02.10.2024
|
Stellungnahme zum "Entwurf IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW EPS 980)"Von Peter Rösch06.08.2010 Peter Rösch Der Entwurf soll Wirtschaftsprüfer in die Lage versetzen, freiwillige Prüfungen von Compliance Managementsystemen durchzuführen. Unter Tz 66 ist richtigerweise darauf hingewiesen, dass dies keine Vorbehaltsaufgabe darstellt. Zertifizierungen, Prüfungen oder Auditierung von Compliance in Unternehmen oder Organisationen können derzeit von dafür als geeignet angesehenen Personen oder Organisationen durchgeführt werden. Aus welchen Gründen das IDW sich als alleine kompetent ansieht, Grundsätze ordnungsmäßiger Prüfung von Compliance Managementsystemen aufzustellen, entzieht sich meiner Kenntnis. Die gemeinsame Erarbeitung solcher Grundsätze mit anderen zur Konzeption, Einrichtung, Zertifizierung, Prüfung und Auditierung betrauten Personen und Organisationen stellt eine Chance für die breite Akzeptanz dar und sollte deshalb genutzt werden.Im Folgenden nehme ich exemplarisch zu einzelnen Punkten (Tz) des Entwurfs Stellung. 1. Tz 1 Satz 2 TeilbereichEin Compliance Managementsystem wird als Teilbereich des Risikomanagements definiert. Diese Definition ist nicht allgemeingültig. Vielmehr stehen Governance, Riskmanagement und Compliance (GRC) als eigenständige Managementsysteme nebeneinander. 2. Tz 1 Satz 2 UnternehmenEin Compliance Managementsysteme sei auf die Einhaltung von Regeln in Unternehmen ausgerichtet. Diese Definition greift zu kurz. Compliance Managementsysteme bestehen in gleicher Weise in nicht kommerziellen Organisationen, unabhängig von deren Rechtskonstrukten. 3. Tz 9 RahmenkonzepteIn den angeführten "anerkannten Rahmenkonzepten" (Tz A4 und Anlage 1) werden überwiegend Beispiele aus anderen Kulturkreisen und Rechtsystemen angeführt. Die Beispiele aus dem deutschen oder angrenzenden Raum zielen auf Teilaspekte (Korruptionsbekämpfung) oder einzelne Branchen (Immobilienwirtschaft). Allgemeingültige Grundsätze sind nicht aufgeführt. Ein Hinweis auf die "Grundsätze ganzheitlicher Compliance" (Peter Rösch und Lutz Jansen, Haar bei München 2010) könnte Unternehmen und Organisationen, die Compliance im Tagesgeschäft verankern wollen, weitere Aspekte bieten. 4. Tz 11 GrundelementeDie Beschreibung eines Compliance Managementsystems soll eine "Darstellung zu sämtlichen Grundelementen" nach Tz 19 beinhalten. In weiteren Tz (Beispiel Tz 14 Abs. a) wird hierzu immer wieder Bezug genommen. Hier wird der Eindruck erweckt, ein Compliance Managementsystem besteht aus genau den beschriebenen sieben Grundelementen. Dieses ist eine Sichtweise der Verfasser des Entwurfes, jedoch keine belegbare allgemein anerkannte Definition. 5. Tz 11 GrundsätzeDie Beschreibung eines Compliance Managementsystems soll einen Verweis oder eine Aufzählung "allgemein zugänglicher Compliance Managementsystemgrundsätze" beinhalten. Hier wird der Eindruck erweckt, dass es erforderlich ist, diesen Verweis oder eine Aufzählung der Beschreibung voranzustellen. Dies ist schon deshalb nicht passend, weil nicht zwingend geeignete Grundsätze vorhanden sind oder die Organisation oder das Unternehmen sich eigene Grundsätze gibt. Diese Möglichkeit ist im Entwurf unter A 26 selbst angeführt. 6. Tz 19 GrundelementeDie sieben Grundelemente weisen ein "angemessenes Compliance Managementsystem" aus. Die Beschreibung und der Zuschnitt der sieben Grundelemente erweckt den Anschein, dass diese und genau nur diese Voraussetzung für ein Compliance Managementsystem sind (siehe auch Stellungnahme zu Tz 11). Das unter Tz 19 Abs. 3 mit Compliance-Organisation bezeichnete Grundelement fordert eine eigene Aufbau- und Ablauforganisation. Dies ist bei einer Compliance als "integralem Bestandteil der Unternehmensorganisation" nicht zwingend erforderlich. Vielmehr wird hier der Eindruck erweckt, Compliance bedarf einer Organisation vergleichbar einer Revision oder anderen Stabsfunktionen. Das unter Tz 19 Abs. 4 mit Compliance-Risiken