Compliance Audit

Systematische Prüfung der Compliance-Strukturen, -Prozesse und -Wirksamkeit zur Identifikation von Schwächen, Verbesserungspotenzialen und regulatorischen Lücken.

Definition

Ein Compliance Audit ist die systematische, unabhängige Prüfung der Compliance-Strukturen, -Prozesse und -Wirksamkeit einer Gesellschaft. Es zielt auf die Identifikation von Schwächen, Verbesserungspotenzialen und regulatorischen Lücken in spezifischen Compliance-Bereichen.

Compliance Audits unterscheiden sich von der finanziellen Revision durch ihren Fokus auf Regeleinhaltung statt Bilanzkorrektheit, von Compliance Monitoring durch ihren punktuellen, vertieften Charakter und vom Internal Audit durch ihren engeren Compliance-Fokus (auch wenn Internal Audit oft Compliance Audits durchführt).

Ziele

Identifikation von Compliance-Schwächen in Prozessen, Kontrollen, Kultur.
Bewertung der Wirksamkeit der Compliance-Programme.
Ableitung von Verbesserungsempfehlungen mit Priorisierung.
Vorbereitung auf externe Prüfungen (Aufsichtsbehörden, Zertifizierungen).
Untermauerung der Verantwortlichkeit der Organe (OR Art. 754).
Stärkung der Compliance-Kultur durch sichtbare Aufmerksamkeit.

Audit-Bereiche

Typische Compliance-Audit-Themen:

Anti-Korruption

StGB Art. 322ter ff., UK Bribery Act, US FCPA.
Geschenke- und Hospitality-Policies.
Vertretermanagement.
Marketing- und Vertriebsbudgets.

Geldwäscherei-Prävention

GwG, GwV-FINMA.
KYC-Prozesse.
Transaktions-Monitoring.
Verdachtsmeldungen.

Sanktionen und Exportkontrolle

EmbG, GüKG, KMG.
OFAC, EU-Sanktionen.
Screening-Prozesse.
Bewilligungsmanagement.

Datenschutz

DSG, DSGVO.
Datenmapping.
Betroffenenrechte.
Drittland-Übermittlungen.
Auftragsverarbeitungs-Verträge.

Kartellrecht

KG, ABl-Empfehlungen.
Vertriebsrichtlinien.
Branchenkontakte und Verbände.

Branchenspezifisch

Heilmittelrecht (Pharma).
FINMA-Rundschreiben (Banken, Versicherungen).
Energierecht, Telekommunikationsrecht.

Übergreifend

Code of Conduct und Verhaltensrichtlinien.
Whistleblowing-System.
Compliance-Organisation und -Ressourcen.

Rechtsgrundlage

Aktienrecht

OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management.
OR Art. 717: Sorgfaltspflicht.
OR Art. 754: Verantwortlichkeit.

Best Practice

Swiss Code of Best Practice: Compliance-Empfehlungen.
ISO 37301: Compliance Management Systems.
IIA-Standards: Internal Audit Professional Practices.

Regulatorisch

FINMA-Rundschreiben: für Banken und Versicherungen.
Branchenspezifische Vorgaben (Heilmittelrecht, Energierecht).

Audit-Prozess

1. Audit-Planung

Compliance-Risikoanalyse als Grundlage.
Audit-Universum mit auditierbaren Bereichen.
Risikobasierte Priorisierung.
Jahres- oder Mehrjahres-Audit-Plan.
Genehmigung durch Audit Committee.

2. Audit-Vorbereitung

Scope und Ziele konkretisieren.
Dokumentenstudium (Policies, Reports, Vorvorfälle).
Vorabfragen an Audited Functions.
Stichproben-Methodik definieren.
Audit-Team zusammenstellen.

3. Field Work

Interviews mit Verantwortlichen und Mitarbeitenden.
Prozess-Walkthroughs.
Stichproben-Testung von Transaktionen, Dokumenten, Entscheiden.
Datenanalyse (Auffälligkeiten, Trends, Vergleichswerte).
Beobachtung in der Praxis.

4. Bewertung

Findings dokumentieren mit Beweisen.
Risikobewertung jedes Findings.
Ursachenanalyse.
Empfehlungen formulieren.

