Compliance. Markus Böttcher
NZG 2011, 1054 ff.; Görtz BB 2012, 178 ff.; Gelhausen/Wermelt CCZ 2010, 208 ff.; Rieder/Jerg CCZ 2010, 201ff.; Schefold ZRFC 2011, 221 ff.; Schefold ZRFC 2012, 209 ff.; Schemmel/Minkoff CCZ 2012, 49 ff.; Withus/Hein CCZ 2011, 125 ff.; von Busekist/Hein CCZ 2012, 41 ff.; von Busekist/Schlitt CCZ 2012, 86 ff.
Vgl. MünchKomm HGB/Ebke 2. Aufl. 2009, § 323 Rn. 30.
Vgl. Böttcher NZG 2011, 1054 ff.
Vgl. Böttcher NZG 2011, 1056 m.w.N.
IDW EPH 1/2016 Tz 7 f.
Vgl. BMF-Schreiben v. 23.5.2016, BStBl I 2016, 490.
Nach einer von den Verfassern zusammengetragenen Marktübersicht lässt rd. ein Drittel der DAX30-Unternehmen derzeit ihr Compliance Management-System gegen den IDW PS 980 prüfen oder hat es bereits prüfen lassen. Dazu kommen ca. 100 börsennotierte sowie – zumeist größere – mittelständische Unternehmen. Daneben ist das positive Feedback auf internationaler Ebene zu erwähnen, das von verschiedenen nationalen Standard Settern und dem IAASB sowie dem AICPA gegeben wurde.
IDW Life 5/2016, S. 344 ff.
IDW Life 8/2016, S. 645 ff.
IDW Life 8/2016, S. 678 ff.
3. Kapitel Compliance-Organisation in der Praxis › B. Die Prüfung von Compliance Management-Systemen nach IDW PS 980 › II. Was – der Prüfungsgegenstand
II. Was – der Prüfungsgegenstand
108
Der Standard definiert ein Compliance Management-System (CMS) als die Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens des gesetzlichen Vertreters und der Mitarbeiter des Unternehmens sowie ggf. von Dritten abzielen.[1] Regelkonformes Verhalten beinhaltet dabei die Befolgung von Gesetzen und unternehmensinternen Richtlinien und folgt damit dem Compliance-Begriff des Deutschen Corporate Governance Kodex.[2] Der Standard weist eingangs auf die Verantwortung der gesetzlichen Vertreter zur Einrichtung, Ausgestaltung und Überwachung des CMS hin und stellt klar, dass hier eine unternehmerische Entscheidung vorliegt und somit ein Organisationsermessen besteht, das die unternehmensindividuellen Gegebenheiten berücksichtigen kann und soll.[3] Insofern läuft der verschiedentlich geäußerte Vorwurf einer durch den Standard postulierten „one size fits all“-Lösung a priori ins Leere.[4]
109
Von zentraler Bedeutung für den Prüfungsgegenstand, das „Was“, ist das Soll-Objekt als Prüfungsmaßstab, wobei zwischen dem juristischen Sollen (Einhaltung von Gesetzen) und dem betriebswirtschaftlichen Soll-Objekt für Prüfungszwecke zu unterscheiden ist.[5]
| – | Das juristische Sollen ist nicht Betrachtungsgegenstand dieses Kapitels. Es sei nur darauf hingewiesen, dass der Meinungsstand eindeutig ist: Die Zielvorstellung, also der gesetzes- und regelkonforme Auftritt des Unternehmens, ist gesetzlich festgelegt worden. Der Weg zur Erreichung dieses Ziels dagegen unterliegt unternehmerischem Ermessen, sodass nicht zwangsläufig die Implementierung eines CMS für jedes Unternehmen geboten ist.[6] |
| – | Als Leitfaden für die Konzeption und Ausgestaltung des betriebswirtschaftlichen Soll-Objekts lässt der Standard CMS-Grundsätze zu, die auf allgemein anerkannten Rahmenkonzepten[7] beruhen oder die vom Unternehmen selbst entwickelt wurden. Zu den allgemein anerkannten Rahmenkonzepten zählen u.a. das „Foundation Guidelines Red Book“, der „Australian Standard on Compliance Programs (AS 3806-2006)“ oder das aus dem Risikomanagement bekannte „COSO II“-Framework; daneben verweist der Standard auch auf Rahmenkonzepte für bestimmte Rechtsgebiete (z.B. auf die „Geschäftsgrundsätze für die Bekämpfung von Korruption“) oder für bestimmte Branchen (z.B. das „Pflichtenheft zum Compliance Management in der Immobilienwirtschaft“).[8] Darüber hinaus hat die International Organization for Standardization (ISO) jüngst mit der Veröffentlichung von ISO 19600 („Compliance Management Systems“) oder ISO 37001 („Anti-bribery Management Systems“) Rahmenwerke geschaffen, die auch international mit dem Ziel einer Standardisierung von Compliance Management Systems Anwendung finden. |
| – | Quasi als Essenz[9] der allgemein anerkannten Rahmenkonzepte zählt der Standard sieben Grundelemente auf, die ein angemessenes CMS in unterschiedlicher Ausprägung beinhaltet: – Compliance-Kultur, – Compliance-Ziele, – Compliance-Risiken, – Compliance-Programm, – Compliance-Organisation, – Compliance-Kommunikation, – Compliance-Überwachung und -Verbesserung[10] |
und erläutert diese im Anhang.[11] Die Kritik, dass der Standard durch eine willkürliche Zusammenstellung den unzutreffenden Eindruck einer „one size fits all“-Lösung erweckt, solange die sieben Elemente adressiert sind,[12] hat auch durch die Ableitung aus den anerkannten Rahmenkonzepten keinen Bestand. Darüber hinaus stellen von Busekist/Hein fest, dass sich nach einer genauen Analyse der zu § 130 Abs. 1 OWiG ergangenen Entscheidungen alle Grundelemente des Standards der „gehörigen Aufsicht“ zuordnen lassen und § 130 OWiG damit nicht nur abbilden, sondern weiter präzisieren.[13]
Der Standard stellt eingangs fest, dass der Prüfungsgegenstand nicht bzw. nicht notwendigerweise das vollständige CMS eines Unternehmens ist, sondern dass eine klare Abgrenzung des Prüfungsgegenstandes erforderlich ist. Diese Abgrenzung kann darin bestehen, dass bestimmte Unternehmensbereiche (z.B. Gesellschaften, Sparten, Regionen), Unternehmensprozesse (z.B. Einkauf, Vertrieb, F&E) oder Rechtsgebiete (z.B. Kartellrecht, Datenschutz, Antikorruptionsrecht) als Prüfungsgegenstand festgelegt werden.[14] Diese Festlegung hat elementare Bedeutung für Prüfungsaufwand und -wirkung. Je weiter der Prüfungsgegenstand gefasst wird, desto höher ist naturgemäß der Prüfungsaufwand. Allerdings kann die Prüfung auch ausschließlich in den als Prüfungsgegenstand festgelegten Bereichen ihre intendierten Wirkungen entfalten. Wie im Folgenden anhand des Prüfungsvorgehens deutlich werden wird, ist ein erheblicher Teil der Prüfungshandlungen auf den konzeptionellen Überbau für die einzelnen CMS-Teilgebiete ausgerichtet,