfung der Internen Kontrollen in Bezug auf Compliance Beurteilung des CMS in relevanten CMS-Teilgebieten Festlegung der einzubeziehenden Einheiten nach prüferischem Ermessen Separate Berichterstattung und Bestätigung zum CMS Auftragsart I.d.R.Pflichtprüfung Freiwillige Prüfung 8

9 Relevanz und Nutzen einer CMS-Prüfung nach IDW PS 980 Weitreichende Konsequenzen bei Verstößen Primärer Nutzen Sekundärer Nutzen Präventive Wirkung Verankerung im Unternehmen Erhöhung der Transparenz Verbesserungshinweise Synergien, Effizienzsteigerungen Haftungsreduzierung durch Nachweis eines wirksamen CMS Positive Reputationswirkung Nachweis von Compliance in der Lieferkette Rating- und Kapitalmarktrelevanz 9

10 Erfahrungen aus der Prüfungs-Praxis Feststellungen und Empfehlungen aus bisherigen Prüfungen (1/2) Überwachung und Verbesserung 1 Kultur Ziele 2 1 Kultur Regelmäßige und klare Botschaften der Organe erforderlich Arbeitsverträge und Zielvereinbarungen berücksichtigen Compliance oft nicht ausreichend Code of Conduct muss weltweit verständlich sein Kommunikation CMS Risiken 3 2 Ziele Verbindung zwischen den Unternehmenszielen und der CMS-Strategie nicht erkennbar Complianceprogramm Organisation Einbindung von Compliance in wichtige strategische Kernprozesse (z.b. M&A) fehlt 4 3 Risiken Ein systematisches Compliance Risk Assessment muss regelmäßig erfolgen Die Analyse der Risiken sollte sowohl Top-down als auch Bottom-up erfolgen 4 Programm Oft unzureichendes Mapping der identifizierten Risiken mit Kontrollen und Maßnahmen Ausbaufähige Trainingskonzepte fehlen 10

11 Erfahrungen aus der Prüfungs-Praxis Feststellungen und Empfehlungen aus bisherigen Prüfungen (2/2) 7 Überwachung und Verbesserung 1 Kultur Ziele 2 5 Organisation Es fehlt häufig eine Geschäftsordnung des Committees, in der die Aufgaben und Verantwortlichkeiten des Gremiums festgelegt sind Insb. im Mittelstand kann das CMS in bestehende Prozesse integriert werden 6 Complianceprogramm Kommunikation CMS Risiken Organisation 3 6 Kommunikation Integration des Compliance Reportings in die Berichterstattung des IKS und RMS sinnvoll Empfehlung zur Einrichtung eines anonymisierten Hinweisgebersystems als ein zentraler Baustein der Meldewege Überwachung und Verbesserung Implementierung automatisierter Prüfungs- und Überwachungsroutinen empfehlenswert Prüfung der Internen Revision bezieht sich zumeist auf Verdachtsfälle und nicht auf das CMS in Gänze 11

12 Aktueller Marktüberblick und weitere Entwicklungen Momentaufnahme Ergebnisse einer aktuellen Benchmarkstudie (Auszug) Überblick über den beobachteten Trend (Angaben in Prozent) 12

13 Aktueller Marktüberblick und weitere Entwicklungen CMS-Prüfungen im Wandel Unternehmen, die sich prüfen lassen Überwiegend große Unternehmen (DAX30) Zunächst aus Branchen, die anfällig sind / waren für Verstöße Häufig geprüfte Teilbereiche Kartellrecht Anti-Korruption CMS-Prüfungen bisher Rahmenbedingungen IDW PS 980 seit 2011 Keine analogen Standards im Ausland Meist einmalige Prüfung und Tendenzen für die Zukunft Unternehmen, die sich prüfen lassen Auch nicht börsennotierte Unternehmen / Mittelstand Diverse Branchen Weitere Teilbereiche Exportkontrollen, IP, Geldwäsche, Datenschutz Rahmenbedingungen Überlegungen zu Anpassungen IDW PS 980 Dialog mit ausländischen Standardsetzern Wiederkehrende Prüfungen 13

14 Vielen Dank für Ihre Aufmerksamkeit Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. Ingmar Rega Bereichsvorstand Audit Germany Partner Tel KPMG AG Wirtschaftsprüfungsgesellschaft, a subsidiary of KPMG Europe LLP