Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen

Transkript

1 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 197 Compliance Darstellung der vom IDW entwickelten Grundsätze ordnungsgemäßer Prüfung von Compliance-Management-Systemen Hubertus Eichler A. Einleitung Compliance gewinnt seit Jahren an Bedeutung, und die Anzahl der Gesetze, Regeln und Richtlinien nimmt stetig zu. Darüber hinaus haben in der vergangenen Zeit verschiedentlich Verstöße von Unternehmen gegen Compliance-Grundsätze im Bereich der Korruption, des Kartellrechts und des Datenschutzes zu heftigen fachlichen und öffentlichen Diskussionen sowie auch entsprechend verschärfter Rechtsprechung, unter anderem auch im strafrechtlichen Bereich, geführt. Dabei stehen vor allem solche Verfehlungen unternehmerischen Handelns im Zentrum des öffentlichen Interesses, welche gegen besonders schutzbedürftige Gruppen begangen werden, wie zum Beispiel Mitarbeiter, Lieferanten, Verbraucher oder auch gegen die Umwelt. Zur Sicherstellung der Konformität und der Bewältigung steigender Herausforderungen in Bezug auf die organisatorische Umsetzung von Compliance richten Unternehmen zunehmend eine Compliance-Funktion ein, welche unmittelbar dem Vorstand unterstellt ist. Der Deutsche Corporate Governance Kodex definiert, dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien verantwortlich ist und den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Compliance informiert. Dort ist weiterhin ausgeführt, dass der Aufsichtsrat einen Prüfungsausschuss einrichten soll, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und der Compliance befasst. 1 Mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) fordert der Gesetzgeber in 107 Abs. 3 Satz 2 AktG, dass der Aufsichtsrat sich mit der Wirksamkeit des Risikomanagementsystems auseinandersetzen muss. Ein solches Risikomanagementsystem ist umfassend anzusehen und beinhaltet implizit auch den Umgang mit 1 Deutscher Corporate Governance Kodex in der Fassung vom , Empfehlungen 3.4, und

2 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 198 Compliance-Risiken. 2 Da Regelverstöße empfindliche Strafen für das Unternehmen und seine Organe nach sich ziehen können, ist es für Unternehmen zwingend erforderlich, Prozesse und Systeme permanent auf die Einhaltung regulatorischer Anforderungen zu überprüfen. B. Der Entwurf des Standards zur Prüfung von Compliance-Management-Systemen IDW EPS 980 Als Reaktion auf die zunehmend insbesondere von Aufsichtsorganen in Erfüllung ihrer Überwachungspflichten geforderte Prüfung von Compliance-Management-Systemen (CMS) durch Wirtschaftsprüfer sowie um den Angehörigen des Berufsstandes eine Leitlinie zur ordnungsgemäßen Prüfungsdurchführung an die Hand zu geben, hat der Hauptfachausschuss (HFA) des Instituts der Wirtschaftsprüfer e.v. (IDW) im März 2010 den Entwurf eines IDW-Prüfungsstandards (IDW EPS 980) über Grundsätze ordnungsmäßiger Prüfung von Compli - ance-management-systemen 3 vorgelegt. Obwohl sich der IDW EPS 980 in erster Linie an Wirtschaftsprüfer richtet, die entsprechende Prüfungen zukünftig nach dieser Maßgabe durchführen, beinhaltet er auch einige grundlegende Aussagen und Hinweise zu CMS, die gleichermaßen für die Unternehmen interessant sind. 4 In der zwischenzeitlich stattgefundenen Fachdiskussion wurden die Inhalte des Standardentwurfs von einer Vielzahl von Unternehmensund Verbandsvertretern kommentiert. Diese Kommentierungen und Stellungnahmen werden nunmehr in die finale Version des Prüfungsstandards eingearbeitet, welcher dann in der ersten Hälfte des Jahres 2011 in Kraft treten und auf Prüfungen angewandt werden soll, die nach dem durchgeführt werden. Typische Anwendungsbereiche und Gegenstand einer freiwilligen CMS- Prüfung 5 sind einzelne Rechtsgebiete, wie beispielsweise das Wettbewerbs- und Kartellrecht, das Antikorruptionsrecht (zum Beispiel Vgl. Eichler, Unternehmensüberwachung im Wandel: Neuausrichtung von Aufsichtsrat und Compliance Management nach Einführung des BilMoG, ZCG 5/2010, S IDW EPS 980 Grundsätze ordnungsmäßiger Prüfung von Compliance- Management-Systemen (Stand ), FN IDW 2010, S Vgl. Görtz, Der neue Compliance-Prüfungsstandard (EPS 980), CCZ 4/2010, S IDW EPS 980, Fn. 3, A2. 198

3 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 199 Compliance StGB), das Börsenrecht (zum Beispiel Vorschriften zum In siderhandel oder zu Ad-hoc-Meldepflichten), Vorschriften zur Unternehmensführung und -überwachung (zum Beispiel nach dem Deutschen Corporate Governance Kodex), das Geldwäschegesetz sowie zum Beispiel das Verrechnungspreisrecht und das Umweltrecht. Ebenso können unternehmensinterne Richtlinien (zum Beispiel Ethikkodex, Verhaltenskodex, CSR-Grundsätze) sowie einzelne Geschäftsbereiche und/oder operative Prozesse des Unternehmens unter Umständen mit regionaler Abgrenzung nach Ländern Gegenstand der Prüfung sein. 6 C. Wesentliche Inhalte des IDW EPS 980 I. Begriffsbestimmungen Zur besseren Strukturierung werden im Prüfungsstandard vorab die wesentlichen dort verwendeten Begriffe definiert. In diesem Zusammenhang sind insbesondere die folgenden Begriffsbestimmungen von zentraler Relevanz: 1. Compliance-Management-System (CMS) Unter einem CMS sind die auf der Grundlage der von den gesetzlichen Vertretern festgelegten Ziele eingeführten Grundsätze und Maßnahmen eines Unternehmens zu verstehen, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie gegebenenfalls von Dritten abzielen, das heißt auf die Einhaltung bestimmter Regeln beziehungsweise die Verhinderung von wesentlichen Verstößen (Regelverstöße). 7 Ein wirksames CMS muss demnach sowohl präventiv als auch aufdeckend ausgerichtet sein. 2. CMS-Grundsätze Ein ordnungsgemäß eingerichtetes CMS muss systematisch aufgebaut sein und die für seine Wirksamkeit relevanten Komponenten, insbesondere die im IDW EPS 980 aufgeführten CMS-Grundelemente, beinhalten. 6 Vgl. Eisolt, Prüfung von Compliance-Management-Systemen: erste Überlegungen zu IDW EPS 980, BB , S IDW EPS 980 (Fn. 3), Tz

4 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 200 Dabei sollte jedes Unternehmen entsprechend seiner individuellen Rahmenbedingungen zur Strukturierung eines CMS sogenannte CMS-Grundsätze entwickeln und die Organisation des CMS an diesen ausrichten. Laut IDW EPS 980 sind unter CMS-Grundsätzen allgemein anerkannte Rahmenkonzepte, andere angemessene Rahmenkonzepte oder vom Unternehmen selbst entwickelte Grundsätze für CMS zu verstehen. 8 Dabei steht es den gesetzlichen Vertretern offen, sich auch an verfügbaren Informationen über die Praxis anderer Unternehmen zu orientieren. 3. Allgemein anerkannte Rahmenkonzepte Allgemein anerkannte Rahmenkonzepte, welche der Strukturierung eines CMS zugrunde gelegt werden können, sollen von einer autorisierten oder anerkannten standardsetzenden Organisation im Rahmen eines transparenten Verfahrens entwickelt und verabschiedet oder durch gesetzliche oder andere rechtliche Anforderungen festgelegt worden sein. 9 In der Anlage Nr. 1 zu IDW EPS 980 werden solche allgemeinen und spezifischen Rahmenkonzepte verschiedener Organisationen (unter anderem OECD, OCEG, Transparency International Deutschland e.v.) mit ihren Anwendungsbereichen komprimiert vorgestellt. 4. CMS-Beschreibung Um als Prüfungsgegenstand geeignet zu sein, muss dem Wirtschaftsprüfer eine ausführliche Dokumentation des CMS vorgelegt werden können. Hierzu gehört eine CMS-Beschreibung, welche unter Berücksichtigung der angewandten CMS-Grundsätze eine Darstellung zu sämtlichen Grundelementen des CMS enthalten sollte. 10 Die gesetzlichen Vertreter eines Unternehmens, welche für das CMS und damit auch für die Inhalte der CMS-Beschreibung verantwortlich sind, müssen diese zur Kenntnis genommen und ihren Inhalt verstanden haben. Die gesetzlichen Vertreter treffen darüber hinaus in der CMS-Beschreibung regelmäßig explizite oder implizite Erklärungen zur Konzeption des CMS sowie zur Angemessenheit, Implementierung und Wirksamkeit des CMS zu einem bestimmten Zeitpunkt beziehungsweise für einen bestimmten Zeitraum. 8 IDW EPS 980 (Fn. 3), Tz IDW EPS 980 (Fn. 3), Tz IDW EPS 980 (Fn. 3), Tz

5 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 201 Compliance 5. Konzeption eines CMS Ein angemessenes CMS sollte idealerweise so konzipiert sein, dass es über sämtliche im IDW EPS 980 aufgeführten Grundelemente verfügt. Diese Grundelemente sowie deren wesentliche Inhalte sind nachfolgend im Einzelnen beschrieben. II. Grundelemente eines CMS Ausweislich des IDW-Standards sollte ein CMS die folgenden, miteinander in Wechselwirkung stehenden Grundelemente 11 aufweisen, die nicht neben der Unternehmensorganisation existieren, sondern in die Geschäftsabläufe eingebunden sein sollen und von den Unternehmen individuell ausgestaltet werden können (vgl. Abbildung 1). Ziele Organisation Risiken Kommunikation Compliance- Kultur Überwachung und Verbesserung Programm Diese Grundelemente stellen einen Orientierungsrahmen dar, verzichten aber auf starre Anforderungskriterien, so dass Gestaltungs-/Hand- Abbildung 1: Grundelemente eines Compliance-Management-Systems. 11 IDW EPS 980 (Fn. 3), Tz. 19, Tz. A10 A

6 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 202 lungsspielräume erhalten bleiben. Der IDW EPS 980 bietet zu den einzelnen Grundelementen zahlreiche Beispiele und Erläuterungen, die wie folgt zusammengefasst werden können: 1. Compliance-Kultur Die Compliance-Kultur stellt als zentrales Element eines CMS die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit ihre Bereitschaft zu regelkonformem Verhalten. 12 Merkmale der Compliance-Kultur sind zum Beispiel: die Integrität der gesetzlichen Vertreter, das Bekenntnis des Managements zur Bedeutung eines verantwortungsvollen Verhaltens im Einklang mit den zu beachtenden Regeln ( tone at the top ), die von den gesetzlichen Vertretern aufgestellten und kommunizierten Verhaltensgrundsätze, die Anreizsysteme, mit denen regelkonformes Verhalten gefördert wird einschließlich der Berücksichtigung von Compliance bei Personalbeurteilungen und Beförderungen, der Führungsstil und die Personalpolitik des Unternehmens sowie die Stellung des und die Art der Aufgabenwahrnehmung durch das Aufsichtsorgan im Zusammenhang mit Risikomanagement und Compliance. Im Umfeld einer guten Unternehmenskultur, welche der Einhaltung der relevanten Gesetze und Regeln eine hohe Bedeutung beimisst und aufgedeckte Verstöße angemessenen sanktioniert, werden die im CMS verankerten Grundsätze von den Mitarbeitern eher beachtet als in einer ungünstigen Compliance-Kultur. 12 Vgl. hierzu auch Eichler, Nachhaltige Unternehmenskultur als Grundlage wirksamer Corporate Governance, ZCG 2/2010, S. 57 ff. 202

7 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 203 Compliance 2. Compliance-Ziele Die gesetzlichen Vertreter legen auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, welche mit dem CMS erreicht werden sollen. Dies umfasst insbesondere die Festlegung der relevanten Teilbereiche und der in den einzelnen Teilbereichen einzuhaltenden Regeln. Diese Compliance-Ziele stellen sodann die Grundlage für die Ermittlung der Compliance-Risiken dar, welche gegebenenfalls eine Erreichung der Compliance-Ziele verhindern könnten. Hierbei wird auch der Sicherheitsgrad festgelegt, mit dem das CMS Regelverstöße verhindern soll. Bei der Festlegung der Compliance-Ziele sollten unter anderem die folgenden Anforderungen beachtet werden: Konsistenz der unterschiedlichen Ziele, Verständlichkeit und Praktikabilität der Ziele, Messbarkeit des Grades der Zielerreichung und Abstimmung mit den verfügbaren Ressourcen. 3. Compliance-Organisation Mit der Compliance-Organisation regelt das Management die Rollen und Verantwortlichkeiten (Aufgaben) sowie die Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung. Hierzu gehören unter anderem: die Bestimmung eines Compliance-Beauftragten beziehungsweise eines Compliance-Gremiums einschließlich der Festlegung der Aufgaben und der hierarchischen Stellung beziehungsweise der organisatorischen Einordnung sowie der Berichtslinien, die Bereitstellung von ausreichenden Ressourcen zur Konzeption, Einführung, Durchsetzung und Überwachung sowie kontinuierlichen Verbesserung des CMS, die Integration des CMS in andere bestehende Systeme der Unternehmensorganisation, wie zum Beispiel das Risikomanagementsystem oder das interne Kontrollsystem und 203

8 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 204 die Entwicklung organisatorischer und technischer Hilfsmittel zu den einzelnen CMS-Bestandteilen, insbesondere zum Compliance-Programm, zur Compliance-Kommunikation und zur Überwachung des CMS (zum Beispiel Handbücher, manuelle Checklisten, IT-Tools). 4. Compliance-Risiken Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, welche Verstöße gegen die einzuhaltenden Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu wird ein Verfahren zur systematischen Risikoerkennung und -berichterstattung eingeführt. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen (zum Beispiel Schadenshöhe) analysiert. Die Feststellung und Beurteilung von Compliance-Risiken stellt die Grundlage für die Entwicklung eines angemessenen Compliance-Programms dar. Das Unternehmen führt zu diesem Zweck für die abgegrenzten Teilbereiche des CMS eine systematische Aufnahme der Risiken für Regelverstöße durch, zum Beispiel in Form von Interviews, Workshops oder der Auswertung von verfügbaren Informationen anderer Unternehmen. Bei der Risikoanalyse werden die grundsätzlichen Entscheidungen der gesetzlichen Vertreter zur Risikosteuerung (Risikovermeidung, Risikoreduktion, Risikoüberwälzung oder Risikoakzeptanz) berücksichtigt. Allgemeine Faktoren, die für die Risikoanalyse relevant sein können, sind unter anderem: Änderungen im wirtschaftlichen und rechtlichen Umfeld, Personalveränderungen, überdurchschnittliches Unternehmenswachstum, neue Technologien, neue oder atypische Geschäftsfelder oder Produkte, Umstrukturierungen und Expansion in neue Märkte. Die Befassung mit den Compliance-Risiken ist keine einmalige Aktivität, sondern ein Regelprozess, der einen wesentlichen Bestandteil der kontinuierlichen Weiterentwicklung und Verbesserung des CMS darstellt. 204

