141
Nachdem der Prüfungsstandard nunmehr vor etwa fünf Jahren veröffentlicht wurde und Grundlage einer Vielzahl an Prüfungen war bzw. auch in der Form eines Ausgestaltungsstandards zum Aufbau von Compliance Management System diente, hat sich mittlerweile eine „good practice“ im Bezug auf die Form, Länge und Struktur der CMS-Beschreibung herausgebildet. Es ist aber bereits festzuhalten, dass die Beschreibung nicht in der Form eines allumfassenden Handbuchs erfolgen muss. Vielmehr spricht der Prüfungsstandard selbst von einer Darstellung mittels Verweis oder durch Aufzählung der Elemente. Es kann demnach nicht gefordert werden, dass die Beschreibung eine detaillierte Wiedergabe der Inhalte sämtlicher Elemente (z.B. Richtlinien, Merkblätter, Unterschriftenregelungen etc.) enthält. Im Sinn einer besseren Verständlichkeit und Nachvollziehbarkeit der Beschreibung ist es allerdings zielführend, mit kurzen Inhaltsangaben zu arbeiten. Der Prüfungsstandard fordert hier lediglich, dass eine CMS-Beschreibung eine Zusammenfassung der relevanten internen Verfahrensbeschreibungen enthält.[3] Mit Abschluss der Erstellung der CMS-Beschreibung ist dann der Prüfungsgegenstand erstellt.
2. Herstellen der operativen Prüfbereitschaft
142
Der IDW PS 980 zielt in seiner Darstellung vorrangig auf die Durchführung einer Wirksamkeitsprüfung ab (vgl. Rn. 112 ff. zu den unterschiedlichen Prüfungsarten). Allerdings war bei der Abfassung des Prüfungsstandards aufgrund der hier erstmals vorgenommenen Systematisierung und Definition der Grundelemente und Inhalte berücksichtigt worden, dass die Herstellung der Prüfbereitschaft im Bezug auf die Wirksamkeitsprüfung ggf. über einen vorgelagerten Prozess zu erfolgen hat. Der Standard selber führt dazu aus: „Um den Prozess der Entwicklung und Einführung eines CMS prüferisch zu begleiten, ist es zulässig, Prüfungsleistungen zu erbringen, die sich nur auf die Konzeption des CMS (Konzeptionsprüfung) oder nur auf die Angemessenheit und Implementierung des CMS beziehen (Angemessenheitsprüfung).“ Damit soll sichergestellt werden, dass nicht eine Entwicklung und Einführung eines CMS erfolgt, das entweder nicht den Anforderungen an das Konzept genügt (vollständige Adressierung aller Grundelemente) bzw. nicht angemessen ist, die identifizierten Compliance-Ziele zu erreichen. Eine Wirksamkeitsprüfung der Prozesse und Maßnahmen eines solchen CMS wäre zwecklos.
143
In der Praxis hat sich aber darüber hinaus eine weitere Vorstufe der Prüfung bewährt (häufig je nach Intensivität und Umfang als „Quick Scan“ oder „Readiness Check“ bezeichnet), in der die aktuelle Ausgestaltung des CMS mit sich aus dem Prüfungsstandard ergebenden sowie in der Praxis herausgebildeten Mindestanforderungen verglichen wird. Mit dieser ersten Gegenüberstellung ist sichergestellt, dass wesentliche konzeptionelle Lücken und Fehler noch vor Beginn einer eigentlichen CMS-Prüfung erkannt und somit adressiert werden können.
144
Unternehmen müssen sich darauf einstellen, dass es im Laufe der Prüfung, auch in Abhängigkeit vom gewählten Umfang und Art der Prüfung, zu einer teilweise erheblichen Belastung der einbezogenen Unternehmensbereiche kommen kann. Der Vorbereitung der Prüfung auch im organisatorischen Sinne kommt daher eine große Bedeutung zu. Durch eine planvolle und ausgiebige Vorbereitung kann dieser Aufwand jedoch merklich minimiert werden, in dem z.B. bestimmte Dokumentationen und Nachweise bereits im Vorfeld zusammengestellt und dem Prüfer zu Beginn übergeben werden. Dies erfolgt am besten in enger Abstimmung mit dem CMS-Prüfer und bietet sich als eines der Ergebnisse aus der Durchführung eines Readiness Checks an.