bezeichnete Grundelement beschreibt die Wirkung eines Risikomanagementsystems und wäre dort (siehe auch Stellungnahme zu Tz 1 Satz 2) anzusiedeln. In Tz 19 Abs. 6 wird unter Compliance-Kommunikation, wie an anderen Stellen auch, ausschließlich von Compliance-Risiken gesprochen. Die Chancen, die sich einem Unternehmen oder einer Organisation aus einer gelebten Compliance bieten, werden nicht erwähnt. In Tz 19 werden Compliance-Überwachung und Verbesserung von einer "ausreichenden Dokumentation" abhängig gemacht. Damit fällt die Einhaltung gesellschaftlicher oder ethischer Werte und Codices nicht unter Compliance, da diese selten dokumentiert sind. Dies reduziert Compliance im Sinne dieses Entwurfes auf Teilaspekte ohne Anspruch auf Vollständigkeit. 7. Tz 26 PrüfungssicherheitDer Entwurf sieht ausschließlich die Beurteilung der Aussagen im Compliance Managementsystem vor. Diese Aussage kann als Widerspruch zu den Aussagen anderer Tz angesehen werden, in denen die Wirksamkeit der Maßnahmen und Sanktionen (Tz 41ff) als möglicher Prüfungsgegenstand einer Funktionsprüfung beschrieben wird. 8. Tz 35 RisikenMit der Prüfung sollen gegebenenfalls Risiken "für" (oder "aus"?) wesentliche Fehler festgestellt werden. Die Komplexität möglicher Folgen aus einem Verhalten, das als nicht compliant angesehen werden kann, können kaum abgeschätzt werden. Alleine die monetären Schäden aus dem Verhalten der jüngst bekanntgewordenen Fälle (Siemens, BP, Telekom, Deutsche Bahn, …) waren kaum absehbar. Zudem ist in keiner Weise vorgesehen, nicht genutzte Chancen zu bewerten. Dies ist eine einseitige Sichtweise, die dazu führt, dass die Prüfung alleine als "Ausschluss von negativen Haftungsrisiken" für die Auftraggeber angesehen werden könnte. 9. Tz 40 MängelBei der Prüfung können erhebliche Mängel in der Konzeption eines Compliance Managementsystems bekannt werden. Diese Prüfung nutzt nach Tz 37 die Dokumentation. Ob die Dokumentation eines Compliance Managementsystems geeignet ist das Verhalten der Mitarbeiter einer Organisation oder eines Unternehmens auf ein gemeinsames Verständnis im Umgang mit Regelwerken zu lenken, kann kaum durch die Dokumentation selbst, sondern erst durch die Adaption der angestrebten Kultur beurteilt werden. Dies ist auch in Tz 19 Abs. 1 "Compliance-Kultur" angeführt und steht damit zu Tz 40 in einem Widerspruch. 10. Tz 52 Vollständigkeitsprüfung (auch A8)Mit der Vollständigkeitserklärung soll auch bestätigt werden, dass alle Erklärungen zur "Angemessenheit, Implementierung und Wirksamkeit" des Compliance Managementsystems erteilt sind. Die Angemessenheit und Wirksamkeit eines Compliance Managementsystems wird nicht selten durch die interessierte Öffentlichkeit und die Kunden beurteilt. Die erklärte Vollständigkeit könnte deshalb im Versagensfall vom Prüfer im Nachhinein angezweifelt werden. Das Prüfungsergebnis wäre demnach obsolet. Ein erteiltes Testat wäre demnach per se im Vorhinein ohne belastbaren Wert. 11. Tz 63 ArbeitspapiereEin in Prüfungen von Compliance Managementsystemen erfahrener Wirtschaftsprüfer soll sich ein Bild über die Prüfungshandlungen machen können. Dies unterstellt, dass nur Wirtschaftsprüfer eine Überprüfung der Prüfungshandlungen vornehmen können. Dies steht im Widerspruch zu Tz 66. 12. A2 Abs. 1 RechtsgebieteArbeitsrecht und Persönlichkeitsrechte fehlen in der Auflistung. Gerade der Verstoß gegen Arbeitsrecht und Persönlichkeitsrechte (Schlecker, Daimler, Deutsche Bahn, …) werden durch die Öffentlichkeit entdeckt und angeprangert. 13. A2 Abs. 2 Regionale AbgrenzungDie regionale Abgrenzung liegt im Ermessen des Unternehmens oder der Organisation. Der Umgang mit Widersprüchen aus konkurrierenden Rechtsnormen stellt eine Herausforderung dar. Die Verantwortlichen in einem Unternehmen oder einer Organisation haben hier oftmals eine Rechtsposition zu besetzen, die nicht eindeutig durch Gesetze oder Urteile begründet ist. Der Umgang mit solchen Rechtspositionen im Rahmen einer Prüfung ist an keiner Stelle des Entwurfes beschrieben. 