interne Verlautbarungen, die Beauftragung von Fachgutachten, die Einschaltung von externen Beratern und Spezialisten sind von einer verantwortlichen Funktion zu beauftragen und zu gestalten. Nur durch ein derartiges striktes Reglement von Aufgaben und Zuständigkeiten kann das Reputationsrisiko minimiert und möglicher Schaden vom Unternehmen abgewendet werden.
3. Optimierbarkeit von Compliance-Systemen
103
Kein Compliance-System kann langfristig perfekt sein; dazu ändert sich das globale Umfeld zu schnell. Zudem sorgen Veränderungen in der Unternehmensstrategie, in der Investitionspolitik oder den Geschäftsbereichen für die Notwendigkeit, sowohl die Compliance-Struktur als auch das Compliance-Programm dergestalt flexibel auszugestalten, dass es kontinuierlich an veränderte Umstände angepasst werden kann. Überdies können die Ergebnisse eines Audits dazu führen, dass bisherige Bewertungsmaßstäbe und Analyseregeln überdacht werden müssen. Bei diesen Neubewertungen sollten sich die Compliance-Verantwortlichen nicht scheuen, die Hilfe sowohl interner als auch externer Spezialisten in Anspruch zu nehmen. Dies kann intern die Revision sein, die bei Prozessverbesserungen unter Umständen konkrete Hilfestellung geben kann, oder extern ein Dienstleister, der aufgrund seiner fachlichen oder technischen Kenntnisse entsprechende Hilfe leisten kann.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › I. Einleitung
I. Einleitung
104
Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) hat mit dem am 11.3.2011 vom IDW-Hauptfachausschuss verabschiedeten Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfung von Compliance Management-Systemen (IDW PS 980; nachfolgend auch „Standard“) ein breites Echo in der betriebswirtschaftlichen und juristischen Literatur hervorgerufen[1] und auch die Diskussion in den Unternehmen um ein „gutes“ Compliance Management und eine mögliche Reduktion der straf- und zivilrechtlichen Konsequenzen für Organmitglieder aus Compliance-Verfehlungen angeregt.
105
Dabei richtet sich der IDW PS 980 – wie alle IDW-Prüfungsstandards – streng genommen nur an die Mitglieder des IDW, die aus der Satzung des Vereins eine Verpflichtung zur Beachtung der Standards haben.[2] Die Rechtsnatur der Standards für Nicht-Mitglieder ist unumstritten: der IDW hat als privater Verein keinerlei direkte oder derivative Rechtssetzungskompetenz.[3] Allerdings geht die Bedeutung – gerade des IDW PS 980 – als „[…] Beitrag sachkundiger Wirtschaftsprüfer zur Formulierung allgemein umschriebener, nicht konkret bezeichneter Grundsätze […]“[4] faktisch über den gesteckten Rahmen weit hinaus. Dies lässt sich – neben der zugemessenen Sachkunde – im Wesentlichen aus zwei Gründen herleiten:
– | Zum einen füllt der Standard ein Vakuum bei der Gestaltung von Compliance Management-Systemen, da es in Deutschland keinen Standard und keine komprimierten und veröffentlichten „Good“ oder „Best“ Practices für Compliance Management-Systeme gibt und gesetzliche Vorgaben wie in den USA oder Großbritannien fehlen. Da jede Prüfung ein Soll-Objekt erfordert, hat der Standard Anforderungen an zu prüfende Systeme formuliert und so Unternehmen und Beratern Hilfestellung bei der Ausgestaltung von CMS gegeben. Zum anderen hat der mit der Erarbeitung des IDW PS 980 beauftragte Arbeitskreis des IDW während des rund zweijährigen Entstehungsprozesses des Standards zahlreiche Unternehmensvertreter einbezogen und so den Entwicklungsstand der Compliance Management-Systeme und die Anforderungen und Erwartungen der Unternehmen an eine Prüfung in den Standard eingearbeitet. Nach Veröffentlichung des Standards hat der Arbeitskreis erste Erfahrungen mit dem Standard sowie mögliche Weiterentwicklungen diskutiert und Mitte 2012 einen Workshop mit Compliance-Beauftragten deutscher Unternehmen sowie Anfang 2013 einen Workshop mit Compliance-Beauftragten, Juristen, Hochschulvertretern und Staatsanwälten durchgeführt. |
