Compliance

Wie baue ich ein Compliance-Management-System (CMS) auf?

Zuletzt aktualisiert:

Warum CMS

Compliance-Management-System sichert Einhaltung gesetzlicher + selbst-gesetzter Regeln. Pflicht bei Banken (MaRisk), Versicherungen (MaGo), Pharma (GxP). Faktisch Pflicht bei größeren Unternehmen - sonst persönliche Haftung der Geschäftsführung.

Sieben CMS-Bausteine (IDW PS 980)

  1. Compliance-Kultur: Werte + Tone-from-the-Top.

  2. Compliance-Ziele: was soll erreicht werden?

  3. Compliance-Risiken: was sind die Risiken?

  4. Compliance-Programm: Massnahmen + Regeln.

  5. Compliance-Organisation: Rollen + Verantwortlichkeiten.

  6. Compliance-Kommunikation: Information + Schulung.

  7. Compliance-Überwachung + Verbesserung.

Baustein 1: Kultur

  • Tone-from-the-Top: Geschäftsführung lebt Compliance.

  • Werte-Statement, Code of Conduct.

  • Whistleblower-Kanal.

  • Anti-Retaliation-Schutz.

  • Kultur-Survey jährlich.

Baustein 2: Ziele

  • Rechtskonformitaet (Gesetze, Verordnungen, Rechtsprechung).

  • Vertrags-Konformität.

  • Brand-Schutz.

  • Stakeholder-Vertrauen.

  • Messbar formuliert.

Baustein 3: Risiken

  1. Risiko-Inventar pro Bereich.

  2. Risiko-Bewertung (Eintritts-Wahrscheinlichkeit x Schaden-Höhe).

  3. Top-Risiken priorisieren.

  4. Risiko-Owner benennen.

  5. Quartalsweise Re-Bewertung.

Baustein 4: Programm

  • Pro Risiko: konkrete Massnahmen.

  • Richtlinien + Anweisungen schriftlich.

  • Kontrollen + Audits.

  • Vertrags-Architektur.

  • Schulungs-Programm.

Baustein 5: Organisation

  • Compliance-Officer (CCO) - bei größeren Unternehmen.

  • Compliance-Komitee mit Funktionen.

  • Klare Rollen + Verantwortlichkeiten (RACI).

  • Eskalations-Pfad.

  • Reporting-Linien (oft direkt an Vorstand + Aufsichtsrat).

Baustein 6: Kommunikation

  • Onboarding-Schulung für alle.

  • Jährliche Auffrischung.

  • Themen-spezifisch (Korruption, Antikartell, AGG, Datenschutz).

  • Mehr-Kanal (E-Learning, Workshop, Email-Update).

  • Anonymes FAQ + Beratung.

Baustein 7: Überwachung

  1. Internes Audit jährlich.

  2. Hinweis-Geber-System (Whistleblower).

  3. Externes Audit (z. B. nach IDW PS 980) - Wirksamkeitsnachweis.

  4. Massnahmen-Plan bei Findings.

  5. Bericht an Vorstand + Aufsichtsrat.

Hinweisgeberschutz (HinSchG)

  • Seit 2023 Pflicht ab 50 MA.

  • Internes Meldesystem (anonym möglich).

  • Rueckmeldung in 7 Tagen.

  • Untersuchung + Folge-Aktion.

  • Anti-Retaliation-Schutz.

  • Externe Meldestelle (BaFin oder zuständige Behörde) als Alternative.

CSRD-Bezug

  • ESRS G1: Geschäftsgebahren-Berichte.

  • Hinweisgeber-System dokumentiert.

  • Korruptions-Schutz-Massnahmen.

  • Politische Engagement-Transparenz.

  • Verzögerungs-Zahlungen an Lieferanten.

Anti-Patterns

  • Compliance als Papier-Stempel ohne Wirkung.

  • CCO ohne Mandat.

  • Schulungen einmal, dann nie wieder.

  • Whistleblower-Hinweise vertuscht - Skandal-Risiko.

  • Keine externe Prüfung - Glaubwürdigkeit fehlt.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.