Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012

Transkript

1 Prüfung nach IDW PS 980 Monika Wodarz, PKF Industrie- und Verkehrstreuhand GmbH Compliance Circle München, 13. September 2012 PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft, München is a member firm of the PKF International Limited network and in Germany a member of a network according to 319 b HGB. The network consists of legally independent member firms. PKF Industrie- und Verkehrstreuhand GmbH Wirtschaftsprüfungsgesellschaft does not accept any responsibility or liability for the actions or inactions on the part of any other individual member firm or firms.

2 PKF lokal, national und international nah dran weltweit Über 80 Mitarbeiter, davon über 25 Berufsträger (WP, StB, RA und CPA) in München Betreuung börsennotierter Gesellschaften, internationaler Konzerngesellschaften, mittelständischer Unternehmen, öffentlicher Institutionen sowie Privatpersonen Integrierte Dienstleistungen rund um Bilanzierung, Steuern und betriebswirtschaftliche Beratung Netzwerkpartner an über 20 nationalen Standorten (u.a. Berlin, Hamburg, Köln, München) Mitarbeiter in Deutschland, davon circa 380 Berufsträger Teil des internationalen PKF Netzwerks mit über 240 Mitgliedsunternehmen an mehr als 440 Standorten in 125 Ländern Internationale Expertise und Zugriff auf nahezu unbegrenzte Ressourcen im Netzwerk - über den Partner vor Ort 2

3 Agenda Argumente für eine unabhängige CMS Prüfung Reglungsbereich des IDW PS 980 Die Prüfungsansätze nach IDW 980 Die Prüfungshandlungen Die Prüfungsurteile nach IDW 980 Projektablauf - Implementierungsbegleitende Prüfung Externe und interne Spezialisten Verwendung von Arbeitsergebnissen Dritter 3

4 Argumente für eine unabhängige CMS Prüfung Sicherheit durch neutrales Expertenurteil Unabhängiges Urteil neutraler Experten bestätigt Erfüllung der Sorgfalts- und Organisationspflichten der gesetzlichen Vertreter Wahrnehmen der Überwachungsfunktion der Aufsichtsorgane Absicherung des eigenen Urteils Enthaftende Wirkung über die Konzeption, Angemessenheit, Implementierung und Wirksamkeit des Compliance Management Systemen für Vorstand / Geschäftsführung und Aufsichtsgremien 4

5 Regelungsbereich des IDW PS 980 Flexibilität durch Grundsätze statt Rahmenkonzept IDW PS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen Konzeption, Design, Implementierung und Wirksamkeit des Compliance Management Systems Prüfungsstandard Prüfungsgegenstand Prüfungsziele Vollständigkeit, Vorhandensein, Eignung, Einrichtung, Wirksamkeit/Beachtung im Prüfungszeitraum IDW PS 980 gibt kein verpflichtendes Rahmenkonzept vor stellt Grundsätze für ein angemessenes Rahmenkonzept auf orientiert sich am COSO ERM 5

6 Die Prüfungsansätze nach IDW PS 980 Flexibilität des Prüfungsansatzes erlaubt pragmatisches Vorgehen Wirksamkeit (Typ 3) Funktionsprüfung Design & Implementierung (Typ 2) Aufbauprüfung Beachtung Konzeption (Typ 1) Prüfung der Beschreibung Eignung Vollständig Zutreffend Einrichtung Zeitraum Eignung: Risiken für wesentliche Regelverstöße werden mit hinreichender Sicherheit erkannt und Verstöße werden mit hinreichender Sicherheit verhindert 6

7 Die Prüfungshandlungen Konzeption Auftragstyp 1 Prüfung der Beschreibung des CMS Beschreibung CMS Prüfungshandlungen Auftragstyp 1 Beurteilung Beurteilung, ob die Beschreibung die Konzeption des CMS zutreffend und umfassend darstellt durch Prüfung der Beschreibung auf Vollständigkeit, Genauigkeit und Richtigkeit Prüfungshandlungen Auftragstyp 1 Befragung: Management andere Personen Interne Revision Compliance Organisation Durchsicht Organisationsunterlagen: Protokolle Sitzungsberichte Berichte der Internen Revision Handbücher, Verfahrensgrundsätze Compliance Richtlinie etc. Abstimmung der erhaltenen Unterlagen mit der Beschreibung des CMS 7

