Lehren aus der Prüfung von Compliance-Management-Systemen

Beitrag als PDF (Download)

 

Es waren die großen Finanzskandale der 2000er Jahre, die dazu führten, dass Compliance-Management-Systeme (CMS) an Relevanz in der Unternehmenswelt gewonnen haben. In diesem Zusammenhang verabschiedete auch das IDW (Institut der Wirtschaftsprüfer in Deutschland e. V.) 2011 den Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ (IDW PS 980), der sich im Laufe der Zeit zu einem der vorherrschenden Standards für die Strukturierung und Prüfung von CMS in Deutschland entwickelt hat. Gestärkt wurde diese Entwicklung auch durch die darauf folgende Rechtsprechung wie beispielsweise das sogenannte „Neubürger-Urteil“1 , in dem das Landgericht München I die Pflicht des Vorstands hervorhob, ein effizientes Compliance-System sicherzustellen, oder auch durch höchstrichterliche Urteile wie dasjenige des Bundesgerichtshofs (BGH) zur bußgeldmindernden Wirkung eines CMS2 . In die gleiche Richtung zeigen beispielsweise die 10. GWB-Novelle3 , der Entwurf des Verbandssanktionengesetzes4 und viele weitere Beispiele aus der Praxis.
Doch nach zehn Jahren IDW PS 980 ist es an der Zeit, ein Zwischenfazit zu ziehen und Erkenntnisse ­zusammenzufassen.

Beginn und Fokus der frühen CMS-Prüfungen

Nach seiner Einführung im Jahr 2011 etablierte sich der IDW PS 980 als einer der ersten deutschen Standards für CMS als Orientierungsrahmen für Unternehmen, die ein CMS entwickeln oder einführen wollten. Die sieben Grundelemente boten Unternehmen erste Anhaltspunkte, welche ­inhaltlichen Aspekte ein angemessenes CMS – auch unabhängig von einer Prüfung – enthalten muss, ohne zu sehr ins Detail zu gehen5.
In den ersten Jahren nach Einführung des IDW PS 980 überwogen von den drei möglichen Prüfungstiefen die sogenannten Konzeptionsprüfungen, bei denen die Ausgestaltung des CMS betrachtet und die Aussagen zur Konzeption in der CMS-Beschreibung auf ihre vollständige Darstellung überprüft werden. In der Folge kam vermehrt die Frage der Angemessenheit des geprüften CMS auf, da dieses nicht nur schrittweise die sieben Elemente gemäß dem Standard abarbeiten, sondern sich auch in ein Unternehmen mit seinen individuellen Spezifika in angemessener Art und Weise einfügen muss. Der Risikoschwerpunkt der ersten Prüfungen war zunächst insbesondere im Bereich Antikorruption und teilweise im Bereich Kartellrecht zu finden, was insbesondere durch namhafte Skandale und die damaligen Rechtsrisiken begründet war.
Nachdem die Frage der Angemessenheit und Implementierung für die oben genannten Themen einige Jahre für Diskussionen sorgte, rückte mit der Zeit die Wirksamkeitsprüfung der etablierten CMS mehr in den Vordergrund, um die tatsächliche Umsetzung der Anforderungen in operativen Prozessen des Systems zu überprüfen – eine Fragestellung, die insbesondere bei größeren Konzernen oder auch internationalen Unternehmen nur schwer aus einer Zentrale in Deutschland vollumfänglich überblickt werden kann. Des Weiteren lässt sich rückwirkend feststellen, dass neben den Risikobereichen Antikorruption und Kartellrecht schrittweise weitere Risikobereiche in den Prüfungsumfang aufgenommen wurden. Hier wurde die Prüfsphäre beispielsweise um Themen wie (Accounting) Fraud, Datenschutz, Geldwäsche und Exportkontrolle erweitert.
Eine weitere Initiative zur Ausweitung der geprüften Risikofelder gab es schließlich im Mai 2016, als das Bundesfinanzministerium publizierte, dass die Einrichtung eines innerbetrieblichen Kontrollsystems als Anzeichen dafür dienen kann, dass eine etwaige Steuerhinterziehung weder vorsätzlich noch leichtsinnig erfolgte6. Für den Vorstand ergab sich dadurch eine mögliche enthaftende Wirkung, wodurch das Interesse an der Einrichtung eines speziellen Tax CMS anstieg. Als Reaktion veröffentlichte das IDW den Praxishinweis 1/2016, der auf das steuerliche CMS und dessen Prüfung einging. Durch diese Entwicklungen ergab sich im Nachgang abermals eine höhere Nachfrage auf Mandantenseite, entsprechende Systeme zu adjustieren, zu vervollständigen und IDW-PS-980-konform zu etablieren.
Inzwischen zeigt sich ein deutlicher Bedarf, diese unternehmensseitig implementierten Systeme externen Prüfungen zu unterziehen. Analog den allgemeinen CMS-Prüfungen nach IDW PS 980 fokussierten sich die Tax-CMS-Prüfungen in den ersten Jahren zunächst auf die Angemessenheit und ­Implementierung, wobei sich derzeit ein Trend zu ersten Wirksamkeitsprüfungen auch im Bereich Tax CMS ­beobachten lässt.

