Regulatorik-Beratung und Compliance-Management
Übergreifende Regulatorik-Beratung für deutsche und international tätige Unternehmen: Compliance-Management-System (CMS) nach IDW PS 980, Pflichtenkataster, Aufsichts-Kommunikation, Hinweisgeber-System nach HinSchG und Monitoring regulatorischer Änderungen.
Unsere Regulatorik-Leistungen
Compliance-Management-System (CMS) nach IDW PS 980
Aufbau, Review oder Zertifizierung eines CMS nach IDW Prüfungsstandard 980 — mit Compliance-Kultur, Pflichtenkataster, Risikobewertung, Programm, Organisation, Kommunikation und Überwachung.
Hinweisgeber-System nach HinSchG
Einrichtung und Betrieb eines Hinweisgebersystems nach Hinweisgeberschutzgesetz: sichere Meldekanäle, Bearbeitungsprozesse, Vertraulichkeit, Fristen und Dokumentation — ab 50 Mitarbeitenden Pflicht.
Pflichtenkataster und Obligation Management
Systematische Erfassung aller auf Ihr Unternehmen anwendbaren Gesetze, Verordnungen, technischen Regelwerke und vertraglichen Verpflichtungen — inklusive laufender Aktualisierung.
Kommunikation mit Aufsichtsbehörden
Begleitung bei Anfragen von BaFin, BSI, BfDI, KBA, BASG, Bundesbank: Koordination, Übersetzung regulatorischer Fragen, Vorbereitung von Stellungnahmen, Monitoring von Maßnahmenplänen.
Interne Revision als Co-Sourcing
Unterstützung Ihrer internen Revision durch Co-Sourcing: Risiko-Audits, Prozess-Reviews, IT-Audits, Lieferanten-Audits — nach DIIR-Standards und ISO 19011.
Regulatorik-Monitoring und Compliance Newsletter
Laufende Beobachtung relevanter EU-Regulatorik-Entwicklungen (Kommission, Trilog, RTS, EBA-Guidelines) mit kuratierten Quartalsberichten und Handlungsempfehlungen.
Warum systematisches Compliance-Management?
Ad-hoc-Compliance skaliert nicht. Je nach Branche und Größe haften Geschäftsleitung und Aufsichtsrat persönlich für eine wirksame Compliance-Organisation.
Organhaftung der Geschäftsleitung
Nach § 43 GmbHG und § 93 AktG haftet die Geschäftsleitung persönlich für die Einhaltung aller auf das Unternehmen anwendbaren Gesetze — unabhängig davon, ob die Geschäftsleitung den Verstoß selbst zu verantworten hat.
Aufsichtsratsverantwortung
Der Aufsichtsrat ist zur Überwachung der Compliance-Struktur verpflichtet (§ 111 AktG, § 52 GmbHG). Ohne dokumentiertes CMS fehlt die Grundlage für die pflichtgemäße Überwachung.
Bußgelder und Verfall nach § 30 OWiG
Unternehmen können nach § 30 OWiG mit bis zu 10 Mio. € pro Einzelverstoß belegt werden. Zusätzlich kann nach § 73 StGB der Tat-Verfall ausgesprochen werden — häufig in Millionenhöhe.
Reputationsschaden und Liefersperren
Compliance-Verstöße führen zu Ausschluss von Ausschreibungen, Verlust institutioneller Investoren und erschwerten Lieferanten-Beziehungen — insbesondere bei börsennotierten Kunden oder ESG-sensitiven Abnehmern.
Die sieben Säulen eines wirksamen CMS
Ein Compliance-Management-System nach IDW PS 980 muss sieben Grundelemente umfassen. Wir liefern alle sieben — pragmatisch dimensioniert auf Ihr Unternehmen.
Governance-Elemente
- Compliance-Kultur: Tone from the Top, Verhaltenskodex, Dilemma-Trainings
- Compliance-Ziele: klar definierte, messbare Ziele
- Compliance-Organisation: Rollen, Ressourcen, Berichtslinien (Three Lines of Defence)
- Rolle des Compliance Officers: Qualifikation, Unabhängigkeit, direkte Berichtslinie
- Risikoanalyse: strukturierte Identifikation und Bewertung
- Compliance-Handbuch und Gesamtdokumentation
Operative Elemente
- Compliance-Programm: konkrete Maßnahmen je Risikotyp
- Richtlinien und Verfahren (anti-korruption, Kartellrecht, Sanktionen, Datenschutz)
- Schulungen und regelmäßige Awareness-Kampagnen
- Hinweisgebersystem mit externer Ombudsstelle
- Due-Diligence-Prozesse (Geschäftspartner, M&A)
- Integration ins Personalmanagement (Einstellung, Beurteilung, Sanktion)
Überwachung und Verbesserung
- Compliance-Reporting: regelmäßige Berichte an Geschäftsleitung und Aufsichtsrat
- Compliance-Monitoring: kontinuierliche Überprüfung der Wirksamkeit
- Interne Untersuchungen bei Hinweisen
- Kooperation mit interner Revision
- Jährliche CMS-Selbstbewertung
- Externe Zertifizierung nach IDW PS 980 (optional)
Unser Vorgehen zum Compliance-Management-System
Phase 1: Compliance-Risikoanalyse
Strukturierte Erfassung der Compliance-Risiken entlang Geschäftsbereichen, Regionen und Prozessen. Bewertung nach Eintrittswahrscheinlichkeit und Schadenspotenzial.
Phase 2: Design des CMS
Entwicklung einer auf Ihr Unternehmen zugeschnittenen Compliance-Architektur: Rollen, Prozesse, Richtlinien-Struktur, Schulungskonzept, Monitoring-Tools.
Phase 3: Implementation
Umsetzung mit Ihrem Team: Rollen besetzen, Richtlinien verabschieden, Schulungen ausrollen, Hinweisgebersystem technisch einrichten, erste Berichts-Zyklen durchlaufen.
Phase 4: Monitoring und Zertifizierung
Kontinuierliche Wirksamkeitsprüfung, jährliche CMS-Reviews, bei Bedarf externe IDW-PS-980-Prüfung durch Wirtschaftsprüfungsgesellschaft.
Häufig gestellte Fragen zur Regulatorik-Beratung
Ein CMS ist das Gesamtsystem aus Kultur, Prozessen, Rollen und Kontrollen, mit dem ein Unternehmen die Einhaltung anwendbarer Regeln sicherstellt. Der IDW Prüfungsstandard 980 („Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen") definiert sieben Grundelemente und ist der anerkannte Referenzrahmen in Deutschland — u. a. von BaFin, DCGK und Aufsichtsräten akzeptiert.
In dieser Pauschalität nicht. Allerdings leiten sich aus §§ 43 GmbHG, 93 AktG und § 130 OWiG indirekte CMS-Pflichten ab: Geschäftsleitung haftet für Organisations-Mängel, die zu Rechtsverstößen führen. In regulierten Branchen (Banken nach § 25a KWG, Versicherer nach § 23 VAG) gibt es darüber hinaus explizite CMS-Anforderungen.
Nach § 12 Hinweisgeberschutzgesetz (HinSchG) müssen alle Unternehmen mit mindestens 50 Beschäftigten ein internes Meldesystem einrichten. Verpflichtete des § 2 GwG (Banken, Versicherer etc.) haben die Pflicht schwellenwertunabhängig. Wir bieten HinSchG-konforme Systeme als Paket — technische Plattform, Ombudsperson und Bearbeitungsprozess.
Wir sind kein Wirtschaftsprüfer und machen keine IDW-PS-980-Zertifizierung. Unser Fokus ist Aufbau und Betrieb des CMS — genau der Teil, den der Wirtschaftsprüfer später prüft. Diese Trennung macht die Zusammenarbeit effizient: Wir bereiten vor, der WP zertifiziert. Wir arbeiten regelmäßig mit WP-Gesellschaften wie KPMG, PwC, EY, Deloitte und BDO zusammen.
Kernerfahrung: Finanzdienstleistungen (inkl. BaFin-Aufsicht), Gesundheitswesen, Pharma, Technologie, Industrie (insb. Automotive-Zulieferer mit TISAX), Energie (KRITIS) und Handel. Branchenspezifische Themen wie § 25a KWG, § 23 VAG, MaRisk, VAIT oder Mindestlohngesetz-Compliance decken wir ab.
Für ein mittelständisches Unternehmen (200–500 Mitarbeitende) dauert der Aufbau eines funktionsfähigen CMS typischerweise 6–12 Monate bis zum ersten vollständigen Reporting-Zyklus. Die IDW-PS-980-Zertifizierung erfordert zusätzlich eine Wirksamkeitsphase von mindestens 12 Monaten. Wir liefern nach dem Scoping einen belastbaren Zeit- und Kostenplan.
Ja. Wir unterstützen bei der Vorbereitung (Dawn-Raid-Playbook, Rollen-Training, simulierte Durchsuchungen) und im akuten Fall (24/7-Erreichbarkeit, Koordination mit Verteidigern, Dokumentation der Durchsuchung, Sichtung der mitgenommenen Unterlagen). Bei strafrechtlichem Bezug arbeiten wir mit spezialisierten Strafverteidigern zusammen.
Für kleinere und mittlere Unternehmen übernehmen wir die Rolle des Compliance Officers als ausgelagerte Funktion — mit klarer vertraglicher Regelung zu Zugriffsrechten, Eskalationswegen und Berichtspflichten an die Geschäftsleitung. Für größere Unternehmen unterstützen wir die interne Rolle fachlich und operativ.
Sie erhalten einen Quartalsbericht mit den relevantesten Entwicklungen für Ihre Branche — aufbereitet als Executive Summary plus Handlungsempfehlungen. Bei kritischen Neuerungen (z. B. RTS-Veröffentlichung, neue BaFin-Rundschreiben) ergänzt durch Ad-hoc-Alerts. Auf Wunsch mit Präsentation an Ihre Geschäftsleitung.
CMS-Aufbau für mittelständische Unternehmen: 40.000–120.000 € (Scoping abhängig). Hinweisgebersystem-Einrichtung inkl. Plattform und externer Ombudsperson: 8.000–25.000 € + laufende Betriebskosten. Quartalsweises Regulatorik-Monitoring: ab 2.500 €/Quartal. Alle Angebote mit Festpreis nach Erstgespräch.
Branchen mit hoher Regulatorik-Dichte
Bereit für ein strukturiertes Compliance-Management?
Kostenloses Erstgespräch — 30 Minuten. Wir prüfen Ihre aktuelle Compliance-Struktur, identifizieren kritische Lücken und liefern einen pragmatischen Umsetzungsplan.