– | Der Wirtschaftsprüfer übt mit der Prüfung nach PS 980 darüber hinaus eine wichtige Ergänzungsfunktion im Zusammenhang mit den Pflichten aus dem sog. „Three Lines of Defense“-Modell aus, das in der Praxis zunehmend an Bedeutung gewinnt. Die im Allgemeinen der zweiten Verteidigungslinie zugerechnete Compliance Organisation wird somit zusammen mit den entsprechenden Geschäftsprozessen und -kontrollen sowie der laufenden Überwachung und Verbesserung der anderen beiden Linien Prüfungsgegenstand eines externen Sachverständigen. |
– | In der Praxis hat sich der Prüfungsgegenstand mittlerweile auch als Basis für die Prüfung anderer Teilbereiche erfolgreich etabliert. Das IDW hat mit dem Entwurf des „Praxishinweises 1/2016: Ausgestaltung und Prüfung eines Tax Compliance Management Systems gemäß IDW PS 980“ eine Grundlage geschaffen, auf der auch die speziellen Anforderungen an ein System zur vollständigen und zeitgerechten Erfüllung steuerlicher Pflichten geprüft werden kann.[5] In diesem Anwendungsfall kann der Nachweis eines wirksamen Tax Compliance Management Systems das Vorhandensein eines innerbetriebliches Kontrollsystems untermauern, das der Erfüllung der steuerlichen Pflichten dient und somit ein Indiz gegen das Vorliegen von Vorsatz oder Leichtfertigkeit darstellt.[6] |
106
Aus diesen Gründen hat der IDW PS 980 inzwischen erhebliche Relevanz bekommen. Immer mehr Berater – Juristen wie Betriebswirte – und zahlreiche Unternehmen richten sich an den Grundelementen aus, die der Standard als Prüfungsgegenstand skizziert und zahlreiche Unternehmen lassen ihr Compliance Management-System bereits nach dem Standard prüfen.[7] Bei der Prüfung handelt es sich regelmäßig um eine Stichtagsaussage (Angemessenheitsprüfung) bzw. einen Bezug auf einen in der Vergangenheit liegenden Zeitraum (Wirksamkeitsprüfung). In beiden Fällen ist eine Ableitung der Angemessenheit oder eben Wirksamkeit für einen in der Zukunft liegenden Zeitraum unzulässig. Darüber hinaus ändert sich der Prüfungsgegenstand z.B. durch Akquisitionen, Personalveränderungen, neue rechtliche Risiken oder auch Geschäftsmodellanpassungen kontinuierlich. Aufgrund dieser Dynamik ist es Unternehmen anzuraten, die Prüfung nach PS 980 in regelmäßigen Abständen bzw. zusätzlich nach wesentlichen Änderungen innerhalb des Unternehmens bzw. des Unternehmensumfelds zu wiederholen. In der Praxis etabliert sich eine solche Wiederholungsprüfung mittlerweile, die aufgrund der Verwertung von Ergebnissen der Erstprüfung in aller Regel deutlich effizienter durchführbar ist als die Erstprüfung. Aufgrund der hohen Akzeptanz des IDW PS 980 und der Nachfrage seitens der Unternehmen hat das IDW 2016 Entwürfe weiterer Prüfungsstandards veröffentlicht, die sich mit weiteren Elementen der Corporate Governance beschäftigen:
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen (IDW EPS 981)[8],
Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems der Unternehmensberichterstattung (IDW EPS 982)[9],
Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen (IDW EPS 983).[10]
107
Der Beitrag ist in die Kernfragen „Was wird warum von wem wie geprüft?“ gegliedert.
Anmerkungen