Neuerung in der Compliance Assurance

Der IDW PS 980 hat sich seit mehr als elf Jahren in der Praxis als Standard zur Evaluierung von Compliance-Management-Systemen (CMS) in der DACH-Region etabliert. Das IDW und weitere Compliance-Expert:innen haben die Aktualisierung des Standards nun fertig gestellt. Eine grundlegende Überarbeitung des Standards war erforderlich, da durch neue Rechtsprechung, Gesetzesänderungen und Prüfungsstandards neue Kriterien für ein CMS hinzukamen. Weiteres Ziel war den Prüfungsstandard praxisnäher zu gestalten.

Nennenswerte Änderungen ergeben sich in folgenden Punkten:

• Die Verantwortung des Vorstands bzw. der Geschäftsleitung des Unternehmens für CMS wurde deutlich angehoben. Das CMS muss in seinen Grundzügen durch die Geschäftsleitung verabschiedet werden. Damit wird die Rolle von Compliance in Unternehmen noch einmal gestärkt.
• Die CMS-Prüfung nach IDW PS 980 ist keine eigene Bestandsaufnahme mehr, sondern ein kritischer Blick auf die Beschreibung des CMS des Unternehmens. Es wird die Aktualität und Gestaltung der CMS-Beschreibung geprüft. Damit steigen die Anforderungen an CMS Beschreibungen und die gesamte Compliance Organisation im Unternehmen an.
• Die Konzeptionsprüfung ist nicht in den neuen Standard aufgenommen worden, da sie in der Praxis nur am Rande relevant war. Die Kriterien für die Entwicklung eines CMS werden daher in Zukunft vor allem im Hinblick auf die Analyse der Angemessenheit und Wirkung evaluiert. Eine Alternative für Unternehmen ist die Durchführung einer Bereitschaftsprüfung (Readiness-Assessment) ohne Erstellung eines offiziellen Prüfungsberichts.
• Es findet keine Komplettprüfung mehr statt, sondern nur noch eine Prüfung in Teilbereichen. Die Prüfungszertifikate sind damit von vornherein eingeschränkt. Die Verantwortung zur Beauftragung und der Umfang der Prüfungsteilbereiche liegt bei der Geschäftsleitung.
• Compliance wird noch ausdrücklicher als Teil des Risikomanagements im Unternehmen definiert. Das bedeutet, dass das CMS eine wichtige Rolle im Risikomanagement des Unternehmens einnimmt. Die Wichtigkeit von Compliance und vor allem die Behandlung von Compliance Risiken werden damit noch stärker betont.
• Die Compliance-Überwachung und Verbesserung ist eine Aufgabe durch eine prozessunabhängige, unternehmensinterne Funktion, z.B. die Internen Revision.
• Der neue IDW Prüfungsstandard definiert deutlich mehr Fälle, wann ein Prüfungsurteil für ein CMS zu versagen ist. Er führt unter anderem unzureichende Compliance Kultur im Unternehmen und wesentliche Mängel in der Compliance Konzeption an. In den Anwendungshinweisen werden mehrere Beispiele angeführt, die als Anhaltspunkte für umfassende Mängel gelten können.

Conclusio

Die CMS-Elemente nach IDW PS 980 sind in Zahl und Typ gleichgeblieben, doch es kommen neue Aspekte hinzu: Die Compliance-Organisation ist hinsichtlich der Definition von Rollen, Verantwortung, Aufbau und Ablauf klare Verantwortung der Unternehmensleitung. Es behebt einige Ineffizienzen der bisherigen CMS Prüfung (z.B. Aufwand durch Konzeptionsprüfung) und bietet die notwendige Flexibilität, um eine Reihe von Compliance-Schwerpunkten und Risikobereichen zu diskutieren. Durch Fokussierung auf internationale Standards (z.B. ISO 37301, ISAE 3000) können Unternehmen die Stellungnahme stärker im internationalen Umfeld nutzen.

Der IDW ist im Fazit wesentlich detaillierter geworden und hat die Standards seiner Zertifizierung noch einmal nach oben geschraubt. Für Unternehmen bedeutet, dass eine Zertifizierung nach IDW PS 980 weiterhin ein Merkmal höchster Compliance Standards ist.

Svetlana Gandjova und ihr Expert:innen-Team stehen Ihnen jederzeit zur Verfügung, wenn Sie Fragen zum neuen IDW PS 980 und zur Bedeutung von Compliance für Ihr Unternehmen haben. Wir unterstützen bei der Konzeptionierung, Implementierung und Assurance von CMS in Ihrem Unternehmen.