Compliance. Markus Böttcher
controls by determining whether the company's controls, if they are operated as prescribed by persons possessing the necessary authority and competence to perform the control effectively, satisfy the company's control objectives and can effectively prevent or detect errors or fraud that could result in material misstatements in the financial statements.“[4]
119
Der CMS-Prüfer muss also auch sicherstellen, dass die in der CMS-Beschreibung dokumentierten Prozesse und Maßnahmen tatsächlich auch vorgefunden werden. Dem Aspekt der Implementierung kommt insbesondere bei Konzernprüfungen eine große Bedeutung zu, da es hier folglich nicht ausreichend sein kann, die Maßnahmen lediglich auf Konzernebene zu beurteilen ohne sicherzustellen, dass die beschriebenen Kontrollen auch bei den einbezogenen Tochtergesellschaften in der Praxis umgesetzt worden sind. Dazu ist es geboten, die Prüfungshandlungen schwerpunktmäßig dezentral, d.h. vor Ort (z.B. im betroffenen Unternehmensteil bzw. im Rahmen einer Konzernprüfung bei der betroffenen Tochtergesellschaft) vorzunehmen. Nur dadurch kann wirklich eine Aussage getroffen werden, ob die in der CMS-Beschreibung enthaltenen Maßnahmen auch tatsächlich so durchgeführt werden.[5]
120
In Analogie zum IDW Prüfungsstandard 261 umfasst die Angemessenheitsprüfung deshalb u.a. auch die Befragungen von Mitgliedern des Managements, Personen mit Überwachungsfunktionen und sonstigen Mitarbeitern auf unterschiedlichen organisatorischen Ebenen. Weiterhin kann sich der Prüfer mittels Durchsicht von Dokumenten, z.B. Organisationshandbüchern, Arbeitsplatzbeschreibungen und Ablaufdiagrammen einen Überblick über die Prozesse und Maßnahmen verschaffen. Die Beobachtung von Aktivitäten und Arbeitsabläufen im Unternehmen, einschließlich der IT-gestützten Verfahren kann darüber hinaus wertvolle Beweise für die Implementierung geben.[6]
121
Sollte der CMS-Prüfer zum Ergebnis kommen, dass das eingerichtete CMS nicht angemessen ausgestaltet bzw. implementiert ist, so ist eine anschließende Prüfung der Wirksamkeit nicht zweckmäßig, da auch bei effektiver Umsetzung von nicht angemessenen Prozessen und Maßnahmen keine Wirksamkeit gegeben sein kann. Diese Feststellungen aus der Angemessenheitsprüfung sind daher zunächst zu adressieren und durch das Unternehmen zu beseitigen, bevor der nächste Prüfungsschritt begonnen werden kann. Dem wird in der Praxis häufig dadurch begegnet, dass der designierte CMS-Prüfer bereits in die Konzeptions- und Implementierungsphase involviert wird und eine projektbegleitende Prüfung durchführt. Die Grenzen der vom designierten CMS-Prüfer gegebenen Hinweise werden durch das Selbstprüfungsverbot gesetzt.[7]
3. Wirksamkeitsprüfung
122
Die Prüfung der Konzeption sowie der Angemessenheit beinhalten keine Aussage zur tatsächlichen Wirksamkeit des CMS und sind in erster Linie als Vorstufe an die Unternehmensorgane gerichtet, die an einer unabhängigen Beurteilung des Entwicklungsstands des CMS interessiert sind.[8] Eine Wirksamkeit ist erst dann gegeben, wenn durch entsprechende Prüfungshandlungen – in der Regel auf Stichprobenbasis – sichergestellt wurde, dass die eingerichteten angemessenen Prozesse und Maßnahmen auch tatsächlich befolgt und umgesetzt werden.
123
Die Wirksamkeitsprüfung ist mit der sog. „Operating Effectiveness“ vergleichbar, die in der Prüfung von Internen Kontrollsystemen nach PCAOB Auditing Standard 5 untersucht wird: “The auditor should test the operating effectiveness of a control by determining whether the control is operating as designed and whether the person performing the control possesses the necessary authority and competence to perform the control effectively.“[9] Sie schließt daher inhaltlich immer die Prüfung der Konzeption und Angemessenheit ein.
