Was ist der IDW PS 980?
Der IDW PS 980 ist der Prüfungsstandard des Instituts der Wirtschaftsprüfer für Compliance Management Systeme. 2011 als weltweit erster CMS-Prüfungsstandard veröffentlicht, 2022 grundlegend überarbeitet (IDW PS 980 n.F.). Seit dem 1. Januar 2023 ist die Neufassung für alle neu beauftragten CMS-Prüfungen verbindlich.
Der Standard ist kein Gesetz. Aber er ist der De-facto-Standard für CMS-Audits in Deutschland. Gerichte ziehen ihn heran, Wirtschaftsprüfer prüfen danach, und die meisten Compliance-Handbücher orientieren sich an seiner Struktur.
Was IDW PS 980 für Sie als Compliance-Verantwortlichen bedeutet: Er definiert sieben Grundelemente, die ein wirksames CMS ausmachen. Diese sieben Elemente sind Ihr Bauplan. Wenn Ihr CMS alle sieben abdeckt, stehen Sie auf einer soliden Grundlage und argumentieren sauber gegenüber Prüfern, gegenüber der Geschäftsführung und gegenüber der Aufsicht. Es geht dabei um mehr als Prüfungssicherheit: Ein belastbares CMS senkt Finanzierungskosten, beschleunigt die Lieferanten-Due-Diligence, verbessert die Konditionen der D&O-Versicherung und zahlt im M&A-Datenraum auf die Bewertung ein. Compliance ist hier kein Kostenblock, sondern ein messbarer Wertbeitrag.
Die sieben Grundelemente auf einen Blick:
Compliance-Kultur – Tone from the Top: Die Leitung macht Compliance durch ihr Verhalten sichtbar.
Compliance-Ziele – konkrete, messbare Ziele, abgeleitet aus der Risikoanalyse.
Compliance-Risiken – systematische Identifikation, Bewertung und Steuerung der Compliance-Risiken.
Compliance-Programm – Richtlinien, Prozesse, Kontrollen und Schulungen.
Compliance-Organisation – klare Verantwortlichkeiten, Berichtslinien und Ressourcen.
Compliance-Kommunikation – Schulung nach innen, Hinweisgebersystem nach außen.
Compliance-Überwachung und Verbesserung – Monitoring, Audits und kontinuierliche Verbesserung (PDCA).
Hinweis: Die Neufassung von 2022 brachte unter anderem den Entfall der Konzeptionsprüfung, eine stärkere Anlehnung an den internationalen ISAE 3000 und eine höhere Detailtiefe bei den Anforderungen. Die sieben Grundelemente selbst blieben unverändert.
Die 7 Grundelemente im Überblick
Die sieben Elemente sind kein Stufenmodell, das Sie linear abarbeiten. Sie sind interdependent – jedes Element beeinflusst die anderen. Die Compliance-Kultur (Element 1) durchdringt alle weiteren Elemente. Die Überwachung (Element 7) wirkt zurück auf Ziele, Risiken und Programm.
Denken Sie an die sieben Elemente als Zahnräder. Fehlt eines oder läuft es nicht rund, verliert das gesamte System an Wirksamkeit.
1. Compliance-Kultur
Die Compliance-Kultur steht bewusst an Position eins. IDW PS 980 macht damit klar: Ohne Kultur ist alles andere Makulatur.
Was der Standard fordert: Die Unternehmensleitung muss durch ihr Verhalten die Bedeutung von Compliance sichtbar machen. Das betrifft nicht nur ein Vorwort im Code of Conduct, sondern gelebtes Verhalten im Alltag – den sogenannten „Tone from the Top".
Praxis-Checkliste:
Gibt es ein dokumentiertes Bekenntnis der Geschäftsführung zu Compliance?
Werden Compliance-Werte regelmäßig und über verschiedene Kanäle kommuniziert?
Reagiert die Führung konsequent auf Compliance-Verstöße – auch bei Top-Performern?
Nehmen Geschäftsführung und Führungskräfte aktiv an Compliance-Schulungen teil?
Kultur lässt sich nicht verordnen, aber systematisch entwickeln. Wie das funktioniert, beschreibt unser Artikel zum Aufbau einer Compliance-Kultur mit dem KLIMA-Framework. Was „Tone from the Top" konkret bedeutet, erfahren Sie im Beitrag zu Tone from the Top in der Praxis.
2. Compliance-Ziele
Ein CMS ohne definierte Ziele ist wie Navigation ohne Zieladresse. IDW PS 980 fordert, dass die Compliance-Ziele konkret, messbar und aus der Risikoanalyse abgeleitet sind.
