Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  Management

Stellungnahme zum "Entwurf IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW EPS 980)"

Von Peter Rösch

06.08.2010

Peter Rösch

Peter Rösch 
Peter Rösch ist als Berater für Organisation und IT selbständig (www.roesch-unternehmensberatung.de). Er ist Partner von Ganzheitliche Compliance Rösch & Jansen GbR (www.ganzheitliche-compliance.de).

Der Entwurf soll Wirtschaftsprüfer in die Lage versetzen, freiwillige Prüfungen von Compliance Managementsystemen durchzuführen. Unter Tz 66 ist richtigerweise darauf hingewiesen, dass dies keine Vorbehaltsaufgabe darstellt. Zertifizierungen, Prüfungen oder Auditierung von Compliance in Unternehmen oder Organisationen können derzeit von dafür als geeignet angesehenen Personen oder Organisationen durchgeführt werden. Aus welchen Gründen das IDW sich als alleine kompetent ansieht, Grundsätze ordnungsmäßiger Prüfung von Compliance Managementsystemen aufzustellen, entzieht sich meiner Kenntnis. Die gemeinsame Erarbeitung solcher Grundsätze mit anderen zur Konzeption, Einrichtung, Zertifizierung, Prüfung und Auditierung betrauten Personen und Organisationen stellt eine Chance für die breite Akzeptanz dar und sollte deshalb genutzt werden.

Im Folgenden nehme ich exemplarisch zu einzelnen Punkten (Tz) des Entwurfs Stellung.

1. Tz 1 Satz 2 Teilbereich

Ein Compliance Managementsystem wird als Teilbereich des Risikomanagements definiert.

Diese Definition ist nicht allgemeingültig. Vielmehr stehen Governance, Riskmanagement und Compliance (GRC) als eigenständige Managementsysteme nebeneinander.

2. Tz 1 Satz 2 Unternehmen

Ein Compliance Managementsysteme sei auf die Einhaltung von Regeln in Unternehmen ausgerichtet.

Diese Definition greift zu kurz. Compliance Managementsysteme bestehen in gleicher Weise in nicht kommerziellen Organisationen, unabhängig von deren Rechtskonstrukten.

3. Tz 9 Rahmenkonzepte

In den angeführten "anerkannten Rahmenkonzepten" (Tz A4 und Anlage 1) werden überwiegend Beispiele aus anderen Kulturkreisen und Rechtsystemen angeführt.

Die Beispiele aus dem deutschen oder angrenzenden Raum zielen auf Teilaspekte (Korruptionsbekämpfung) oder einzelne Branchen (Immobilienwirtschaft).

Allgemeingültige Grundsätze sind nicht aufgeführt. Ein Hinweis auf die "Grundsätze ganzheitlicher Compliance" (Peter Rösch und Lutz Jansen, Haar bei München 2010) könnte Unternehmen und Organisationen, die Compliance im Tagesgeschäft verankern wollen, weitere Aspekte bieten.

4. Tz 11 Grundelemente

Die Beschreibung eines Compliance Managementsystems soll eine "Darstellung zu sämtlichen Grundelementen" nach Tz 19 beinhalten. In weiteren Tz (Beispiel Tz 14 Abs. a) wird hierzu immer wieder Bezug genommen.

Hier wird der Eindruck erweckt, ein Compliance Managementsystem besteht aus genau den beschriebenen sieben Grundelementen. Dieses ist eine Sichtweise der Verfasser des Entwurfes, jedoch keine belegbare allgemein anerkannte Definition.

5. Tz 11 Grundsätze

Die Beschreibung eines Compliance Managementsystems soll einen Verweis oder eine Aufzählung "allgemein zugänglicher Compliance Managementsystemgrundsätze" beinhalten.

Hier wird der Eindruck erweckt, dass es erforderlich ist, diesen Verweis oder eine Aufzählung der Beschreibung voranzustellen. Dies ist schon deshalb nicht passend, weil nicht zwingend geeignete Grundsätze vorhanden sind oder die Organisation oder das Unternehmen sich eigene Grundsätze gibt. Diese Möglichkeit ist im Entwurf unter A 26 selbst angeführt.

6. Tz 19 Grundelemente

Die sieben Grundelemente weisen ein "angemessenes Compliance Managementsystem" aus.

Die Beschreibung und der Zuschnitt der sieben Grundelemente erweckt den Anschein, dass diese und genau nur diese Voraussetzung für ein Compliance Managementsystem sind (siehe auch Stellungnahme zu Tz 11).

