Compliance Management System nach IDW PS 980 aufbauen: Sieben Grundelemente, prüffest dokumentiert

Der vom Institut der Wirtschaftsprüfer veröffentlichte Prüfungsstandard IDW PS 980 (Stand 2022) beschreibt die Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen. Er ist kein Gesetz, prägt aber faktisch den Marktstandard: Wer ein Compliance Management System (CMS) gegenüber Aufsichtsorganen, Versicherern oder Geschäftspartnern belegen will, orientiert sich an den sieben Grundelementen des Standards. Für Geschäftsleitungen, die nach § 130 OWiG für Aufsichtspflichtverletzungen haften, ist das relevant.

Dieser Beitrag erklärt, wie Sie die sieben Grundelemente in ein arbeitsfähiges System überführen, statt nur ein Handbuch zu schreiben. Sie erhalten eine Reihenfolge, eine Dokumentenliste und eine realistische Einschätzung, welche Tiefe in einem mittelständischen Unternehmen tragfähig ist. Der Fokus liegt auf Dokumentation, die im Prüfungsfall trägt, und auf Verantwortlichkeiten, die im Alltag funktionieren.

Der IDW PS 980 ist ein berufsständischer Prüfungsstandard für Wirtschaftsprüfer. Er legt fest, wie ein CMS zu prüfen ist, nicht wie es zwingend aussehen muss. In der Praxis hat sich die Struktur aber als Referenz etabliert, weil Versicherer (D&O), Investoren, Aufsichtsräte und Geschäftspartner sich auf einen einheitlichen Rahmen berufen wollen.

Geprüft werden drei Stufen: Konzeption (Angemessenheit), Implementierung und Wirksamkeit. Die Konzeptionsprüfung beurteilt, ob die sieben Grundelemente schlüssig sind. Die Implementierungsprüfung stellt fest, ob das CMS zu einem Stichtag eingeführt war. Die Wirksamkeitsprüfung betrachtet einen Zeitraum, in der Regel sechs bis zwölf Monate, und beurteilt, ob das System gewirkt hat. Welche Stufe Sie beauftragen, hängt vom Anlass ab: Beweislastumkehr nach Vorfällen, Vorbereitung einer Transaktion, Anforderung eines Großkunden.

Wichtig ist die Abgrenzung zu Spezialthemen. IDW PS 980 ist ein Dachstandard. Ein Geldwäschebeauftragter nach GwG, ein Datenschutzbeauftragter nach Art. 37 DSGVO oder ein Informationssicherheitsbeauftragter nach NIS-2 sind separate Pflichten mit eigenen Bestellungen, Berichtswegen und Aufsichtsverfahren. Das CMS bündelt diese Rollen, ersetzt sie aber nicht.

Die Compliance-Kultur ist die Grundeinstellung der Geschäftsleitung und der Belegschaft zur Regeltreue. Wirtschaftsprüfer beurteilen sie über das sogenannte Tone-at-the-Top, über Verhaltenskodizes, Mitarbeiterbefragungen, Schulungsbeteiligung und das Verhalten in konkreten Konfliktsituationen.

Praktisch heißt das: Ein Code of Conduct ist nötig, aber nicht ausreichend. Sie brauchen eine dokumentierte Verabschiedung durch die Geschäftsleitung, eine nachweisbare Verteilung an alle Mitarbeitenden (etwa über ein LMS mit Lesebestätigung), eine wiederkehrende Schulung mit Teilnahmequote und einen dokumentierten Umgang mit Verstößen. Letzteres ist der härteste Test: Wer einen Verstoß einer Führungskraft folgenlos lässt, untergräbt jede Kultur. Die Sanktionspraxis sollte deshalb in anonymisierten Beispielen kommuniziert werden, ohne Persönlichkeitsrechte zu verletzen.

