Markus Böttcher - Compliance

113

Bei der Konzeptionsprüfung trifft der CMS-Prüfer lediglich eine Aussage darüber, ob die in der CMS-Beschreibungenthaltenen Aussagen zur Konzeption des CMS angemessen dargestelltsind. Sie ist damit alleiniger Prüfungsgegenstand. Die Prüfung ist im Wesentlichen darauf gerichtet, ob alle im Standard definierten Grundelemente mit Maßnahmen und Prozessen ausgestaltet und beschrieben sind. Neben der reinen Vollständigkeit ist die Konzeption darüber hinaus noch daraufhin zu beurteilen, ob sie in der dargelegten Form für das Unternehmen zutrifft. Die Abgrenzung zur hier ebenfalls beschriebenen Angemessenheitsprüfung kann im Zweifelsfall schwierig sein.

114

Bei der Bestimmung von Art und Umfang der Prüfungshandlungensind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Als Prüfungshandlungen kommen daher insbesondere Befragungen (z.B. der gesetzlichen Vertreter) und die Durchsicht von Organisationsunterlagen (z.B. Protokolle, Berichte der internen Revision, Handbücher) in Betracht.[3]

115

Keinesfalls ist in der Konzeptionsprüfung jedoch zu verifizieren, ob die eingerichteten Prozesse und Maßnahmen überhaupt geeignet sind, die Compliance-Risiken angemessen zu adressieren. Die Prüfungsaussage als solche ist hier demnach sehr eingeschränkt und dürfte in aller Regel nur als Vorstufezu einer sich anschließenden Angemessenheits- oder Wirksamkeitsprüfung gesehen werden.

116

Das IDW hat in den Entwürfen zu den Prüfungsstandards 981, 982 und 983, die sich mit der Prüfung von Risikomanagementsystemen, Internen Kontrollsystemen sowie dem System der Internen Revision beschäftigen, auf die Durchführung einer Konzeptionsprüfung verzichtet. Da sich auch diese Standards also mit der Prüfung von Management Systemen der Corporate Governance beschäftigen ist davon auszugehen, dass das IDW bewusst auf die Konzeptionsprüfung verzichtet. Dies deckt sich mit Erfahrungen aus der Praxis, in der diese Form der Prüfung wenig Relevanz und Anklang gefunden hat. Problematisch war insbesondere die Abgrenzung zur Angemessenheitsprüfung, was regelmäßig zu Missverständnissen auf der Seite der Empfänger führte. Für die Zukunft ist also davon auszugehen, dass in einer Überarbeitung des PS 980 ebenfalls die Konzeptionsprüfung als Prüfungsvariante entfallen wird.

117

Die Prüfung der Angemessenheit des CMS schließt sich inhaltlich an die zuvor vorgenommene Würdigung der Konzeption an. In diesem Schritt werden allerdings die eingerichteten Prozesse und Maßnahmennoch daraufhin untersucht, ob sie bei tatsächlicher Befolgung geeignet sind, die mit dem CMS verfolgten Ziele zu erreichen, d.h. Regelverstöße zu verhindern oder zeitnah aufzudecken und zu sanktionieren. Dabei definiert der Prüfungsstandard die Angemessenheitsprüfung als Prüfung sowohl der Angemessenheit als auch der Implementierung. Daraus folgt, dass neben der grundsätzlichen Eignung der Prozesse und Maßnahmen zur Erreichung der Compliance Ziele auch untersucht werden muss, ob diese auch zum Prüfungsstichtag implementiert, d.h. eingerichtet waren.

118

Die Angemessenheitsprüfung ist mit der sog. „ Design Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach dem PCAOB Auditing Standard 5untersucht wird: “The auditor should test the design effectiveness of controls by determining whether the company's controls, if they are operated as prescribed by persons possessing the necessary authority and competence to perform the control effectively, satisfy the company's control objectives and can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements.“[4]

119

Der CMS-Prüfer muss also auch sicherstellen, dass die in der CMS-Beschreibung dokumentierten Prozesse und Maßnahmen tatsächlich auch vorgefunden werden. Dem Aspekt der Implementierung kommt insbesondere bei Konzernprüfungeneine große Bedeutung zu, da es hier folglich nicht ausreichend sein kann, die Maßnahmen lediglich auf Konzernebene zu beurteilen ohne sicherzustellen, dass die beschriebenen Kontrollen auch bei den einbezogenen Tochtergesellschaftenin der Praxis umgesetzt worden sind. Dazu ist es geboten, die Prüfungshandlungen schwerpunktmäßig dezentral, d.h. vor Ort (z.B. im betroffenen Unternehmensteil bzw. im Rahmen einer Konzernprüfung bei der betroffenen Tochtergesellschaft) vorzunehmen. Nur dadurch kann wirklich eine Aussage getroffen werden, ob die in der CMS-Beschreibung enthaltenen Maßnahmen auch tatsächlich so durchgeführt werden.[5]

120

In Analogie zum IDW Prüfungsstandard 261 umfasst die Angemessenheitsprüfung deshalb u.a. auch die Befragungenvon Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen. Weiterhin kann sich der Prüfer mittels Durchsicht von Dokumenten, z.B. Organisationshandbüchern, Arbeitsplatzbeschreibungen und Ablaufdiagrammen einen Überblick über die Prozesse und Maßnahmen verschaffen. Die Beobachtung von Aktivitäten und Arbeitsabläufenim Unternehmen, einschließlich der IT-gestützten Verfahren kann darüber hinaus wertvolle Beweise für die Implementierung geben.[6]

121

Sollte der CMS-Prüfer zum Ergebnis kommen, dass das eingerichtete CMS nicht angemessen ausgestaltet bzw. implementiert ist, so ist eine anschließende Prüfung der Wirksamkeit nicht zweckmäßig, da auch bei effektiver Umsetzung von nicht angemessenen Prozessen und Maßnahmen keine Wirksamkeit gegeben sein kann. Diese Feststellungenaus der Angemessenheitsprüfung sind daher zunächst zu adressieren und durch das Unternehmen zu beseitigen, bevor der nächste Prüfungsschritt begonnen werden kann. Dem wird in der Praxis häufig dadurch begegnet, dass der designierte CMS-Prüfer bereits in die Konzeptions- und Implementierungsphase involviert wird und eine projektbegleitende Prüfung durchführt. Die Grenzen der vom designierten CMS-Prüfer gegebenen Hinweise werden durch das Selbstprüfungsverbot gesetzt.[7]

122

Die Prüfung der Konzeption sowie der Angemessenheit beinhalten keine Aussage zur tatsächlichen Wirksamkeit des CMS und sind in erster Linie als Vorstufean die Unternehmensorgane gerichtet, die an einer unabhängigen Beurteilung des Entwicklungsstands des CMSinteressiert sind.[8] Eine Wirksamkeit ist erst dann gegeben, wenn durch entsprechende Prüfungshandlungen – in der Regel auf Stichprobenbasis – sichergestellt wurde, dass die eingerichteten angemessenen Prozesse und Maßnahmen auch tatsächlich befolgt und umgesetztwerden.

123

Die Wirksamkeitsprüfung ist mit der sog. „ Operating Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach PCAOB Auditing Standard 5untersucht wird: “The auditor should test the operating effectiveness of a control by determining whether the control is operating as designed and whether the person performing the control possesses the necessary authority and competence to perform the control effectively.“[9] Sie schließt daher inhaltlich immer die Prüfung der Konzeption und Angemessenheit ein.

124

Ebenfalls in Analogie zum IDW Prüfungsstandard 261 n.F. umfasst die Wirksamkeitsprüfung deshalb die Befragungvon Mitarbeitern, die Durchsichtvon Nachweisen über die Durchführung der Maßnahmen, Beobachtungder Durchführung von Maßnahmen, Nachvollzugvon Kontrollaktivitäten, Auswertungvon Ablaufdiagrammen, Checklisten und Fragebögen, Einsichtnahmein die Berichte der Internen Revision sowie IT-gestützte Prüfungshandlungen.[10]