Compliance-Prüfung nach dem IDW EPS 980 – Pflicht oder Kür für den Aufsichtsrat?

Compliance ist originär Managementaufgabe und liegt damit in der Verantwortung des Vorstandes bzw. der Geschäftsführung. Naheliegend ist, dass dem Aufsichtsrat als Überwachungsorgan eine Rolle im Rahmen der Compliance-Prüfung zukommt. Anlässlich der Veröffentlichung des Entwurfs für einen Prüfungsstandard – Grundsätze ordnungsgemäßer Prüfung von Compliance Management Systemen (IDW EPS 980) – des Instituts der Wirtschaftsprüfer sollen in diesem Beitrag drei Aspekte dieses Themas erörtert werden. Erstens soll das Verhältnis von Leitung und Überwachung im Compliance-Management behandelt und dabei auch die Rolle des Aufsichtsrates geklärt werden. Zweitens wird das Thema der Compliance-Prüfung in Grundzügen diskutiert und drittens der neue Prüfungsstandard des IDW knapp vorgestellt und wesentliche Anforderungen einer kritischen Beurteilung unterzogen

Prüfung von Compliance-Management-Systemen

Die Gründe für eine Überwachung und Überprüfung von CMS können mannigfaltig sein: - Unternehmen und Geschäftsleitung beabsichtigen die Minderung des Haftungsrisikos (vgl. z.B. USSG, wonach der Nachweis eines „Effective Program to Detect and Prevent Violations of Law“ einen Strafmilderungsgrund darstellen kann) - Die Geschäftsleitung möchte sich nach erstmaliger Implementierung eines CMS dessen Effektivität versichern lassen - Aufsichtsrat/Prüfungsausschuss kommen ihrer Pflicht gem. §§ 111 Abs. 1, 107 Abs. 3 AktG sowie den Empfehlungen des Deutschen Corporate Governance Kodex (vgl. Ziff. 5.3.2 des DCGK) nach, die Wirksamkeit eines eingerichteten internen Kontrollsystems zu überwachen. Dies umfasst auch die Überwachung der Angemessenheits- und Funktionsfähigkeit des CMS4 - Prüfung im Rahmen der gesetzlichen bzw. freiwilligen Abschlussprüfung - Nachweis eines durch eine unabhängige Instanz geprüften CMS im Rahmen von M&A Transaktionen - Überprüfung des CMS nach einem erheblichen Compliance-Verstoß - Einsetzung eines sog. „Compliance Monitors“ nach US-amerikanischer Rechtspraxis, der auf Grundlage einer Vereinbarung mit US Behörden das Unternehmen einige Jahre dahingehend kontrolliert, ob die eingerichteten Compliance-Maßnahmen auch greife

Rethinking compliance: essential cornerstones for more effectiveness in compliance management

In the past Compliance Management has often failed, the Volkswagen emissions scandal just being one prominent example. Not everything has to be reinvented, and not everything that companies have done in the past regarding Compliance is wrong. But it is about time to think Compliance in new ways. What does “Compliance Management 2.0” really depend on? The following article aims at laying out the cornerstones for enduring effective Compliance which amongst others comprises sincerity and credibility and a moral foundation. Furthermore, the commitment and role model behavior of top managers and the training of line managers are crucial for the effectiveness of any Compliance Management System (CMS). Ultimately, for Compliance to function efficiently the efforts must be adequate for the respective company and realistic regarding the achievable goals

Risk-Governance-Cluster-Cube

Das Modell des Risk-Governance-Cluster-Cube (RGC-Cube) dient dazu, die Vielzahl deutscher Unternehmen mit ihren spezifischen organisatorischen Ausprägungen und Merkmalen zu erfassen und nach ihrer Compliance-Komplexität einzuordnen

Begründung für die Festlegung der Größengrenzen zur Einteilung von Unternehmen in die verschiedenen Leitfäden