In der Praxis scheitern viele Unternehmen genau hier. „Wir wollen compliant sein" ist kein Ziel. „Wir reduzieren die Anzahl der Datenschutzvorfälle um 30 % bis Q4" ist eines.
Praxis-Checkliste:
Sind messbare Compliance-Ziele für das aktuelle Geschäftsjahr definiert?
Leiten sich die Ziele aus der Compliance-Risikoanalyse ab?
Wird die Zielerreichung mindestens jährlich überprüft und dokumentiert?
3. Compliance-Risiken
Element 3 verlangt eine systematische Identifikation, Bewertung und Steuerung von Compliance-Risiken. Die Risikoanalyse ist das Herzstück des CMS – sie bestimmt, welche Richtlinien Sie brauchen, wo Schulungen nötig sind und worauf Audits fokussieren sollten.
Praxis-Checkliste:
Liegt eine aktuelle Compliance-Risikoanalyse vor (nicht älter als 12 Monate)?
Werden Risiken nach Brutto- und Netto-Bewertung differenziert?
Sind für jedes wesentliche Risiko Maßnahmen mit Verantwortlichkeiten definiert?
Werden neue Risiken anlassbezogen ergänzt (z. B. bei Gesetzesänderungen)?
Wie Sie eine Compliance-Risikoanalyse Schritt für Schritt durchführen, erfahren Sie im Artikel zur Compliance-Risikoanalyse.
4. Compliance-Programm
Das Compliance-Programm umfasst alle Maßnahmen, die Compliance-Risiken adressieren. Im Kern sind das: Richtlinien, Prozesse, Kontrollen und Schulungen. Die Richtlinien bilden dabei die Regelwerk-Hierarchie: Handbuch → Richtlinien → Arbeitsanweisungen.
Praxis-Checkliste:
Existieren Richtlinien für alle in der Risikoanalyse identifizierten Kernbereiche?
Folgen die Richtlinien einer einheitlichen Struktur?
Sind alle Mitarbeiter über Zugang und Inhalt der Richtlinien informiert?
Gibt es einen Schulungsplan mit Zielgruppen, Inhalten und Frequenz?
Welche Richtlinien Ihr Unternehmen konkret braucht und in welcher Reihenfolge Sie vorgehen sollten, erläutert der Beitrag Compliance-Richtlinien: Welche braucht Ihr Unternehmen?.
5. Compliance-Organisation
Wer ist verantwortlich? Wer berichtet an wen? Welche Ressourcen stehen zur Verfügung? Element 5 fordert klare Strukturen.
Für KMU heißt das nicht zwingend eine eigene Compliance-Abteilung. Aber es muss eine benannte Person geben, die Compliance-Verantwortung trägt, mit ausreichend Zeit und Budget ausgestattet ist und direkten Zugang zur Geschäftsführung hat. Für einen Betrieb mit 30 Beschäftigten wirkt eine Compliance-Funktion nach IDW PS 980 schnell überdimensioniert. Das stimmt, aber auch nur bis zum ersten Verdachtsfall und wenn die Geschäftsführung belegen muss, dass sie Vorkehrungen getroffen hat. Genau dieser Nachweis entscheidet über die persönliche Haftung.
Praxis-Checkliste:
Ist eine Compliance-Funktion definiert und personell besetzt?
Sind Berichtslinien zur Geschäftsführung klar geregelt?
Verfügt die Compliance-Funktion über ausreichende Ressourcen (Zeit, Budget, Befugnisse)?
6. Compliance-Kommunikation
Ein CMS, von dem niemand weiß, schützt niemanden. Element 6 umfasst zwei Richtungen: Kommunikation nach innen (Schulungen, Informationen, Beratung) und Kommunikation nach außen (Hinweisgebersystem, Berichterstattung).
Seit dem HinSchG (Hinweisgeberschutzgesetz) ist ein internes Meldesystem für Unternehmen ab 50 Mitarbeitern Pflicht. Das ist kein optionaler Bestandteil mehr – es ist gesetzlich gefordert.
Praxis-Checkliste:
Gibt es ein strukturiertes Schulungskonzept mit definierten Zielgruppen?
Ist ein Hinweisgebersystem eingerichtet (HinSchG-Pflicht ab 50 MA)?
Werden Compliance-Themen regelmäßig über verschiedene Kanäle kommuniziert?
Gibt es niedrigschwellige Beratungsangebote für Mitarbeiter bei Compliance-Fragen?
