6.4.5 Compliance-Management-System (CMS)

Transkript

1 Seite System (CMS) Grundlage eines CMS ist die Compliance. Ein CMS enthält jene Grundsätze und Maßnahmen, die auf den von den gesetzlichen Vertretern festgelegten Zielen basieren und ein regelkonformes Verhalten des Unternehmens sicherstellen sollen. 1 Gegenwärtig gibt es kein generell gültiges CMS, welches von jedem Unternehmen umzusetzen ist. In Deutschland hat das Institut der Wirtschaftsprüfer (IDW) im März 2011 den Prüfungsstandard Grundsätze ordnungsgemäßer Prüfungen von Compliance Management Systemen (IDW PS 980) veröffentlicht. Dieser Standard bietet Compliance-Verantwortlichen in Unternehmen eine Richtschnur und Grundlage zur Einhaltung von Gesetzen, Regelungen und Selbstverpflichtungen im Rahmen eines CMS. 2 Zudem beinhaltet er die Grundelemente eines CMS. Er kann als Anhaltspunkt für eine unabhängige Beurteilung von CMS angesehen werden. Gleichzeitig kann er als Unterstützung und Rahmenwerk für Unternehmen bei der Implementierung und Organisation eines unternehmenseigenen CMS herangezogen werden. Er enthält eine detaillierte Übersicht der Anforderungen an ein CMS sowie die Grundlagen einer möglichen Prüfung des CMS. Aus praktischer Sicht erscheint es daher notwendig, die im IDW PS 980 dargestellten Grundelemente eines CMS näher zu beleuchten. 1 PS_980/$FILE/EY%20Flyer_IDW%20PS%20980.pdf. 2

2 6.4.5 Seite Ziele und allgemeingültige Anforderungen eines CMS Das hauptsächliche Ziel eines CMS ist, die bereits genannten Folgen von Non-Compliance zu reduzieren oder ganz zu vermeiden. Darüber hinaus können aus den bereits angeführten Funktionen von Compliance die folgenden drei Ziele eines integrierten CMS abgeleitet werden: Risikominimierung Effizienzsteigerung Effektivitätssteigerung Die allgemeingültigen Anforderungen an ein CMS sind wie folgt zusammenzufassen: Die Leitungsorgane und Mitarbeiter bekennen sich zu einem rechtmäßigen Verhalten und verhalten sich entsprechend. CMS kann der Erfüllung von Sorgfalts-, Organisations-, und Überwachungspflichten von Vorstand und Aufsichtsrat dienen; Ermöglichung der Offenlegung und Aufklärung von Regelverstößen innerhalb des Unternehmens dadurch können geeignete Maßnahmen zur Schadensbegrenzung eingeführt werden; Abwendung von Rechtsfolgen bei Rechtsverstößen, beispielsweise in der Form von Schadensfolgen und Reputationsschaden für das Unternehmen, für die Organmitglieder und gegebenenfalls für die Mitarbeiter; Verringerung des Risikos von Non-Compliance. Dadurch können signifikante Vermögensverluste und

3 Seite Reputationsschäden vermieden werden; Durch Risikoidentifizierung kann die Transparenz im Unternehmen verbessert werden; Sicherstellung des Vertrauens gegenüber den Geschäftspartnern des Unternehmens Die 7 Grundelemente eines CMS gemäß IDW PS 980 Das IDW PS 980 stellt 7 Grundelemente eines angemessenen CMS vor: Compliance-Kultur: als Grundlage für die Angemessenheit und Wirksamkeit eines CMS. Die Compliance-Kultur beinhaltet die Grundeinstellung und die Verhaltensweisen des Managements. Dies wird als Tone from the Top bezeichnet. Darunter fallen unter anderem folgende wesentliche Elemente: (i) das Verhalten der gesetzlichen Vertreter, die die Unternehmenswerte vermitteln, (ii) das integere, verantwortungsvolle und wertorientierte Verhalten der Management-Mitglieder, (iii) der Führungsstil und die Personalpolitik des Unternehmens sowie (iv) die Stellung des Aufsichtsrates und dessen Aufgabenwahrnehmung im Zusammenhang mit den anderen Bestandteilen der Corporate Governance (beispielsweise Risikomanagement, Internes Kontrollsystem und Interne Revision). 3 Compliance-Ziele: Die wesentlichen Ziele, die mit dem CMS erreicht werden sollen, sind festzulegen. 3 Schwab, Zur Bedeutung der Corporate Governance für ein nachhaltiges Compliance-Management, Compliance Praxis, Ausgabe 2, 2012, 10.

4 6.4.5 Seite 4 Compliance-Überwachung und -Verbesserung: Darunter wird die Überwachung der Angemessenheit und Wirksamkeit (inklusive Reporting) eines CMS verstanden. Dafür ist eine ausreichende Doku- Diese können je nach Unternehmen unterschiedlich ausfallen. Dabei sind wesentliche Teilbereiche und die in den Teilbereichen einzuhaltenden Regeln festzulegen. Compliance-Risiken: Die wesentlichen Compliance-Risiken des Unternehmens sind zu identifizieren. Zudem ist die Einrichtung einer systematischen Risikoerkennung mit einer Risikobeurteilung empfehlenswert. Compliance-Programm: Auf der Grundlage der identifizierten Risiken sind Grundsätze und Maßnahmen einzuführen, die risikomindernd wirken. Compliance-Organisation: Die Leitungsorgane haben die Rollen und Verantwortlichkeiten in Zusammenhang mit dem CMS zu bestimmen. In der Folge ist eine Aufbau- und Ablauforganisation zu implementieren. Dies geht einher mit einer notwendigen Ressourcenplanung. Compliance-Kommunikation: Die Mitarbeiter sowie Dritte sind über das Compliance-Programm und die bestehende Compliance-Organisation sowie hinsichtlich der zugewiesenen Rollen und Verantwortlichkeiten zu informieren. Weiters sind die Mitarbeiter darüber zu informieren, wie sie bei Erkennung eines Regelverstoßes oder bei Identifizierung eines Risikos vorzugehen haben und an welche Stellen sie zu berichten haben.

5 Seite Zweifel innerhalb des Unternehmens von Aufsichtsorganen oder Stakeholdern in Bezug auf die Angemessenheit und Wirksamkeit des bestehenden unternehmenseigenen CMS lassen sich durch eine externe Prüfung des Systems beseitigen. 5 Gemäß dem Standard des IDW PS 980 unterliegen ausschließlich die in einer CMS-Beschreibung enthaltenen Aussagen der gesetzlichen Vertreter über das unternehmenseigene CMS einer Prüfung. Das Ziel einer Prüfung soll nicht die Aufdeckung von einzelnen Regelverstößen sein, sondern die Beurteilung, ob das System geeignet ist, regelkonformes Verhalten innerhalb des Unternehmens zu gewährleisten. Dabei wird zwischen den folgenden aufeinander aufbauenden Prüfungsarten unterschieden: mentation erforderlich, für die die Leitungsorgane die Verantwortung tragen. Diese 7 Grundelemente sollen als Orientierungsrahmen für die Prüfung eines CMS dienen. Diese sollen nicht dem Unternehmen die unternehmenseigenen und notwendigen Handlungs- und Gestaltungsspielräume ersetzen oder wegnehmen. Der Standard soll nicht die Selbstentwicklung und Individualisierung eines CMS im Unternehmen ausschließen. Für Unternehmen bildet der IDW PS 980 somit eine ideale Arbeitsvorlage, um unternehmenseigene CMS zu entwerfen Prüfung des CMS 4 PS_980/$FILE/EY%20Flyer_IDW%20PS%20980.pdf. 5