Compliance-Management-System (CMS), Aufbau im Mittelstand
Die 7 Bausteine nach IDW PS 980
Compliance-Kultur, -Ziele, -Organisation, -Risiken, -Programm, -Kommunikation, -Überwachung. Standard für Aufbau und Prüfung eines wirksamen CMS.
Pflicht zur Compliance-Organisation
Geschäftsführer haftet für Aufsichtspflichtverletzungen (§ 130 OWiG). Größe, Branche und Risikoprofil des Unternehmens bestimmen den erforderlichen Aufwand.
Risikoanalyse als Grundlage
Systematische Erhebung relevanter Compliance-Risiken (Korruption, Kartell, Datenschutz, Geldwäsche, Arbeitsschutz, Exportkontrolle). Priorisierung nach Eintrittswahrscheinlichkeit und Schadenshöhe.
Hinweisgebersystem (HinSchG)
Seit 2023 verpflichtend für Unternehmen ab 50 Beschäftigten: interner Meldekanal, Vertraulichkeit, Schutz vor Repressalien, Bearbeitungsfristen.
Häufige Fragen
Ist ein CMS gesetzlich vorgeschrieben?
Direkt nur in einzelnen Branchen (Banken, Versicherungen, Geldwäsche). Mittelbar über Aufsichtspflicht (§ 130 OWiG) und §§ 91, 93 AktG/§ 43 GmbHG für alle Geschäftsleiter.
Was bringt ein CMS bei einem Verstoß?
Ein angemessenes CMS reduziert das Sanktionsrisiko des Unternehmens (§ 30 OWiG) erheblich und kann den Geschäftsführer von persönlicher Haftung entlasten.
Wie wird ein CMS zertifiziert?
Prüfung nach IDW PS 980 durch Wirtschaftsprüfer; alternativ ISO 37301 (Compliance-Managementsysteme). Erstprüfung typischerweise 50.000–250.000 EUR.
Welche Schwellenwerte gelten für das HinSchG?
Pflicht zur Einrichtung interner Meldekanäle ab 50 Beschäftigten. Unter 250 Beschäftigten ist ein gemeinsamer Kanal mehrerer Unternehmen zulässig.
Was sind typische Compliance-Risiken im Mittelstand?
Kartellverstöße (Preisabsprachen, Marktaufteilung), Korruption (Schmiergeld, Vorteilsannahme), Datenschutzverstöße, Steuer-Compliance, Arbeitsschutz, Lieferketten-Compliance.
Weiterführend
Rechtsanwalt für Compliance & interne Ermittlungen
Wir vermitteln Sie unverbindlich an einen Fachanwalt mit Erfahrung in Compliance. Antwort innerhalb eines Werktages.