5. Reporting

Schriftlicher Audit-Bericht.
Zusammenfassung für Management und VR.
Findings mit Risikobewertung und Priorität.
Empfehlungen mit Umsetzungs-Vorschlägen.
Kommentar der Audited Functions.

6. Follow-up

Massnahmenplan der Audited Functions.
Tracking der Umsetzung.
Verifikation der Wirksamkeit.
Eskalation bei Nicht-Umsetzung.

Praxis Schweiz

Banken und Versicherungen

FINMA verlangt regelmässige Compliance-Audits durch Internal Audit. Themen werden risikobasiert priorisiert. Bei materiellen Findings besteht teilweise Meldepflicht.

Pharma

Heilmittelrecht-Compliance mit Audits durch interne Funktion oder externe Spezialisten. Branchenspezifische Themen (Pharmazeutische Vergütungspraxis, klinische Studien).

Industrie

Anti-Korruption, Exportkontrolle, Lieferketten-Compliance als Schwerpunkte. UK Bribery Act und US FCPA prägen die Standards.

KMU

Häufig externe Beratungsfirmen mit punktuellen Audits. Pragmatischer Ansatz, der Risiko und Aufwand abwägt.

Konzerne mit internationaler Tätigkeit

Konzern-Compliance-Audit-Programme mit Rotation über Töchter und Regionen. Themen-basierte Deep Dives quer durch die Gruppe.

Datenanalyse im Compliance Audit

Moderne Audits nutzen Datenanalyse intensiv:

Transaction Testing: ungewöhnliche Muster, Schwellenwert-Strukturierung.
Anomalie-Detection: Outlier-Identifikation.
Benford-Analyse: statistische Auffälligkeiten in Belegdaten.
Network-Analyse: Beziehungs-Muster zwischen Geschäftspartnern.
Continuous Auditing: laufende Datenanalyse mit Frühwarnung.

KI-Komponenten bieten Effizienz und Mustererkennung, brauchen aber Bias- und Datenschutz-Kontrolle.

ISO 37301 und Zertifizierung

Internationale Norm für Compliance Management Systems:

Anforderungen an Governance, Risikoanalyse, Verantwortlichkeiten.
Schulungen, Untersuchungen, kontinuierliche Verbesserung.
Zertifizierung durch akkreditierte Stelle.
Vorteile: strukturierter Aufbau, externe Validierung, Reputationswirkung.
Nicht obligatorisch, aber als Branchenstandard zunehmend etabliert.
Re-Zertifizierung in regelmässigen Abständen.

VR-Verantwortung

Der VR muss:

Compliance-Audit-Plan würdigen oder verabschieden.
Audit-Funktion-Unabhängigkeit sicherstellen.
Audit-Berichterstattung erhalten (Audit Committee primär).
Materielle Findings persönlich behandeln.
Massnahmen-Umsetzung verfolgen.
Externe Audits (Aufsichtsbehörden, Zertifizierungen) würdigen.

Häufige Fehler

Oberflächliche Audits ohne Tiefenprüfung.
Fehlende Unabhängigkeit der Auditoren.
Beschränkung auf Dokumenten-Prüfung ohne Interviews und Datenanalyse.
Mangelnde Follow-up-Disziplin.
Defensive Reaktion der Audited Functions.
Keine Verbindung zur Risikoanalyse.
Reporting an zu niedrige Stellen ohne Eskalations-Mechanismus.
Fehlende kulturelle Bewertung (nur Prozesse, nicht Tone-at-the-Top).
Tickbox-Mentalität ohne Erkenntnistiefe.
Audit-Findings ohne Konsequenz bei wiederholten Fällen.

Aktuelle Trends

Kontinuierliche Auditing mit Datenanalyse-Plattformen.
KI-gestützte Prüfung mit Effizienz und Mustererkennung.
ESG-Compliance-Audits als wachsender Bereich.
Cyber- und Datenschutz-Audits als eigenständige Schwerpunkte.
ISO 37301 Zertifizierungen als Branchenstandard.
Kombinierte Audits mit Internal Audit, Compliance und externen Spezialisten.

