Neufassung des IDW Prüfungsstandards „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (IDW EPS 980 n.F. (10.2021))“

Das Institut der Wirtschaftsprüfer e.V. (IDW) hat mit der Veröffentlichung seines Standards IDW PS 980 zur Prüfung von Compliance-Management-Systemen (CMS) im Jahr 2011 in der Compliance-Landschaft in Deutschland einen Benchmark gesetzt. Im Oktober 2021 veröffentlichte das IDW einen Entwurf für die Neufassung (IDW EPS 980 n.F. (10.2021)). Diese ist notwendig geworden, da sich die Rahmenbedingungen seit 2011 nachhaltig geändert haben (Änderungen in der Unternehmens- und Prüfungspraxis, das neue Finanzmarktintegritätsstärkungsgesetz (FISG) mit Pflichten zur Einrichtung von internen Kontroll- und Risikomanagementsystemen, neue Rechtsprechung, weitere IDW Verlautbarungen, z.B. zur Prüfung von Risikomanagementsystemen oder internen Kontrollsystemen). Die Neufassung fokussiert sich auf die Grundlagen der Prüfungsplanung, Prüfungsdurchführung und Berichterstattung für ein bestehendes CMS bezüglich dessen Angemessenheit und Wirksamkeit.

Wie zu erwarten war, bleiben die sieben Grundelemente eines CMS unangetastet:

Diese Elemente bauen aufeinander auf. Die Compliance-Kultur ist das implizite Bewusstsein einer Organisation, insbesondere des Managements, für die Bedeutung und Einhaltung von Regeln („Tone at the top“). In den Compliance-Zielen werden die konkreten Ziele des CMS festgelegt. Eine Risiko-Inventur mit Risikobewertung und -beurteilung bildet die Grundlage zur Festlegung der relevanten ComplianceRisiken. Ein Compliance-Programm definiert Grundsätze und Maßnahmen, um identifizierte Risiken zu mitigieren und Compliance-Verstöße zu vermeiden. Die Compliance-Organisation legt sowohl die Rollen als auch die Verantwortlichkeiten und damit die zur Verfügung gestellten Ressourcen fest. Die Compliance-Kommunikation regelt den Informationsfluss an interne und externe Betroffene über Compliance-Kultur, Compliance-Programm, Aus- und Weiterbildung, Rollen/ Verantwortlichkeiten und Berichtswege. 

Die Compliance-Überwachung und Verbesserung beschreibt das CMS als dynamisches System, das regelmäßig überprüft und an geänderte Rahmenbedingungen angepasst werden muss.

In der Neufassung des Standards werden die beiden in der Praxis relevanten Auftragstypen Angemessenheitsprüfung und Wirksamkeitsprüfung nochmals detaillierter hinsichtlich der Prüfungsdurchführung und den Prüfungsurteilen beschrieben. Die in der Praxis irrelevante Konzeptprüfung wird ganz gestrichen.

Für die Praxis in den Unternehmen relevanter sind die eher implizit ausgeführten Anpassungen. So wird die Verantwortung des Vorstands für ein CMS deutlich hervorgehoben. Auch wird die Interaktion der Prüfer mit der Internen Revision viel öfter thematisiert, was als ein deutlicher Hinweis auf eine stärkere Bedeutung des CMSElements „Compliance Überwachung und Verbesserung“ interpretiert werden kann.

Das IDW hat seinen Prüfungsstandard PS 980 auf den aktuellen Stand der Unternehmens- und Prüfungspraxis gebracht. Der Standard kann vor allem dem CMS-Prüfer durch viele detailliertere und präzisere Ausführungen als hilfreiche Grundlage für die Durchführung einer Prüfung dienen. Für Unternehmen haben die Änderungen zur Auftragsgestaltung der Wirtschaftsprüfer eher eine nachrangige Bedeutung. Für sie ist aber relevant, dass der Entwurf die Rolle des Vorstands und der Internen Revision sowie die Verantwortung des Unternehmens für die Ausgestaltung eines angemessenen, effektiven, gelebten und stetig weiterentwickelten CMS stärker betont.

Der neue Standard soll erstmals bei freiwilligen Prüfungen von CMS anzuwenden sein, die nach dem 31.12.2022 beauftragt werden, eine frühere Anwendung soll zulässig sein. Änderungs- oder Ergänzungsvorschläge können bis zum 31.05.2022 beim IDW eingereicht werden.

Autor: Andreas Kufner und Wolfgang Ebert