Erwartungshaltung und Wirklichkeit

Über zehn Jahre hinweg wurden die Prüfung und der tatsächliche Nutzen eines Testats unterschiedlichen Diskussionen unterzogen – hierbei entstanden verschiedene Missverständnisse und falsche Erwartungen. So ist bei dem Wunsch der Unternehmen, durch eine allgemeine CMS-Prüfung nach IDW PS 980 eine strafrechtliche Erleichterung zu bekommen, die bekannte Erwartungslücke zu beachten. In der Praxis besteht eine Diskrepanz zwischen der Wirksamkeitsprüfung eines CMS und der Tatsache, dass trotz einer erfolgreich abgeschlossenen Wirksamkeitsprüfung weiterhin Compliance-Fälle in den geprüften Unternehmen auftreten. Nach IDW PS 980 stellt dies jedoch keinen Widerspruch dar. Die Prüfung zielt darauf ab zu ermitteln, ob die nötigen systematischen Komponenten angemessen ausgestaltet sind und entsprechend implementiert und umgesetzt wurden. Es ist somit nicht das Ziel einer solchen Prüfung, individuelles Fehlverhalten zu identifizieren und aufzudecken oder gar eine forensische Untersuchung durchzuführen. Weiterhin ist zu beachten, dass ein positives Prüfungsurteil lediglich für eine Prüfung zu einem gewissen Stichtag oder für einen Prüfungszeitraum in der Vergangenheit gilt.
Daher bedeutet eine wirksame Prüfung keine direkte Enthaftung der Organe. Diese müssen auch mit einem positiven Prüfungsurteil weiterhin sicherstellen, dass das System gelebt wird, fortbesteht und kontinuierlich weiterentwickelt wird und dass seine Wirksamkeit aufrechterhalten wird. Nur so kann die in der Prüfung festgestellte Involvierung der Organe einen strafmildernden Effekt haben, wie aus dem Schreiben des Bundesfinanzministeriums für die Einrichtung eines Tax CMS deutlich wird.6
Ein weiterer wichtiger, bei der Betrachtung von außen jedoch oftmals nicht ausreichend berücksichtigter Aspekt ist die genaue Spezifikation dessen, was Prüfungsbestandteil ist. Dies wird im Vorhinein der Prüfung sehr genau definiert (beispielsweise Risikobereich, Zeitrahmen, Gesellschaftsumfang etc.), im Prüfungsbericht festgehalten und auf der Basis der verpflichtenden CMS-Beschreibung des Mandanten geprüft. Diese beinhaltet die Ausführungen der gesetzlichen Vertreter zu den Anforderungen an das CMS und die organisatorischen Maßnahmen, die allgemein entwickelt wurden, und definiert darüber hinaus den relevanten Scope der Prüfung, der im Prüfungsbericht jedoch noch weiter eingeschränkt werden kann. Die Prüfung bezieht sich somit auf die vom Unternehmen zur Verfügung gestellten Informationen in Form von Beschreibungen, Richtlinien, Prozessen etc. und ist keine holistische Herangehensweise des einzelnen ­Prüfenden.

Aktuelle Trends in der Prüfung nach IDW PS 980

Trend hin oder her – der Nutzen einer Prüfung nach IDW PS 980 bleibt unverändert. Viele Unternehmen entscheiden sich aus offensichtlichen Gründen zu einer externen Prüfung, insbesondere aus den folgenden:

  • unabhängige Betrachtung der Konzeption und Angemessenheit des CMS für die Compliance-Organisation und die Organe, um insbesondere Lücken und Designdefizite zu identifizieren und Verbesserungspotentiale abzuleiten
  • Übersicht über die globale Umsetzung von Compliance-Anforderungen in Konzernen
  • Wahrnehmung der Überwachungsfunktion der Organe zur Sicherstellung einer ausreichenden Compliance im Unternehmen

Die Nutzung als Marketinginstrument oder als Nachweis für weitere Geschäftspartner ist eher ein sekundärer Treiber der Durchführung solcher Prüfungen.
Aber obgleich man vermuten könnte, dass unternehmensspezifische CMS mittlerweile doch flächendeckend solide etabliert sein sollten, lässt sich ungebrochen ein Bedarf an externen Prüfungen feststellen. Insbesondere lässt sich beobachten, dass zusätzliche Risikobereiche unternehmensseitig mehr und mehr organisatorisch in ein CMS aufgenommen und folglich auch nach IDW PS 980 geprüft werden können. Dies sind Themen wie Menschenrechte und Kinderarbeit, Produkt-Compliance, Lieferkettenanforderungen, aber auch Environment, Health and Safety (EHS) und weitere generelle Nachhaltigkeitsthemen. Hier entwickelt der Standard sein umfassendes Potential, da prinzipiell jedes Risikofeld unter ihn subsumiert werden kann.
Betrachtet man grundsätzlich die Reife von CMS, so ist mehr und mehr eine solide Existenz von Grundsätzen, Maßnahmen und Kontrollen festzustellen, teilweise auch, je nach Maturität, eine zunehmende Fokussierung auf Fragen der Compliance-Kultur oder Integrität sowie parallel dazu auf eine Data Driven Compliance. Diese Entwicklung folgt damit einem globalen Trend, der sich in vielen Bereichen ­erkennen lässt. Denn bei der Etablierung von Systemen kommt es in aller Regel erst einmal auf die Einrichtung der Grundpfeiler einer Good Corporate Compliance – oder auch eines Legal Compliance Framework – an, die/das aus Sicht der Prüfenden in aller Regel einfach zu erfassen ist, da die Grundsätze und Prozesse auch die jeweiligen Anforderungen und Kontrollen definieren. Mit der Fortentwicklung zu ­verhaltensorientierten CMS werden existierende Maßnahmen nicht eliminiert, jedoch beständig fortentwickelt und durch kommunikative, verhaltensformende Maßnahmen ­ergänzt. Es sind diese Komponenten, die eine unabhängige Prüfung nach IDW PS 980 erschweren, da der Referenzrahmen zur ­Wirksamkeitsbeurteilung dieser verhaltens­orientierten ­Elemente in aller Regel schwieriger zu definieren ist.
Weiterhin hat auch das Thema der Data Driven Compliance die zunächst entwickelten Prüfprozesse für die Beurteilung des CMS verändert: Die zunehmende Digitalisierung ermöglicht es, Systeme ganzheitlich zu bewerten und durch Technologieeinsatz in einer vergleichbaren Zeit mehr zu prüfen. So kann eine verlässlichere Aussage getroffen werden als bei der Betrachtung eines begrenzten Stichprobenumfangs – sofern die zugrunde liegende Datenbasis aussagekräftig und verlässlich ist. Hierzu werden zunehmend Datenanalysen eingesetzt, um vorliegende Unternehmensdaten aus Schnittstellen wie beispielsweise dem Finanz- und Rechnungswesen, Controlling oder auch aus Systemen der Compliance-Organisation (Hinweisgebersystem, Geschäftspartnerprüfungen, Freigabetools etc.) unter Compliance-Gesichtspunkten zu analysieren.