124
Ebenfalls in Analogie zum IDW Prüfungsstandard 261 n.F. umfasst die Wirksamkeitsprüfung deshalb die Befragung von Mitarbeitern, die Durchsicht von Nachweisen über die Durchführung der Maßnahmen, Beobachtung der Durchführung von Maßnahmen, Nachvollzug von Kontrollaktivitäten, Auswertung von Ablaufdiagrammen, Checklisten und Fragebögen, Einsichtnahme in die Berichte der Internen Revision sowie IT-gestützte Prüfungshandlungen.[10]
125
Welche der hier dargestellten Prüfungshandlungen sich für die einzelnen Maßnahmen und Prozesse eignet, hängt von einer Vielzahl von Faktoren ab. Insbesondere sollte sich der Prüfer die Komplexität der Kontrollhandlung sowie die Folgen des Kontrollversagens vor Augen führen. Bei anspruchsvollen Kontrollen wäre z.B. wahrscheinlich ein Nachvollzug (d.h. eine eigene Wiederholung der Prüfungshandlung) angemessen. Bei einfachen Aktivitäten kann die bloße Einsichtnahme in die dokumentierte Kontrolle ausreichend sein. Mittels dieser Prüfungshandlungen kann durch den CMS-Prüfer festgestellt werden, ob die als angemessen eingeschätzten Maßnahmen und Prozesse auch so umgesetzt, d.h. im Unternehmen gelebt, werden. Wie im Rahmen einer risikoorientierten und effizienten Prüfung üblich, kann eine solche Prüfung der Prozesse und Maßnahmen in den meisten Fällen nur stichprobenartig erfolgen. Dabei sind insbesondere der Stichprobenumfang sowie die zeitliche Streuung der Stichprobenelemente zu bestimmen.
126
Während einzelne Aussagen in der Compliance Beschreibung aussageorientiert prüfbar sind (z.B. das Vorliegen eines Code of Conduct), entziehen sich andere dargestellte Maßnahmen und Prozesse hingegen aufgrund ihrer hohen Transaktionszahl einer solchen vollständigen Überprüfung (z.B. Vier-Augen-Prinzip oder das Einhalten von Unterschriftenregelungen). Hier stellt sich die Frage, nach welcher Vorgabe eine Stichprobenauswahl zu erfolgen hat. Der CMS-Prüfer wird den Stichprobenumfang so festlegen, dass er auf Basis der ausgewählten Elemente eine hinreichende Sicherheit bzgl. der Aussage über die Wirksamkeit der Einzelmaßnahme treffen kann. Auf Basis anerkannter internationaler Prüfungsgrundsätze (vgl. International Standard on Auditing ISA 530) hängt der Stichprobenumfang im Wesentlichen davon ab, wie häufig eine entsprechende Kontrolle durchgeführt wird, wie hoch die Wahrscheinlichkeit des Kontrollversagens und wie materiell das hierdurch adressierte Risiko ist.
127
Die Wirksamkeitsprüfung ist immer zeitraumbezogen, d.h. der CMS-Prüfer stellt sicher und bescheinigt, dass die Maßnahmen und Prozesse innerhalb eines fest definierten Zeitraums wirksam waren. Als Folge dessen sind die ausgewählten Stichprobenelemente so zu wählen, dass sie eine verlässliche Aussage über den gesamten Prüfungszeitraum zulassen. Im Falle von Einsichtnahmen in Unterlagen kann dies auch zum Ende des Prüfungszeitraums durch eine entsprechende Auswahl von Sachverhalten und Transaktionen aus Vormonaten erfolgen. Bei Interviews und Beobachtungen sind jedoch Prüfungshandlungen aufgrund der Natur der Prüfungshandlung auch schon innerhalb des zu prüfenden Zeitraums unerlässlich.
128
Grundsätzlich gilt, dass sich der CMS-Prüfer bei der Entscheidung über Art und Umfang der Prüfungshandlungen an den allgemeinen berufsrechtlichen Anforderungen orientiert, die zum Teil durch Kriterien im Prüfungsstandard konkretisiert werden. Keinesfalls kann es als Aufgabe von IDW PS 980 verstanden werden, eine vollumfängliche Beschreibung der Prüfungshandlungen zu liefern. Vielmehr setzt er einen Rahmen, innerhalb dessen der CMS-Prüfer ein der Unternehmensgröße, der Branche, der inneren Struktur, der geographischen Tätigkeit sowie der Aufbau- und Ablauforganisation sowie dem Teilbereich angemessenes Prüfprogramm individuell entwickelt.[11]
129
Der Prüfungsstandard