IDW PS 980: Der Prüfungsstandard für Compliance Management

INHALT

• Compliance Management System Prüfung nach IDW PS 980
• Auftragstypen der CMS-Prüfung nach IDW PS 980
• Planung und Durchführung der Wirksamkeitsprüfung des CMS
• Der richtige Prüfer – die wichtigsten Entscheidungskriterien
• Wer führt Audits nach IDW PS 980 durch?
• Fazit zum Prüfstandard IDW PS 980

Compliance Management System Prüfung nach IDW PS 980

Eine mögliche Vorgehensweise ist in dem Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer in Deutschland e.V. („IDW PS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“) erläutert. Ziel einer umfassenden Begutachtung des CMS (Wirksamkeitsprüfung) durch einen externen Dritten ist es danach, festzustellen, ob:

• die in der CMS-Beschreibung enthaltenen Aussagen über die Grundsätze und Maßnahmen des CMS in allen wesentlichen Teilbereichen angemessen sind,
• ob die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, mit hinreichender Sicherheit sowohl Risiken für wesentliche Regelverstöße rechtzeitig zu erkennen als auch diese zu verhindern und
• ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraumes wirksam waren.

Auftragstypen der CMS-Prüfung nach IDW PS 980

Die CMS-Prüfung nimmt die CMS-Beschreibung als Grundlage für ihre Untersuchungen und prüft die dort getätigten Aussagen der gesetzlichen Vertreter auf ihre Vollständigkeit und Bestandskraft. Dabei unterscheidet der IDW PS 980 drei Auftragstypen der CMS-Prüfung, die sich nach Gegenstand, Ziel und Umfang unterscheiden:

• Auftragstyp 1 – Konzeptionsprüfung: Die Prüfung nach Auftragstyp 1 zielt auf die Beschreibung der Konzeption eines CMS ab. Es wird geprüft, dass in der CMS-Beschreibung auf alle Grundelemente eines CMS (s.o.) eingegangen wird und die Beschreibung vollständig und ausreichend ist.
• Auftragstyp 2 – Angemessenheitsprüfung: Der Inhalt des Auftragstyps 2 geht einen Schritt weiter und hat die Maßnahmen und Grundsätze im Fokus. Es wird geprüft, dass „die Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen zutreffend dargestellt sind, dass die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern und dass die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind“.
• Auftragstyp 3 – Wirksamkeitsprüfung: Der Auftragstyp 3 prüft über den Auftragstyp 2 hinaus, dass die Maßnahmen und Grundsätze zudem für einen definierten Zeitraum tatsächlich wirksam waren.

Die Beurteilung der Konzeption ist ebenfalls Bestandteil der Auftragstypen 2 und 3. Es kann aber vereinbart werden, dass die Beschreibung zur Konzeption separat beurteilt wird.

Planung und Durchführung der Wirksamkeitsprüfung des CMS

Ausgangspunkt für die risikoorientierte Prüfungsplanung und Festlegung von Prüfungshandlungen ist die Beschreibung der Konzeption des CMS. Bei der Bestimmung von Art und Umfang der Prüfungshandlungen sind die angewandten CMS-Grundsätze, die Beschreibung des CMS durch die gesetzlichen Vertreter und die der Prüfung unterliegenden Teilbereiche des CMS zu berücksichtigen. Der Prüfer soll die Ergebnisse seiner Risikobeurteilungen analysieren und bei den weiteren Prüfungshandlungen berücksichtigen.

Neben der Aufbauprüfung soll der Prüfer Funktionsprüfungen durchführen, die einen angemessenen Zeitraum abdecken, um eine Beurteilung über die Kontinuität der Beachtung der Grundsätze und Maßnahmen des CMS abgeben zu können.

Sofern der Prüfer im Rahmen seiner Prüfungstätigkeit Regelverstöße feststellt oder aber sich Anhaltspunkte für solche ergeben, wird er die verantwortlichen Mitglieder des Managements zeitnah entsprechend informieren. Wichtig zu wissen ist es, dass es nicht die Aufgabe des Prüfers ist, einzelne Regelverstöße aufzudecken – seine Beurteilung soll dahingehend erfolgen, dass er zu beurteilen hat, ob festgestellte Regelverstöße auf Mängel im CMS zurückzuführen sind.

