Die mit der ersten Fassung aufgesetzte Grundstruktur eines CMS in Form der bekannten sieben Grundelemente bleibt als Kernelement erhalten. Sie wird allerdings in den Formulierungen erheblich präzisiert:
Compliance-Kultur:
Konkretisierung der Art und Weise, "wie das Management die zentralen Unternehmenswerte und die weiteren Grundelemente in der Organisation verankert",[1] zusätzlich zu den bereits bekannten Anforderungen an den "tone at the top".
Compliance-Ziele:
Bei den zu referenzierenden Quellen kommt die Unternehmensstrategie zu den allgemeinen Unternehmenszielen hinzu.
Compliance-Risiken:
Bei der Risikoanalyse sind nun auch Risikointerdependenzen zu berücksichtigen.
Compliance-Programm:
Keine inhaltlichen Ergänzungen oder Änderungen.
Compliance Organisation:
Ergänzt wird: "Verantwortungsbereiche und Rollen sind klar abgegrenzt, kommuniziert und dokumentiert. Die Aufgabenträger erfüllen die erforderlichen persönlichen und fachlichen Voraussetzungen. Die wesentlichen Regelungen zur Aufbau- und Ablaufdokumentation des Compliance-Managements sind dokumentiert und verbindlich vorgegeben."[2]
Compliance-Kommunikation:
Die Sensibilisierung der Mitarbeiter über ihre Rolle und Verantwortlichkeit im CMS muss in einem strukturierten Ansatz erfolgen.
Compliance-Überwachung und -Verbesserung:
Keine Ergänzungen oder Änderungen.
Im Ergebnis wird also bereits auf einer den eigentlichen Grundelementen vorgelagerten Ebene ein spürbar höherer Anspruch an ein angemessenes CMS formuliert. Wesentlich stärker sind das persönliche Engagement des Managements insgesamt – also nicht nur etwa eines Compliance-Beauftragten o. Ä. – bei der Verankerung der Compliance-Kultur, die fachlichen und persönlichen Voraussetzungen der handelnden Personen sowie die konkrete Aufbau- und Ablaufdokumentation der wesentlichen Compliance-Prozesse (vgl. Kapitel 10) wirksamkeitskritisch für ein CMS. In der Anforderung, Risikointerdependenzen abzubilden, spiegelt sich die jüngste Entwicklung der handelsrechtlichen Vorgaben zur Prüfung des Risikomanagements bei der Abschlussprüfung börsennotierter Kapitalgesellschaften. Der hierfür anzuwendende IDW-Prüfungsstandard 340 n. F. fordert eine Aggregation von Risiken zur Ermittlung tatsächlich bestandsgefährdender Entwicklungen.[3]
Besonders deutlich erkennbar wird das gestiegene Ausmaß der Anforderungen an ein angemessenes bzw. wirksames CMS jedoch am beinahe verdreifachten Umfang der Anwendungshinweise für die Prüfung der einzelnen Grundelemente. Auch aus diesen ergeben sich unmittelbare Empfehlungen und Auswirkungen auf Gestaltungs- und Nacharbeitserfordernisse für ein prüfungsreifes CMS.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen