Compliance-Audit Checkliste IDW PS 980

Warum Ihr CMS regelmäßig geprüft werden muss

Ein Compliance Management System aufzubauen ist die eine Sache. Es am Laufen zu halten die andere. IDW PS 980 definiert Überwachung und Verbesserung als Grundelement 7 – und stellt damit klar: Ein CMS ohne regelmäßige Prüfung ist wie ein Rauchmelder ohne Batterie. Vorhanden, aber wirkungslos.

Die Gründe für regelmäßige Audits liegen auf der Hand. Gesetze ändern sich – das HinSchG, die CSDDD, das Omnibus-Paket der EU. Ihr Unternehmen verändert sich – neue Märkte, neue Geschäftspartner, neue Mitarbeiter. Neue Geschäftsfelder bringen neue Risiken. Was vor zwei Jahren angemessen war, kann heute erhebliche Lücken haben. Ein Compliance-Audit deckt diese Lücken auf – bevor es jemand anderes tut. Ob das die Staatsanwaltschaft ist, ein Wirtschaftsprüfer oder ein Geschäftspartner, der im Rahmen einer Due Diligence Ihr CMS unter die Lupe nimmt.

Dabei gibt es einen wichtigen Unterschied zwischen zwei Prüfungsformen:

• Interne Audits führt Ihr Unternehmen selbst durch – durch die Compliance-Funktion, die Interne Revision oder eine andere unabhängige Stelle. Sie sind flexibler, kostengünstiger und sollten mindestens jährlich stattfinden. Ideal als Basis für kontinuierliche Verbesserung und als Vorbereitung auf externe Prüfungen.

• Externe Prüfungen durch Wirtschaftsprüfer nach IDW PS 980 liefern ein formales, unabhängiges Urteil. Es gibt zwei Varianten: die Angemessenheitsprüfung (Ist das CMS grundsätzlich geeignet?) und die Wirksamkeitsprüfung (Funktioniert das CMS in der Praxis?). Sinnvoll bei M&A-Transaktionen, Compliance-Vorfällen oder zur Dokumentation gegenüber Aufsichtsbehörden und Geschäftspartnern.

Für die meisten Unternehmen – insbesondere KMU – ist das interne Audit der pragmatische Einstieg. Es liefert konkrete Verbesserungspotenziale, kostet einen Bruchteil einer externen Prüfung und bereitet gleichzeitig auf den Fall vor, dass irgendwann ein externer Prüfer anklopft.

Dieser Artikel zeigt Ihnen, wie ein CMS-Audit nach IDW PS 980 strukturiert ist. Sie erhalten eine Teaser-Checkliste mit 21 Kernfragen – drei pro Grundelement – und einen praxisorientierten Überblick über den Ablauf von der Planung bis zur Berichterstattung.

Die 7 Prüfungsbereiche nach IDW PS 980

Die Struktur eines CMS-Audits folgt den 7 Grundelementen nach IDW PS 980. Jedes Element wird einzeln bewertet und erhält eine Reifegradstufe. Das Ergebnis zeigt, wo Ihr CMS stark ist – und wo Handlungsbedarf besteht.

Die sieben Prüfungsbereiche im Überblick:

1. Compliance-Kultur – Werte, Bekenntnis der Führung, gelebte Haltung im Alltag

2. Compliance-Ziele – Messbare Ziele, abgeleitet aus der Risikoanalyse, regelmäßig überprüft

3. Compliance-Risiken – Aktualität, Vollständigkeit und Methodik der Risikoanalyse

4. Compliance-Programm – Richtlinien, Verfahrensanweisungen, Schulungskonzept, Regelwerkshierarchie

5. Compliance-Organisation – Rollen, Ressourcen, Berichtslinien, Zugang zur Geschäftsleitung

6. Compliance-Kommunikation – Schulungsprogramm, Hinweisgebersystem, proaktive Information

7. Compliance-Überwachung – Monitoring-KPIs, Auditprogramm, dokumentierter PDCA-Zyklus

In der Praxis zeigt sich ein typisches Muster: Unternehmen sind bei Programm (Richtlinien vorhanden) und Organisation (Compliance Officer bestellt) häufig stärker aufgestellt. Bei Kultur (wird Compliance tatsächlich gelebt?), Zielen (sind sie wirklich messbar?) und Überwachung (gibt es einen funktionierenden Verbesserungszyklus?) bestehen dagegen regelmäßig Lücken. Genau solche Muster macht ein strukturiertes Audit sichtbar.

