Compliance. Markus Böttcher

Чтение книги онлайн.

СКАЧАТЬ Verfahren kann darüber hinaus wertvolle Beweise für die Implementierung geben.[6]

      121

Sollte der CMS-Prüfer zum Ergebnis kommen, dass das eingerichtete CMS nicht angemessen ausgestaltet bzw. implementiert ist, so ist eine anschließende Prüfung der Wirksamkeit nicht zweckmäßig, da auch bei effektiver Umsetzung von nicht angemessenen Prozessen und Maßnahmen keine Wirksamkeit gegeben sein kann. Diese Feststellungen aus der Angemessenheitsprüfung sind daher zunächst zu adressieren und durch das Unternehmen zu beseitigen, bevor der nächste Prüfungsschritt begonnen werden kann. Dem wird in der Praxis häufig dadurch begegnet, dass der designierte CMS-Prüfer bereits in die Konzeptions- und Implementierungsphase involviert wird und eine projektbegleitende Prüfung durchführt. Die Grenzen der vom designierten CMS-Prüfer gegebenen Hinweise werden durch das Selbstprüfungsverbot gesetzt.[7]

3. Wirksamkeitsprüfung

      122

Die Prüfung der Konzeption sowie der Angemessenheit beinhalten keine Aussage zur tatsächlichen Wirksamkeit des CMS und sind in erster Linie als Vorstufe an die Unternehmensorgane gerichtet, die an einer unabhängigen Beurteilung des Entwicklungsstands des CMS interessiert sind.[8] Eine Wirksamkeit ist erst dann gegeben, wenn durch entsprechende Prüfungshandlungen – in der Regel auf Stichprobenbasis – sichergestellt wurde, dass die eingerichteten angemessenen Prozesse und Maßnahmen auch tatsächlich befolgt und umgesetzt werden.

      123

      

Die Wirksamkeitsprüfung ist mit der sog. „Operating Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach PCAOB Auditing Standard 5 untersucht wird: “The auditor should test the operating effectiveness of a control by determining whether the control is operating as designed and whether the person performing the control possesses the necessary authority and competence to perform the control effectively.“[9] Sie schließt daher inhaltlich immer die Prüfung der Konzeption und Angemessenheit ein.

      124

Ebenfalls in Analogie zum IDW Prüfungsstandard 261 n.F. umfasst die Wirksamkeitsprüfung deshalb die Befragung von Mitarbeitern, die Durchsicht von Nachweisen über die Durchführung der Maßnahmen, Beobachtung der Durchführung von Maßnahmen, Nachvollzug von Kontrollaktivitäten, Auswertung von Ablaufdiagrammen, Checklisten und Fragebögen, Einsichtnahme in die Berichte der Internen Revision sowie IT-gestützte Prüfungshandlungen.[10]

      125

      Welche der hier dargestellten Prüfungshandlungen sich für die einzelnen Maßnahmen und Prozesse eignet, hängt von einer Vielzahl von Faktoren ab. Insbesondere sollte sich der Prüfer die Komplexität der Kontrollhandlung sowie die Folgen des Kontrollversagens vor Augen führen. Bei anspruchsvollen Kontrollen wäre z.B. wahrscheinlich ein Nachvollzug (d.h. eine eigene Wiederholung der Prüfungshandlung) angemessen. Bei einfachen Aktivitäten kann die bloße Einsichtnahme in die dokumentierte Kontrolle ausreichend sein. Mittels dieser Prüfungshandlungen kann durch den CMS-Prüfer festgestellt werden, ob die als angemessen eingeschätzten Maßnahmen und Prozesse auch so umgesetzt, d.h. im Unternehmen gelebt, werden. Wie im Rahmen einer risikoorientierten und effizienten Prüfung üblich, kann eine solche Prüfung der Prozesse und Maßnahmen in den meisten Fällen nur stichprobenartig erfolgen. Dabei sind insbesondere der Stichprobenumfang sowie die zeitliche Streuung der Stichprobenelemente zu bestimmen.

      126

      

      Während einzelne Aussagen in der Compliance Beschreibung aussageorientiert prüfbar sind (z.B. das Vorliegen eines Code of Conduct), entziehen sich andere dargestellte Maßnahmen und Prozesse hingegen aufgrund ihrer hohen Transaktionszahl einer solchen vollständigen Überprüfung (z.B. Vier-Augen-Prinzip oder das Einhalten von Unterschriftenregelungen). Hier stellt sich die Frage, nach welcher Vorgabe eine Stichprobenauswahl zu erfolgen hat. Der CMS-Prüfer wird den Stichprobenumfang so festlegen, dass er auf Basis der ausgewählten Elemente eine hinreichende Sicherheit bzgl. der Aussage über die Wirksamkeit der Einzelmaßnahme treffen kann. Auf Basis anerkannter internationaler Prüfungsgrundsätze (vgl. International Standard on Auditing ISA 530) hängt der Stichprobenumfang im Wesentlichen davon ab, wie häufig eine entsprechende Kontrolle durchgeführt wird, wie hoch die Wahrscheinlichkeit des Kontrollversagens und wie materiell das hierdurch adressierte Risiko ist.

      127

      

      Die Wirksamkeitsprüfung ist immer zeitraumbezogen, d.h. der CMS-Prüfer stellt sicher und bescheinigt, dass die Maßnahmen und Prozesse innerhalb eines fest definierten Zeitraums wirksam waren. Als Folge dessen sind die ausgewählten Stichprobenelemente so zu wählen, dass sie eine verlässliche Aussage über den gesamten Prüfungszeitraum zulassen. Im Falle von Einsichtnahmen in Unterlagen kann dies auch zum Ende des Prüfungszeitraums durch eine entsprechende Auswahl von Sachverhalten und Transaktionen aus Vormonaten erfolgen. Bei Interviews und Beobachtungen sind jedoch Prüfungshandlungen aufgrund der Natur der Prüfungshandlung auch schon innerhalb des zu prüfenden Zeitraums unerlässlich.

      128

      

Grundsätzlich gilt, dass sich der CMS-Prüfer bei der Entscheidung über Art und Umfang der Prüfungshandlungen an den allgemeinen berufsrechtlichen Anforderungen orientiert, die zum Teil durch Kriterien im Prüfungsstandard konkretisiert werden. Keinesfalls kann es als Aufgabe von IDW PS 980 verstanden werden, eine vollumfängliche Beschreibung der Prüfungshandlungen zu liefern. Vielmehr setzt er einen Rahmen, innerhalb dessen der CMS-Prüfer ein der Unternehmensgröße, der Branche, der inneren Struktur, der geographischen Tätigkeit sowie der Aufbau- und Ablauforganisation sowie dem Teilbereich angemessenes Prüfprogramm individuell entwickelt.[11]

      129

Der Prüfungsstandard richtet sich an Wirtschaftsprüfer und ist somit immer im Kontext mit den bereits existierenden allgemeinen Grundsätzen der Prüfung zu sehen. Konkretisierende Prüfungshandlungen und Grundsätze finden sich somit in den deutschen Prüfungsstandards des Instituts der Wirtschaftsprüfer sowie in den internationalen Prüfungsstandards. Hierin finden sich anerkannte Prüfungstechniken und -methoden, die eine ausreichende theoretische und praktische Fundierung der Prüfung sicherstellen.[12]

4. Grenzen der Wirksamkeitsprüfung

      130

      Die Wirksamkeitsprüfung (mit ihren beiden Vorstufen der Konzeptions- und Angemessenheits- bzw. Implementierungsprüfung) in der hier dargestellten Form kann nicht als Nachweis dafür gelten, dass Verstöße im Unternehmen vollständig verhindert werden. Zum einen arbeitet der CMS Prüfer in der Regel mit stichprobenartigen Prüfungen der identifizierten Prozesse und Maßnahmen. Zwar wird durch die bewusste und sorgfältige Bestimmung des Stichprobenumfangs eine hohe Wahrscheinlichkeit erzielt, jedoch liegt einer solchen Auswahl immer das Risiko zugrunde, dass Kontrollversagen in der gezogenen Stichprobe nicht identifiziert wird. Darüber hinaus scheitern alle internen Kontrollsysteme, und so auch das CMS, immanent im Falle des sog. „management override“, wenn durch Vorgesetzte eine eingerichtete Kontrolle durch Ausübung von Druck außer Kraft gesetzt wird. Zwar liefert gerade das СКАЧАТЬ