3. Festlegung des Prüfungsumfangs
145
Der Prüfungsstandard ist bewusst auch mit einer hohen Flexibilität hinsichtlich der Durchführung einer Prüfung ausgestaltet. Damit sollte z.B. den unterschiedlichen Unternehmensgrößen und Branchen Rechnung getragen werden. Weiterhin stellt das CMS als solches jedoch ein komplexes System dar, das für eine Prüfung bewusst in sachlicher und zeitlicher Hinsicht beschränkt werden kann. Im Rahmen der Prüfungsvorbereitung muss sich die Unternehmensleitung daher insbesondere mit den folgenden Fragen beschäftigen:
– | Welche Teilbereiche sollen geprüft werden? |
– | Welche zeitlichen Rahmenbedingungen werden gesetzt? |
– | Welche Tochtergesellschaften sollen einbezogen werden? |
146
Das Compliance Management eines Unternehmens sollte grundsätzlich immer darauf ausgerichtet sein, rechtliche Verstöße für alle Rechtsgebiete zu verhindern, aufzudecken und zu sanktionieren. Durch die große Vielfalt an für Unternehmen relevanten Rechtsgebieten ist es, auch im Sinne einer Wesentlichkeitsbetrachtung, jedoch nicht möglich oder zielführend, das CMS mit der gleichen Intensität für sämtliche Bereiche einzurichten. Insofern bietet der Standard die Möglichkeit auch einer Fokussierung der Prüfung, die sich auf Geschäftsbereiche, Unternehmensprozesse oder auf bestimmte Rechtsgebiete (sog. Teilbereiche) beziehen kann.[4] Die Prüfung kann somit z.B. auf den Teilbereich Kartellrecht beschränkt werden und umfasst dann nur Prüfungshandlungen, die sich auf Maßnahmen und Prozesse beziehen, die hierfür relevant sind. Dabei kann es für Unternehmen sinnvoll sein, sich zunächst auf nur wenige Teilbereiche zu beschränken und im Sinne eines Rotationsplans weitere Teilbereiche zu einem späteren Zeitpunkt zu ergänzen. Es ist auch möglich, Compliance-Bereiche außerhalb eines CMS anzusiedeln, z.B. in der Personal- oder Rechtsabteilung. Da in diesen Fällen nicht alle Grundelemente vorliegen, ist eine Prüfung nach dem IDW PS 980 nicht sinnvoll.
147
Eine wesentliche weitere Dimension ist die Festlegung des Prüfungsstichtags sowie des Wirksamkeitszeitraums. Die Prüfung der Angemessenheit und Implementierung geht immer der Frage nach, ob „die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert waren“. Demgegenüber bezieht sich die Wirksamkeitsprüfung immer auf einen Zeitraum, für den es zu überprüfen gilt, ob diese „während eines bestimmten Zeitraums wirksam waren“[5]. Der Wirksamkeitszeitraum wird dabei im Prüfungsstandard nicht fest definiert sondern es wird lediglich ausgeführt, dass die Beurteilung der Kontinuität der Beachtung der Grundsätze und Maßnahmen einen angemessenen Zeitpunkt, z.B. ein Geschäftsjahr abdecken soll.
148
In der Praxis haben sich Zeiträume von mindestens sechs Monaten herauskristallisiert. Es erscheint fraglich, ob ein Unterschreiten der sechs Monate noch eine sinnvolle Aussage über die Wirksamkeit des CMS möglich macht, zumal davon ausgegangen werden muss, dass bestimmte Maßnahmen innerhalb eines sehr kurzen Zeitraums ggf. nicht zum Einsatz kamen, so dass eine Implementierungs- und Wirksamkeitsprüfung hier nicht vorgenommen werden kann. Der Festlegung der zeitlichen Dimension kommt daher eine großen Bedeutung zu und sollte so erfolgen, dass das Unternehmen sich im Vorfeld ausreichend Zeit einräumt, so dass eventuelle Lücken und Schwächen im CMS unbedingt noch vor Prüfungsbeginn (z.B. im Rahmen eines weiter oben dargestellten „Readiness Checks“) abgestellt werden können.
149
Eine weitere Beschränkung der Prüfung erfolgt