IDW PS 980 – Die 7 Grundelemente
IDW PS 980 definiert sieben Grundelemente für ein wirksames Compliance Management System. Dieser Artikel erklärt jedes Element mit Praxis-Checkliste – von Compliance-Kultur bis Überwachung.
Inhaltsverzeichnis
Was ist der IDW PS 980?
Der IDW PS 980 ist der Prüfungsstandard des Instituts der Wirtschaftsprüfer für Compliance Management Systeme. 2011 als weltweit erster CMS-Prüfungsstandard veröffentlicht, 2022 grundlegend überarbeitet (IDW PS 980 n.F.). Seit dem 1. Januar 2023 ist die Neufassung für alle neu beauftragten CMS-Prüfungen verbindlich.
Der Standard ist kein Gesetz. Aber er ist der De-facto-Standard für CMS-Audits in Deutschland. Gerichte ziehen ihn heran, Wirtschaftsprüfer prüfen danach, und die meisten Compliance-Handbücher orientieren sich an seiner Struktur.
Was IDW PS 980 für Sie als Compliance-Verantwortlichen bedeutet: Er definiert sieben Grundelemente, die ein wirksames CMS ausmachen. Diese sieben Elemente sind Ihr Bauplan. Wenn Ihr CMS alle sieben abdeckt, stehen Sie auf einer soliden Grundlage – gegenüber Prüfern, gegenüber der Geschäftsführung und gegenüber der Aufsicht.
Hinweis: Die Neufassung von 2022 brachte unter anderem den Entfall der Konzeptionsprüfung, eine stärkere Anlehnung an den internationalen ISAE 3000 und eine höhere Detailtiefe bei den Anforderungen. Die sieben Grundelemente selbst blieben unverändert.
Die 7 Grundelemente im Überblick
Die sieben Elemente sind kein Stufenmodell, das Sie linear abarbeiten. Sie sind interdependent – jedes Element beeinflusst die anderen. Die Compliance-Kultur (Element 1) durchdringt alle weiteren Elemente. Die Überwachung (Element 7) wirkt zurück auf Ziele, Risiken und Programm.
Denken Sie an die sieben Elemente als Zahnräder. Fehlt eines oder läuft es nicht rund, verliert das gesamte System an Wirksamkeit.
1. Compliance-Kultur
Die Compliance-Kultur steht bewusst an Position eins. IDW PS 980 macht damit klar: Ohne Kultur ist alles andere Makulatur.
Was der Standard fordert: Die Unternehmensleitung muss durch ihr Verhalten die Bedeutung von Compliance sichtbar machen. Das betrifft nicht nur ein Vorwort im Code of Conduct, sondern gelebtes Verhalten im Alltag – den sogenannten „Tone from the Top".
Praxis-Checkliste:
Gibt es ein dokumentiertes Bekenntnis der Geschäftsführung zu Compliance?
Werden Compliance-Werte regelmäßig und über verschiedene Kanäle kommuniziert?
Reagiert die Führung konsequent auf Compliance-Verstöße – auch bei Top-Performern?
Nehmen Geschäftsführung und Führungskräfte aktiv an Compliance-Schulungen teil?
Kultur lässt sich nicht verordnen, aber systematisch entwickeln. Wie das funktioniert, beschreibt unser Artikel zum Aufbau einer Compliance-Kultur mit dem KLIMA-Framework. Was „Tone from the Top" konkret bedeutet, erfahren Sie im Beitrag zu Tone from the Top in der Praxis.
2. Compliance-Ziele
Ein CMS ohne definierte Ziele ist wie Navigation ohne Zieladresse. IDW PS 980 fordert, dass die Compliance-Ziele konkret, messbar und aus der Risikoanalyse abgeleitet sind.
In der Praxis scheitern viele Unternehmen genau hier. „Wir wollen compliant sein" ist kein Ziel. „Wir reduzieren die Anzahl der Datenschutzvorfälle um 30 % bis Q4" ist eines.
Praxis-Checkliste:
Sind messbare Compliance-Ziele für das aktuelle Geschäftsjahr definiert?
Leiten sich die Ziele aus der Compliance-Risikoanalyse ab?
Wird die Zielerreichung mindestens jährlich überprüft und dokumentiert?
3. Compliance-Risiken
Element 3 verlangt eine systematische Identifikation, Bewertung und Steuerung von Compliance-Risiken. Die Risikoanalyse ist das Herzstück des CMS – sie bestimmt, welche Richtlinien Sie brauchen, wo Schulungen nötig sind und worauf Audits fokussieren sollten.
Praxis-Checkliste:
Liegt eine aktuelle Compliance-Risikoanalyse vor (nicht älter als 12 Monate)?
Werden Risiken nach Brutto- und Netto-Bewertung differenziert?
Sind für jedes wesentliche Risiko Maßnahmen mit Verantwortlichkeiten definiert?
Werden neue Risiken anlassbezogen ergänzt (z. B. bei Gesetzesänderungen)?
Wie Sie eine Compliance-Risikoanalyse Schritt für Schritt durchführen, erfahren Sie im Artikel zur Compliance-Risikoanalyse.
4. Compliance-Programm
Das Compliance-Programm umfasst alle Maßnahmen, die Compliance-Risiken adressieren. Im Kern sind das: Richtlinien, Prozesse, Kontrollen und Schulungen. Die Richtlinien bilden dabei die Regelwerk-Hierarchie: Handbuch → Richtlinien → Arbeitsanweisungen.
Praxis-Checkliste:
Existieren Richtlinien für alle in der Risikoanalyse identifizierten Kernbereiche?
Folgen die Richtlinien einer einheitlichen Struktur?
Sind alle Mitarbeiter über Zugang und Inhalt der Richtlinien informiert?
Gibt es einen Schulungsplan mit Zielgruppen, Inhalten und Frequenz?
Welche Richtlinien Ihr Unternehmen konkret braucht und in welcher Reihenfolge Sie vorgehen sollten, erläutert der Beitrag Compliance-Richtlinien: Welche braucht Ihr Unternehmen?.
5. Compliance-Organisation
Wer ist verantwortlich? Wer berichtet an wen? Welche Ressourcen stehen zur Verfügung? Element 5 fordert klare Strukturen.
Für KMU heißt das nicht zwingend eine eigene Compliance-Abteilung. Aber es muss eine benannte Person geben, die Compliance-Verantwortung trägt, mit ausreichend Zeit und Budget ausgestattet ist und direkten Zugang zur Geschäftsführung hat.
Praxis-Checkliste:
Ist eine Compliance-Funktion definiert und personell besetzt?
Sind Berichtslinien zur Geschäftsführung klar geregelt?
Verfügt die Compliance-Funktion über ausreichende Ressourcen (Zeit, Budget, Befugnisse)?
6. Compliance-Kommunikation
Ein CMS, von dem niemand weiß, schützt niemanden. Element 6 umfasst zwei Richtungen: Kommunikation nach innen (Schulungen, Informationen, Beratung) und Kommunikation nach außen (Hinweisgebersystem, Berichterstattung).
Seit dem HinSchG (Hinweisgeberschutzgesetz) ist ein internes Meldesystem für Unternehmen ab 50 Mitarbeitern Pflicht. Das ist kein optionaler Bestandteil mehr – es ist gesetzlich gefordert.
Praxis-Checkliste:
Gibt es ein strukturiertes Schulungskonzept mit definierten Zielgruppen?
Ist ein Hinweisgebersystem eingerichtet (HinSchG-Pflicht ab 50 MA)?
Werden Compliance-Themen regelmäßig über verschiedene Kanäle kommuniziert?
Gibt es niedrigschwellige Beratungsangebote für Mitarbeiter bei Compliance-Fragen?
7. Compliance-Überwachung und Verbesserung
Das letzte Element schließt den Kreis. Überwachung bedeutet: Funktioniert das CMS in der Praxis? Werden Risiken adressiert? Greifen die Maßnahmen? Die Antworten liefern Monitoring, Audits und ein systematischer Verbesserungsprozess.
Praxis-Checkliste:
Sind Monitoring-KPIs definiert (z. B. Schulungsquote, Meldeaufkommen, Audit-Ergebnisse)?
Wird das CMS mindestens jährlich auditiert – intern oder extern?
Gibt es einen dokumentierten Verbesserungsprozess (PDCA-Zyklus)?
Werden Audit-Feststellungen nachverfolgt und Maßnahmen auf Wirksamkeit geprüft?
Wie Sie ein CMS-Audit strukturiert durchführen, beschreibt der Artikel zur Compliance-Audit Checkliste nach IDW PS 980.
IDW PS 980 in der Praxis: Gesamtcheckliste für Ihr CMS
Sie wollen auf einen Blick wissen, ob Ihr CMS die sieben Grundelemente abdeckt? Hier die kompakte Übersicht – ein Punkt pro Element:
Element | Kernfrage | Status |
|---|---|---|
1. Kultur | Lebt die Geschäftsführung Compliance sichtbar vor? | ☐ |
2. Ziele | Sind messbare Compliance-Ziele aus der Risikoanalyse abgeleitet? | ☐ |
3. Risiken | Liegt eine aktuelle Compliance-Risikoanalyse vor? | ☐ |
4. Programm | Existieren Richtlinien für alle wesentlichen Risikobereiche? | ☐ |
5. Organisation | Ist eine Compliance-Funktion mit ausreichenden Ressourcen besetzt? | ☐ |
6. Kommunikation | Gibt es Schulungskonzept und Hinweisgebersystem? | ☐ |
7. Überwachung | Wird das CMS regelmäßig auditiert und verbessert? | ☐ |
Wenn Sie bei mehr als zwei Elementen kein klares „Ja" setzen können, besteht Handlungsbedarf. Ein detailliertes Self-Assessment zeigt Ihnen, wo genau die Lücken liegen.
Praxis-Tipp: Unser Reifegrad-Assessment bewertet alle 7 Grundelemente nach IDW PS 980 mit automatischer Auswertung und priorisierten Handlungsempfehlungen. In unter 30 Minuten wissen Sie, wo Ihr CMS steht. → CMS Reifegrad-Assessment ansehen
Von der Theorie zur Umsetzung
Die sieben Grundelemente liefern die Struktur. Aber Struktur allein baut kein CMS. Dafür brauchen Sie einen Fahrplan – von der Bestandsaufnahme über Richtlinien und Risikoanalyse bis zum ersten Audit.
Wie Sie den CMS-Aufbau Schritt für Schritt umsetzen, beschreibt unser Pillar-Artikel mit dem 5-Phasen-Plan. Dort finden Sie auch konkrete Budget- und Zeitrahmen-Empfehlungen für KMU.
Das CMS-Handbuch ist das Dokument, in dem alle sieben Grundelemente als Dachdokument zusammengeführt werden. Es beschreibt Struktur, Verantwortlichkeiten und das Zusammenspiel aller CMS-Elemente – Ihr zentrales Referenzdokument für Prüfer und Geschäftsführung.
Nächster Schritt: Ihr CMS-Handbuch aufsetzen
Die 7 Grundelemente nach IDW PS 980 bilden das Gerüst. Das CMS-Handbuch macht daraus ein konkretes Dokument für Ihr Unternehmen. Unsere Vorlage deckt alle 7 Elemente ab – mit Governance-Struktur, Regelwerk-Hierarchie und Überwachungssystematik. Gelbe Platzhalter ersetzen, fertig.
→ Compliance Handbuch Vorlage (€59)
Alles in einem Paket: Das Compliance Handbuch ist auch Teil des CMS Aufbau Bundles – das Komplettpaket für Ihr Compliance Management System (€499).
Passende Produkte zum Thema
CMS Quick-Check: Reifegrad-Assessment
Excel-basiertes Self-Assessment zur Bewertung Ihres CMS-Reifegrads anhand der 7 Grundelemente nach IDW PS 980. Automatische Auswertung mit Ampelsystem und priorisierten Handlungsempfehlungen.
CMS Aufbau Bundle
Komplettpaket zum Aufbau eines Compliance Management Systems nach IDW PS 980 und ISO 37301. Enthält alle Dokumente, Richtlinien und Tools – vom Reifegrad-Assessment bis zum Audit-Bericht.
Compliance Handbuch
Übergeordnetes Dachdokument für Ihr CMS nach IDW PS 980 und ISO 37301. Definiert Compliance-Struktur, Verantwortlichkeiten, Prozesse und das Zusammenspiel aller CMS-Elemente.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →