Compliance. Markus Böttcher

Чтение книги онлайн.

IV. Wie – Ziel und Vorgehen bei der Prüfung

      112

In diesem Abschnitt soll dargestellt werden, welche Formen der Beauftragung eines CMS-Prüfers aus dem Standard abzuleiten sind. Dieser geht in seiner konzeptionellen Ausrichtung davon aus, dass das beauftragende Unternehmen eine Aussage über die tatsächliche Wirksamkeit des CMS einholt. In diesem Fall spricht der Standard hier auch von der „umfassenden Prüfung“[1]. Allerdings wird ebenso explizit darauf hingewiesen, dass auf dem Weg zur umfassenden Wirksamkeitsprüfung der Prozess der Entwicklung und Einführung eines CMS durch den CMS-Prüfer prüferisch begleitet werden kann. Als Zwischenstufen werden dabei die Konzeptionsprüfung sowie die Angemessenheitsprüfung benannt.[2] Beide unterscheiden sich materiell von der Wirksamkeitsprüfung.

1. Konzeptionsprüfung

      113

      Bei der Konzeptionsprüfung trifft der CMS-Prüfer lediglich eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen zur Konzeption des CMS angemessen dargestellt sind. Sie ist damit alleiniger Prüfungsgegenstand. Die Prüfung ist im Wesentlichen darauf gerichtet, ob alle im Standard definierten Grundelemente mit Maßnahmen und Prozessen ausgestaltet und beschrieben sind. Neben der reinen Vollständigkeit ist die Konzeption darüber hinaus noch daraufhin zu beurteilen, ob sie in der dargelegten Form für das Unternehmen zutrifft. Die Abgrenzung zur hier ebenfalls beschriebenen Angemessenheitsprüfung kann im Zweifelsfall schwierig sein.

      114

Bei der Bestimmung von Art und Umfang der Prüfungshandlungen sind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Als Prüfungshandlungen kommen daher insbesondere Befragungen (z.B. der gesetzlichen Vertreter) und die Durchsicht von Organisationsunterlagen (z.B. Protokolle, Berichte der internen Revision, Handbücher) in Betracht.[3]

      115

      Keinesfalls ist in der Konzeptionsprüfung jedoch zu verifizieren, ob die eingerichteten Prozesse und Maßnahmen überhaupt geeignet sind, die Compliance-Risiken angemessen zu adressieren. Die Prüfungsaussage als solche ist hier demnach sehr eingeschränkt und dürfte in aller Regel nur als Vorstufe zu einer sich anschließenden Angemessenheits- oder Wirksamkeitsprüfung gesehen werden.

      116

      Das IDW hat in den Entwürfen zu den Prüfungsstandards 981, 982 und 983, die sich mit der Prüfung von Risikomanagementsystemen, Internen Kontrollsystemen sowie dem System der Internen Revision beschäftigen, auf die Durchführung einer Konzeptionsprüfung verzichtet. Da sich auch diese Standards also mit der Prüfung von Management Systemen der Corporate Governance beschäftigen ist davon auszugehen, dass das IDW bewusst auf die Konzeptionsprüfung verzichtet. Dies deckt sich mit Erfahrungen aus der Praxis, in der diese Form der Prüfung wenig Relevanz und Anklang gefunden hat. Problematisch war insbesondere die Abgrenzung zur Angemessenheitsprüfung, was regelmäßig zu Missverständnissen auf der Seite der Empfänger führte. Für die Zukunft ist also davon auszugehen, dass in einer Überarbeitung des PS 980 ebenfalls die Konzeptionsprüfung als Prüfungsvariante entfallen wird.

2. Angemessenheitsprüfung

      117

      Die Prüfung der Angemessenheit des CMS schließt sich inhaltlich an die zuvor vorgenommene Würdigung der Konzeption an. In diesem Schritt werden allerdings die eingerichteten Prozesse und Maßnahmen noch daraufhin untersucht, ob sie bei tatsächlicher Befolgung geeignet sind, die mit dem CMS verfolgten Ziele zu erreichen, d.h. Regelverstöße zu verhindern oder zeitnah aufzudecken und zu sanktionieren. Dabei definiert der Prüfungsstandard die Angemessenheitsprüfung als Prüfung sowohl der Angemessenheit als auch der Implementierung. Daraus folgt, dass neben der grundsätzlichen Eignung der Prozesse und Maßnahmen zur Erreichung der Compliance Ziele auch untersucht werden muss, ob diese auch zum Prüfungsstichtag implementiert, d.h. eingerichtet waren.

      118

Die Angemessenheitsprüfung ist mit der sog. „Design Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach dem PCAOB Auditing Standard 5 untersucht wird: “The auditor should test the design effectiveness of controls by determining whether the company's controls, if they are operated as prescribed by persons possessing the necessary authority and competence to perform the control effectively, satisfy the company's control objectives and can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements.“[4]

      119

Der CMS-Prüfer muss also auch sicherstellen, dass die in der CMS-Beschreibung dokumentierten Prozesse und Maßnahmen tatsächlich auch vorgefunden werden. Dem Aspekt der Implementierung kommt insbesondere bei Konzernprüfungen eine große Bedeutung zu, da es hier folglich nicht ausreichend sein kann, die Maßnahmen lediglich auf Konzernebene zu beurteilen ohne sicherzustellen, dass die beschriebenen Kontrollen auch bei den einbezogenen Tochtergesellschaften in der Praxis umgesetzt worden sind. Dazu ist es geboten, die Prüfungshandlungen schwerpunktmäßig dezentral, d.h. vor Ort (z.B. im betroffenen Unternehmensteil bzw. im Rahmen einer Konzernprüfung bei der betroffenen Tochtergesellschaft) vorzunehmen. Nur dadurch kann wirklich eine Aussage getroffen werden, ob die in der CMS-Beschreibung enthaltenen Maßnahmen auch tatsächlich so durchgeführt werden.[5]

      120

In Analogie zum IDW Prüfungsstandard 261 umfasst die Angemessenheitsprüfung deshalb u.a. auch die Befragungen von Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen. Weiterhin kann sich der Prüfer mittels Durchsicht von Dokumenten, z.B. Organisationshandbüchern, Arbeitsplatzbeschreibungen und Ablaufdiagrammen einen Überblick über die Prozesse СКАЧАТЬ