Christoph Naucke, Dr. Christian Corell
Eine Reihe von Verschärfungen im PS 980 n. F. betrifft scheinbar "nur" die Prüfer und deren Vorgehen. Die Ausgestaltung eines CMS orientiert sich aber am PS 980, weil damit insbesondere Prüfungsreife und, als mögliche Folgewirkung, eine möglichst gute rechtliche Verteidigungsposition geschaffen wird. Somit haben die Prüfungsverschärfungen auch Auswirkungen auf die im PS 980 nahegelegten Eigenschaften des CMS.
Spezifizierte Anforderungen an Prüfer und Prüfungsdurchführung
Die im Abschnitt "Auftragsannahme" formulierten Anforderungen an CMS-Prüfer werden nun im Vergleich zur Altfassung wesentlich konkretisiert: Beispielsweise müssen erforderlichenfalls Spezialisten für die Beurteilung der Sicherheit IT-gestützter Prozesse hinzugezogen werden. Auch im Abschnitt "Prüfungsplanung" finden sich viele Spezifizierungen, die zu faktischen Verkleinerungen der prüferseitigen Ermessensspielräume führen. So werden Prüfungsnachweise aus unabhängigen Quellen höher validiert als interne, ebenso sind Beobachtungen des Kontrollablaufs wertvoller als Befragungen über die betreffende Kontrolle. Auch wenn eine CMS-Prüfung nicht geplant ist, sollte also angestrebt werden, Prüfungsnachweise einer Qualität vorzuhalten, die einem externen sachkundigen Dritten die hier geforderte Prüfungssicherheit ermöglichen würde.
Eigene Risikoeinschätzung des Prüfers
Die Verantwortung des Prüfers für eine von der Unternehmenssicht unabhängige Risikoeinschätzung steigt. Dies ergibt sich aus einer Vielzahl von Änderungen:
- So wurden beispielsweise die Prüfungshandlungen zur Risikobeurteilung auf die höhere Gliederungsebene der Prüfungsplanung verschoben.
- Dem Risiko wesentlicher falscher Darstellungen in der CMS-Beschreibung ist nun ein eigenes Kapitel gewidmet.
- Davon ausgehend wird das Risiko eines uneingeschränkten Prüfungsurteils trotz wesentlicher falscher Darstellungen in der CMS-Beschreibung als Prüfungsrisiko definiert.
Erhöhte Anforderungen an das Prüfungsurteil
Der neue PS 980 weitet die Fälle, in denen das Prüfungsurteil zu versagen ist, erheblich aus und konkretisiert sie mit Beispielen: Abschnitt 3.4.4. nennt eine ungünstige Compliance-Kultur sowie umfassende Mängel in der Compliance-Konzeption. Aus den Anwendungshinweisen ergibt sich, dass ein problematischer Umgang mit Fehlern ebenso wie das Verdrängen oder Ignorieren von Konflikten als unmittelbare Hindernisse für Compliance gelten.
Die Anwendungshinweise wurden außerdem um eine umfassende Liste mit Anhaltspunkten für wesentliche Mängel des CMS ergänzt. In Verbindung mit den Vorgaben aus Abschnitt 3.4.4 ergibt sich daraus zugleich eine konkrete Voraussetzungsliste für ein auch nach dem neuen PS 980 wirksames CMS.
Zu den "k.o.-Kriterien", die als Anhaltspunkte für wesentliche Mängel in der CMS-Beschreibung gewertet werden, sind im Vergleich zur bisherigen Fassung hinzugekommen:
- Das Fehlen eines angemessenen Hinweisgeberverfahrens
- unzureichende personelle und sachliche Ausstattung/Ressourcen
- mangelhafte Kommunikation und Überwachung des CMS
- fehlende Konsequenz bei der Durchsetzung, namentlich das Ausbleiben wirksamer Konsequenzen gegenüber Mitarbeitern nach aufgedeckten Regelverstößen
Im Umkehrschluss stellen auch diese Negativmerkmale Voraussetzungen eines "gerichtsfesten" CMS dar, unabhängig davon, ob eine externe CMS-Prüfung vorgesehen ist oder nicht.