IDW PS 980: Neufassung 2022 / 6 Risikofaktor "veraltetes CMS"

Im Tagesgeschäft des Compliance-Betriebs fehlt oftmals die Muße für eine "Generalüberholung" des mittlerweile vielleicht über mehrere Jahre und womöglich unbemerkt "angestaubten" CMS. So sehr die Forderung nach "Überwachung und Verbesserung" aus den Grundelementen von Compliance-Verantwortlichen akzeptiert werden mag, so wenig wird sie mitunter tatsächlich gelebt. Die Neuauflage des PS 980 ist umso mehr Anlass, vernachlässigte Aktualisierungen auf den Stand der Compliance-Rahmenwerke nachzuholen, denn mit den zahlreichen Änderungen am Prüfungsstandard würde ein veraltetes und damit womöglich nicht mehr wirksames CMS im "Ernstfall" augenfällig.

Verdichtung der Rahmenkonzepte

Für Ausgestaltung und Beurteilung eines CMS nach PS 980 spielen sog. Rahmenkonzepte eine wichtige Rolle, "die von einer autorisierten oder anerkannten standardsetzenden Organisation im Rahmen eines transparenten Verfahrens entwickelt und verabschiedet oder durch gesetzliche oder andere rechtliche Anforderungen festgelegt werden."^[1]

Hier besteht mittlerweile ein sehr viel "reifer" entwickeltes Rahmenumfeld. Die Anzahl der referenzierten Rahmenkonzepte ist im Vergleich zur Fassung von 2011 gesunken (acht namentlich vorgeschlagene Rahmenkonzepte gegenüber 15 in der ersten Fassung). Neu sind insbes. die ISO 37301:2021, die als Prüfungsnorm an die Stelle der früheren ISO 19600 tritt, sowie die ISO-Normen 37001:2016 (Managementsysteme zur Korruptionsbekämpfung) und 37002:2021 (Hinweisgebermanagementsysteme). Unter den mittlerweile nicht mehr namentlich referenzierten Rahmenkonzepten finden sich u. a. die OECD-Grundsätze der Corporate Governance, das COSO-Framework und die Geschäftsgrundsätze für die Bekämpfung von Korruption von Transparency International Deutschland e. V.

Die Herausgeberorganisation COSO hat 2017 die Form des Rahmenwerks für das Unternehmensrisikomanagement grundlegend umgestellt.^[2] Als Referenz für die Systematik des Zusammenspiels der Corporate-Governance-Systeme lehnt sich der PS 980 weiter an dieses Rahmenwerk an.^[3]

Von den Rahmenkonzepten werden in Anlage 2 der Neufassung erstmals "Hinweise und Hilfestellungen zur Ausgestaltung von CMS" abgegrenzt. Hervorzuheben sind die zahlreichen und praxisgeeigneten DICO-Standards und -Leitlinien, die das 2012 gegründete Deutsche Institut für Compliance e. V. herausgibt.

Die in den "Frühphasen" der CMS häufig genutzte Option der Anwendung eines selbst entwickelten Rahmenkonzeptes wird durch die fortgeschrittene Reifung und Konsolidierung allgemein etablierter Rahmenkonzepte schwieriger, weil der CMS-Prüfer selbstentwickelte Rahmenkonzepte zunächst als solche auf ihre Eignung prüfen muss.

Eignung der CMS-Grundsätze

Die Anwendungshinweise betonen ausdrücklich die Relevanz und raten zur Nutzung des Drei-Linien-Modells des IIA^[4] (vgl. Kapitel 7).^[5] Eine Verantwortungszuweisung des "being compliant" an die erste Linie und die ausdrückliche Einordnung des CMS in die zweite Linie dieses Systems sind aus praktischer Sicht und aus prüferischer Perspektive gleichermaßen dringend zu empfehlen. Auch hier sollte die Präzision der Zuordnung von Verantwortlichkeiten und Rollen in älteren CMS-Formulierungen kritisch hinterfragt werden.

Die Anwendungshinweise nennen fünf Merkmale der Eignungsprüfung von CMS-Grundsätzen:^[6]

• Relevanz
• Vollständigkeit
• Verlässlichkeit (auch im Sinne einer hinreichenden Konkretheit zu verstehen)
• Neutralität
• Verständlichkeit

Sie bieten einen sehr guten Anhaltspunkt für einen ersten "Aktualitäts-Check" eines lange eingerichteten und etablierten CMS.

Ebenfalls neu in den Anwendungshinweisen ist eine Schärfung der Anforderung an die Zielformulierung, die ebenso unauffällig wie praxisrelevant daherkommt. Im Abschnitt "Prüfungsdurchführung" findet sich nämlich zur Prüfung der Compliance-Ziele der Hinweis: "Hierbei ist auch von Bedeutung, ob die vom Unternehmen festgelegten Ziele verständlich formuliert, konsistent zueinander sind und der Grad der Zielerreichung messbar ist". Eher abstrakt-generische Compliance-Zielformulierungen, wie sie in CMS-Beschreibungen aus der Vergangenheit dominierten, werden damit dem PS 980 n. F. nicht gerecht. Zur allgemeinen Absichtserklärung, regelkonform handeln zu wollen, stellen sich Fragen nach messbaren Zielgrößen wie beispielsweise Sensibilisierungsintensität, Aufklärungsquoten und -geschwindigkeiten oder Termintreue bei Maßnahmenumsetzungen.

[1] IDW PS 980 n. F., Tz. 13.

[2] COSO Enterprise Risk Management, 2017-COSO-ERM-Integrating-with-Strategy-and-Performance-Executive-Summary.pdf, zuletzt abgerufen 6.10.2022.

[3] IDW PS 980 n. F., Ziff. A3.

[4] "Das Drei-Linien-Modell des IIA", DIIR, 2020, Three-Lines-Model-Updated-German.PDF (diir.de), zuletzt abgerufen 6.10.2022.

[5] IDW PS 980 n. F., Tz. A5.

[6] IDW PS 980 n. F., Tz A33.