7. Compliance-Überwachung und Verbesserung
Das letzte Element schließt den Kreis. Überwachung bedeutet: Funktioniert das CMS in der Praxis? Werden Risiken adressiert? Greifen die Maßnahmen? Die Antworten liefern Monitoring, Audits und ein systematischer Verbesserungsprozess.
Praxis-Checkliste:
Sind Monitoring-KPIs definiert (z. B. Schulungsquote, Meldeaufkommen, Audit-Ergebnisse)?
Wird das CMS mindestens jährlich auditiert – intern oder extern?
Gibt es einen dokumentierten Verbesserungsprozess (PDCA-Zyklus)?
Werden Audit-Feststellungen nachverfolgt und Maßnahmen auf Wirksamkeit geprüft?
Wie Sie ein CMS-Audit strukturiert durchführen, beschreibt der Artikel zur Compliance-Audit Checkliste nach IDW PS 980. Das passende Prüfraster dazu liefert der Compliance-Audit Prüfungskatalog mit Interviewfragen entlang aller sieben Grundelemente:
📦 Compliance-Audit Prüfungskatalog – 79,00 € → Zum Produkt
IDW PS 980 in der Praxis: Gesamtcheckliste für Ihr CMS
Sie wollen auf einen Blick wissen, ob Ihr CMS die sieben Grundelemente abdeckt? Hier die kompakte Übersicht – ein Punkt pro Element:
Element | Kernfrage | Status |
|---|---|---|
1. Kultur | Lebt die Geschäftsführung Compliance sichtbar vor? | ☐ |
2. Ziele | Sind messbare Compliance-Ziele aus der Risikoanalyse abgeleitet? | ☐ |
3. Risiken | Liegt eine aktuelle Compliance-Risikoanalyse vor? | ☐ |
4. Programm | Existieren Richtlinien für alle wesentlichen Risikobereiche? | ☐ |
5. Organisation | Ist eine Compliance-Funktion mit ausreichenden Ressourcen besetzt? | ☐ |
6. Kommunikation | Gibt es Schulungskonzept und Hinweisgebersystem? | ☐ |
7. Überwachung | Wird das CMS regelmäßig auditiert und verbessert? | ☐ |
Wenn Sie bei mehr als zwei Elementen kein klares „Ja" setzen können, besteht Handlungsbedarf. Ein detailliertes Self-Assessment zeigt Ihnen, wo genau die Lücken liegen.
Wo steht Ihr Compliance-System wirklich?
Der kostenlose Reifegrad-Check bewertet alle 8 Compliance-Bereiche in 5 Minuten. Mit Spinnendiagramm, Ampel und priorisierten Handlungsempfehlungen. Kein Download, direkt im Browser.
Von der Theorie zur Umsetzung
Die sieben Grundelemente liefern die Struktur. Aber Struktur allein baut kein CMS. Dafür brauchen Sie einen Fahrplan – von der Bestandsaufnahme über Richtlinien und Risikoanalyse bis zum ersten Audit.
Wie Sie den CMS-Aufbau Schritt für Schritt umsetzen, beschreibt unser Pillar-Artikel mit dem 5-Phasen-Plan. Dort finden Sie auch konkrete Budget- und Zeitrahmen-Empfehlungen für KMU.
Das CMS-Handbuch ist das Dokument, in dem alle sieben Grundelemente als Dachdokument zusammengeführt werden. Es beschreibt Struktur, Verantwortlichkeiten und das Zusammenspiel aller CMS-Elemente – Ihr zentrales Referenzdokument für Prüfer und Geschäftsführung.
Nächste Schritte
Sie kennen jetzt die sieben Grundelemente. Ein CMS von Grund auf zu bauen heißt allerdings, sie sitzen erstmal wochenlang vor leeren Dokumenten und müssen diese mühselig mit Inhalten befüllen. Mit den richtigen Vorlagen starten Sie stattdessen mit Inhalten, die alle sieben Grundelemente belegfähig gegenüber Prüfern und der Geschäftsführung abdecken. Das CMS Aufbau Bundle bündelt genau das: Handbuch, Risikoanalyse, 10 verschiedene Richtlinien, Code of Conduct, Compliance Schulung (Folien + Schulungskonzept), Audit-Katalog, Berichtswesen. Gelbe Platzhalter mit Ihren Angaben ersetzen und fertig ist ein prüfungsfestes System, dass ich selbst über viele Jahre in eigener Praxis angewandt und optimiert habe:
📦 CMS Aufbau Bundle – 499,00 € → Zum Produkt
Sie wollen zunächst nur das Dachdokument? Unsere Vorlage deckt alle 7 Elemente ab – mit Governance-Struktur, Regelwerk-Hierarchie und Überwachungssystematik: