Prüfungshandlungen und Grundsätze finden sich somit in den deutschen Prüfungsstandards des Instituts der Wirtschaftsprüfer sowie in den internationalen Prüfungsstandards. Hierin finden sich anerkannte Prüfungstechniken und -methoden, die eine ausreichende theoretische und praktische Fundierung der Prüfung sicherstellen.[12]
4. Grenzen der Wirksamkeitsprüfung
130
Die Wirksamkeitsprüfung (mit ihren beiden Vorstufen der Konzeptions- und Angemessenheits- bzw. Implementierungsprüfung) in der hier dargestellten Form kann nicht als Nachweis dafür gelten, dass Verstöße im Unternehmen vollständig verhindert werden. Zum einen arbeitet der CMS Prüfer in der Regel mit stichprobenartigen Prüfungen der identifizierten Prozesse und Maßnahmen. Zwar wird durch die bewusste und sorgfältige Bestimmung des Stichprobenumfangs eine hohe Wahrscheinlichkeit erzielt, jedoch liegt einer solchen Auswahl immer das Risiko zugrunde, dass Kontrollversagen in der gezogenen Stichprobe nicht identifiziert wird. Darüber hinaus scheitern alle internen Kontrollsysteme, und so auch das CMS, immanent im Falle des sog. „management override“, wenn durch Vorgesetzte eine eingerichtete Kontrolle durch Ausübung von Druck außer Kraft gesetzt wird. Zwar liefert gerade das CMS durch Instrumente wie das Hinweisgebersystem die Möglichkeit, diese Fälle anonym zu kommunizieren. Eine Umgehung ist dennoch nicht vollumfänglich auszuschließen.
131
Weiterhin stellt auch die Kollusion, d.h. das Zusammenwirken von zwei oder mehr Mitarbeitern im Unternehmen immer das Risiko dar, dass Kontrollen, wie z.B. das Vier-Augen-Prinzip, mit krimineller Energie nicht effektiv sind. Abschließend ist aus der geprüften Wirksamkeit des CMS innerhalb eines bestimmten Zeitraums nicht abzuleiten, ob es in der Vergangenheit (d.h. vor Beginn des Wirksamkeitszeitraums) sowie in der Zukunft (also nach Ende des Wirksamkeitszeitraums) auch wirksam war bzw. sein wird. Aus diesen Einschränkungen ist nicht abzuleiten, dass eine Wirksamkeitsprüfung zu keiner verwertbaren Aussage kommen kann: Der Prüfungsstandard selber weist in Tz. A12 („…auch ein ansonsten wirksames CMS unterliegt systemimmanenten Grenzen…“) und Tz. 18 („…sodass möglicherweise auch wesentliche Regelverstöße auftreten können, ohne systemseitig verhindert oder aufgedeckt zu werden…“) auf diese Begrenzungen hin. Somit ist das Vorliegen von Verstößen auch bei einem wirksamen CMS möglich und nicht per Definition ein Zeichen für dessen Versagen.
Anmerkungen
Vgl. IDW PS 980 Tz. 14.
Vgl. IDW PS 980 Tz. 15.
Vgl. IDW PS 980 Tz. A31.
PCAOB Auditing Standard 5 Tz. 42.
Rieder/Jerg CCZ 2010, 205.
Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz. 61.
§ 23a der Satzung der Wirtschaftsprüferkammer über die Rechte und Pflichten bei der Ausübung der Berufe des Wirtschaftsprüfers und des vereidigten Buchprüfers (Berufssatzung für Wirtschaftsprüfer/vereidigte Buchprüfer – BS WP/vBP)
Vgl. IDW PS 980 Tz. 14.
PCAOB Auditing Standard 5 Tz. 44.
Vgl. IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261) Tz. 73.
Vgl. Gelhausen/Wermelt CCZ 2010, 209 f.
So durchgängig Withus/Hein CCZ 2011, 125 ff.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › V. Warum – Gründe für eine Prüfung
V. Warum – Gründe für eine Prüfung
132
Für die freiwillige Prüfung des CMS lassen sich verschiedene Gründe anführen:
– | Ein wesentlicher Grund ist die Vermeidung von straf- und zivilrechtlichen Konsequenzen für Organe und andere Mitarbeiter mit Garantenstellung[1] aus nicht regelkonformem Verhalten bzw. eine Verringerung des Risikos solcher Konsequenzen. Die Diskussion einer solchen „enthaftenden“ bzw. „haftungsreduzierenden“ Wirkung eines CMS wird seit einiger Zeit kontrovers geführt und soll hier nicht widergegeben werden.[2] Im folgenden Kapitel wird daher ausschließlich beleuchtet, welche Wirkung die Prüfung eines CMS auf die Haftungssituation haben kann. |
– | Daneben werden folgende weiteren Gründe bzw. Anlässe für die Prüfung eines CMS genannt:[3] – Die Geschäftsleitung möchte die Effektivität eines implementierten CMS überprüfen lassen. – Der Aufsichtsrat/Prüfungsausschuss überprüft im Rahmen seiner Pflichten nach § 107 Abs. 3 S. 2 AktG die Wirksamkeit des Internen Kontrollsystems und des Risikomanagements, was das CMS einschließt. – Es erfolgt eine Prüfung im Rahmen der Jahresabschlussprüfung, z.B. als durch den Aufsichtsrat/Prüfungsausschuss vorgegebene Prüfungserweiterung – Das CMS nach einem wesentlichen Compliance-Verstoß auf Schwachstellen überprüft werden. – Ein „Compliance Monitor“ wird nach einem durch US-Behörden geführten Strafverfahren eingesetzt und nimmt eine laufende Überprüfung des CMS für einen bestimmten Zeitraum vor. – Im Rahmen einer M&A-Transaktion wird eine Compliance Due Diligence durchgeführt. – Es erfolgt eine Kontrolle des vertraglich zugesicherten CMS bei Lieferanten/Kunden im Rahmen von entsprechenden Prüfungsrechten oder eine entsprechende Prüfung durch den Lieferanten/Kunden zum Nachweis eines entsprechenden CMS. – Das CMS soll für Nachhaltigkeitsinvestoren geprüft werden. |
Aufgrund der Flexibilität des Standards kann dieser grundsätzlich bei jedem der vorstehend aufgeführten Prüfungsanlässe