Wichtig: Die sieben Elemente sind nicht voneinander isoliert. Sie bilden ein System. Schwächen in einem Element wirken sich auf andere aus. Fehlende Compliance-Kultur untergräbt die Wirksamkeit selbst perfekter Richtlinien. Fehlende Risikoanalyse führt zu einem Programm ohne Prioritäten. Ein gutes Audit betrachtet deshalb nicht nur die Einzelelemente, sondern auch deren Zusammenspiel und Konsistenz.

Häufigkeit und Anlass: Wann sollten Sie prüfen?

Ein internes Audit sollte mindestens einmal jährlich stattfinden. Zusätzlich gibt es anlassbezogene Prüfungen – etwa nach einem Compliance-Vorfall, bei wesentlichen organisatorischen Veränderungen (Fusionen, neue Geschäftsfelder, Expansion in neue Märkte) oder bei signifikanten regulatorischen Änderungen.

Nicht jedes Audit muss alle 7 Elemente umfassen. Rotationsmodelle haben sich bewährt: In einem Jahr prüfen Sie Kultur, Risiken und Programm. Im nächsten Jahr Organisation, Kommunikation und Überwachung. Ziele fließen in beide Zyklen ein. So verteilen Sie den Aufwand und schaffen trotzdem Vollständigkeit über einen Zwei-Jahres-Zeitraum.

Für Unternehmen, die gerade erst ein CMS aufgebaut haben, empfiehlt sich ein vollständiges Erst-Audit nach 6–12 Monaten. Es zeigt, ob das Konzept in der Praxis funktioniert – und wo Nachsteuerung nötig ist. Dieses Erst-Audit ist auch eine gute Gelegenheit, die Akzeptanz des CMS bei Führungskräften und Mitarbeitern zu messen.

Teaser-Checkliste: 3 Kernfragen pro Grundelement

Die folgende Checkliste gibt Ihnen einen ersten Eindruck, was ein CMS-Audit prüft. Für jedes der 7 Grundelemente finden Sie drei zentrale Fragen. Insgesamt sind das 21 von über 200 Prüfungsfragen, die ein vollständiges Audit abdecken sollte. Nutzen Sie diese 21 Fragen als Schnellcheck – eine Momentaufnahme, die Ihnen sofort zeigt, wo die größten Lücken liegen.

1. Compliance-Kultur

• ☐ Gibt es ein dokumentiertes, persönliches Bekenntnis der Geschäftsführung zur Compliance?

• ☐ Werden Compliance-Werte regelmäßig und über verschiedene Kanäle an alle Mitarbeiter kommuniziert?

• ☐ Gibt es nachweisbare Belege für gelebte Compliance-Kultur – nicht nur Dokumente und Plakate?

Kultur ist Grundelement 1 aus gutem Grund. Sie ist das Fundament, auf dem alles andere aufbaut. Ohne Kultur sind Richtlinien toter Buchstabe. Wenn Sie tiefer einsteigen möchten: Unser Artikel zu Compliance-Kultur aufbauen beschreibt das KLIMA-Framework für systematische Kulturentwicklung.

2. Compliance-Ziele

• ☐ Sind messbare Compliance-Ziele definiert und schriftlich dokumentiert?

• ☐ Leiten sich die Ziele nachvollziehbar aus der aktuellen Risikoanalyse ab?

• ☐ Wird die Zielerreichung mindestens jährlich überprüft und an die Geschäftsleitung berichtet?

Compliance-Ziele sind kein Wunschkonzert. Sie müssen konkret, messbar und terminiert sein. „Wir wollen compliant sein" ist kein Ziel. „100 % Schulungsquote bei Führungskräften bis Q3" schon. „Reduktion offener Audit-Feststellungen um 50 % bis Jahresende" ebenfalls. Und „Einführung eines Hinweisgebersystems bis 30.06." ist ein konkretes, überprüfbares Ziel.

3. Compliance-Risiken

• ☐ Liegt eine aktuelle Compliance-Risikoanalyse vor, die nicht älter als 12 Monate ist?

• ☐ Werden Risiken systematisch mit Brutto- und Netto-Bewertung erfasst und priorisiert?

• ☐ Sind für alle wesentlichen Risiken konkrete Maßnahmen definiert und Verantwortliche benannt?

Die Risikoanalyse ist das Herzstück jedes CMS. Ohne sie fehlt die Grundlage für alles Weitere. Ein CMS, das Richtlinien ohne vorherige Risikoanalyse erstellt, schießt blind. Die Risikoanalyse bestimmt, welche Richtlinien Priorität haben, wo Schulungsbedarf besteht und welche Ressourcen benötigt werden.

4. Compliance-Programm

• ☐ Existieren Richtlinien für alle in der Risikoanalyse identifizierten wesentlichen Risikobereiche?

