IDW PS 980: Anforderungen an ein Compliance Management System | Compliance

Christoph Naucke

Zertifizierter Compliance Officer und Associate Partner bei Rödl & Partner

Dr. Christian Corell

Leiter des Bereichs Compliance und Recht am städtischen Klinikum Ludwigshafen

IDW PS 980: Anforderungen an ein Compliance Management System — Bild: mauritius images / Denis Putilov / Alamy IDW PS 980: Die neuen Anforderungen an ein Compliance Management System (CMS) und die gestiegenen Haftungsrisiken

Compliance-Risikomanagement und ‑Risikobewältigung, Compliance-Organisation und ‑Dokumentation: Die Neufassung des IDW-Prüfungsstandards 980 gibt Anlass für einen kritischen Review des bestehenden Compliance Management Systems

Der IDW Prüfungsstandard 980 für die Prüfung von Compliance Management Systemen (CMS) hat sich in Deutschland seit vielen Jahren etabliert. Durch die Konkretisierung der Anforderungen an ein CMS in Form von sieben Grundelementen dient der Standard vielen Compliance-Verantwortlichen auch als praxistaugliches Gerüst zur Ausgestaltung des CMS.

Seit der ersten Fassung des IDW PS 980 im Jahr 2011 sind die Rahmenbedingungen und damit die Anforderungen an Compliance Management Systeme erheblich anspruchsvoller geworden. Daher hat das IDW den PS 980 im Jahr 2022 neu aufgelegt. Obwohl die Grundstruktur in Form der sieben Grundelemente unverändert blieb, liegt ein umfassend erneuerter, deutlich verschärfter und nicht lediglich revidierter Prüfungsstandard vor.

Da zahlreiche Anpassungen erhebliche Auswirkungen auf die Compliance-Praxis haben, sollten gerade Unternehmen mit seit längerem betriebenem CMS die Neufassung des PS 980 zum Anlass für eine kritische Durchsicht vorhandener Compliance-Strukturen nehmen. Im Falle eines justiziablen Compliance-Verstoßes würden Gerichte nämlich angesichts des gänzlichen Fehlens gesetzlicher CMS-Definitionen in Haftungsfragen ab 2023 auf anerkannte Rahmenwerke wie die Neu und natürlich nicht die Altfassung des PS 980 abstellen.

CMS-Grundelemente

Die mit der ersten Fassung aufgesetzte Grundstruktur eines CMS in Form der bekannten sieben Grundelemente bleibt als Kernelement erhalten. Sie wird allerdings erheblich präzisiert:

Compliance-Kultur: Konkretisierung der Art und Weise, „wie das Management die zentralen Unternehmenswerte und die weiteren Grundelemente in der Organisation verankert“ (Ebd., Rn. 27.), zusätzlich zu den bekannten Anforderungen an den „tone at the top“.
Compliance-Ziele: Bei den zu referenzierenden Quellen kommt die Unternehmensstrategie zu den allgemeinen Unternehmenszielen hinzu.
Compliance-Risiken: Bei der Risikoanalyse sind nun auch Risikointerdependenzen zu berücksichtigen.
Compliance-Programm: Keine inhaltlichen Ergänzungen oder Änderungen.
Compliance Organisation: Ergänzung: „Verantwortungsbereiche und Rollen sind klar abgegrenzt, kommuniziert und dokumentiert. Die Aufgabenträger erfüllen die erforderlichen persönlichen und fachlichen Voraussetzungen. Die wesentlichen Regelungen zur Aufbau- und Ablaufdokumentation des Compliance-Managements sind dokumentiert und verbindlich vorgegeben.“ (Ebd., Rn. 27.)
Compliance-Kommunikation: Die Sensibilisierung der Mitarbeiter über ihre Rolle und Verantwortlichkeit im CMS muss in einem strukturierten Ansatz erfolgen.
Compliance-Überwachung und -Verbesserung: Keine Ergänzungen oder Änderungen.

Für die Wirksamkeit des CMS kommt es daher zukünftig viel stärker auf das persönliche Engagement des gesamten Managements an, das sich nun erst recht nicht mehr durch bloße Delegation an Compliance-Beauftragte kompensieren lässt. Die fachlichen und persönlichen Voraussetzungen der handelnden Personen sowie die konkrete Aufbau- und Ablaufdokumentation der wesentlichen Compliance-Prozesse werden wirksamkeitskritisch.

