ComplianceWerkstatt Glossar

Ein Code of Conduct (Verhaltenskodex) ist das zentrale Dokument eines Compliance Management Systems. Er definiert die Werte, Verhaltensregeln und Erwartungen an alle Mitarbeitenden – und zunehmend auch an Geschäftspartner und Lieferanten.

Ein Compliance Management System (CMS) ist die Gesamtheit aller Maßnahmen, Strukturen und Prozesse, mit denen ein Unternehmen die Einhaltung von Gesetzen, Richtlinien und internen Regeln sicherstellt. Standards wie IDW PS 980 und ISO 37301 definieren die Grundelemente.

Der Compliance Officer ist die zentrale Funktion für die Steuerung und Überwachung des Compliance Management Systems. Er identifiziert Risiken, entwickelt Maßnahmen, berät die Geschäftsführung und sorgt dafür, dass Regeln nicht nur existieren, sondern gelebt werden.

Ein Compliance-Audit prüft systematisch, ob ein Unternehmen seine eigenen Compliance-Regeln und gesetzlichen Pflichten einhält. Es deckt Schwächen im CMS auf, bevor sie zu Verstößen führen, und liefert der Geschäftsführung eine objektive Standortbestimmung.

Compliance-Kultur beschreibt die Werte, Normen und Verhaltensweisen in einem Unternehmen, die regelkonformes Handeln fördern. Sie ist das Fundament jedes Compliance Management Systems – denn Regeln wirken nur, wenn sie von den Mitarbeitenden verstanden, akzeptiert und gelebt werden.

Die Compliance-Risikoanalyse identifiziert und bewertet systematisch die Risiken, die aus Verstößen gegen Gesetze, Vorschriften und interne Regeln entstehen können. Sie ist ein Kernelement jedes CMS und bestimmt, wo Compliance-Maßnahmen priorisiert werden müssen.

Die Corporate Sustainability Reporting Directive (CSRD) ist die EU-Richtlinie für die Nachhaltigkeitsberichterstattung. Sie verpflichtet Unternehmen, nach den European Sustainability Reporting Standards (ESRS) über ESG-Themen zu berichten.

Die Doppelte Wesentlichkeitsanalyse (Double Materiality Assessment) bestimmt, welche Nachhaltigkeitsthemen für ein Unternehmen berichtspflichtig sind – aus der Innen- (finanzielle Wesentlichkeit) und Außenperspektive (Auswirkungswesentlichkeit).

Der IDW Prüfungsstandard 980 definiert die Grundsätze zur Prüfung von Compliance Management Systemen. Er beschreibt sieben Grundelemente eines wirksamen CMS und ist der im DACH-Raum am weitesten verbreitete Standard für den CMS-Aufbau.

Die ISO 31000 ist der internationale Leitfaden für Risikomanagement. Sie definiert Prinzipien, einen Rahmen und einen Prozess für den systematischen Umgang mit Risiken – branchenunabhängig und für Organisationen jeder Größe anwendbar.

Die ISO 37301 ist der internationale Standard für Compliance Management Systeme (CMS). Sie definiert Anforderungen an Aufbau, Implementierung, Aufrechterhaltung und Verbesserung eines wirksamen CMS – und ermöglicht eine externe Zertifizierung durch akkreditierte Stellen.

Eine Risiko-Taxonomie ist ein strukturiertes Klassifikationssystem, das alle relevanten Risiken eines Unternehmens in Kategorien und Unterkategorien ordnet. Sie schafft eine gemeinsame Sprache für Risiken und verhindert, dass Risiken übersehen oder doppelt erfasst werden.

Ein Risikomanagementsystem (RMS) umfasst alle Strukturen, Prozesse und Maßnahmen zur systematischen Identifikation, Bewertung, Steuerung und Überwachung von Risiken. Für Kapitalgesellschaften besteht nach § 91 Abs. 2 AktG eine gesetzliche Pflicht.

Ein Risikoregister ist das zentrale Dokumentationstool im Risikomanagement. Es erfasst alle identifizierten Risiken mit Bewertung, Verantwortlichkeiten, Maßnahmen und Status – und macht Risikomanagement nachvollziehbar und steuerbar.

Risk Appetite (Risikobereitschaft) definiert, wie viel Risiko ein Unternehmen bewusst einzugehen bereit ist, um seine strategischen Ziele zu erreichen. Ein Risk Appetite Statement macht diese Grenze transparent und ermöglicht risikobasierte Entscheidungen.

Eine Stakeholder-Analyse identifiziert und priorisiert die relevanten Anspruchsgruppen eines Unternehmens – von Mitarbeitenden über Kunden bis zu Regulierungsbehörden. Im ESG-Kontext ist sie Voraussetzung für die Wesentlichkeitsanalyse und die CSRD-Berichterstattung.

Die THG-Bilanz (Treibhausgasbilanz) erfasst systematisch alle direkten und indirekten Treibhausgasemissionen eines Unternehmens – aufgeteilt in Scope 1, 2 und 3. Sie ist die Datengrundlage für CSRD-Reporting, Klimastrategien und Reduktionsziele.

Tone from the Top beschreibt die sichtbare Haltung der Geschäftsführung zu Integrität und Regelkonformität. Er ist der stärkste Hebel für Compliance-Kultur – denn Mitarbeitende orientieren sich am Verhalten der Führung, nicht an Richtlinien.