Wie baue ich ein Compliance-Management-System (CMS) auf?
Warum CMS
Compliance-Management-System sichert Einhaltung gesetzlicher + selbst-gesetzter Regeln. Pflicht bei Banken (MaRisk), Versicherungen (MaGo), Pharma (GxP). Faktisch Pflicht bei größeren Unternehmen - sonst persönliche Haftung der Geschäftsführung.
Sieben CMS-Bausteine (IDW PS 980)
Compliance-Kultur: Werte + Tone-from-the-Top.
Compliance-Ziele: was soll erreicht werden?
Compliance-Risiken: was sind die Risiken?
Compliance-Programm: Massnahmen + Regeln.
Compliance-Organisation: Rollen + Verantwortlichkeiten.
Compliance-Kommunikation: Information + Schulung.
Compliance-Überwachung + Verbesserung.
Baustein 1: Kultur
Tone-from-the-Top: Geschäftsführung lebt Compliance.
Werte-Statement, Code of Conduct.
Whistleblower-Kanal.
Anti-Retaliation-Schutz.
Kultur-Survey jährlich.
Baustein 2: Ziele
Rechtskonformitaet (Gesetze, Verordnungen, Rechtsprechung).
Vertrags-Konformität.
Brand-Schutz.
Stakeholder-Vertrauen.
Messbar formuliert.
Baustein 3: Risiken
Risiko-Inventar pro Bereich.
Risiko-Bewertung (Eintritts-Wahrscheinlichkeit x Schaden-Höhe).
Top-Risiken priorisieren.
Risiko-Owner benennen.
Quartalsweise Re-Bewertung.
Baustein 4: Programm
Pro Risiko: konkrete Massnahmen.
Richtlinien + Anweisungen schriftlich.
Kontrollen + Audits.
Vertrags-Architektur.
Schulungs-Programm.
Baustein 5: Organisation
Compliance-Officer (CCO) - bei größeren Unternehmen.
Compliance-Komitee mit Funktionen.
Klare Rollen + Verantwortlichkeiten (RACI).
Eskalations-Pfad.
Reporting-Linien (oft direkt an Vorstand + Aufsichtsrat).
Baustein 6: Kommunikation
Onboarding-Schulung für alle.
Jährliche Auffrischung.
Themen-spezifisch (Korruption, Antikartell, AGG, Datenschutz).
Mehr-Kanal (E-Learning, Workshop, Email-Update).
Anonymes FAQ + Beratung.
Baustein 7: Überwachung
Internes Audit jährlich.
Hinweis-Geber-System (Whistleblower).
Externes Audit (z. B. nach IDW PS 980) - Wirksamkeitsnachweis.
Massnahmen-Plan bei Findings.
Bericht an Vorstand + Aufsichtsrat.
Hinweisgeberschutz (HinSchG)
Seit 2023 Pflicht ab 50 MA.
Internes Meldesystem (anonym möglich).
Rueckmeldung in 7 Tagen.
Untersuchung + Folge-Aktion.
Anti-Retaliation-Schutz.
Externe Meldestelle (BaFin oder zuständige Behörde) als Alternative.
CSRD-Bezug
ESRS G1: Geschäftsgebahren-Berichte.
Hinweisgeber-System dokumentiert.
Korruptions-Schutz-Massnahmen.
Politische Engagement-Transparenz.
Verzögerungs-Zahlungen an Lieferanten.
Anti-Patterns
Compliance als Papier-Stempel ohne Wirkung.
CCO ohne Mandat.
Schulungen einmal, dann nie wieder.
Whistleblower-Hinweise vertuscht - Skandal-Risiko.
Keine externe Prüfung - Glaubwürdigkeit fehlt.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))