Die gestiegenen Anforderungen sind auch am beinahe verdreifachten Umfang der Anwendungshinweise für die Prüfung der CMS-Grundelemente zu erkennen. Hieraus ergeben sich unmittelbare Empfehlungen und Auswirkungen auf Gestaltungs- und Nacharbeitserfordernisse für ein prüfungsreifes CMS.

Haftungsrisiken – Risikofaktor „Veraltetes CMS“

Die erheblich gestiegenen Haftungsrisiken gesetzlicher Vertreter durch Verzicht auf ein CMS werden umfassend erörtert. Schon die Einleitung des Standards verweist ausdrücklich auf die Legalitätspflicht und die daraus folgende Gesamtverantwortung des Vorstands für die Einrichtung eines funktionierenden CMS gemäß § 91 Abs. 2, 3 AktG sowie der Empfehlung D.3. des DCGK. Grundsatz 5 des aktuellen DCGK verpflichtet Vorstände, ein an der Risikolage des Unternehmens ausgerichtetes CMS einzurichten. Somit müssen diese Schärfungen als Treiber der Neuformulierung des PS 980 gelten.

Im Tagesgeschäft fehlt jedoch oftmals die Muße für eine „Generalüberholung“ des mittlerweile womöglich „angestaubten“ CMS. So sehr die Notwendigkeit von „Überwachung und Verbesserung“ gemäß den Grundelementen die Compliance-Verantwortlichen theoretisch überzeugt, so wenig wird sie mitunter tatsächlich gelebt. Die Neuauflage des PS 980 ist deshalb umso mehr Anlass, Aktualisierungen auf den Stand der Compliance-Rahmenwerke nachzuholen.

Bezug auf das Drei-Linien-Modell wird faktisch unumgänglich

Die Anwendungshinweise betonen ausdrücklich die Relevanz des Drei-Linien-Modells des IIA („Das Drei-Linien-Modell des IIA“, DIIR, 2020, Three-Lines-Model-Updated-German.PDF (diir.de), zuletzt abgerufen 08.03.2023.) und raten zu dessen Nutzung (IDW PS 980 n.F., Rn. A5.). Eine Verantwortungszuweisung für das „being compliant“ an die erste Linie und die Einordnung des CMS in die zweite Linie dieses Systems sind dringend zu empfehlen. Verantwortlichkeiten und Rollen sollten hierbei präzise formuliert und zugeordnet werden.

Ebenfalls neu ist dort die Forderung nach verständlicher Formulierung der Compliance-Ziele und einem messbaren Grad der Zielerreichung. Zur allgemeinen Absichtserklärung regelkonformen Handelns stellen sich also Fragen nach messbaren Zielgrößen wie bspw. Sensibilisierungsintensität, Aufklärungsquoten und Geschwindigkeiten oder Termintreue bei Maßnahmenumsetzungen.

Der neue PS 980 betont die Notwendigkeit der Verzahnung des CMS mit dem Risikomanagementsystem. Da Compliance-Risiken eine Teilmenge der Unternehmensrisiken bilden, sollte das Unternehmensrisikomanagement auch für das Management der Compliance-Risiken auf seine vorhandenen Methoden und Tools zurückgreifen.

Damit hat das Drei-Linien-Modell (vormals Three-Lines-of-Defense-Modell) für die Praxis noch weiter an Bedeutung gewonnen.

IIA Drei Linien Modell — Bild: The Institute of Internal Auditors ⁄ Das Drei-Linien-Modell des IIA

Sowohl die Risikomanagement als auch die Compliance-Funktion sind hiernach Elemente der zweiten Linie. Die Verantwortung für regelkonformes Verhalten obliegt hingegen den Kontrollen auf der ersten Linie, ist also insbesondere Aufgabe der operativen Führung. Von beiden deutlich abgegrenzt findet sich die Interne Revision als unabhängige Prüfungsinstanz - auch für RMS und CMS - auf der dritten Linie.

Höhere Anforderungen an ein wirksames CMS

Zu den zahlreichen Anpassungen mit erheblicher praktischer Auswirkung zählen die Forderung nach einem Verzicht auf besonders risikobehaftete Geschäfte wie beispielsweise eine Markterschließung in Ländern ab einem festzulegenden CPI-Wert (Corruption Perceptions Index, CPI) oder auf Bargeldtransaktionen mit risikobehafteten Kundengruppen. Dadurch steigt mittelbar der Rechtfertigungsdruck für Unternehmen, die Verzichtserklärungen in Korruptions- und Geldwäsche-Kategorien nicht abgeben.