Das unter Tz 19 Abs. 3 mit Compliance-Organisation bezeichnete Grundelement fordert eine eigene Aufbau- und Ablauforganisation. Dies ist bei einer Compliance als "integralem Bestandteil der Unternehmensorganisation" nicht zwingend erforderlich. Vielmehr wird hier der Eindruck erweckt, Compliance bedarf einer Organisation vergleichbar einer Revision oder anderen Stabsfunktionen.

Das unter Tz 19 Abs. 4 mit Compliance-Risiken bezeichnete Grundelement beschreibt die Wirkung eines Risikomanagementsystems und wäre dort (siehe auch Stellungnahme zu Tz 1 Satz 2) anzusiedeln.

In Tz 19 Abs. 6 wird unter Compliance-Kommunikation, wie an anderen Stellen auch, ausschließlich von Compliance-Risiken gesprochen. Die Chancen, die sich einem Unternehmen oder einer Organisation aus einer gelebten Compliance bieten, werden nicht erwähnt.

In Tz 19 werden Compliance-Überwachung und Verbesserung von einer "ausreichenden Dokumentation" abhängig gemacht. Damit fällt die Einhaltung gesellschaftlicher oder ethischer Werte und Codices nicht unter Compliance, da diese selten dokumentiert sind. Dies reduziert Compliance im Sinne dieses Entwurfes auf Teilaspekte ohne Anspruch auf Vollständigkeit.

7. Tz 26 Prüfungssicherheit

Der Entwurf sieht ausschließlich die Beurteilung der Aussagen im Compliance Managementsystem vor.

Diese Aussage kann als Widerspruch zu den Aussagen anderer Tz angesehen werden, in denen die Wirksamkeit der Maßnahmen und Sanktionen (Tz 41ff) als möglicher Prüfungsgegenstand einer Funktionsprüfung beschrieben wird.

8. Tz 35 Risiken

Mit der Prüfung sollen gegebenenfalls Risiken "für" (oder "aus"?) wesentliche Fehler festgestellt werden.

Die Komplexität möglicher Folgen aus einem Verhalten, das als nicht compliant angesehen werden kann, können kaum abgeschätzt werden. Alleine die monetären Schäden aus dem Verhalten der jüngst bekanntgewordenen Fälle (Siemens, BP, Telekom, Deutsche Bahn, …) waren kaum absehbar. Zudem ist in keiner Weise vorgesehen, nicht genutzte Chancen zu bewerten. Dies ist eine einseitige Sichtweise, die dazu führt, dass die Prüfung alleine als "Ausschluss von negativen Haftungsrisiken" für die Auftraggeber angesehen werden könnte.

9. Tz 40 Mängel

Bei der Prüfung können erhebliche Mängel in der Konzeption eines Compliance Managementsystems bekannt werden. Diese Prüfung nutzt nach Tz 37 die Dokumentation.

Ob die Dokumentation eines Compliance Managementsystems geeignet ist das Verhalten der Mitarbeiter einer Organisation oder eines Unternehmens auf ein gemeinsames Verständnis im Umgang mit Regelwerken zu lenken, kann kaum durch die Dokumentation selbst, sondern erst durch die Adaption der angestrebten Kultur beurteilt werden. Dies ist auch in Tz 19 Abs. 1 "Compliance-Kultur" angeführt und steht damit zu Tz 40 in einem Widerspruch.

10. Tz 52 Vollständigkeitsprüfung (auch A8)

Mit der Vollständigkeitserklärung soll auch bestätigt werden, dass alle Erklärungen zur "Angemessenheit, Implementierung und Wirksamkeit" des Compliance Managementsystems erteilt sind.

Die Angemessenheit und Wirksamkeit eines Compliance Managementsystems wird nicht selten durch die interessierte Öffentlichkeit und die Kunden beurteilt. Die erklärte Vollständigkeit könnte deshalb im Versagensfall vom Prüfer im Nachhinein angezweifelt werden. Das Prüfungsergebnis wäre demnach obsolet. Ein erteiltes Testat wäre demnach per se im Vorhinein ohne belastbaren Wert.

11. Tz 63 Arbeitspapiere

Ein in Prüfungen von Compliance Managementsystemen erfahrener Wirtschaftsprüfer soll sich ein Bild über die Prüfungshandlungen machen können.

Dies unterstellt, dass nur Wirtschaftsprüfer eine Überprüfung der Prüfungshandlungen vornehmen können. Dies steht im Widerspruch zu Tz 66.

12. A2 Abs. 1 Rechtsgebiete

Arbeitsrecht und Persönlichkeitsrechte fehlen in der Auflistung.