• ☐ Sind die Richtlinien allen betroffenen Mitarbeitern zugänglich, bekannt und verständlich formuliert?

• ☐ Werden Richtlinien mindestens jährlich auf Aktualität und regulatorische Änderungen geprüft?

Das Compliance-Programm umfasst die gesamte Regelwerkshierarchie: Handbuch als Dachdokument, Richtlinien pro Risikobereich, Verfahrensanweisungen für operative Prozesse und Schulungsmaterialien für die Vermittlung. Jede Ebene muss konsistent sein und aufeinander aufbauen.

5. Compliance-Organisation

• ☐ Ist eine Compliance-Funktion klar definiert und mit ausreichenden personellen und finanziellen Ressourcen ausgestattet?

• ☐ Sind Berichtslinien an die Geschäftsführung eindeutig geregelt und schriftlich dokumentiert?

• ☐ Verfügt die Compliance-Funktion über einen direkten, ungefilterten Zugang zur Geschäftsleitung?

Die organisatorische Verankerung entscheidet über die Durchsetzungsfähigkeit der Compliance-Funktion. Ein Compliance Officer ohne Budget, ohne direkte Berichtslinie zur Geschäftsleitung und ohne Zugang zu relevanten Unternehmensinformationen ist ein Feigenblatt – kein funktionierendes Organisationselement. Im Audit zeigt sich schnell, ob die Compliance-Funktion tatsächlich unabhängig agieren kann oder ob sie de facto von anderen Abteilungen gesteuert wird.

6. Compliance-Kommunikation

• ☐ Gibt es ein strukturiertes Schulungskonzept mit definierten Zielgruppen, Inhalten und Frequenzen?

• ☐ Ist ein HinSchG-konformes Hinweisgebersystem eingerichtet und allen Mitarbeitern nachweislich bekannt?

• ☐ Werden Compliance-Themen regelmäßig und proaktiv kommuniziert – nicht erst bei Vorfällen?

7. Compliance-Überwachung und Verbesserung

• ☐ Gibt es definierte Monitoring-KPIs, die regelmäßig erhoben und in der Berichterstattung verwendet werden?

• ☐ Wird das CMS regelmäßig auditiert – intern mindestens jährlich?

• ☐ Gibt es einen dokumentierten Verbesserungsprozess nach dem PDCA-Prinzip?

Audit-Durchführung: Schritt für Schritt

Ein CMS-Audit ist kein einmaliges Event, sondern ein strukturierter Prozess mit vier Phasen. Jede Phase hat klare Ziele, definierte Methoden und dokumentierte Ergebnisse.

Phase 1: Planung

Bevor Sie eine einzige Frage stellen, klären Sie den Rahmen. Welche Grundelemente prüfen Sie – alle sieben oder einen Schwerpunkt? Wer wird interviewt? Welche Dokumente benötigen Sie vorab? Wie viel Zeit steht zur Verfügung?

Setzen Sie einen realistischen Zeitrahmen. Ein vollständiges Audit aller 7 Elemente dauert typischerweise 2–4 Wochen, abhängig von der Unternehmensgröße und Komplexität. Für den Einstieg kann ein fokussiertes Audit sinnvoll sein, das zunächst nur 2–3 Elemente prüft – etwa Kultur, Risiken und Programm als die drei Kernbereiche.

Definieren Sie den Prüfungsumfang schriftlich in einem Audit-Plan. Das verhindert Scope Creep, gibt allen Beteiligten Klarheit und schafft die Grundlage für den späteren Bericht. Informieren Sie Interviewpartner rechtzeitig vorab und fordern Sie relevante Dokumente im Vorfeld an – niemand wird gern überrumpelt, und gut vorbereitete Interviews liefern bessere Ergebnisse.

Phase 2: Durchführung

Die Prüfung selbst kombiniert drei Methoden, die sich gegenseitig ergänzen und validieren:

• Dokumentenprüfung: Richtlinien, Sitzungsprotokolle, Schulungsnachweise, Risikoanalyse, Maßnahmenpläne – existieren die Dokumente? Sind sie aktuell? Sind sie den betroffenen Mitarbeitern bekannt und zugänglich? Werden sie tatsächlich angewandt? Prüfen Sie nicht nur die Existenz, sondern auch Qualität, Aktualität und praktische Anwendung.

• Interviews: Gespräche mit Compliance-Beauftragten, Geschäftsführung, Führungskräften und Mitarbeitern aus verschiedenen Bereichen und Hierarchieebenen. Die Kernfrage: Stimmt die gelebte Praxis mit der Dokumentation überein? Interviews decken die Lücke zwischen Theorie und Realität auf – und liefern oft die wertvollsten Erkenntnisse.