Ebenso sind Kontrollen und Prozesse vermehrt systemintegriert, sodass eine Einbindung der Compliance-Funktion in IT-Entwicklungsprozesse erfolgen muss, um zu evaluieren, ob Kontrollen systemseitig vorgehalten werden und effektiv sind. Dabei tritt zunehmend die Problematik auf, dass bei gewissen Ereignissen Sonderprozesse greifen (beispielsweise bei sogenannten Late POs), die aber trotzdem durch die alltäglichen Maßnahmen und Kontrollen abgefangen werden müssen. Gleichzeitig muss auch in der Compliance-Funktion ein Verständnis für die regulären und irregulären Prozesse und das Change-Management in der IT bestehen, um an den richtigen Stellen und zur richtigen Zeit eingebunden zu werden und so die Berücksichtigung relevanter Maßnahmen und Prozesse sowie durch Anbindung an die relevanten Datenflüsse eine Data Driven Compliance sicherzustellen. Somit werden die klassischen Voraussetzungen, die von Mitarbeitenden der Compliance-Funktion erwartet werden (juristisches wie auch generelles prozessuales Verständnis), um Datenanalysefähigkeiten und IT-Verständnis erweitert. Gleichzeitig müssen immer mehr Risikogebiete durch die Compliance-Funktion erfasst und bewertet werden, was nicht nur von den Beschäftigten des Unternehmens, sondern auch von den Prüfenden ein deutlich breiteres Wissen erfordert.
Darüber hinaus zeigt sich ein Trend, Compliance-Organisationen gesamthaft in ihrer Tätigkeit und der Beurteilung ihres CMS zu unterstützen: Wie dargestellt, werden Wirksamkeitsprüfungen verstärkt dazu genutzt, der Compliance-Funktion in einem globalen Unternehmen einen Überblick über die wirksame Umsetzung der zentralen Compliance-Anforderungen weltweit zu ermöglichen und sicherzustellen, dass das Konzern-CMS so weit greift, dass wesentliche Risiken mit ausreichender Sicherheit mitigiert werden. Diese Erwartungshaltung an die Prüfung ist – neben der Identifikation von Schwachstellen und Verbesserungspotentialen –insbesondere bei international agierenden Konzernen weit verbreitet und fordert von den Prüfenden ein internationales Verständnis und eine Berücksichtigung der lokal geltenden Rechtslage. Hier zeigt sich darüber hinaus auch ein Trend zur Wiederholung von Wirksamkeitsprüfungen nach nun circa zehn Jahren.
Im Mittelstand sowie bei Unternehmen mit einer noch nicht so ausgereiften Compliance-Organisation wird derzeit noch primär eine Angemessenheits- und Implementierung­sprüfung als ausreichend erachtet, da diese bereits ­berücksichtigt, wie das System konzipiert ist und wie im Rahmen der sieben Elemente nach IDW PS 980 das ganzheitliche ­System auch die kontinuierliche Weiterentwicklung und Verbesserung sicherstellt. Bei Angemessenheitsprüfungen scheint sich eine Wiederholung alle fünf bis sieben Jahre etabliert zu haben. Hierbei liegt der Fokus nicht länger nur auf der Frage der grundsätzlichen Angemessenheit, sondern auch auf der angemessenen Berücksichtigung der sich ändernden ­Rahmenbedingungen (etwa Umstrukturierungen, Änderung der Rechtlage, generelle Trends im Bereich Compliance).
Bei Prüfungen des steuerlichen CMS ist eine solche ­Tendenz noch nicht zu beobachten, da Wirksamkeitsprüfungen in diesem Bereich auch von mittelständischen ­Unternehmen sowie von Unternehmen mit einem rein deutschen ­Fokus vermehrt angefragt werden, um nach einer Prüfung von ­Implementierung und Angemessenheit eine ­erstmalige ­Aussage über die operative Umsetzung des Systems zu ­ermöglichen und somit weitere Nachweise für eine mögliche enthaftende Wirkung zu erlangen.
Schaut man in die Zukunft, so werden CMS und deren unabhängige Prüfung weiterhin an Relevanz gewinnen. Dies lässt sich durch die aktuelle Rechtsprechung sowie Entwicklungen im Bereich der Rechtslage wie zum Beispiel die EU-Whistleblower-Direktive, die 10. GWB-Novellierung, das mögliche Verbandssanktionengesetz oder das Lieferkettensorgfaltsgesetz beobachten. Um die neuen Anforderungen durch diese Änderungen zu erfüllen, kann insbesondere die unabhängige Beurteilung der Ausgestaltung des CMS bei Unternehmen noch weiter in den Fokus rücken.