Gerade der Verstoß gegen Arbeitsrecht und Persönlichkeitsrechte (Schlecker, Daimler, Deutsche Bahn, …) werden durch die Öffentlichkeit entdeckt und angeprangert.

13. A2 Abs. 2 Regionale Abgrenzung

Die regionale Abgrenzung liegt im Ermessen des Unternehmens oder der Organisation.

Der Umgang mit Widersprüchen aus konkurrierenden Rechtsnormen stellt eine Herausforderung dar. Die Verantwortlichen in einem Unternehmen oder einer Organisation haben hier oftmals eine Rechtsposition zu besetzen, die nicht eindeutig durch Gesetze oder Urteile begründet ist. Der Umgang mit solchen Rechtspositionen im Rahmen einer Prüfung ist an keiner Stelle des Entwurfes beschrieben.

14. A10 Abs. Sanktionen

In einer "günstige Compliance-Kultur" (eventuell zitiert aus Rösch und Jansen) werden aufgedeckte Verstöße sanktioniert.

Die Schlussfolgerung der Wirksamkeit einer Compliance-Kultur in Abhängigkeit von erkannten und sanktionierten Verstößen entzieht sich meiner Logik. Gerade die weltweit immer wieder geführte Diskussion über die Abschreckungswirkung von Strafen wird somit außer Acht gelassen Das Erkennen von Chancen und Ergreifen von Vorteilen als positive Motivation fehlt hier.

15. A11 Satz 4 IKS

Hier wird wiederum (siehe auch Tz 19 Abs. 3) auf die Erfordernis einer eigenen Aufbauorganisation für Compliance hingewiesen.

Dies steht im Widerspruch zur Integration von Compliance in bestehende Managementsysteme. Die Einhaltung und Kontrolle von Regeln in einem System selbst zu verankern ist Aufgabe von Compliance. Das in einem IKS (Interne Kontrollsystem) geforderte 4-Augen-Prinzip kann hier als Beispiel dienen.

16. A14 Abs. 4 Maßnahmen

Hier werden Maßnahmen eines Programmes beschrieben.

Die genannten Beispiele sind Bestandteile eines IKS (Internes Kontrollsystem). Damit würde Compliance zu einem redundanten System. Compliance geht aber weit über die Sichtweise der Betrachtung einer regelkonformen betriebswirtschaftlichen Organisationsform hinaus. Dieser Ansatz wird mit den vorliegenden Formulierungen nicht gesehen.

17. A25 Abschlussprüfer

Hier wird der Abschlussprüfer als Prüfer oder Auditor von Compliance beschrieben.

Die Identität beider Prüfer oder Auditoren, ob als Person oder Organisation, gilt es auszuschließen. Gerade das nicht regelkonforme Verhalten bei der Führung der Bücher bei bekannt gewordenen Fällen zeigt, dass eine voneinander unabhängige Prüfung nottut.

18. A27 Prüfungshandlungen

Hier werden nur Prüfungshandlungen innerhalb des Unternehmens oder der Organisation beschrieben.

Die Prüfung oder Auditierung aus Sicht von Organisationen oder Personen außerhalb ist erforderlich, denn nur hier kann festgestellt werden, ob das durch Compliance eingeforderte Verhalten (Chancen und Risiken) tatsächlich gegeben ist. IDW EPS 980 Stellungnahme zum Entwurf Stand 11.03.2010 IDW EPS 980 Stellungnahme PR Seite 4 von 4 Stand 06.08.2010

19. A29 Satz 4 Unterlagen

Nach dem Entwurf generiert ein Compliance Managementsystem Unterlagen über Sanktionen.

Hier wird suggeriert, dass erkannte Verstöße und Sanktionen in einem eigenen System behandelt werden. Die Sichtweise, dass dies in bestehenden Systemen erfolgen kann und teilweise auch muss, wird hier nicht aufgezeigt.

Beispiel 1: Personalrechtliche Sanktionen sind immer und ausschließlich (Datenschutz) in der Personalakte zu führen und nach den hierfür geltenden Vorschriften zu behandeln.

Beispiel 2: Erkannte Fehler in Prozessen, die einem Qualitätsmanagement unterliegen, sind immer dort unter Fehler und Fehlerkosten zu führen und nach den hierfür geltenden Prozessen zu behandeln.

Werden diese und andere Informationen zusätzlich in einem Compliance Managementsystem geführt, entsteht eine Redundanz mit den Folgen eines möglicherweise unkontrollierten Informationsabflusses

Newsletter
 hier abonnieren