9 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 205 Compliance 5. Compliance-Programm Auf der Grundlage der Beurteilung der Compliance-Risiken werden mit dem Compliance-Programm Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance- Verstößen zu ergreifenden Schritte und wird zur Sicherstellung einer personenunabhängigen Funktion des CMS dokumentiert. Bei den Grundsätzen handelt es sich um Regelungen, mit denen die Mitarbeiter und gegebenenfalls Dritte zu regelkonformem Verhalten angehalten werden. Sie enthalten klare Festlegungen zur Zulässigkeit beziehungsweise Unzulässigkeit bestimmter Aktivitäten sowie zu den Maßnahmen des Compliance-Programms, die zur Sicherstellung der Compliance zu beachten sind. Die Maßnahmen des Compliance- Programms zielen auf die Verhinderung von Regelverstößen ab (Prävention); dies umfasst auch das rechtzeitige Erkennen von Risiken für Compliance-Verstöße (zum Beispiel durch die Einrichtung eines Hinweisgebersystems) und die Reaktionen auf die erkannten Risiken. Zu den Maßnahmen des Compliance-Programms zählen unter anderem die in das CMS integrierten Kontrollen, mit denen die Einhaltung der Grundsätze und die Durchführung der Maßnahmen sichergestellt werden (zum Beispiel Funktionstrennungen, Berechtigungskonzepte, Vier-Augen-Prinzip, Genehmigungsverfahren und Unterschriftsregelungen). 6. Compliance-Kommunikation Durch die Compliance-Kommunikation wird im Unternehmen festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (zum Beispiel den Compliance-Beauftragten) berichtet werden (bottom-up). Gleichermaßen werden im Rahmen der Compliance-Kommunikation betroffene Mitarbeiter und gegebenenfalls Dritte regelmäßig über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert (top-down), damit diese ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Dies kann zum Beispiel in Form von Mitarbeiterbriefen, Compliance-Handbüchern oder Schulungsveranstaltungen erfolgen. Voraussetzung für eine wirksame Compliance-Kommunikation sind ausreichende Kenntnisse über die Berichtspflichten und ein Bewusstsein der Mitarbeiter beziehungsweise der betroffenen Dritten für die Bedeutung einer zeitnahen und vollständigen Kommunikation. 205

10 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite Compliance-Überwachung und Verbesserung Durch Maßnahmen der Compliance-Überwachung wird die Angemessenheit und Wirksamkeit des CMS in geeigneter Weise überwacht. Voraussetzung für die Überwachung ist eine ausreichende Dokumentation des CMS. Die Zuständigkeit für die Überwachung muss bei einer prozessunabhängigen Stelle, zum Beispiel der internen Revision, angesiedelt sein, um die hierfür erforderliche Unabhängigkeit und Objektivität zu gewährleisten. Werden im Rahmen der Überwachung Schwachstellen im CMS beziehungsweise Verstöße festgestellt, so sind diese an das Management beziehungsweise die hierfür bestimmte Stelle im Unternehmen zu berichten. Die gesetzlichen Vertreter sorgen für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems. Zur Compliance-Überwachung zählen unter anderem folgende Aspekte: Festlegung der Zuständigkeiten für die Compliance-Überwachung, Entwicklung eines Überwachungsplans, Bereitstellung von ausreichend erfahrenen Ressourcen für die Durchführung der Überwachungsmaßnahmen, Bestimmung der Berichtswege für die Ergebnisse der Überwachungsmaßnahmen sowie Erstellung von Berichten über die Ergebnisse der Überwachungsmaßnahmen und Auswertung der Berichte durch die zuständige Stelle. Des Weiteren stellt die Durchführung einer externen Prüfung des CMS, beispielsweise durch einen Wirtschaftsprüfer unter Berücksichtigung des IDW EPS 980, eine ergänzende unternehmensunabhängige Überwachungsmaßnahme dar. Das Aufsichtsorgan sollte über die Maßnahmen zur Überwachung und Verbesserung des CMS informiert werden, soweit es der Erfüllung der eigenen Überwachungsfunktion des Aufsichtsorgans dient (zum Beispiel 107 Abs. 3 AktG). III. Auftragstypen zur Prüfung eines CMS Erfahrungsgemäß werden CMS bis zu ihrer vollständigen und wirksamen Implementierung im Unternehmen unterschiedliche Reifegra- 206