Auch abgegrenzte Teilbereiche können Gegenstand einer CMS-Prüfung und somit eines Auftragsverhältnisses mit dem externen Prüfer sein. Bei den Rechtsgebieten können dies das Wettbewerbs- und Kartellrecht, das Antikorruptionsrecht, Informationssicherheit, Datenschutz- und Datensicherheitsvorschriften, Patentrecht, das Produkthaftungsrecht sein oder etwa der Arbeits- und Gesundheitsschutz sein – und viele weitere mehr. Eine CMS-Prüfung kann auch einzelne Geschäftsbereiche bzw. Unternehmensprozesse (zum Beispiel das Vergabewesen oder das Vertragsmanagement) in den Blick nehmen oder die Organisation der Einhaltung von Selbstverpflichtungen.

Mit Abschluss der Compliance Management System Prüfung wird die Berichterstattung über die Wirksamkeitsprüfung unter Berücksichtigung des IDW PS 980 erfolgen.

Der richtige Prüfer– die wichtigsten Entscheidungskriterien

Wirksamkeitsprüfungen des CMS bringen multidisziplinäre Anforderungen mit sich. Deshalb muss die fachliche Expertise der Prüfer an erster Stelle stehen.

• So muss der Prüfer über relevante rechtliche und betriebswirtschaftliche Kenntnisse sowie über Branchenerfahrung verfügen.
• Die Unabhängigkeit des Prüfers muss gewährleistet sein (Independence in facts aber auch im Hinblick auf die Öffentlichkeit Independence in Appearence).
• Schließlich ist es wichtig, dass die Prüfung eine hohe Marktreputation besitzt.
• Ein Beispiel für etablierte Prüfungs- und Zertifizierungsstandards ist z.B. der IDW Prüfungsstandard „Grundsätze ordnungsmäßiger Prüfungen von Compliance Management Systemen“ (IDW PS 980).
• Die Ergebnisse unternehmensexterner Prüfungen des CMS können zur „Zertifizierung“ eines geprüften CMS genutzt werden. Das zu erteilende Zertifikat stellt dabei den nach außen gerichteten Nachweis der Einhaltung definierter Anforderungen an das CMS dar. Es definiert Geltungsdauer und Geltungsbereich des Zertifikats, Sollobjekt und Prüfungsvorgehen (Gegenstand, Art und Umfang der Prüfung) sowie Anforderungen an die Unabhängigkeit und Kompetenz der Prüfungsinstanz („Akkreditierung“).

Wer führt Audits nach IDW PS 980 durch?

Wirtschaftsprüfer prüfen das CMS eines Unternehmens nach IDW PS 980 schon seit einigen Jahren: im März 2011 hat das Institut der Wirtschaftsprüfer (IDW) die „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“ veröffentlicht.

Aber auch Zertifizierungsgesellschaften wie die DQS führen Audits nach IDW PS 980 durch. Die DQS erfüllt dafür alle Voraussetzungen und kann darüber hinaus einige Zusatznutzen einbringen:

• zugelassene Auditorinnen und Auditoren für den Wirtschaftsprüfungsstandard IDW PS 980
• Berechtigung, Zertifikate nach IDW PS 980 auszustellen
• Durchführung individuell gewünschter Prozessaudits – Begutachtung einzelner Prozesse im Gesamtkomplex Compliance
• Integration von CMS-Audits in Zertifizierungsaudits zum Beispiel zu Arbeitsschutz, Informationssicherheit oder Datenschutz.
• Dadurch umfassender Statusbericht, der alle Aspekte von Unternehmerpflichten zu Compliance umfasst.

Fazit zum Prüfstandard IDW PS 980

IDW PS 980 ist ein ausgereifter, etablierter und zertifizierbarer Prüfungsstandard zur Feststellung der Wirksamkeit eines CMS. Die DQS führt Prozessaudits und Zertifizierungsaudits nach diesem Prüfungsstandard durch. Die Feststellungen und Anregungen des externen Prüfers im Rahmen seiner unabhängigen Tätigkeit in dem Unternehmen lenken den Blick auf Verbesserungspotential, welches genutzt werden kann, um das CMS weiterzuentwickeln. Die Zielsetzungen hierbei: Stärkung des CMS in seiner Angemessenheit und Wirksamkeit. Dies führt zu einem nachhaltigen Unternehmenserfolg und somit zu einem höheren Unternehmenswert. Entscheidungsgrundlagen für ein CMS und Hinweise, wie dieses eingeführt werden kann, finden Sie in unserem Blog Beitrag Compliance Management im Mittelstand – Pflicht oder Kür?