Prüfung von Compliance-Management-Systemen

Compliance-Management-Systeme finden aufgrund verschiedener Ursachen wie zunehmender Internationalisierung, verschärfter Haftung, Auswirkungen von Reputationsschäden und dergleichen auch im Mittelstand Verbreitung, müssen aber wie andere Prozesse auch einer Prüfung unterzogen werden.

Die Herangehensweise bei der Etablierung von CMS im Unternehmen ist dabei stark von der Erfahrung und fachlichen Kompetenz des jeweiligen Projektleiters, der Art und dem Umfang von vorhandener oder eingekaufter Expertise und der Unterstützung insbesondere des Top-Managements für das Thema abhängig. Mittlerweile gibt es zwar hinreichend schriftlich dokumentierte Erfahrungen, gute Vorschläge für die Gestaltung und fachliche Kompetenz in der Literatur und bei den Beratern, die aber nicht immer herangezogen werden beziehungsweise zum Einsatz kommen.

Da es keine rechtlich bindenden Vorgaben für die Auslegung eines CMS in Deutschland gibt, kann eine unzureichende Auslegung des Systems zu Risiken insbesondere im Bereich der Wirksamkeit führen. Ist das CMS aber nicht wirksam, kann es seinen Nutzen zum Beispiel im Bereich der Haftungsvermeidung oder Verringerung von Haftungsrisiken nicht entfalten. Hier setzt eine Designprüfung an.

Designprüfungen untersuchen das jeweilige Prüfungsobjekt kurz vor der Produktivwerdung. Das bedeutet, dass die Ziele des Systems, aber auch Aufgaben und Verantwortlichkeiten im Compliance-System geklärt und Prozesse festgelegt sind sowie der laufende Betrieb definiert ist. Nebenprozesse wie die Einführung (Implementierung) und Schulung dürfen nicht vergessen werden.

Unabhängig davon, welches konzeptionelle Modell zugrunde gelegt wird, sind die in der Literatur als Grundbestandteile diskutierten Elemente im Design des CMS vorzusehen. Üblicherweise wird dies alles in einem Handbuch niedergelegt sein, nebst zusätzlichen Dokumenten wie Aufgaben- und Stellenbeschreibungen oder auch Arbeitsanweisungen oder Schulungsunterlagen. Im Mittelstand findet man erfahrungsgemäß zumeist nur ein Handbuch oder eine ähnliche Prüfungsgrundlage vor.

Die Interne Revision untersucht auf dieser Basis also das Design des Systems im Hinblick auf mögliche Risiken in Bezug auf die Implementierung und die Wirksamkeit. Konkreter geht es zum Beispiel um folgende Fragestellungen:

• Sofern einer der gängigen Standards für das System gewählt worden ist, entspricht die Auslegung des CMS diesem Standard? Wenn nicht, kann eine offizielle Zertifizierung, die im Mittelstand allerdings eher eine untergeordnete Rolle spielt, scheitern. Auch können wesentliche Teilelemente aus der Prüfungserfahrung heraus schlicht fehlen, was zu einem Unwirksam werden des gesamten Systems führt.
• Ist die spezielle Situation des Unternehmens, seine Branche, seine internationale Ausrichtung, seine individuellen Prozesse hinreichend gewürdigt worden, sprich sind die spezifischen Risiken hinreichend gut adressiert worden? Wenn nein, können sich erhebliche Risiken im Rahmen der operativen Tätigkeit ergeben, die das CMS nicht abdeckt.
• Bei dezentralen Organisationen wie Konzernen ist die Frage wichtig, wie das System dort etabliert und betrieben werden soll und ob dort die fachlichen Kompetenzen für diese Aufgabe vorhanden sind.
• Ebenso ist die vorgesehene laufende Verbesserung und Überwachung des CMS zu untersuchen, damit Schwachstellen, die sich erst nach der Implementierung ergeben, erkannt und ausgemerzt werden können.

Diese Beispiele sind nicht vollständig, illustrieren aber die Komplexität der Prüfung und den Umstand, dass sie immer eine individuelle Prüfung des jeweiligen CMS für das jeweilige Unternehmen ist.

Wie für alle Prüfer gilt auch für die Interne Revision, dass angemessene Erfahrung und fachliche Kompetenz Voraussetzung für die Prüfung eines CMS sein müssen. Das gilt in analoger Weise auch für einen Wirtschaftsprüfer, der eine solche Prüfung durchführt und dies als eine der Eingangsvoraussetzungen für die Annahme eines Prüfungsauftrags für sich erfüllt sehen muss. In den Berufsgrundsätzen der Internen Revision ist die notwendige fachliche Kompetenz vor Auftragsannahme ebenfalls kodifiziert.

Da die Interne Revision keine offizielle Zertifizierungsfunktion ausübt, kann die fehlende Testierung einer Prüfung des CMS im Wege stehen; dies ist erfahrungsgemäß im mittelständischen Umfeld eher nicht von großem Interesse. Ebenso ist zu prüfen, inwieweit die Interne Revision sich einem Interessenkonflikt bei der Prüfung ausgesetzt sieht, etwa wenn sie selbst Teil des CMS werden soll oder an der Konzeptionierung beteiligt war. Ist letzteres der Fall, kommt eine Prüfung durch die Interne Revision eher nicht in Betracht.

Eine Enthaftungswirkung für das Management durch eine Designprüfung entfaltet sich aber nicht; Ziel der Designprüfung ist die Beurteilung des Systems zu einem bestimmten Stichtag in der Regel kurz vor Produktivwerdung. Damit können eventuell noch vorhandene Schwachstellen im System eliminiert werden, ehe die eigentliche Implementierung stattfindet. Eine Enthaftung oder Reduzierung der Haftung für das Management kommt nur durch eine Wirksamkeitsprüfung in Betracht; aber auch dies wird in der Literatur sehr kontrovers diskutiert.

Eine Designprüfung stellt sicher, dass aufwendige und teure Korrekturen des Systems nach der Implementierung, die auf grundsätzlichen Mängeln beruhen, vermieden werden. Sie ist keine bessere oder wichtigere Prüfung als Implementierungs- oder Wirksamkeitsprüfungen, sondern eine am Zeitpunkt orientierte Untersuchung mit dem Ziel, eine Aussage hinsichtlich der korrekten Ausgestaltung des zu implementierenden Systems zu geben. 

Elmar Schwager, Geschäftsleiter The Audit Factory