11 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 207 Compliance de der Entwicklung erfahren. Diese Tatsache sollte im Vorfeld der Entscheidung zur Beauftragung einer CMS-Prüfung berücksichtigt werden, um in Bezug auf Prüfungsumfang sowie Prüfungsergebnis keine Erwartungslücke entstehen zu lassen. Darüber hinaus ist ein CMS ein dynamisches System, welches auf die Änderungen von Umweltbedingungen reagieren muss. Auch ist es schlicht unmöglich, zu einem CMS für alle möglichen Bereiche und über alle nationalen Grenzen hinaus in der Praxis selbst bei umfänglicher Prüfung eine abschließende verlässliche Prüfungsaussage zu treffen. Um vor diesem Hintergrund eine für den Adressaten sinnvolle Prüfungsaussage zu ermöglichen, sieht der IDW EPS 980 eine zielgerichtete Beauftragung vor. Bei einer Beauftragung ist daher zunächst der Auftragsgegenstand klar abzugrenzen. Es ist zu unterscheiden zwischen: zum einen den Grundsätzen und Maßnahmen eines CMS insgesamt (welche sich auf alle Bereiche des Unternehmens beziehen, zum Beispiel ein Hinweisgebersystem) und zum anderen den Grundsätzen und Maßnahmen zu abgrenzbaren Teilbereichen des Unternehmens (zum Beispiel Genehmigungen im Einkauf oder Wettbewerbsrecht) innerhalb der Konzeption des CMS. Hierauf aufbauend sieht der IDW EPS 980 in Bezug auf das Ziel der CMS- Prüfung drei unterschiedlich umfangreiche Auftragstypen mit entsprechenden Prüfungsintensitäten wie folgt vor (vgl. auch Tabelle 1): Auftragstyp 1: Prüfung und Beurteilung, ob die Aussagen der gesetzlichen Vertreter in der CMS-Beschreibung zur Konzeption des CMS in allen wesentlichen Belangen zutreffend dargestellt sind und ob die CMS-Beschreibung auf sämtliche Grundelemente eines CMS eingeht. Auftragstyp 2: wie Auftragstyp 1, sowie ergänzend Prüfung und Beurteilung, ob die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, Risiken für wesentliche Regelverstöße mit hinreichender Sicherheit rechtzeitig zu erkennen und Verstöße zu verhindern und ob die Grundsätze und Maßnahmen zu einem bestimmten Zeitpunkt implementiert sind (Design des CMS). Auftragstyp 3: wie Auftragstyp 2, sowie ergänzend Prüfung und Beurteilung, ob die Grundsätze und Maßnahmen während eines bestimmten Zeitraums wirksam waren (Effektivität des CMS). 207

12 Buch_145x230_WG_Soziale_Marktwirtschaft :45 Seite 208 Aussagen über das CMS als Prüfungsgegenstand Auftragstyp 1 Auftragstyp 2 Auftragstyp 3 Richtigkeit (zutreffende Darstellung) X X X Vollständigkeit (Grundelemente eines CMS) X X X Angemessenheit (Geeignetheit) X X Implementierung zu einem bestimmten Zeitpunkt X X Wirksamkeit in einem bestimmten Zeitraum X Tabelle 1: Auftragsarten nach IDW EPS 980. Somit ermöglicht der IDW EPS 980 eine flexible Prüfung spezifisch nach dem jeweils konkreten Bedarf sowie unter Berücksichtigung des CMS-Reifegrads eines Unternehmens. 208