Dr. Stefan Heißner und Daniela Koch, WP  Am 11. März 2011 hat der HFA Hauptfachausschuss des IDW Instituts der Wirtschaftsprüfer den Prüfungsstandard zur Prüfung von CMS Compliance Management Systemen verabschiedet. Der IDW PS 980 wurde auf Basis einer Vielzahl von Kommentierungen aus Industrie und Interessensverbänden an unterschiedlichen Stellen im Vergleich zur Entwurfsfassung überarbeitet. Zum Beispiel erfolgten Klarstellungen in den Definitionen und Begrifflichkeiten, zum anderen wurde aber auch die Möglichkeit eines Kurzberichtes für Wirksamkeitsprüfungen in den Standard aufgenommenn. Die Veröffentlichung des Standards in den Fachnachrichten ist für den April 2011 geplant. Der IDW Prüfungsstandard ist erstmals anzuwenden bei CMS-Prüfungen, die nach dem 30. September 2011 durchgeführt werden.

   Mit diesem Prüfungsstandard hat das IDW auf die zunehmende Nachfrage der Praxis nach einer unabhängigen Aussage zur Beurteilung von CMS reagiert. Das IDW begründet den Bedarf nach dem Prüfungsstandard damit, dass die Nichteinhaltung von zu beachtenden Regeln und Richtlinien, für Unternehmen zu gravierenden wirtschaftlichen Nachteilen sowie für die Unternehmensorgane zu persönlichen haftungs- und strafrechtlichen Risiken führen kann. Um die Einhaltung der relevanten Regeln und Richtlinien in Unternehmen sicherzustellen und den genannten Risiken für die Unternehmensorgane zu begegnen, richten Unternehmen zunehmend CMS ein, deren Hauptanliegen die Vermeidung von Straftaten ist.

  Der Prüfungsstandard enthält keine rechtlich verbindlichen Vorgaben für die Ausgestaltung eines CMS, auch verschärft dieser nicht die Anforderungen daran. Der Standard und die hier beschriebenen Anforderungen an die Ausgestaltung eines CMS gehen nicht über das hinaus, was sich in bisherigen Rahmenkonzepten sowie führenden Industrie-Compliance-Systemen bis dato wiederfindet. Jedoch stellt der Standard erstmals in Deutschland zusammenfassend die Rahmenwerke und die sieben Grundelemente eines CMS übersichtsartig dar und beschreibt den Inhalt von CMS-Prüfungen durch Wirtschaftsprüfer. Somit ist davon auszugehen, dass der Standard in der Zukunft als Maßstab für die Anforderungen und die Einrichtung eines CMS angesehen wird und es somit zu einer zunehmenden Standardisierung von CMS kommen wird.

Der IDW PS 980 unterstützt somit Unternehmen in der Konzeption und Implementierung von unternehmenseigenen CMS, indem ein einheitlicher Rahmen für CMS und deren Grundlagen definiert wird. Sofern von den Vorgaben des Standards abgewichen wird, wird dies bei zunehmender Akzeptanz des Standards zu einem höheren Begründungsaufwand führen.

Grundelemente eines CMS nach IDW PS 980

Der Standard beschreibt die grundlegenden Elemente eines standardkonformen Compliance Management Systems, die auf die Begrenzung der Compliance-Risiken und damit auf ein regelkonformes Verhalten abzielen. Nach dem Standard besteht das Compliance Management System aus sieben Elementen, Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation bis hin zur Compliance- Überwachung und Verbesserung.

  Die Beschreibung der sieben Grundelemente ist hierbei für die Erfüllung des Prüfungsobjektes zwingend notwendig – nichtsdestotrotz bieten alle Grundelemente des PS 980 ausreichend Spielraum für die Unternehmen, das CMS unternehmensspezifisch und auf gewachsene Unternehmensstrukturen und –prozesse hin anzupassen. Ein angemessenes CMS i.S.d. PS 980 soll die folgend dargestellten, miteinander in Wechselwirkung stehenden Elemente beinhalten (s. Abb.).

  Der Prüfungsstandard regelt die Anforderungen an freiwillige Prüfungen von CMS, eine Prüfungspflicht von CMS wird durch den Standard nicht konstituiert. Es stellt sich jedoch die Frage, inwieweit durch die Veröffentlichung des Standards eine faktische Prüfungspflicht entsteht und eine Prüfung nach den Anforderungen des IDW PS 980 als „antizipiertes Sachverständigengutachten“ angesehen wird. Im Falle von Non-Compliance im Unternehmen könnte die Prüfung des CMS durch einen unabhängigen Prüfer gegen die Annahme einer Pflichtverletzung der Unternehmensorgane sprechen und den Nachweis des Vorstandes bei Ansprüchen nach § 93 Abs. 1 AktG nicht pflichtwidrig und schuldhaft gehandelt zu haben, erleichtern.

  Umgekehrt könnte der Verzicht auf eine Prüfung des CMS die Widerlegung der Vermutung der nicht ordnungsgemäßen Geschäftsführung entsprechend erschweren. Inwieweit der Standard in der Praxis eine zunehmende Akzeptanz bis hin zur faktischen Prüfungspflicht erfahren wird, kann heute noch nicht beurteilt werden.

Prüfungen nach IDW PS 980

Das IDW verdeutlicht in dem PS 980 den Anspruch an ein industriekonformes Compliance Management System, dessen Einrichtung, Ausgestaltung und Überwachung im Organisationsermessen der gesetzlichen Vertreter liegt. Zur Überprüfung der Standardkonformität sieht der Standard drei verschiedene Prüfungstypen vor:

Konzeptionsprüfung: Beurteilung, ob die Aussagen der gesetzlichen Vertreter in der CMS-Beschreibung angemessen dargestellt sind.

  Die größte Herausforderung, vor der Unternehmen aktuell stehen, ist die Integration des CMS in bereits bestehende Unternehmensstrukturen und Unternehmensprozesse, wie z.B. das Risikomanagementsystem und das Interne Kontrollsystem. Compliance soll hierbei kein Parallelsystem zwischen bereits bestehenden Systemen und Mechanismen sein. Vielmehr gilt es, die sieben Grundelemente integrativ in die bereits bestehenden Systeme und Kontrollen zu verzahnen sowie effektiv und effizient im Unternehmen umzusetzen. Corporate Compliance ist hierbei selbst Bestandteil der Corporate Governance. Bei aktuellen Compliance-Projekten zeigt sich bei Unternehmen derzeit eine Unsicherheit in der Abgrenzung und Integration, die in den Funktionen der einzelnen Systeme besteht.

Prüfung des CMS als Marketinginstrument?

Auch in der externen Unternehmenskommunikation nimmt die Bedeutung von Compliance stetig zu. Hier fordern immer mehr Unternehmen von ihren Geschäftspartnern und Stakeholdern Nachweise ein, dass entsprechende Strukturen zur Einhaltung gesetzlicher Regelungen, aber auch ethischer Werte geschaffen wurden. Die Prüfung nach IDW PS 980 unterstützt Unternehmen in der transparenten externen Darstellung der Wirksamkeit ihres Compliance Management Systems. So ist hierfür im Prüfungsstandard eine zusätzliche Kurzberichtsform für die Wirksamkeitsprüfung enthalten, die in einem entsprechenden Rahmen für die externe Kommunikation vorgesehen ist. Die Konzeptions- sowie die Angemessenheitsprüfung sind hingegen Prüfungen, die in erster Linie den internen Organen zur Information dienen sollen – eine externe Kommunikation dieser Prüfungsergebnisse ist in dem Standard nicht vorgesehen. Jedoch bestehen auch für diese Prüfungen die Möglichkeiten in externen Kommunikationen, wie z.B. dem Geschäftsbericht, auf die durchgeführte Konzeptions- bzw. Angemessenheitsprüfung hinzuweisen.

  Bereits auf Basis des Entwurfs des Prüfungsstandards wurden Prüfungen von Compliance Management Systemen nach den unterschiedlichen Prüfungstypen  durchgeführt. Unsere Erfahrungen im Rahmen solcher Prüfungen sind vielfältig. Feststellen lässt sich, dass Unternehmen, die sich einer Prüfung Ihres Compliance Management Systems unterziehen bereits grundlegende Systeme installiert haben, die sich im Wesentlichen an bereits anerkannten Rahmenkonzepten