Für die Festlegung der Größengrenzen der einzelnen Leitfäden wurde auf die Unternehmens-daten verschiedener amtlicher Erhebungen und Statistiken zurückgegriffen. Im Folgenden wird dargestellt, welche Betriebsgrößen jeweils als Grenze zwischen zwei Leitfäden gewählt wurden und aus welchem Grund bzw. auf welcher Basis die jeweilige Betriebsgröße als Grenze gewählt wurde. Dabei ist zu beachten, dass der Übergang von einer Größenklasse in die nächste fließend und die Grenzen damit nicht trennscharf sind und nicht sein sollen. Vielmehr stellen die Größengrenzen Richtwerte dar, die Unternehmen eine Orientierung geben sollen bei der Beurteilung, welcher Leitfaden für ihr Unternehmen geeignet ist. Die endgültige Zuordnung des Unternehmens zu einem Leitfaden obliegt den jeweiligen Unternehmensverantwortliche

Organisationspflichten - eine Synopse zum Begriffsverständnis und den daraus abzuleitenden Anforderungen an Aufsichts- und Sorgfaltspflichten aus juristischer und betriebswirtschaftlicher Perspektive

Im Mittelpunkt des Forschungsprojekts steht die Intention, dem Management von Unternehmen (in Deutschland meist Vorstand oder Geschäftsführer) Empfehlungen zu geben, mit welchen unternehmerischen Maßnahmen sie die Erfüllung der an sie gestellten Organisations- und Aufsichtspflichten angemessen erfüllen können. Dabei wird der Fokus auf solche Maßnahmen gelegt, die im Rahmen eines umfassenden Compliance Management Systems implementiert werden, die dazu dienen, Fehlverhalten der Mitglieder eines Unternehmens zu verhindern und eine redliche und regelgetreue Führung der Geschäfte zu ermöglichen und sicherzustellen (sog. Business Conduct Compliance)

Sorgfaltsbegriff und Komplexitätsstufen im Compliance Management

Der Begriff „Sorgfalt“ steht für Genauigkeit, Gewissenhaftigkeit1 und drückt sich in der Verpflichtung zur Wahrung der Interessen anderer aus. Diese Definition zum Begriff „Sorgfalt“ stellt nur auf die Wahrung der Interessen anderer ab und lässt eigene Interessen im Bereich der Sorgfalt unerwähnt. Es dürfte unbestritten sein, dass Sorgfalt auch im Rahmen eigener Interessen eine Rolle spielt (vgl. u.a. § 277 BGB, der von der Sorgfalt in eigenen Angelegenheiten spricht). Dem folgend hieße das, dass ein Betriebsinhaber dann die erforderliche Sorgfalt walten lässt, wenn er genau und gewissenhaft seine Leitungsfunktion ausübt und nicht (nur) die eigenen Interessen, sondern die Dritter – nämlich die der Gesellschaft/des Betriebes – wahrt. Möglich ist sehr wohl auch, dass sich Eigen- und Drittinteresse decken

KICG CMS-Leitlinie 4 2014 - für Unternehmen mit mehr als 20.000 Mitarbeitern

Intention der Guidance und der Leitlinien ist es, den Entscheidungsträgern in Unternehmen (Management und Aufsichtsrat) Hilfestellung und Orientierung für die Entwicklung und Implementierung angemessener Compliance-Maßnahmen sowie für die Beurteilung der Angemessenheit dieser Maßnahmen zu geben. Die Leitlinien für die vier festgelegten Unternehmensgrößenklassen konzentrieren sich darauf, möglichst konkrete Empfehlungen zur Umsetzung von Maßnahmen und Instrumenten zur Implementierung eines Compliance-Management-System (cms) zu geben

KICG CMS-Annex 2014 - Spezifische Anforderungen und Risikotreiber für die Ausgestaltung von Compliance-Management-Systemen

In diesem Annex werden verschiedene spezifische Anforderungen und Risikotreiber dargelegt, die für alle Unternehmen unabhängig von ihrer Größe bei der Erfüllung ihrer Sorgfalts- und Aufsichtspflichten relevant sein können und den Compliance-Komplexitätsgrad eines Unternehmens erhöhen mit der Folge, dass das Unternehmen damit in eine höhere Compliance-Komplexitätsstufe gelangen kann und denen die Unternehmen daher eine besondere Aufmerksamkeit zukommen lassen sollten