Abgrenzung

Compliance Monitoring ist laufend, Audit punktuell.
Internal Audit ist breiter (operationelle, finanzielle, Compliance), Compliance Audit ist Spezialfall.
Externe Revision prüft Jahresrechnung, nicht primär Compliance.
Untersuchung ist anlassbezogen, Audit systematisch und geplant.
Risk Assessment ist Grundlage, Audit liefert Validierung.

Häufige Fragen

Was ist ein Compliance Audit?

Ein Compliance Audit ist die systematische Prüfung der Compliance-Strukturen, -Prozesse und -Wirksamkeit. Es identifiziert Schwächen, Verbesserungspotenziale und regulatorische Lücken in Programmen wie Anti-Korruption, GwG, Datenschutz, Sanktionen und Code of Conduct. Compliance Audits sind getrennt von der finanziellen Revision und werden in der Regel durch Internal Audit oder externe Spezialisten durchgeführt.

Wer führt Compliance Audits durch?

Internal Audit als unabhängige interne Prüffunktion, Compliance-Funktion mit Selbst-Assessment, externe Spezialisten (Wirtschaftsanwälte, Beratungsfirmen, spezialisierte Auditoren) bei sensiblen Themen oder Untersuchungen, Wirtschaftsprüfer im Rahmen ordentlicher Revision teilweise. Bei Vorwürfen gegen Top-Management müssen Audits unabhängig vom Beschuldigten erfolgen.

Welche Compliance-Themen werden geprüft?

Typisch sind Anti-Korruption (StGB Art. 322ter ff., UK Bribery Act, US FCPA), Geldwäscherei-Prävention (GwG), Sanktionen (EmbG, OFAC, EU), Datenschutz (DSG, DSGVO), Kartellrecht, Steuer-Compliance, Arbeitsrecht, Heilmittelrecht, Code of Conduct, Drittparteienmanagement, Whistleblowing-System. Auswahl risikobasiert nach Compliance-Risikoanalyse.

Wie läuft ein Compliance Audit ab?

Phasen: Planung mit Risikofokus und Scope-Definition, Vorbereitung mit Dokumentenstudium und Vorabfragen, Field Work mit Interviews, Datenanalyse und Testverfahren, Bewertung mit Identifikation von Schwächen, Reporting mit Findings, Risikobewertung und Empfehlungen, Follow-up zur Massnahmen-Umsetzung. Dauer je nach Scope und Komplexität von Tagen bis Monaten.

Was ist der Unterschied zu Compliance Monitoring?

Compliance Monitoring ist die laufende, kontinuierliche Überwachung mit Indikatoren, Sampling und Frühwarnung. Compliance Audit ist eine punktuelle, vertiefte Prüfung mit definiertem Scope. Monitoring liefert Daten für die Risikoanalyse, die wiederum den Audit-Plan beeinflusst. Beide sind komplementär, nicht austauschbar.

Welche Rolle hat der Verwaltungsrat?

Der VR muss Compliance-Audit-Plan würdigen oder verabschieden, Berichterstattung zu Findings erhalten, materielle Findings und Empfehlungen behandeln, Massnahmen-Umsetzung verfolgen, Unabhängigkeit der Audit-Funktion sicherstellen. Das Audit Committee bereitet vor und ist primärer Empfänger der Audit-Berichte. Bei materiellen Findings ist der Gesamt-VR einzubinden.

Was bringt eine ISO 37301 Zertifizierung?

ISO 37301 (Compliance Management Systems) ist die internationale Norm für CMS. Sie definiert Anforderungen an Governance, Risikoanalyse, Verantwortlichkeiten, Schulungen, Untersuchungen, kontinuierliche Verbesserung. Zertifizierung durch akkreditierte Stelle. Vorteile: strukturierter Aufbau, externe Validierung, Reputations- und Marketing-Wirkung. Nicht obligatorisch, aber als Branchen-Standard zunehmend etabliert.

Welche Fehler treten häufig auf?

Häufig sind oberflächliche Audits ohne Tiefenprüfung, fehlende Unabhängigkeit der Auditoren, Beschränkung auf Dokumenten-Prüfung ohne Interviews, fehlende Datenanalyse, mangelnde Follow-up-Disziplin, defensive Reaktion der Audited Functions, keine Verbindung zur Risikoanalyse, Reporting an zu niedrige Stellen, fehlende kulturelle Bewertung, Tickbox-Mentalität.