Bemerkenswert ist auch die neu in die Anwendungshinweise aufgenommene Unabhängigkeit des Compliance-Verantwortlichen. Dadurch werden die häufigen Modelle mit Compliance-Beauftragten auf nachgeordneten Positionen, bspw. in der Rechtsabteilung, oder die Kombination der Compliance-Funktion mit anderen Aufgaben, erschwert. Leider fehlen Hinweise darauf, wie diese Unabhängigkeit bei kleineren und mittleren Unternehmen erreicht werden kann, wenn die Besetzung der Compliance-Funktion ohne Kombination mit anderen Tätigkeiten wirtschaftlich unmöglich ist.

Dessen ungeachtet ist die endlich eindeutig formulierte Forderung eines Zugangs nicht allein zu den gesetzlichen Vertretern, sondern auch zum Aufsichtsorgan unbedingt begrüßenswert.

Der neue Standard verlangt zudem, dass die Aufgabenträger die erforderlichen persönlichen und fachlichen Voraussetzungen erfüllen (Ebd., Rn. 27.). Als Grundlage hat dazu sicherlich auch die in den vergangenen Jahren erheblich vorangeschrittene Professionalisierung des Compliance-Berufsstandes beigetragen.

Innerhalb der Compliance-Ziele ist ein strukturiertes und nachvollziehbares Zielmanagement, also letztlich auch ein geeignetes Rechtsmonitoring, für ein wirksames CMS unverzichtbar.

Anhand von Risikoparametern wie frühere Regelverstöße, Gefahren für Leib und Leben oder möglichen strafrechtlichen Konsequenzen wird eine Gewichtung der Rechtsgebiete empfohlen (Ebd., Rn. A24.). Zukünftig reicht außerdem die bisher übliche ausschließliche Risikoermittlung im jährlichen Aktualisierungstermin nicht mehr aus, vielmehr muss der Risikobeurteilungsprozess im Standby-Modus laufen und sich bei gravierenden Veränderungen compliancerelevanter Faktoren automatisch aktivieren. Der Risikobeurteilungsprozess besteht aus Identifikation, Analyse und Bewertung.

Die wesentlichen Regelungen zur Aufbau- und Ablauforganisation des Compliance-Managements sind verbindlich vorzugeben und zu dokumentieren (Ebd., Rn. 27.). Unangemessene Verallgemeinerungen sowie unklare, unausgewogene und verzerrende Darstellungen, beispielsweise bei Zuständigkeitsbeschreibungen, werden als Merkmale einer unzureichenden CMS-Beschreibung gewertet. Damit ist in diesen Fällen allenfalls ein eingeschränktes Prüfungsurteil ermöglicht.

Strengere Maßstäbe bei der Festlegung des Prüfungsurteils

Der neue PS 980 weitet die Fälle, in denen das Prüfungsurteil zu versagen ist, erheblich aus und konkretisiert sie mit Beispielen: Abschnitt 3.4.4. nennt eine ungünstige Compliance-Kultur sowie umfassende Mängel in der Compliance-Konzeption (Ebd., Rn. 88.). Aus den Anwendungshinweisen ergibt sich, dass ein problematischer Umgang mit Fehlern ebenso wie das Verdrängen oder Ignorieren von Konflikten als unmittelbare Hindernisse für Compliance gelten.

Weitere „k.o.-Kriterien“, die als Anhaltspunkte für wesentliche Mängel in der CMS-Beschreibung gewertet werden, sind:

Fehlen eines angemessenen Hinweisgeber-Meldeverfahrens
Unzureichende personelle und sachliche Ausstattung/Ressourcen
Mangelhafte Kommunikation und Überwachung
Fehlende Konsequenz bei der Durchsetzung, namentlich das Ausbleiben wirksamer Konsequenzen gegenüber Mitarbeitern nach aufgedeckten Regelverstößen

Fazit

An die Vermeidung (des Vorwurfs) eines Organisationsverschuldens als Ziel eines CMS, werden zukünftig also deutlich höhere Anforderungen gestellt. Auch in gerichtlichen Auseinandersetzungen wird nämlich in materiellen Fragen, wie der Beurteilung eines CMS, auf einschlägige Rahmenwerke und damit vor allem auf den deutschlandweit führenden IDW PS 980 abgestellt. Gerade deshalb ist die eingangs formulierte Empfehlung einer kritischen Prüfung des CMS gegen die neuen Qualitätsmaßstäbe, sei es durch unabhängige interne Instanzen wie die Interne Revision oder durch externe Prüfer, so immens wichtig.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Der neue IDW PS 980: Anforderungen an ein prüfungsfestes CMS steigen erheblich