Christoph Naucke, Dr. Christian Corell
Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance als eine auf der Geschäftsleitungsebene liegende Verantwortung für die Einhaltung gesetzlicher Bestimmungen und unternehmensinterner Richtlinien. Die unternehmensinterne Struktur zur Gewährleistung dieser Regelkonformität wird Compliance Management System, abgekürzt CMS, genannt. In der Fassung des DCGK von 2022 wurde die Anforderung zur Einrichtung eines CMS nochmals bekräftigt: In Grundsatz 5 wurde ausdrücklich hinzugefügt, dass das Interne Kontrollsystem und das Risikomanagementsystem auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System umfassen.
Auch wenn die Empfehlung, ein CMS einzurichten, bereits frühzeitig Teil des DCGK war, finden sich weder im DCGK noch auf Gesetzesebene abschließende Aussagen darüber, welche materiellen Anforderungen an ein angemessenes CMS faktisch zu stellen sind. Nachdem u. a. wegen des DCGK die Nachfrage von Unternehmen anstieg, ihr CMS durch einen Wirtschaftsprüfer prüfen zu lassen, schuf das IDW als berufsständische Organisation im Jahr 2011 mit dem Prüfungsstandard 980 erstmals ein Rahmenwerk, um die Berufsauffassung der Wirtschaftsprüfer zur Prüfung von CMS festzulegen und zu dokumentieren.
Da konkrete gesetzliche Anforderungen an ein CMS fehlten und bis heute fehlen, sind Prüfungsstandards zu einer wichtigen Quelle für Unternehmen geworden, die Eignung ihrer organisatorischen Compliance-Vorkehrungen zu beurteilen und auszurichten.
Der IDW PS 980 hat sich hierbei in Deutschland als führender Standard etabliert. Durch die Konkretisierung der Anforderungen in Form von sieben Grundelementen bietet der Standard also nicht nur die konkrete Grundlage für CMS-Prüfungen, sondern dient zugleich als praxistaugliches Gerüst zur Strukturierung und Priorisierung der Ausgestaltung eines CMS. Beide Aspekte sollen nun anhand der vorliegenden Neufassung beleuchtet werden.
In den vergangenen elf Jahren sind die Rahmenbedingungen und damit die Anforderungen an CMS erheblich anspruchsvoller geworden. Dazu tragen viele Faktoren bei: Strengere gesetzliche Vorgaben, die wachsende Zahl von Gerichtsentscheidungen, bei denen das CMS von Unternehmen eine immer bedeutsamere Rolle spielt, veränderte Rahmenbedingungen für Wirtschaftsprüfungsleistungen auf Grund der Internationalisierung von Prüfungsstandards und nicht zuletzt eine nochmals kritischere Öffentlichkeit bei Compliance-Verletzungen, die aus Unternehmen heraus begangen werden.
All dies hat das IDW motiviert, den PS 980 neu aufzulegen. Die Neufassung hat das IDW im Dezember 2022 mit dem Stichtag 28.9.2022 veröffentlicht. Wesentliches blieb unverändert, insbesondere die Grundstruktur in Form der sieben Grundelemente: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation und Compliance-Überwachung und -verbesserung.
Dennoch liegt ein umfassend erneuerter, deutlich verschärfter und nicht lediglich revidierter Prüfungsstandard vor. Neben augenfälligen und letztlich absehbaren Änderungen gibt es zahlreiche, auf den ersten Blick unauffällig scheinende Anpassungen mit ganz erheblichen Auswirkungen auf die Compliance-Praxis. Eine schlichte Synopse scheidet jedoch aus, weil zugleich weitreichende Änderungen an Aufbau, Herleitung und Abbildung ganzer Themenfelder erfolgten.
Ein eigenhändiger, unternehmensindividueller Vergleich beider Versionen ist auf Grund der stark veränderten Struktur mühsam, zeitaufwändig und nicht zuletzt fehleranfällig, weil dabei wichtige Änderungen leicht übersehen werden können, da sie ohne compliancerechtliche Einordnung wenig auffallen. Dieser Beitrag verbindet daher eine kompakte, leserfreundlich strukturierte Darstellung der Veränderungen mit Hinweisen auf äußerst wichtige Neuerungen für die Compliance-Praxis der Unternehmen.