Ein zweiter Hebel ist die Integration in HR-Prozesse: Compliance als Kriterium in Zielvereinbarungen, in Beförderungsentscheidungen, in Bonusrückforderungsklauseln (Clawback). Diese Verzahnung lässt sich dokumentieren und ist im Prüfungsfall belastbar. Für die Kultur-Dimension reichen drei bis fünf Kerndokumente: Code of Conduct, Schulungsplan mit Teilnahmequoten, Disziplinar-Leitlinie, Mitarbeiterbefragung (jährlich oder zweijährlich), Tone-at-the-Top-Botschaft der Geschäftsleitung mit Datum.

Compliance-Ziele leiten sich aus der Geschäftstätigkeit ab. Sie definieren, welche Rechtsbereiche das CMS abdeckt und welche bewusst ausgenommen werden. Ein Maschinenbauer mit Vertrieb in 40 Länder hat andere Compliance-Ziele als ein regionaler Dienstleister mit zehn Mitarbeitenden.

Sinnvoll ist eine zweistufige Zielsystematik. Auf Ebene 1 stehen Kategorien: Korruptionsprävention, Kartellrecht, Datenschutz, Geldwäsche, Exportkontrolle, Arbeitsschutz, IT-Sicherheit, Lieferkettensorgfalt, ESG-Berichtspflichten. Auf Ebene 2 werden die einzelnen Pflichten konkretisiert, je mit Rechtsgrundlage, betroffenen Prozessen und verantwortlicher Rolle. Diese Konkretisierung verhindert das häufigste CMS-Problem: Generische Ziele, die nichts steuern.

Die Geschäftsleitung verabschiedet die Ziele schriftlich. Eine Änderung (etwa nach Eintritt in einen neuen Markt) wird mit Datum dokumentiert. Wirtschaftsprüfer prüfen, ob die Zielsetzung zur Risikolage passt: Wer in den USA verkauft, aber keine FCPA- oder OFAC-Bezüge in seinen Compliance-Zielen hat, signalisiert eine Lücke. Die Zieldokumentation umfasst typischerweise zehn bis fünfzehn Seiten und wird jährlich überprüft. CIVAC stellt für diese Bestandsaufnahme Audit-Vorlagen bereit, die die typischen Pflichten je Rechtsbereich vorstrukturieren und die Zuordnung zu den 25 Beauftragten-Rollen erlauben.

Die Risikoanalyse ist das Herzstück des CMS. Sie beantwortet, wo regelwidriges Verhalten auftreten kann, wie wahrscheinlich es ist und welcher Schaden droht. Der IDW PS 980 verlangt eine systematische, dokumentierte und wiederkehrende Analyse. Im Mittelstand reichen zwei Workshops pro Jahr, wenn sie strukturiert sind.

Methodisch bewährt hat sich die Kombination aus Inherent-Risk-Bewertung und Wirksamkeit der vorhandenen Kontrollen. Jeder Risikoposten wird in einer Heatmap mit Eintrittswahrscheinlichkeit (1 bis 5) und Schadenshöhe (1 bis 5) bewertet, einmal vor und einmal nach Kontrollen. Daraus ergibt sich das Residualrisiko. Risiken mit einem Residualwert über einem definierten Schwellenwert (zum Beispiel 12 von 25) wandern in den Maßnahmenplan.

Typische Risiken im Mittelstand: Kick-back-Zahlungen im Einkauf, fehlerhafte Exportgenehmigungen, Datenschutzverstöße bei Marketing-Tools, Schwarzarbeit in Subunternehmerketten, unzureichende Information-Security bei Cloud-Diensten. Jeder Risikoposten erhält einen Verantwortlichen, ein Datum der nächsten Prüfung und eine Vorlage für die Berichterstattung an die Geschäftsleitung. Eine ehrliche Risikoanalyse benennt auch Risiken, die bewusst akzeptiert werden, mit Begründung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Das Compliance-Programm ist die Sammlung aller präventiven und detektiven Maßnahmen, die aus der Risikoanalyse folgen. Es umfasst Richtlinien, Prozesse, Schulungen, Kontrollen und Sanktionierungen. Praktisch ist es das umfangreichste Modul im CMS und der größte Implementierungsaufwand.