8 Die Prüfungshandlungen Design & Implementierung Auftragstyp 2 Aufbauprüfung Beschreibung CMS Prüfungshandlungen Auftragstyp 1 Prüfungshandlungen Auftragstyp 2 Beurteilung Beurteilung, ob die in der CMS Beschreibung dargestellten Grundsätze und Maßnahmen so ausgestaltet und implementiert sind, dass wesentliche Regelverstöße mit hinreichender Sicherheit erkannt, bzw. verhindert werden Prüfungshandlungen Auftragstyp 2 Befragung: Durchsicht CMS Dokumentation: Durchsicht durch CMS generierter Dokumente: Beobachtung von Aktivitäten und Arbeitsabläufen: Management CMS-Mitarbeiter Interne Revision andere Mitarbeiter Kontrollbeschreibungen Handbücher Code of Conduct Exception Reports Meldungen zu Compliance Verstößen Maßnahmen auf Verstöße Risk Assessment Diskussionen Überwachungsmaßnahmen der Internen Revision 8

9 Die Prüfungshandlungen Wirksamkeit Auftragstyp 3 Funktionsprüfung Beschreibung CMS Prüfungshandlung Auftragstyp 1 Prüfungshandlung Auftragstyp 2 Prüfungshandlung Auftragstyp 3 Beurteilung Beurteilung, ob die in der CMS Beschreibung dargestellten Grundsätze und Maßnahmen so ausgestaltet sind und durchgeführt werden, dass wesentliche Regelverstöße mit hinreichender Sicherheit erkannt, bzw. verhindert werden Prüfungshandlungen Auftragstyp 3 Beobachtung / Befragung Nachvollziehen Nachrechnen Inspektion Bestätigende Befragung Prüfung IT Kontrollen Risikoorientierter Prüfungsansatz 9

10 Die Prüfungsurteile nach IDW PS 980 Prüfungsurteile in Abhängigkeit des Auftragstyps Die in der CMS Beschreibung enthaltenen Aussagen über die Grundsätze und Maßnahmen des CMS sind in allen wesentlichen Belangen angemessen dargestellt. Die in der CMS Beschreibung dargestellten Grundsätze und Maßnahmen sind in Übereinstimmung mit den angewandten CMS Grundsätzen geeignet, mit hinreichender Sicherheit sowohl Risiken für wesentliche Verstöße rechtzeitig zu erkennen als auch solche Regelverstöße zu verhindern und die Grundsätze und Maßnahmen waren zum implementiert. Und während des Zeitraums vom bis wirksam. Konzeption (Typ 1) Design und Implementierung (Typ 2) Wirksamkeit (Typ 3) 10

11 Projektablauf schematische Darstellung Beratungsphasen Analyse A Konzeption B Implementierung C Projektbegleitende Prüfungsphasen Prüfung Konzeption Prüfung Design und Implementierung Prüfung Wirksamkeit 11

12 Externe und interne Spezialisten Einbeziehung von Spezialisten Liste möglicher Spezialisten richtet sich nach den durch das CMS adressierten Gesetzen und Vorschriften Juristen zur Beurteilung : konkreter gesetzlicher Anforderungen Zulässigkeit implementierte Maßnahmen (Datenschutz) Möglicher Höhe von Strafen oder Schadensersatzansprüchen (Beurteilung der Wesentlichkeit) IT-Spezialisten zur Beurteilung: automatisierter Kontrollen General IT Controls Andere Fachkenntnisse: Spezialisten zur Beurteilung ob Produkte unter die Ausfuhrkontrollen fallen Chemiker zur Beurteilung der Einhaltung der Vorschriften zu REACH 12

13 Verwendung von Arbeitsergebnissen Dritter Verwendung von Arbeitsergebnissen der Internen Revision, Gutachtern etc. Arbeitsergebnisse Dritter können im Rahmen der Prüfung im angemessenen Umfang berücksichtigt werden Voraussetzungen: Unabhängigkeit Fachliche Kompetenz Professionalität Angemessene Kommunikation Art und Umfang der Verwendung der Arbeitsergebnisse obliegt dem pflichtgemäßen Ermessen des Prüfers 13