Jun
10
2010

Auch die Compliance-Wolke nimmt weiter Strukturen an: noch in diesem Jahr wird der IDW Prüfungsstandard 980 freigegeben

Institut der Wirtschaftsprüfer

Institut der Wirtschafts-prüfer

So jedenfalls nimmt das Beratungshaus PricewaterhouseCoopers an. In Ihrer Studie (siehe auch Post Licht im Compliance Dschungel? Deloitte sieht Prozessoptimierung durch Zusammenlegung von Compliance und Risk Management) hat das unternehmen festgestellt: “Über die Hälfte der deutschen Unternehmen verfügt noch immer über gar kein Compliance-Programm, viele bestehende Programme sind löchrig oder haben Schwachstellen. Unter anderem ist die Kommunikation über Compliance-Fragen in vielen Unternehmen noch unzureichend.”

Aktuell läuft der Review zum Entwurf  “Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW EPS 980, Stand 11.03.2010 ) beim Institut der Wirtschaftsprüfer. Ziel des Standards ist es neben der Prüfung den Unternehmen einen Leitfaden an die Hand zu geben, denn einerseits sollen die Compliance-Systeme möglichst wenig Aufwand verursachen, andererseits sollen sie aber möglichst jedes Durchbrechen von Regelungen unterbinden. “Der Grat ist schmal zwischen zu viel Bürokratie und zu wenig Kontrolle”, fasst Wermelt von PwC zusammen.

Auszug aus dem Entwurf:

Unter dem Begriff Compliance ist allgemein die Einhaltung von Regeln zu verstehen (z.B. Gesetze, vertragliche Verpflichtungen und interne Regelungen oder Richtlinien).

Unter einem Compliance Management System (CMS) sind die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen, d.h. auf die Einhaltung bestimmter Regeln bzw. die Verhinderung von wesentlichen Verstößen (Regelverstöße). Ein CMS i.S.d. IDW Prüfungsstandards kann sich u.a. auf Geschäftsbereiche, auf operative Prozesse (z.B. den Einkauf) oder auf bestimmte Rechtsgebiete (z.B. Kartellrecht) beziehen (abgegrenzte Teilbereiche).

Die Konzeption eines CMS umfasst:

  • die Förderung einer günstigen Compliance-Kultur
  • die Festlegung der Compliance-Ziele
  • den Aufbau der Compliance-Organisation (Aufbau- und Ablauforganisation)
  • den Prozess der Feststellung und Analyse der Compliance-Risiken durch das Unternehmen
  • den Prozess der Erstellung des Compliance-Programms
  • die Entwicklung eines Kommunikationsprozesses
  • die Verfahren zur Überwachung und Verbesserung des CMS.

Internationale Aspekte

Der IDW Prüfungsstandard 980 steht im Einklang mit dem International Framework for Assurance Engagements und dem International Standard on Assurance Engagements (ISAE) 3000 „Assurance Engagements other than Audits or Reviews of Historical Financial Information“.

PwC über die unterschiedlichen Prüfungen:

Zweifel im Unternehmen, bei Aufsichtsorganen und auch von externen Stakeholdern an Angemessenheit und Wirksamkeit eines Compliance-Systems lassen sich häufig mit einer externen Prüfung des Systems ausräumen. Der Standard definiert in seinem Entwurf dafür drei Auftragstypen mit unterschiedlichen Prüfungsintensitäten.

  • Auftragstyp 1
    Es wird bescheinigt, ob die Angaben des Unternehmens zur Konzeption des CMS zutreffend sind und ob die Beschreibung des Compliance-Management-Systems auf sämtliche Grundelemente eingeht, die der Standard definiert.
  • Auftragstyp 2
    Zusätzlich zu den Angaben gemäß Typ 1 wird geprüft, ob die Compliance-Maßnahmen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern, und ob die Compliance-Maßnahmen tatsächlich implementiert sind.
  • Auftragstyp 3
    Es wird zusätzlich untersucht, ob Mitarbeiter die speziellen Compliance-Maßnahmen nachhaltig beachtet haben.