Herausforderungen der Prüfung von CMS

Herausforderungen einer CMS-Prüfung ergeben sich oftmals aus einem abweichenden Verständnis einzelner Grundfragen durch Prüfende und Unternehmen. Dies betrifft zum einen die Frage und das Verständnis eines systematischen Ansatzes. Viele Unternehmen führen einmalige Risikoanalysen durch und implementieren Grundsätze, Maßnahmen und Kontrollen. Eine Einbindung in Form eines regelmäßigen Prozesses in das ganzheitliche System und der Aufbau einer übergeordneten Governance mit gelebtem Werteansatz sind jedoch noch nicht in allen Unternehmen zu sehen oder nicht dokumentiert. Stattdessen existieren diese Elemente als einzelne Komponenten, die nicht miteinander vernetzt sind oder, ohne dass es eine Dokumentation gibt, wie einzelne Komponenten systematisch über die Einmaligkeit hinaus betrieben werden. Daneben hat auch insbesondere die Vernetzung der vier Governance-Funktionen, also des Compliance-Managements, des Risikomanagements, des ­internen Kontrollsystems und der Internen Revision, die stark ­aufeinander ­abgestimmt sein sollten und müssten, in der ­Praxis häufig das Potential für eine nachhaltige ­Verbesserung.
Eine weitere Herausforderung liegt in der schon ausgeführten Frage, wie der Begriff der Wirksamkeit bei einem CMS im Detail zu verstehen ist. Der IDW-Standard zielt nicht darauf ab, konkrete Verstöße zu identifizieren, sondern ein System zu etablieren, das in der Lage ist, wesentliche Verstöße zu erkennen und zu verhindern. So soll es sicherstellen, dass die relevanten Verstöße in angemessener Zeit durch die interne Revision oder durch weitere aufdeckende Kontrollen gegebenenfalls identifiziert, aufgeklärt, sanktioniert und so aufgearbeitet werden, dass Lücken geschlossen werden können. Daher ist durch die Forderung eines Hinweisgebersystems und eines Vorgehens bei Verstößen und speziell auch durch das siebte Element des IDW PS 980 die Möglichkeit eines auftretenden Verstoßes klar Teil des ganzheitlichen Systems. Statt ein System zu entwickeln, das Verstöße grundsätzlich und vollumfänglich verhindert, ist nach IDW PS 980 ein System wirksam, wenn es Verstöße rechtzeitig identifiziert, mit diesen angemessen umgeht, ihre Schadenswirkung entsprechend abmindert und gleichzeitig sich selbst kontinuierlich verbessert, um die Wahrscheinlichkeit eines erneuten Auftretens zu reduzieren.