• Stichproben: Einzelfälle konkret prüfen. Wurde der Genehmigungsprozess bei der letzten Geschenkannahme eingehalten? Liegt die Sanktionslistenprüfung für den neuen Lieferanten vor? Kann der neue Mitarbeiter nachweisen, dass er die Compliance-Erstschulung absolviert hat? Stichproben liefern harte Fakten, die Dokumentenprüfung und Interviews ergänzen.

Dokumentieren Sie jede Feststellung sofort und präzise: Was wurde festgestellt? Bei welchem Grundelement? Auf Basis welcher Prüfungshandlung? Wie kritisch ist die Lücke? Wer spät dokumentiert, dokumentiert schlecht. Und eine undokumentierte Feststellung existiert für den Audit-Bericht nicht.

Phase 3: Auswertung

Bewerten Sie jedes Grundelement mit einer Reifegradstufe. Eine vierstufige Skala hat sich in der Praxis bewährt:

Priorisieren Sie Ihre Feststellungen nach Risiko. Nicht jede Lücke wiegt gleich schwer. Ein fehlendes Hinweisgebersystem ist kritischer als eine veraltete Social-Media-Richtlinie, weil es eine gesetzliche Pflicht betrifft. Bewerten Sie jede Feststellung mit hoch, mittel oder niedrig und leiten Sie daraus Prioritäten für den Maßnahmenplan ab.

Erstellen Sie ein Reifegradprofil über alle 7 Elemente. Dieses Profil ist das Herzstück Ihres Audit-Berichts. Es gibt der Geschäftsführung auf einen Blick die Information, wo das CMS steht – und wo investiert werden muss.

Phase 4: Berichterstattung und Follow-up

Die besten Audit-Ergebnisse nützen nichts, wenn sie in einer Schublade verschwinden. Der Audit-Bericht muss zwei Zielgruppen bedienen: Die Geschäftsführung braucht eine 5-Minuten-Zusammenfassung mit Ampelsystem und Top-Feststellungen. Die Compliance-Funktion braucht den vollständigen Detailbericht mit nachvollziehbarer Methodik und einem konkreten Maßnahmenplan.

Vereinbaren Sie Follow-up-Termine direkt bei der Ergebnispräsentation. Definieren Sie für jede Maßnahme einen Verantwortlichen, eine Frist und einen Überprüfungstermin. Drei bis sechs Monate nach dem Audit sollte ein Follow-up stattfinden, das den Umsetzungsstand der Maßnahmen prüft. Nichts beschleunigt die Umsetzung so effektiv wie ein fester Termin zur Nachprüfung.

Audit-Ergebnisse professionell aufbereiten

Das Management will keine 40-Seiten-Berichte lesen. Es will wissen: Wie steht es um unser CMS? Wo sind die größten Risiken? Was müssen wir tun? Und was kostet uns die Untätigkeit?

Zwei Formate lösen dieses Problem: Eine Management Summary als PowerPoint für die Vorstandssitzung und ein Detailbericht als Word-Dokument für die operative Nachverfolgung. Wie Sie beide Formate professionell erstellen, beschreibt unser Artikel zur Audit-Bericht-Vorlage.

Vom Audit zum besseren CMS

Ein Audit ist kein Selbstzweck und kein Schlussstrich. Es ist der Startpunkt eines Verbesserungszyklus. Der PDCA-Zyklus gibt die Richtung vor: Feststellungen analysieren und Maßnahmen planen (Plan), Maßnahmen konsequent umsetzen (Do), Wirksamkeit der umgesetzten Maßnahmen überprüfen (Check), Erkenntnisse ins System überführen und Standards dauerhaft anpassen (Act). Dieser Zyklus ist kein einmaliger Durchlauf, sondern ein kontinuierlicher Prozess, der Ihr CMS mit jedem Durchgang stärker macht.

Wenn Ihr Audit ergibt, dass grundlegende CMS-Elemente fehlen oder überarbeitet werden müssen, hilft unser Leitfaden zum CMS-Aufbau beim strukturierten Vorgehen. Denn ein Audit zeigt Lücken auf. Die eigentliche Arbeit beginnt danach.

Nächster Schritt: Ihr CMS systematisch prüfen

21 Fragen geben einen ersten Eindruck. Für ein vollständiges Audit brauchen Sie einen strukturierten Prüfungskatalog, der alle 7 Grundelemente nach IDW PS 980 abdeckt – mit über 200 Fragen, Bewertungsmatrix, Reifegradstufen und einem Audit-Leitfaden inklusive Interviewfragen für Schlüsselpersonen.