14. A10 Abs. SanktionenIn einer "günstige Compliance-Kultur" (eventuell zitiert aus Rösch und Jansen) werden aufgedeckte Verstöße sanktioniert. Die Schlussfolgerung der Wirksamkeit einer Compliance-Kultur in Abhängigkeit von erkannten und sanktionierten Verstößen entzieht sich meiner Logik. Gerade die weltweit immer wieder geführte Diskussion über die Abschreckungswirkung von Strafen wird somit außer Acht gelassen Das Erkennen von Chancen und Ergreifen von Vorteilen als positive Motivation fehlt hier. 15. A11 Satz 4 IKSHier wird wiederum (siehe auch Tz 19 Abs. 3) auf die Erfordernis einer eigenen Aufbauorganisation für Compliance hingewiesen. Dies steht im Widerspruch zur Integration von Compliance in bestehende Managementsysteme. Die Einhaltung und Kontrolle von Regeln in einem System selbst zu verankern ist Aufgabe von Compliance. Das in einem IKS (Interne Kontrollsystem) geforderte 4-Augen-Prinzip kann hier als Beispiel dienen. 16. A14 Abs. 4 MaßnahmenHier werden Maßnahmen eines Programmes beschrieben. Die genannten Beispiele sind Bestandteile eines IKS (Internes Kontrollsystem). Damit würde Compliance zu einem redundanten System. Compliance geht aber weit über die Sichtweise der Betrachtung einer regelkonformen betriebswirtschaftlichen Organisationsform hinaus. Dieser Ansatz wird mit den vorliegenden Formulierungen nicht gesehen. 17. A25 AbschlussprüferHier wird der Abschlussprüfer als Prüfer oder Auditor von Compliance beschrieben. Die Identität beider Prüfer oder Auditoren, ob als Person oder Organisation, gilt es auszuschließen. Gerade das nicht regelkonforme Verhalten bei der Führung der Bücher bei bekannt gewordenen Fällen zeigt, dass eine voneinander unabhängige Prüfung nottut. 18. A27 PrüfungshandlungenHier werden nur Prüfungshandlungen innerhalb des Unternehmens oder der Organisation beschrieben. Die Prüfung oder Auditierung aus Sicht von Organisationen oder Personen außerhalb ist erforderlich, denn nur hier kann festgestellt werden, ob das durch Compliance eingeforderte Verhalten (Chancen und Risiken) tatsächlich gegeben ist. IDW EPS 980 Stellungnahme zum Entwurf Stand 11.03.2010 IDW EPS 980 Stellungnahme PR Seite 4 von 4 Stand 06.08.2010 19. A29 Satz 4 UnterlagenNach dem Entwurf generiert ein Compliance Managementsystem Unterlagen über Sanktionen. Hier wird suggeriert, dass erkannte Verstöße und Sanktionen in einem eigenen System behandelt werden. Die Sichtweise, dass dies in bestehenden Systemen erfolgen kann und teilweise auch muss, wird hier nicht aufgezeigt. Beispiel 1: Personalrechtliche Sanktionen sind immer und ausschließlich (Datenschutz) in der Personalakte zu führen und nach den hierfür geltenden Vorschriften zu behandeln. Beispiel 2: Erkannte Fehler in Prozessen, die einem Qualitätsmanagement unterliegen, sind immer dort unter Fehler und Fehlerkosten zu führen und nach den hierfür geltenden Prozessen zu behandeln. Werden diese und andere Informationen zusätzlich in einem Compliance Managementsystem geführt, entsteht eine Redundanz mit den Folgen eines möglicherweise unkontrollierten Informationsabflusses © Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialWie steht es um die IT-Sicherheit in Ihrem Unternehmen? IT-SicherheitCrowdStrike - Welche Folgen der IT-Ausfall für deutsche Unternehmen hatte Elektronische RechnungenUmsetzungsstand der Einführung der E-Rechnung in Deutschland LiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Aus dem BMFRichtsatzsammlung für das Kalenderjahr 2023 veröffentlicht Aus der FinanzverwaltungZuteilung der Wirtschafts-Identifikationsnummer startet im November Aus der FinanzverwaltungErfolgreiches BWL-Traineeprogramm der Hessischen Steuerverwaltung wird ausgeweitet RechtsprechungBFH zu zwingendem Dateiformat elektronischer Dokumente Elektronische RechnungenZDH-Flyer: "Umsatzsteuer – Anforderungen an Rechnungen" LiteraturBuchführungsfehler und Betriebsprüfung (Peter Schumacher) Partner-PortalVeranstalter |
02.10.2024