Prüfung von Compliance Management Systemen nach IDW PS 980

PrintMailRate-it

​Schnell gelesen:

Wann ist ein CMS angemessen, wann ist es wirksam? Wie geht man bei der erstmaligen Konzeptionierung eines CMS vor? Um Sicherheit bei der Beantwortung dieser Fragestellungen zu erhalten, ist es sinnvoll, einen Wirtschaftsprüfer mit entsprechender Fachkompetenz zu Rate zu ziehen. Das Institut der Wirtschaftsprüfer (IDW) hat mit dem PS 980 einen Standard gesetzt, anhand dessen diese Fragestellungen beantwortet und als Ergebnis eine entsprechende Bescheinigung erlangt werden kann. Dies schafft Sicherheit und Vertrauen bei allen für Compliance-Management verantwortlichen Personen.

Compliance Management System

Im Rahmen der allgemeinen Sorgfaltspflicht hat die Unternehmensleitung Maßnahmen zur Sicherstellung der Einhaltung gesetzlicher Bestimmungen mittels unternehmensinterner Regeln zu etablieren. Regelverstöße können empfindliche Strafen für ein Unternehmen und seine Organe nach sich ziehen. Daher ist jedes Unternehmen gezwungen, Prozesse und Systeme permanent auf die Einhaltung regulatorischer Anforderungen zu überprüfen. Der Aufbau und die Optimierung eines wirksamen Compliance Management Systems (CMS) sind hierbei von großer Bedeutung. Ziel ist dabei insbesondere eine Unterstützung der Leitungs- und Aufsichtsorgane bei der Gewährleistung einer ordnungsgemäßen Unternehmensführung und damit die Abwendung von Schäden für die Unternehmung und darüber hinaus die Vermeidung einer persönlichen Haftung von Organmitgliedern (Aufsichtsrat, Vorstand, Geschäftsführung).
 

Die sieben Grundelemente eines CMS

Im IDW PS 980 werden insgesamt sieben Grundelemente eines CMS benannt:

1. Compliance-Kultur

Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top”) geprägt. Die Compliance-Kultur beeinflusst die Bedeutung, die die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
 

2. Compliance-Ziele

Die gesetzlichen Vertreter legen auf Grundlage der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem CMS erreicht werden sollen. Sie stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.
 

3. Compliance-Organisation

Das Management regelt die Verantwortlichkeiten und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung.
 

4. Compliance-Risiken

Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen (z.B. Schadenshöhe) analysiert.
 

5. Compliance-Programm

Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind.
 

6. Compliance-Kommunikation

Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden über das Compliance-Programm sowie die festgelegten Verantwortlichkeiten informiert, damit sie ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Berichtswege im Unternehmen werden festgelegt.
 

7. Compliance-Überwachung und -Verbesserung

Voraussetzung für die Überwachung und Verbesserung ist eine ausreichende Dokumentation des CMS.
 
Diese sieben Grundelemente sind nicht als starre Anforderungskriterien oder Messgrößen zu verstehen, sondern als Rahmenkonzept, in dem absichtlich Handlungs- und Gestaltungsspielräume gelassen werden, um das CMS speziell auf die unternehmensspezifischen Anforderungen auszurichten. Zudem stehen die genannten Grundelemente in Wechselwirkung miteinander. Ein CMS sollte unter Berücksichtigung des vorgegebenen Rahmenkonzeptes demnach individuell gestaltet werden.
 

Drei Stufen des PS 980

Der PS 980 unterscheidet drei Stufen der Prüfung eines CMS. Diese drei Stufen spiegeln gleichzeitig typische Entwicklungsstufen bei der Einrichtung eines CMS wider:
  • Stufe 1: Konzeptionsprüfung des CMS
  • Stufe 2: Prüfung der Angemessenheit des CMS
  • Stufe 3: Prüfung der Wirksamkeit des CMS
 
Ein voll funktionsfähiges, angemessenes und wirksames Compliance Management System kann nur in der Stufe 3 bescheinigt werden.
 
Es hat sich als äußerst zielführend erwiesen, wenn der Wirtschaftsprüfer bereits bei der Konzeptionierung eingebunden wird. Als erster Meilenstein auf dem Weg zu einem voll wirksamen CMS kann die Konzeption geprüft und mit einer entsprechenden Bescheinigung nach PS 980 versehen werden. Die zeitliche Abfolge kann sich dann beispielsweise wie folgt darstellen:
 
Zum Vergrößern bitte anklicken
 
Für die Prüfung des CMS nach IDW PS 980 werden zu den Grundelementen des CMS teils mehrere Einzelkomponenten benannt. Je nachdem, welche Stufe für die Prüfung des CMS gewählt wurde (Konzeptionsprüfung, Angemessenheitsprüfung oder Wirksamkeitsprüfung), wird eine entsprechende Auswahl der Komponenten in die Prüfung einbezogen. Das Ergebnis der Prüfung wird in einem Prüfungsbericht dokumentiert.
 
Zum Vergrößern bitte anklicken
 

1. Stufe: Konzeptionsprüfung des CMS

In der Konzeptionsprüfung des CMS werden im Wesentlichen die folgenden Fragestellungen beantwortet:
  • Sind die in der Beschreibung des CMS getroffenen Aussagen zur Konzeption in allen wesentlichen Punkten zutreffend dargestellt?
  • Sind alle Grundelemente eines CMS enthalten?
 
Gegenstand der Konzeptionsprüfung ist auch eine Beurteilung der Aufbauorganisation des Compliance-Managements. Der Prüfungsbericht zur Konzeptionsprüfung trifft eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen zur Konzeption des CMS angemessen dargestellt sind.
 

2. Stufe: Angemessenheitsprüfung des CMS

Mittels der Angemessenheitsprüfung soll festgestellt werden, ob die in der Beschreibung des CMS dargestellten und implementierten Grundsätze und Maßnahmen des CMS geeignet sind, Risiken für wesentliche Regelverstöße zu einem bestimmten Stichtag mit hinreichender Sicherheit zu erkennen und zu verhindern.
 
Der Prüfungsbericht zur Angemessenheitsprüfung trifft eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen über die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen angemessen dargestellt sind. Er stellt fest, ob die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, mit hinreichender Sicherheit sowohl Risiken für wesentliche Regelverstöße rechtzeitig zu erkennen als auch solche Regelverstöße zu verhindern und ob die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert waren.
 

3. Stufe: Wirksamkeitsprüfung des CMS

Mittels der Wirksamkeitsprüfung soll festgestellt werden, ob die Grundsätze und die Maßnahmen des CMS zu einem bestimmten Zeitpunkt implementiert und in einem bestimmten Zeitraum wirksam waren. Zudem wird überprüft, ob die Grundsätze und Maßnahmen des CMS allen Betroffenen bekannt waren und beachtet wurden.
 
Der Prüfungsbericht zur Wirksamkeitsprüfung trifft eine Aussage darüber, ob die in der CMS-Beschreibung enthaltenen Aussagen über die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen angemessen dargestellt sind. Er stellt fest, ob die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, mit hinreichender Sicherheit sowohl Risiken für wesentliche Regelverstöße rechtzeitig zu erkennen als auch solche Regelverstöße zu verhindern und ob die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert waren. Darüber hinaus trifft er eine Aussage darüber, ob die Grundsätze und Maßnahmen während eines definierten Zeitraums wirksam waren.

 Aus dem Themenspecial

 Aus dem Newsletter

Kontakt

Contact Person Picture

Bernd Vogel

Wirtschaftsprüfer, Steuerberater

Partner

+49 911 9193 3657

Anfrage senden

Deutschland Weltweit Search Menu