Prüfung von Compliance Management Systemen: Entwurf einer Neufassung des IDW PS 980

​veröffentlicht am 28. April 2022​

Der IDW-Prüfungsstandard für die Prüfung von Compliance Management Systemen (CMS) wird neu aufgelegt. Aus dem derzeit vorliegenden Entwurf ergibt sich, dass das Grundverständnis mit der Struktur in sieben Grundelementen eines CMS unverändert bleibt, die konkreten Anforderungen auch aufgrund ergangener Rechtsprechung jedoch erheblich spezifiziert und zum Teil deutlich erhöht werden.

Die erste Fassung des Prüfungsstandards 980 des Instituts der Deutschen Wirtschaftsprüfer (IDW) für die Prüfung von Compliance Management Systemen (CMS) ist mittlerweile elf Jahre alt. Sie entstand vor dem Hintergrund einer wachsenden Nachfrage von Wirtschaftsunternehmen, die Angemessenheit und Wirksamkeit ihres CMS durch einen unabhängigen Wirtschaftsprüfer bestätigen zu lassen. Die Notwendigkeit, ein CMS einzurichten, leitet sich über sogenannte Soft Law primär aus dem Deutschen Corporate Governance Kodex und dessen Ausstrahlungswirkung auch auf nicht börsennotierte Gesellschaften sowie über die diversen Public Corporate Governance Kodizes, auch auf öffentliche Unternehmen her.

In diesen Normen fehlen jedoch Hinweise auf die konkreten Anforderungen an ein CMS und damit erst recht Hinweise darauf, wie dies auszugestalten ist. Aus diesem Grund sind Prüfungsstandards zu einer wichtigen Quelle für die Managementfragestellungen rund um das CMS geworden. Der IDW PS 980 hat sich hierbei als Standard zur konkreten Ausgestaltung eines CMS etabliert.

Das IDW hat einen Entwurf für die Neufassung des PS 980 veröffentlicht, der noch bis zum 31. Mai 2022 für die Fachöffentlichkeit zur Diskussion steht. Es lohnt also, einen Blick auf die nach dem vorliegenden Entwurf zu erwartenden Änderungen zu werfen. Wir nennen die Wichtigsten.

Die mit der ersten Fassung aufgesetzte Grundstruktur eines CMS in Form der bekannten sieben Grundelemente bleibt unverändert, wird allerdings in den Formulierungen präzisiert. Der Umfang, in dem in den Anwendungshinweisen auf die Prüfung der einzelnen Grundelemente eingegangen wird, hat sich mehr als verdoppelt.

Die in dem bisherigen Prüfungsstandard vorgesehene Konzeptionsprüfung als gewissermaßen „unterste” Stufe einer CMS-Prüfung wird zukünftig als eigene Prüfungsform entfallen. Stattdessen ist jedoch vorgesehen, dass die Angemessenheitsprüfung des CMS bereits projektbegleitend, also während des Aufbaus des CMS, einsetzt, sodass auch die Rückmeldung des Prüfers zu Entwurfsfassungen der CMS-Beschreibung vereinfacht wird.

In der Einleitung des Standards wird ausdrücklich auf die Legalitätspflicht des Vorstands und auf die daraus herzuleitende Gesamtverantwortung des Vorstands in Bezug auf die Einrichtung eines funktionierenden CMS verwiesen. Die Begründung der Neufassung nimmt ausdrücklichen Bezug auf das Finanzmarktintegritätsstärkungsgesetz – FISG – sowie auch auf das BGH-Urteil vom 09.05.2017 (1 StR 265/16), nach dem bei der Bemessung einer Geldbuße das Vorhandensein eines angemessenen und wirksamen CMS zu berücksichtigen ist.

Dass in dem Prüfungsstandard auf anerkannte CMS-Rahmenkonzepte Bezug genommen wird, ist an sich nicht neu. Naturgemäß besteht hier mittlerweile ein sehr viel weiter entwickeltes Rahmenumfeld, auf dem auch entsprechende Referenzen enthalten sind. Aufgrund dieses mittlerweile weitentwickelten Umfelds wird allerdings für die anwendenden Unternehmen die Option eines selbst entwickelten Rahmenkonzeptes anspruchsvoller, da der CMS-Prüfer in diesem Fall diese Rahmenkonzepte zunächst eigenständig prüfen muss. In den Anwendungshinweisen (Tz. A33) werden fünf Merkmale für die Eignungsprüfung von CMS-Grundsätzen genannt. Gerade bei der Prüfung bereits lang eingerichteter und etablierter Compliance Management Systeme dürfte diese Änderung in der Praxis eine nicht zu unterschätzende Auswirkung haben, da in früheren Jahren mangels Alternativen oft unternehmensintern entwickelte Rahmenkonzepte herangezogen werden mussten.

Im Unterschied zur bisherigen Version wird in der Neufassung das CMS ausdrücklich als ein Teilbaustein des internen Kontroll- und Risikomanagementsystems verstanden und definiert. Damit wird das CMS im Systemverständnis als eine dritte Säule des internen Kontroll- und Risikomanagementsystems neben die  Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit und die Ordnungsmäßigkeit der Rechnungslegung gestellt. Auch wenn das Management der Compliance Risiken schon bisher eine Grundvoraussetzung für ein wirksames CMS gewesen ist, so bedeutet doch die Hervorhebung dieses Zusammenhangs einen grundlegenden Wandel in der Perspektive auf ein CMS – als ausdrücklich eigener Baustein im Kontext der Managementsysteme des GRC.

Diese erhöhte Anforderung ergibt sich aus einer Vielzahl von Änderungen. So wurden beispielsweise die Prüfungshandlungen zur Risikobeurteilung auf eine höhere Gliederungsebene verlagert und in die Aufgabe der Prüfungsplanung verschoben. Dem Risiko wesentlicher falscher Darstellungen in der CMS-Beschreibung ist ein eigenes, neues Kapitel gewidmet. Ausgehend von diesem Risiko wird daher das Risiko, dass der Prüfer trotz solcher wesentlicher falscher Darstellungen in der CMS-Beschreibung ein uneingeschränktes Prüfungsurteil erteilt, als das Prüfungsrisiko einer CMS-Prüfung definiert.

Hinsichtlich der Compliance-Organisation als notwendigem Grundelement werden die Anforderungen im vorliegenden Entwurf wesentlich präzisiert: Demnach sind Verantwortungsbereiche und Rollen klar abzugrenzen, zu kommunizieren und zu dokumentieren. Weiterhin müssen die jeweiligen Aufgabenträger die erforderlichen persönlichen und fachlichen Voraussetzungen erfüllen. Schließlich sind die wesentlichen Regelungen zur Aufbau- und Ablauforganisation des Compliance-Managements zu dokumentieren und verbindlich vorzugeben. Aus den Anwendungshinweisen ergibt sich die ausdrückliche Forderung nach organisatorischer Unabhängigkeit der Compliance-Funktion, zugewiesene Kompetenzen und direktem Zugang zu den gesetzlichen Vertretern.

Die Voraussetzungen, unter denen ein Prüfungsurteil vom CMS-Prüfer zu versagen ist, werden in der neuen Version mit konkreten Beispielen unterlegt. Ausdrücklich genannt werden im Abschnitt 3.4.4. eine ungünstige Compliance-Kultur sowie umfassende Mängel in der Compliance-Konzeption. Aus den Anwendungshinweisen ergibt sich, dass ein problematischer Umgang mit Fehlern unmittelbar als ein Hindernis für Compliance anzusehen ist, ebenso das Verdrängen bzw. Ignorieren von Konflikten. Eine weitere umfassende Liste mit Anhaltspunkten für wesentliche Mängel des CMS findet sich in den Anwendungshinweisen (Tz A44).

Die in dem Abschnitt Auftragsannahme formulierten Anforderungen an den CMS-Prüfer werden im Entwurf der Neufassung im Vergleich zur bisherigen Fassung wesentlich konkretisiert. Beispielsweise müssen erforderlichenfalls Spezialisten für die Beurteilung der Sicherheit IT-gestützter Prozesse hinzugezogen werden. Auch im Abschnitt Prüfungsplanung findet sich eine große Zahl an weiteren Spezifizierungen, durch die die Ermessensspielräume des CMS-Prüfer faktisch geringer werden.

Unser auf die Gesundheits- und Forschungswirtschaft spezialisiertes Team hat bereits eine große Zahl an Krankenhäusern, Sozialunternehmen, Forschungseinrichtungen und anderen öffentlichen Unternehmen bei der Einrichtung ihrer Compliance Management Systeme begleitet oder diese nach dem IDW PS 980 geprüft.