Eine bewährte Struktur unterteilt das Programm in fünf Säulen. Erstens Richtlinien: Konzernweite Policies (Code of Conduct, Anti-Korruption, Datenschutz, IT-Sicherheit, Geschenke und Einladungen) mit Versionsstand, Inkraftsetzungsdatum und Verteilernachweis. Zweitens Prozesse: Genehmigungspfade für Geschenke, Spenden, Sponsoring, Drittparteien-Onboarding und Reisekostenfreigabe. Drittens Schulungen: Pflichtschulungen pro Rolle, Frequenz (jährlich oder zweijährlich), Teilnahmequote als KPI. Viertens Kontrollen: Vier-Augen-Prinzip, Funktionstrennung, automatisierte Limits in ERP-Systemen, Stichprobenprüfungen durch die Interne Revision. Fünftens Konsequenzen: Disziplinarmaßnahmen mit Eskalationsstufen.

Jede Maßnahme wird einem Risiko zugeordnet. Im Prüfungsfall müssen Sie zeigen, dass jedes hohe Residualrisiko mindestens eine wirksame Maßnahme adressiert. Die Maßnahmenliste ist kein Selbstzweck: Vorlagen, die niemand nutzt, sind wertlos. Deshalb empfiehlt sich, mit zehn bis fünfzehn Kernrichtlinien zu starten und sie in einem zentralen Workspace mit Versionierung zu führen, statt mit zweihundert PDFs in einem Netzlaufwerk.

Die Organisation klärt, wer für Compliance verantwortlich ist. Die Geschäftsleitung trägt die Gesamtverantwortung nach § 130 OWiG, kann diese aber durch schriftliche Bestellung delegieren. Der oder die Compliance-Beauftragte ist die zentrale Rolle, daneben stehen die Fachbeauftragten für Datenschutz, Geldwäsche, Arbeitsschutz und weitere Spezialbereiche.

Eine prüffeste Organisation umfasst drei Elemente. Erstens die Bestellurkunde: Sie nennt die bestellte Person, den Aufgabenbereich, die Ressourcen, die Berichtslinie und die Abberufungsregeln. Bestellurkunde, unterschrieben, abgelegt, belegbar. Zweitens die Berichtslinie: Wer berichtet an wen, in welchem Rhythmus, mit welchem Format. In der Regel mündet sie in einen Quartalsbericht an die Geschäftsleitung und einen Jahresbericht an den Aufsichtsrat. Drittens die Eskalation: Bei schwerwiegenden Vorfällen muss eine direkte Berichtslinie an die Geschäftsleitung möglich sein, ohne Zwischenebenen.

Die Frage, ob Compliance intern oder extern besetzt wird, ist eine Ressourcenfrage. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Das CIVAC-Modell ist eine Compliance-Plattform und Officer-as-a-Service: Sie kombinieren bei Bedarf interne Mitarbeitende mit extern bestellten Officern und führen alle Bestellurkunden, Berichtspfade und Audit-Vorlagen in einem Workspace mit EU-Datenresidenz.

Kommunikation umfasst zwei Richtungen. Top-down werden Richtlinien, Schulungen und Hinweise verteilt. Bottom-up gehen Meldungen, Anfragen und Hinweise auf Verstöße ein. Beide Kanäle müssen dokumentiert sein.

Top-down sollten Sie nicht nur die Verteilung, sondern auch die Kenntnisnahme nachweisen. Lesebestätigungen, Tests nach Schulungen, jährliche Selbstauskünfte über die Kenntnis des Code of Conduct. Die Quoten sind ein KPI für die Kultur-Dimension. Bottom-up brauchen Sie einen geschützten Meldekanal nach HinSchG. Das Hinweisgeberschutzgesetz verlangt seit 2023 eine interne Meldestelle bei Unternehmen ab 50 Mitarbeitenden. Die interne Meldestelle ist also kein Optionsfeature, sondern Pflicht.

