Zum Hauptinhalt springen
Compliance Allgemein

Compliance-Management-System (CMS)

Ein systematischer Ansatz zur Sicherstellung der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben in einer Organisation.

Ein Compliance-Management-System (CMS) ist die Gesamtheit aller Grundsätze, Maßnahmen und Instrumente, die eine Organisation einsetzt, um regelkonformes Verhalten sicherzustellen. Es umfasst sowohl präventive Elemente (z. B. Richtlinien, Schulungen, interne Kontrollen) als auch reaktive Maßnahmen (z. B. Hinweisgebersysteme, Untersuchungsverfahren). Ein wirksames CMS ist nicht nur eine gesetzliche Anforderung in vielen Bereichen, sondern auch ein zentrales Instrument zur Haftungsprävention für Unternehmensleitung und Führungskräfte.

Der IDW Prüfungsstandard 980 (IDW PS 980) liefert ein anerkanntes Rahmenwerk für die Ausgestaltung und Prüfung von Compliance-Management-Systemen in Deutschland. Er definiert sieben Elemente eines CMS: Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organisation, -Kommunikation und -Überwachung/Verbesserung. Ergänzend gibt es internationale Standards wie ISO 37301 (Compliance-Management-Systeme), der weltweit als Referenz gilt.

Für Compliance-Beauftragte ist der Aufbau und die kontinuierliche Weiterentwicklung des CMS die Kernaufgabe. Dabei geht es nicht nur um die Dokumentation von Prozessen, sondern um die gelebte Compliance-Kultur im Unternehmen. Softwareunterstützung kann dabei helfen, Compliance-Maßnahmen zu strukturieren, Schulungen zu verwalten, Richtlinien aktuell zu halten und die Wirksamkeit des Systems nachzuweisen.

Rechtliche Grundlage

IDW PS 980, ISO 37301

Praxisbeispiel

Ein mittelständisches Unternehmen baut nach einem internen Compliance-Vorfall erstmals ein systematisches CMS auf. Der Compliance-Beauftragte analysiert die relevanten Rechtsgebiete (DSGVO, Arbeitsrecht, Vergaberecht), erstellt eine Risikolandkarte und leitet daraus ein Maßnahmenprogramm ab. Er implementiert einen Code of Conduct, ein Hinweisgebersystem und regelmäßige Schulungen. Nach einem Jahr lässt er das CMS durch einen externen Prüfer nach IDW PS 980 auditieren.

Häufige Fragen

Ein formelles CMS ist in Deutschland nicht generell gesetzlich vorgeschrieben. Allerdings verlangen viele Einzelgesetze konkrete CMS-Elemente (z. B. DSGVO, GwG, LkSG, HinSchG). Zudem kann ein fehlendes oder unwirksames CMS im Schadensfall die persönliche Haftung von Geschäftsführern und Vorständen begründen.
IDW PS 980 ist ein deutscher Prüfungsstandard, der primär für die Prüfung und Attestierung von CMS durch Wirtschaftsprüfer entwickelt wurde. ISO 37301 ist ein internationaler Managementnorm-Standard, der die Anforderungen an ein CMS definiert und zertifiziert werden kann. Beide Standards sind kompatibel und ergänzen sich.
Ein CMS ist für Unternehmen jeder Größe relevant, wenn auch im Umfang unterschiedlich. Bereits ab einem kleinen Team entstehen Compliance-Risiken. Für KMU bieten sich schlanke, skalierbare CMS-Ansätze an, die mit dem Unternehmenswachstum erweitert werden können.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Datenschutz-Compliance Audit GRC (Governance, Risk & Compliance) ISMS (Informationssicherheits-Managementsystem) Rechenschaftspflicht (Accountability)
Zurück zum Glossar