Aufbau und Betrieb CMS

Question 1

präventiv vs reaktiv

Answer 1

• die Sicherstellung der Compliance kann vorbeugend (präventiv) oder reaktiv erfolgen
• reaktiv erhöhte die Gefahr, sich Sanktionen einzufangen; ist aber günstiger und schützt vor überladenem CMS
• in Praxis i.d.R. Mix aus beidem
• die Phasen “Check” und “Act” sorgen für eine permanten Adaption

Question 2

Ziele des CMS

Answer 2

• Einhaltung interne RiLi
• Einhaltung Vorschriften
• Schutz Unternehmensreputation
• Reduzierung Haftungsrisiko von Amangement und AR
• Erkennen und Steuern relevanter Risiken
• Verhindern von Santkionen
• Einhaltung V mit Dritten
• verbesserte Entscheidungsgrundlage
• höhere Transparenz der Qualität interner Strukturen und Prozesse

Question 3

Standards für Implementierung CMS

Answer 3

• wichtige Vorab-Frage: soll CMS von externer Stelle überprüft?
• Prüfungsstandards z.B.
  
  • TÜV Rheinland: CMS TR CMS101:2011
  • Wirtschaftsprüfer: IDW PS 980

Question 4

7 Bausteine des Prüfungsstandards IDW PS 980

Answer 4

1. Compliance-Kultur
2. Ziele und Einflussbereich
3. Compliance-Organisation
4. Compliance-Programm
5. Compliance-Organisation
6. Überwachung
7. Verbesserung

Question 5

1. Compliance-Kultur

Answer 5

• Grundlage für Angemessenheit und Wirksamkeit
• geprägt durch Leitung und Management
• beeinflusst Bereitschaft der Mitarbeiter zur Einhaltung
• wichtige Merkmale: publiziertes Bekenntnis Management dazu, Anreiz-Systeme, Führungsstil, Stellung Compliance

Question 6

.2. Ziele und Einflussbereich

Answer 6

• Ziele von Management definiert
• welche Teildes des Unternehmens/der Orga sollen verfasst
• welche Regeln im Fokus
• darauf basierend Ermittlung Risiken und Sicherheitsgrad
• Anforderungen an Ziele:
  a) Konsistenz unterschiedliche Ziele
  b) Verständlichkeit und Prakitkabilität
  c) Messbarkeit Grad Zielerreichung
  d) Abstimmung mit verfügbaren Ressourcen

Question 7

.3. Compliance-Organisation

Answer 7

• Def. von Rollen, Verantwortlichkeiten; Aufbau- und Ablauforganisation

erforderliche Ressourcen:
- Compliance-Beauftragter/Compliance-Komittee + Aufgaben + organisatorische Einordnung
- ausreichend Ressourcen zur Konzeption, Durchführung, Durchsetzung, Überwachung, kontinuierliche Verbesserung
- Integration in bestehende Systeme
- organisatorische und technische Hilfsmittel zu einzelnen Bausteinen (Handbücher, Checklisten, IT-Tools)

Question 8

Compliance-Risiken

Answer 8

Risiken identifizieren und Maßnahmen zur Behandlung
- durch systematische RIsiko-Management-Verfahren
-Analyse nach Eintrittswahrscheinlichkeit und Folgen

allgemeine Faktoren und Risikoanalyse
- wirtschaftlich oder rechtliche Änderungen
- personelle Veränderungen
- überdurchschnittliches Unternehmenswachstum
- neue Technologien
- neue/atypische Geschäftsfelder/Produkte
- Umstrukturierungen
- Expansion in neue Märkte

Question 9

.4. Compliance-Programm

Answer 9

• Grundsätze und Maßnahmen, die Risken vermeiden sollen; Maßnahmen bei Verstößen
• z.B. Funktionstrennungen, Berechitungskonzepte, Vier-Augen-Prinzip-Genehmigungsverfahren, Unterschriftsregelungen

Question 10

.5. Compliance-Kommunikation

Answer 10

• an Betroffene innerhalb und außerhalb Orga (top-down)
• auch festgelegt, welche Hinweise auf Regelverstöße an zuständige Stellen gemeldet (bottom-up)

Question 11

6./7. Compliance-Überwachung und Verbesserung

Answer 11

• in Praxis häufig interne Revision
• prozessunabhängig Stelle dafür zuständig
• Vss. ist gute Dokumentation
• ergänzend externe Prüfung durch Wirtschaftsprüfer

wichtige Aspekte bei Überwachung:
- zuständig für Überwachung
- Überwachungsplan
- ausreichend erfahrene Mitarbeiter
- Berichtswege für Ergebnisse
- Erstellung Bericht mit AUswertung

Question 12

Was ist zu beachten beim Prüfungsumfang?

Answer 12

• CMS durchlaufen, bis vollständig und wirksam, Reifegrade
• dies muss bei Prüfungsumfang beachtet werden
• CMS ist dynamisches System, dass auf Änderungen reagieren muss
  __
• DAHER bei Beauftragung nach IDW PS 980 den AUftragsgegenstand klar definieren und auf notwendige BEreiche beschränken:
  
  • Whistleblower-System
  • Prüfung Wettbewerbsrecht
  • Genehmigungssystem im Vertrieb

Question 13

Prüfungsziele IDW PS 980

Answer 13

1. Vorhandensein
2. Vollständigkeit
3. Eignung
4. Einrichtung
5. Wirksamkeit im vorgegebenen Prüfungszeitraum

Question 14

3 Auftragstypen im IDW PS 980 mit unterschiedlichen Prüfungstiefen

Answer 14

1. Auftragstyp 1
   
   • Prüfung, ob AUssagen der gesetzl. Vertreter in Beschreibung CMS zutreffend dargestellt; + alle Grundelemente CMS beschrieben
   • Protokolle, Sitzungsberichte, Handbücher, RiLi, Verfahrensdokus – Werden mit Doku CMS abgeglichen
2. Auftragstyp 2
   
   • wie 1 + ob geeignet, Risiken zu erkennen und Verstöße zu verhindern + ob tatsächlich implementiert
   • dazu Meldungen im CMS (Verstöße, Berichte, Ausnahmen) - herangezogen
3. Auftragstyp 3
   
   • wie 2 + Prüfung, ob dies alles während bestimmtem Zeitraum wirksam (Effektivität)
   • z.B. Reaktion auf Verstoß sp, dass weitere Verstöße für Zukunf verhindert

Question 15

nach PDCA-Modell

Answer 15

1. Plan
   Ziele CMS
2. Do
   C-Risiken, C-Programm, C-Kommunikation
3. Check
   C-Überwachung, Prüfung nach IDW PS 980
4. Act
   C-Report, C-Verbesserung