Der Meldekanal muss anonyme Meldungen erlauben, eine Eingangsbestätigung binnen sieben Tagen, eine Rückmeldung binnen drei Monaten und Schutz vor Repressalien. Die eingegangenen Hinweise werden in einem Fallregister geführt mit Eingangsdatum, Status, zuständiger Person und Abschlussdatum. Im Prüfungsfall ist das Fallregister ein zentrales Beleg-Element: Es zeigt, dass das System lebt. Daneben gehören Compliance-Newsletter, Intranet-Seiten und ein jährlicher Compliance-Tag zu einer professionellen Kommunikationsroutine. Wichtig ist die Konsistenz: Ein Newsletter, der zweimal erscheint und dann verstummt, ist im Prüfungsfall ein Negativbefund.

Die siebte Säule schließt den Kreis. Überwachung heißt: Sie messen, ob das CMS wirkt, und passen es an, wenn nicht. Klassische Instrumente sind Self-Assessments der Fachbereiche, Prüfungen durch die Interne Revision, externe Audits und die Auswertung von Vorfällen und Hinweisen.

Ein robustes Überwachungsmodell kombiniert drei Verteidigungslinien. Erste Linie: Die Fachbereiche selbst (Einkauf, HR, Vertrieb) prüfen, ob ihre Kontrollen wirken, und dokumentieren das in einem Self-Assessment-Tool. Zweite Linie: Die Compliance-Funktion und die Beauftragten prüfen die Kontrollen der ersten Linie und führen eigene Stichproben durch. Dritte Linie: Die Interne Revision oder externe Prüfer beurteilen das gesamte System unabhängig. Im Mittelstand übernimmt oft ein externer Prüfer die dritte Linie, weil eine eigene Revision wirtschaftlich nicht darstellbar ist.

Die Verbesserung ergibt sich aus drei Quellen: Ergebnissen der Überwachung, externen Anlässen (neue Regulierung, Branchenfälle, Behördenhinweise) und internen Vorfällen. Jede Erkenntnis fließt in einen Maßnahmenplan mit Verantwortlichen, Fristen und Status. Wirksamkeit lässt sich erst nach sechs bis zwölf Monaten beurteilen. Wer ein CMS am Stichtag einer Prüfung neu aufsetzt, besteht die Konzeptionsprüfung, scheitert aber an der Wirksamkeitsprüfung. Deshalb ist die Reihenfolge: erst aufbauen, sechs bis zwölf Monate laufen lassen, dann prüfen lassen.

Ein CMS nach IDW PS 980 ist kein Aktenordner, sondern ein arbeitendes System mit Dokumentation, Verantwortlichen und Routinen. Der Aufwand für den Aufbau im Mittelstand liegt typischerweise bei sechs bis neun Monaten Projektzeit und einem laufenden Personalaufwand von 0,3 bis 1,0 Vollzeitäquivalenten in der Compliance-Funktion, je nach Risikoexposition und Konzerngröße. Hinzu kommen die Fachbeauftragten in ihren Spezialbereichen.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Im Workspace führen Sie die sieben Grundelemente mit 37 einsatzbereiten Audit-Vorlagen, hinterlegen Bestellurkunden für alle 25 Beauftragten-Rollen, dokumentieren Risikoanalysen und Maßnahmen und exportieren prüffeste Berichte. Wer keine eigene Compliance-Funktion aufbauen will, lässt einzelne Rollen extern bestellen, mit definierter Berichtslinie an die Geschäftsleitung. Beide Modelle erfüllen die Anforderungen des IDW PS 980, der Aufwand verlagert sich nur.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. In einem ersten Gespräch klären wir, welche der sieben Säulen bei Ihnen bereits stehen, welche Lücken bestehen und ob ein Workspace-Setup, eine externe Bestellung oder eine Kombination der schnellste Weg zur Prüfungsreife ist.