Vgl. Forum Compliance & Integrity Thesenpapier/Whitepaper „Prüfung von Compliance-Management-Systemen”, Stand: Dezember 2012, abrufbar unter www.dnwe.de/261.html.
Vgl. Withus/Hein CCZ 2011, 132. Auszunehmen sind die Hinweise des Standards auf den Berufsstand des Wirtschaftsprüfers und die daran geknüpften direkten Berufspflichten.
Vgl. Forum Compliance & Integrity S. 6 f.
Vgl. Forum Compliance & Integrity S. 7.
Abrufbar unter https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Standards.aspx.
Vgl. Withus/Hein CCZ 2011, 131 f.
IDW PS 980 Tz. 25 f.
IDW PS 980 Tz. 25, 26, 32, 49, A38.
Vgl. Böttcher NZG 2011, 1054; Gelhausen/Wermelt CCZ 2010, 211; Görtz BB 2012, 182.
Vgl. Rieder/Jerg CCZ 2010, 204 f.
Stellvertretend für viele und bes. deutlich: Schemmel/Minkoff CCZ 2012, 51.
Anders: Rieder/Jerg CCZ 2010, 204 f., die dies mit einer „Selbstprüfung“ begründen. Diese liegt aber nur dann vor, wenn der Abschlussprüfer an der Erstellung des CMS mitgewirkt hätte und nicht durch die „Doppel“-Prüfung des CMS in seiner Funktion als Abschlussprüfer und Prüfer des CMS mit separater Beauftragung.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › IV. Wie – Ziel und Vorgehen bei der Prüfung
IV. Wie – Ziel und Vorgehen bei der Prüfung
112
In diesem Abschnitt soll dargestellt werden, welche Formen der Beauftragung eines CMS-Prüfers aus dem Standard abzuleiten sind. Dieser geht in seiner konzeptionellen Ausrichtung davon aus, dass das beauftragende Unternehmen eine Aussage über die tatsächliche Wirksamkeit des CMS einholt. In diesem Fall spricht der Standard hier auch von der „umfassenden Prüfung“[1]. Allerdings wird ebenso explizit darauf hingewiesen, dass auf dem Weg zur umfassenden Wirksamkeitsprüfung der Prozess der Entwicklung und Einführung eines CMS durch den CMS-Prüfer prüferisch begleitet werden kann. Als Zwischenstufen werden dabei die Konzeptionsprüfung sowie die Angemessenheitsprüfung benannt.[2] Beide unterscheiden sich materiell von der Wirksamkeitsprüfung.
1. Konzeptionsprüfung
113
Bei der Konzeptionsprüfung trifft der CMS-Prüfer lediglich eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen zur Konzeption des CMS angemessen dargestellt sind. Sie ist damit alleiniger Prüfungsgegenstand. Die Prüfung ist im Wesentlichen darauf gerichtet, ob alle im Standard definierten Grundelemente mit Maßnahmen und Prozessen ausgestaltet und beschrieben sind. Neben der reinen Vollständigkeit ist die Konzeption darüber hinaus noch daraufhin zu beurteilen, ob sie in der dargelegten Form für das Unternehmen zutrifft. Die Abgrenzung zur hier ebenfalls beschriebenen Angemessenheitsprüfung kann im Zweifelsfall schwierig sein.
114
Bei der Bestimmung von Art und Umfang der Prüfungshandlungen sind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Als Prüfungshandlungen kommen daher insbesondere Befragungen (z.B. der gesetzlichen Vertreter) und die Durchsicht von Organisationsunterlagen (z.B. Protokolle, Berichte der internen Revision, Handbücher) in Betracht.[3]
115
Keinesfalls ist in der Konzeptionsprüfung jedoch zu verifizieren, ob die eingerichteten Prozesse und Maßnahmen überhaupt geeignet sind, die Compliance-Risiken angemessen zu adressieren. Die Prüfungsaussage als solche ist hier demnach sehr eingeschränkt und dürfte in aller Regel nur als Vorstufe zu einer sich anschließenden Angemessenheits- oder Wirksamkeitsprüfung gesehen werden.
116
Das IDW hat in den Entwürfen zu den Prüfungsstandards 981, 982 und 983, die sich mit der Prüfung von Risikomanagementsystemen, Internen Kontrollsystemen sowie dem System der Internen Revision beschäftigen, auf die Durchführung einer Konzeptionsprüfung verzichtet. Da sich auch diese Standards also mit der Prüfung von Management Systemen der Corporate Governance beschäftigen ist davon auszugehen, dass das IDW bewusst auf die Konzeptionsprüfung verzichtet. Dies deckt sich mit Erfahrungen aus der Praxis, in der diese Form der Prüfung wenig Relevanz und Anklang gefunden hat. Problematisch war insbesondere die Abgrenzung zur Angemessenheitsprüfung, was regelmäßig zu Missverständnissen auf der Seite der Empfänger führte. Für die Zukunft ist also davon auszugehen, dass in einer Überarbeitung des PS 980 ebenfalls die Konzeptionsprüfung als Prüfungsvariante entfallen wird.
2. Angemessenheitsprüfung
117
Die Prüfung der Angemessenheit des CMS schließt sich inhaltlich an die zuvor vorgenommene Würdigung der Konzeption an. In diesem Schritt werden allerdings die eingerichteten Prozesse und Maßnahmen noch daraufhin untersucht, ob sie bei tatsächlicher Befolgung geeignet sind, die mit dem CMS verfolgten Ziele zu erreichen, d.h. Regelverstöße zu verhindern oder zeitnah aufzudecken und zu sanktionieren. Dabei definiert der Prüfungsstandard die Angemessenheitsprüfung als Prüfung sowohl der Angemessenheit als auch der Implementierung. Daraus folgt, dass neben der grundsätzlichen Eignung der Prozesse und Maßnahmen zur Erreichung der Compliance Ziele auch untersucht werden muss, ob diese auch zum Prüfungsstichtag implementiert, d.h. eingerichtet waren.
118
Die Angemessenheitsprüfung ist mit der sog. „Design Effectiveness“ vergleichbar, die in der Prüfung von Internen