Elf Jahre nach seiner Verabschiedung wurde der IDW Prüfungsstandard mit den Grundsätzen zur ordnungsmäßigen Prüfung von Compliance Management Systemen (CMS) grundlegend überarbeitet, um den regulatorischen und inhaltlichen Entwicklungen in Bezug auf Compliance gerecht zu werden. Wir stellen die wesentlichen Änderungen vor und zeigen auf, was sie für Unternehmen bedeuten, die eine Prüfung planen.
Hintergrund der Aktualisierung
Als der IDW PS 980 im März 2011 in Kraft trat, war er als weltweit erster Compliance-Prüfstandard wegweisend. In Deutschland hat er sich seitdem als Standardrahmenwerk für die Implementierung und Prüfung von CMS etabliert und seinen Einfluss durch den 2016 veröffentlichten Praxishinweis zur Prüfung von Tax CMS über die „klassische“ Compliance hinaus gefestigt.
Um den Entwicklungen in der Gesetzgebung, der zwischenzeitlich erfolgten Rechtsprechung und den geänderten prüferischen Rahmenbedingungen gerecht zu werden, hat der Hauptfachausschuss des Instituts der Wirtschaftsprüfer (IDW) eine Neufassung des PS 980 verabschiedet, die ab 1. Januar 2023 für alle neu beauftragten Prüfungen anzuwenden ist.
Wesentliche Änderungen
Während der Aufbau des Prüfungsstandards und auch der darin vorgesehene Aufbau eines CMS unverändert bleibt, zielen die Neuerungen auf eine Konkretisierung der Anforderungen sowohl an ein CMS als auch an den Prüfer ab.
Neben den deutlich spezifischeren Anwendungshinweisen zu den Elementen eines CMS sind folgende Neuerungen besonders erwähnenswert:
- Betonung der Verantwortung des Vorstands
Der durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) geänderte § 91 des Aktiengesetze (AktG) verpflichtet den Vorstand börsennotierter Unternehmen zur Etablierung angemessener und wirksamer interner Kontroll- und Risikomanagementsysteme. Hierunter ist auch ein CMS zu verstehen, das die Einhaltung der maßgeblichen rechtlichen Vorschriften sicherstellt. Dies betont auch Grundsatz Nummer 5 des Deutschen Corporate Governance Kodex. Die Neufassung des PS 980 geht auf diese rechtliche Verpflichtung ein und hebt sowohl die Gesamtverantwortung des Vorstands zur Implementierung des CMS sowie des Aufsichtsrats zur Überwachung desselben hervor ab. Zudem weist der Prüfungsstandard auf die bußgeldreduzierende Wirkung eines CMS hin, die der BGH in seinem Urteil vom 9. Mai 2017 anerkannt hat (Aktenzeichen 1 StR 265/16).
- Wegfall der Konzeptionsprüfung
Die bisher als mögliche Ausprägung dargestellte Konzeptionsprüfung entfällt, da sie sich in der Praxis als wenig relevant herausgestellt hat. Diese Form der Prüfung war schon nicht mehr Bestandteil in den 2017 veröffentlichten Prüfungsstandards für Risikomanagementsysteme, Interne Kontrollsysteme und Interne Revision sowie des Praxishinweises zur Prüfung von Tax CMS. Stattdessen wird nun die Möglichkeit zu einer projektbegleitenden Angemessenheitsprüfung betont, die eine frühzeitige Einbindung des Prüfers ermöglicht.
- Identifikation von relevanten Regelungsbereichen
Die für geprüfte Unternehmen wichtigste Neuerung bezieht sich auf das Element „Compliance-Ziele“. So verlangt der Standard in seiner neuen Fassung, dass vor Festlegung der Ziele eine erste Risikoanalyse auf Gesamtunternehmensebene durchzuführen ist, die Aufschluss darüber gibt, für welche Bereiche aufgrund einer erhöhten Risikoneigung die Einrichtung besonderer Regelungen erforderlich wird. Somit ist es nicht mehr möglich, den Fokus der Prüfung auf ein für die Risikosituation des Unternehmens unerhebliches Teilrechtsgebiet zu lenken und dadurch die Compliance über Gebühr positiv darzustellen. Zwar erhöht dies die Hürde für eine Prüfung, hebt aber gleichzeitig die Qualität der Prüfungsaussage erheblich.
Fazit
Zusammenfassend sind die Änderungen des Prüfungsstandards als positiv zu bewerten. Zum einen wird die Notwendigkeit eines CMS hervorgehoben, zum anderen die Anforderungen an die Ausgestaltung der einzelnen Elemente konkreter dargestellt. Durch den Einbezug der Festlegung der relevanten Rechtsgebiete in die Compliance-Zielfestlegung verbessert sich der ganzheitliche und risikoorientierte Blick auf die Compliance und somit der Wert der Bescheinigung.
Praxishinweis
Sie planen eine Prüfung Ihres CMS oder möchten Sie Ihr CMS prüfbereit machen? Unsere Corporate-Governance-Experten unterstützen Sie dabei gerne und stehen Ihnen als Ansprechpartner zur Verfügung.
