Christoph Naucke, Dr. Christian Corell
Naturgemäß haben sich in elf Jahren mit einer mehr als dynamischen Entwicklung und zahlreichen einschneidenden Ereignissen im Bereich Compliance die Rahmenbedingungen und damit die Anforderungen an CMS elementar verändert.
Dazu tragen unterschiedliche Faktoren bei, die sich gegenseitig beeinflussen: So treten im Wirtschaftsgeschehen immer wieder Compliance-Skandale auf, die zu Rechtsstreitigkeiten und damit zu Gerichtsentscheidungen führen. Parallel erfolgte auf der politischen Ebene eine Verschärfung gesetzlicher Anforderungen an CMS, die zum Teil als Reaktionen auf Compliance-Skandale gelten können.
Für einen Prüfungsstandard zur Prüfung von CMS galt es also, auf Gesetzgebung und Rechtsprechung sowie auf Verschärfungen in weiteren relevanten Quellen, wie insbesondere im bereits erwähnten DCGK, zu reagieren. Zugleich sind im Zuge der Internationalisierung der Rechnungslegung internationale Prüfungsstandards entstanden, die die Rahmenbedingungen für Wirtschaftsprüferleistungen bei der Prüfung nichtfinanzieller Sachverhalte regeln. Nicht zuletzt galt es vermutlich, auch angesichts einer nochmals kritischeren Öffentlichkeit, die Wertigkeit eines Prüfungsurteils über ein CMS nach dem IDW PS 980 durch eine Verschärfung der Anforderungen im Prüfungsstandard abzusichern und auszubauen.
Das IDW benennt selbst fünf Einflussfaktoren für die aktuelle Neufassung.
Finanzmarktintegritätsgesetz (FISG)
Das Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) verschärfte vor allem als Reaktion auf den Wirecard-Skandal eine Vielzahl handelsrechtlicher Normen. So wurde in Form einer Ergänzung des § 91 Abs. 3 AktG sowie in § 22 des SE-Ausführungsgesetzes auch die gesetzliche Pflicht zur Einrichtung eines angemessenen und wirksamen Internen Kontrollsystems sowie eines Risikomanagementsystems für börsennotierte Aktiengesellschaften eingeführt. Die Gesetzesbegründung führt aus, dass das Interne Kontrollsystem u. a. die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften umfasst.
Neue Rechtsprechung
Die Rechtsprechung zu Pflichtverstößen, die aus Unternehmen heraus begangen werden, berücksichtigt stark zunehmend, ob das betreffende Unternehmen angemessene Vorkehrungen zur Vermeidung getroffen hatte, und damit insbesondere, ob ein wirksames CMS etabliert war. Das IDW nennt hier explizit das Urteil des BGH in Strafsachen vom 9.5.2017 (1 StR 265/16). Darin wird bereits in Leitsatz 14 und später in Randziffer 124 ausdrücklich bestimmt, dass bei der Bemessung einer Geldbuße gegen ein Unternehmen zu berücksichtigen sei, ob es im Zeitpunkt eines Gesetzesverstoßes ein angemessenes und effektives Compliance Management System installiert hatte. Oft übersehen wird, dass bei der Bußgeldbemessung laut BGH obendrein berücksichtigt werden kann, ob das Unternehmen im Zuge der Aufklärung von Verstoßfällen erkannte Defizite des CMS behebt. Dieser Hinweis verleiht dem in der Praxis oft eher stiefmütterlich behandelten Grundelement der Compliance-Überwachung und -Verbesserung eine besondere Bedeutung für die Nutzung des CMS zur Enthaftung oder Haftungsmilderung der gesetzlichen Vertreter im Falle eines dennoch eintretenden Verstoßes.
In anderen Entscheidungen, wie bspw. dem wesentlich älteren, aber bislang bekanntesten Compliance-Urteil, nämlich dem sog. "Neubürger-Urteil" vom Dezember 2013, wirkte sich zu Lasten des Beklagten aus, dass das Landgericht München I das seinerzeitige CMS des Unternehmens gerade nicht als hinreichend erachtete.
Auch in jüngster Zeit unterstrich die Rechtsprechung die Bedeutung von CMS und formulierte sogar eine entsprechende Rechtspflicht. Ausdrücklich urteilte das OLG Nürnberg im März 2022 in einer auch insgesamt äußerst lesenswerten Entscheidung wie folgt: "Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern" und fährt kurz darauf mit den Worten fort: "Eine Pflichtverletzung des Beklagten ist bereits deshalb gegeben, weil dieser es unterlassen hat, im Rahmen der internen Unternehmensorganisation der Klägerin Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern."
Zwischenzeitlich veröffentlichte weitere GRC-Standards
Der IDW PS 980 und damit das Thema CMS stand 2011 am Anfang einer Reihe von mittlerweile vier Prüfungsstandards des IDW, die unterschiedliche Komponenten des GRC-Systems betreffen. Seitdem traten der IDW PS 981 (Prüfung von Risikomanagementsystemen), der IDW PS 982 (Prüfung des Internen Kontrollsystems des internen und externen Berichtswesens) sowie, gemeinsam mit dem DIIR, der IDW PD 983 (Prüfung von Internen Revisionssystemen) hinz...