Ausblick

Lange Zeit war der IDW PS 980 der unangefochtene Standard zur unabhängigen Prüfung von CMS. Hauptgrund hierfür war, dass der in Deutschland als wesentliche Alternative wahrgenommene Standard ISO 19600 ein nicht prüfbarer Standard war. Inzwischen wurde er durch den prüfbaren Standard ISO 37301 ersetzt. Neben diesen Standards, die sich auf ganzheitliche CMS beziehen, gibt es auch noch den Standard ISO 37001, der sich jedoch nur auf das Risikofeld Antikorruption bezieht.
Derzeit wird insbesondere der Standard ISO 37301 als Alternative zu einer CMS-Prüfung nach IDW PS 980 diskutiert. Hier ist grundsätzlich eine große Ähnlichkeit und Vergleichbarkeit der Elemente gegeben. Der Ansatz der Prüfung ist jedoch ein anderer, da eine Prüfung nach ISO 37301 verstärkt darauf abzielt, die reinen Tätigkeiten der Compliance-Abteilung und weniger die Tätigkeiten an den Schnittstellen zu beurteilen. Außerdem ist ein ISO-Zertifikat mit einer gewissen Laufzeit verbunden. Durch die umfangreiche Initialprüfung und die in den zwei darauf folgenden Jahren durchgeführten Folgeprüfungen muss nach drei Jahren eine neue ISO-Zertifizierung angestrebt werden, wobei der Prozess von einer großen Anfangsprüfung und anschließend zwei kleineren Prüfungen wiederholt wird. Somit ist der Ansatz der Prüfung unterschiedlich, inhaltlich sind die Prüfungen selbst jedoch grundsätzlich vergleichbar.
Auch der IDW PS 980 wird anlässlich des zehnjährigen Bestehens derzeit durch das IDW überarbeitet. Hierbei ist zu erwarten, dass ähnlich wie beim IDW Praxishinweis 1/2016 zur Prüfung von Tax CMS die eigenständige Konzeptionsprüfung von CMS entfällt, da sie die spezifischen Rahmenbedingungen der Unternehmen nicht ausreichend berücksichtigte und daher am Markt nicht ausreichend nachgefragt wurde. Stattdessen wurde diese Prüfung oftmals im Rahmen einer Feststellung der Prüfungsreife zwar operational der Prüfung vorgeschaltet, jedoch ohne ein eigenständiges Prüfungsurteil abzugeben.
Gleichzeitig wird bei der Überarbeitung eine Angleichung aller Prüfungsstandards mit Bezug zu Governance-Risk-Compliance (IDW PS 980: CMS, IDW PS 981: Risikomanagementsysteme, IDW PS 982: internes Kontrollsystem, IDW PS 983: internes Revisionssystem) angestrebt und hinsichtlich aktueller Gesetzgebungen (beispielsweise Gesetz zur Stärkung der Finanzmarktintegrität [Finanzmarktintegritätsstärkungsgesetz; kurz: FISG] oder VerSanG-E) aktualisiert. Gleichzeitig werden die im Standard referenzierten Rahmenwerke aktualisiert und weitere Beispiele für Regelungen bestimmter Risikofelder gegeben. Insgesamt sind die Auswirkungen dieser Überarbeitung für die Unternehmen in der Praxis von untergeordneter Bedeutung, sie helfen mehr den Prüfenden, den Prüfungsstandard besser anzuwenden. Das ist ganz im Sinne des Prüfungsstandards, der sich an die Prüfenden und nicht an Unternehmen richtet.

 

info@de.ey.com

Aktuelle Beiträge