Durch die unterschiedlichen Auftragstypen haben Unternehmen – trotz klarer Standardisierung – die Möglichkeit, die Reichweite der Prüfungsaussage  – auch mit Blick auf die Prüfungskosten – zu bestimmen.

Und Achtung: Die Grundelemente, die der Standard beschreibt, dürfen nicht als parallele Organisation in der Organisation stehen, sie müssen als selbstverständliche Elemente in die Geschäftsabläufe integriert sein.

Ab Mitte 2011 soll dann nach diesem Standard geprüft werden können.

————-

Wer meine Posts zum Thema  Compliance seit meinem ersten (Warum man sich um die Einhaltung von Regeln kümmern sollte und nicht wegschauen) zu Ostern mitverfolgt hat, der hat inzwischen gemerkt, dass die Beherrschung von über 25.000 Regeln nur eine Kunst sein kann. Und da finde ich diesen Standard doch sehr hilfreich. Gibt er doch Hinweise darauf, was unbedingt zu tun ist, und wo man die Kirche auch mal im Dorf lassen kann.

Hilfreich ist besonders diese Übersicht aus dem Entwurf:

Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.

Die gesetzlichen Vertreter legen auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Compliance-Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insb. die Festlegung der relevanten Teilbereiche und der in den einzelnen Teilbereichen einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.

Das Management regelt die Rollen und Verantwortlichkeiten (Aufgaben) sowie Compliance-Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung.

Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu wird ein Verfahren zur systematischen Risikoerkennung und -berichterstattung eingeführt. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen (z.B. Schadenshöhe) analysiert.

Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Das Compliance-Programm wird zur Sicherstellung einer personenunabhängigen Funktion des CMS dokumentiert.

Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert (Compliance-Kommunikation), damit diese ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Im Unternehmen wird festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z.B. den Compliance-Beauftragten, die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) berichtet werden.

Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht( Compliance-Überwachung und Verbesserung). Voraussetzung für die Überwachung ist eine ausreichende Dokumentation des CMS. Werden im Rahmen der Überwachung  Schwachstellen im CMS bzw. Verstöße festgestellt, werden diese an das Management bzw. die hierfür bestimmte Stelle im Unternehmen berichtet. Die gesetzlichen Vertreter sorgen für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , ,

1 Comment »

  • Dr. Martin Bartonitz

    Warum soll ein Unternehmer ethisch handeln, wenn er dadurch ein Geschäft verliert?

    Theologe Hans Küng: “Weil er langfristig denken sollte! Auf lange Sicht wird unethisches Verhalten immer negative Folgen haben. Erstens kommt unmoralisches Wirtschaften unter Umständen in Konflikt mit den Gesetzen. Irgendwann wird man halt erwischt – die Korruption bei Siemens war dafür das beste Beispiel. Zweitens benötigt ein Geschäftsmann Vertrauen und Verlässlichkeit, um effizient wirtschaften zu können. Kurzfristig kann er versuchen, seinen Partner über den Tisch zu ziehen, auf Dauer wird ihm das schaden. Und drittens benötigt ein Unternehmen Glaubwürdigkeit. Keine Firma kann in ihrer Gemeinde, ihrem Land und bei ihren Beschäftigten und Kunden erfolgreich sein, wenn sie wiederholt gegen die Gebote des Anstands verstößt. Gegen die öffentliche Meinung kann sich ein Unternehmen auf Dauer nicht durchsetzen.”

    Gefunden in einem Interview der Zeit zum Thema Wirtschaftsethos
    »Erfolg rechtfertigt gar nichts«, über Lug und Trug in Management und Politik, den Geist der Fairness und Küngs Forderung nach einem globalen Ethos

    http://www.zeit.de/2010/01/Interview-Kueng

    Comment | 16 July 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


− four = 4

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions