Compliance-Berater
Basics: Compliance und das Compliance-Management-System im Überblick
Quelle: Compliance-Berater 2026 Heft 03 vom 19.02.2026, Seite 74

Veröffentlicht am von

Prof. Dr. Katharina Hastenrath

Basics: Compliance und das Compliance-Management-System im Überblick

Anspruch, Aufbau, Herausforderungen und Implikationen für die Unternehmenspraxis

In der neuen CB-Rubrik „Basics“ befasst sich eine Beitragsreihe von Prof. Dr. Katharina Hastenrath in insgesamt sieben Beiträgen über das Jahr 2026 mit den Grundlagen, Herausforderungen, wichtigsten Elementen eines Compliance-Management-Systems (CMS) und Zusammenhängen.1 Viele praktische Lösungstipps und Beispiele geben Praktikern Anleitung für den Unternehmensalltag. Dieser erste Beitrag beginnt mit der Beleuchtung der grundlegenden Entwicklung der Compliance, der Logik eines CMS sowie den typischen Herausforderungen und Erkenntnissen der vergangenen 20 Jahre.

I. Einleitung

In Zeiten zunehmender Regulierung, globalisierter Märkte und komplexer Wertschöpfungsketten ist Compliance in der Unternehmenspraxis längst kein Randthema mehr. Unternehmen agieren in einem Umfeld, in dem rechtliche Vorgaben, internationale Regelwerke sowie gesellschaftliche Erwartungen stetig zunehmen und sich dynamisch verändern. Damit wächst der Druck, rechtliche und ethische Anforderungen nicht nur punktuell zu erfüllen, sondern systematisch und nachweisbar in die Unternehmensführung zu integrieren.2

Vor diesem Hintergrund hat sich das Compliance-Management-System (CMS) als unverzichtbares Instrument etabliert. Es dient nicht nur der Einhaltung von Gesetzen und internen Vorschriften, sondern entwickelt sich mehr und mehr zu einem strategischen Steuerungsrahmen, der Unternehmenskultur, Risikomanagement und operative Prozesse miteinander verbindet. Unternehmen, die über ein wirksames CMS verfügen, sind besser in der Lage, Haftungsrisiken zu minimieren, wirtschaftliche Schäden abzuwenden und ihre Reputation nachhaltig zu schützen.3

Es zeigt sich dabei, dass für ein erfolgreiches CMS dessen Logik, Aufbau, Grundelemente und Herausforderungen und Chancen verstanden werden müssen. Der Anspruch an das Wissen und Können der Compliance-Officer wächst. Zunehmend ist zu beobachten, dass Compliance-Officer nur noch Spezialwissen in kleinen Segmenten eines CMS oder gar nur eines granularen Risikos besitzen, aber das „System CMS“ nicht mehr beherrschen. Wenn aber die Grundlagen nicht richtig aufgebaut sind, wird darauf fußend kein wirksames CMS entstehen können.

II. Wesen und Struktur eines CMS

Ein CMS ist ein integriertes Konzept, das sämtliche Maßnahmen bündelt, die der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben dienen. Es umfasst den gesamten Zyklus von Aufbau, Implementierung, Überwachung und kontinuierlicher Verbesserung. Ziel ist es, ein konsistentes, nachvollziehbares und wirksames System zu etablieren, das sowohl aktuelle Risiken adressiert als auch zukünftige Entwicklungen antizipiert.

Aus der Praxisperspektive lässt sich ein CMS in sieben zentrale Elemente gliedern, die in ihrer Gesamtheit wirken und in den folgenden Beiträgen dieser Serie einzeln vertieft werden:

  1. Compliance-Kultur – das wertebasierte Fundament und der „tone at the top“;
  2. Compliance-Ziele – abgeleitet aus der Unternehmensstrategie und ausgerichtet sowohl auf Prävention als auch Reaktion;
  3. Compliance-Organisation – klare Zuständigkeiten und Verantwortlichkeiten von der Geschäftsführung über die zentrale Compliance-Funktion, Ländergesellschaften mit lokalen Compliance-Officern bis zur Matrixorganisation und Schnittstellendefinition;
  4. Compliance-Risiken – systematische Identifikation, Bewertung und Priorisierung potenzieller Rechts- und Reputationsrisiken;
  5. Compliance-Programm – konkrete Maßnahmen und Prozesse zur Prävention und Reaktion;
  6. Compliance-Kommunikation – adressatengerechte Vermittlung von Vorgaben, Erwartungen und Prozessen;
  7. Compliance-Überwachung und Verbesserung – kontinuierliche Kontrolle, Evaluation und Anpassung des Systems.

Diese Elemente sind ineinander verzahnt und bedingen einander an vielen Stellen. Eine starke Compliance-Kultur etwa verstärkt die Wirksamkeit des Compliance-Programms, während ein gut strukturiertes Berichtswesen die kontinuierliche Verbesserung ermöglicht. Ein CMS kann daher nur dann seine volle Wirkung entfalten, wenn alle Bausteine aufeinander abgestimmt sind und in zeitlich korrekter Form auf- und ausgebaut werden.

Tipp für die Praxis:

Erstellen Sie einen Projektplan für jeweils zwei Jahre, indem Sie alle Compliance-Maßnahmen aufbauen und Zeit, Budget und Independenz der Maßnahmen richtig planen.

III. Die Funktionslogik eines CMS: Von der Zielsetzung, über Risikoanalyse zur Risikomitigation durch Programm und Überwachung

Ein wirksames CMS folgt immer einer klaren Logik:

  1. Zielsetzung für Compliance: Die Unternehmensleitung definiert die Compliance-Ziele.
  2. Identifikation und Bewertung von Compliance-Risiken: Durch systematische Risikoanalysen werden daraufhin potenzielle Regelverstöße identifiziert, bewertet und priorisiert. Dies schafft die Grundlage für fokussierte Maßnahmen.
  3. Ableitung und Umsetzung eines Compliance-Programms: Auf Basis der Risikobewertung werden konkrete präventive und reaktive Maßnahmen definiert – von Richtlinien über Schulungen bis zu Kontrollen und Meldewegen.
  4. Kommunikation und Verankerung: Die relevanten Inhalte werden adressatengerecht an die Mitarbeitenden vermittelt. Kommunikation ist dabei kein einmaliger Akt, sondern ein fortlaufender Prozess.
  5. Überwachung und Verbesserung: Die Wirksamkeit der Maßnahmen wird kontinuierlich überprüft. Erkenntnisse aus Kontrollen, Vorfällen und Hinweisen fließen in Anpassungen des CMS ein.

Diese Funktionslogik verdeutlicht, dass ein CMS nicht nur als Sammlung einzelner Instrumente zu verstehen ist, sondern als miteinander verknüpftes System von Prozessen, Verantwortlichkeiten und Informationen. Je besser diese Verknüpfungen gestaltet sind, desto höher ist die Wirksamkeit des Systems. Werden allerdings Elemente vernachlässigt, bricht Logik und System in sich zusammen. Ein Beispiel: Erfolgt keine Risikoanalyse, sind die relevanten Risiken nicht bekannt und es werden im Programm Maßnahmen entwickelt, die nicht die (relevanten) Risiken minimieren. Wird keine Richtlinie global ausgerollt, kann im Folgejahr keine Stichprobe zu deren wirksamer Umsetzung erfolgen.

Tipp für die Praxis:

Bedenken Sie die Wechselwirkung der Compliance-Maßnahmen rechtzeitig. Eine nachträgliche Heilung von Fehlern in der Konzeption ist hier meistens nicht oder nur mit unverhältnismäßig großem Aufwand möglich.

IV. Compliance als strategischer Erfolgsfaktor

Compliance wurde anfangs in der Praxis häufig mit der bloßen Einhaltung gesetzlicher Vorschriften gleichgesetzt. Diese Sichtweise greift im Jahr 2026 jedoch zu kurz. In einer Unternehmenswelt, in der Wirtschaftskriminalität, Korruption und andere Delikte regelmäßig zu Untersuchungen, Bußgeldern und massiven Reputationsschäden führen, ist ein rein reaktiver Umgang mit Risiken nicht mehr ausreichend. Ein CMS schafft hier einen strukturierten Rahmen, in dem Risiken frühzeitig erkannt, bewertet und gesteuert werden können.

Seine ursprüngliche Rolle lag vor allem in der Minimierung von Haftungsrisiken durch präventive Maßnahmen. Mit der Zeit hat sich das CMS jedoch zu einem umfassenden Steuerungsinstrument gewandelt, das sowohl präventive als auch reaktive Elemente umfasst und die Grundlage für eine verantwortungsvolle Unternehmensführung bildet. Es erlaubt Unternehmen, regulatorische Anforderungen in operative Prozesse zu integrieren, Transparenz über Verantwortlichkeiten herzustellen und kontinuierliche Verbesserungen systematisch umzusetzen.

Damit ist Compliance nicht mehr nur eine „notwendige Pflicht“, sondern ein Faktor, der Wettbewerbsfähigkeit und Resilienz beeinflusst. Unternehmen, die Compliance strategisch verankern, können Vertrauen bei Kunden, Geschäftspartnern, Mitarbeitenden und der Öffentlichkeit aufbauen – ein immaterieller, aber hoch relevanter Werttreiber.

Für Compliance-Officer in der Praxis heißt dies, frühzeitig in strategische Unternehmensentwicklungen mit einbezogen zu werden und intern diesen Mehrwert klar zu kommunizieren. Ein Bespiel: Wird in einem kleineren Unternehmen ein CMS aufgebaut, ist dies zunehmend die Voraussetzung um in der Lieferkette von Großkonzernen überhaupt aufgenommen zu werden oder dort als Lieferant zu verbleiben.

V. Zentrale Herausforderungen bei Implementierung und Betrieb

Die Einführung und laufende Pflege eines CMS ist anspruchsvoll. Unternehmen sehen sich mit einer Vielzahl an Herausforderungen konfrontiert, die sich in mehreren Dimensionen zeigen. Auch dies ist von Compliance-Verantwortlichen laufend zu eruieren und in der fortlaufenden Systemverbesserung umzusetzen.

1. Kultureller Wandel als Daueraufgabe

Die Etablierung einer tragfähigen Compliance-Kultur ist eine der größten Hürden. Sie erfordert nicht nur technische und organisatorische Maßnahmen, sondern vor allem eine Veränderung von Haltung und Verhalten. Bestehende Denkweisen – etwa ein stark kurzfristig erfolgsorientiertes Verständnis von „Performance um jeden Preis“ – können mit Compliance-Prinzipien kollidieren. Solche Muster lassen sich nicht durch eine neue Richtlinie oder eine einmalige Schulung aufbrechen, sondern verlangen einen langfristigen, konsequent gesteuerten Wandel.

2. Integration in bestehende Strukturen und Managementsysteme

In vielen Unternehmen existieren bereits ausgereifte Managementsysteme, etwa für Qualität, Risiko oder Umwelt. Ein CMS muss hier sinnvoll integriert werden, statt als paralleles Zusatzsystem zu agieren. Ist das CMS das erste System, muss diese Integration denklogisch in entgegengesetzter Richtung vollzogen werden.

Das bedeutet insgesamt:

  • Doppelstrukturen zu vermeiden,
  • Schnittstellen klar zu definieren,
  • und Anforderungen unterschiedlicher Standards zu harmonisieren.

Richtig umgesetzt, lassen sich Synergieeffekte erzielen – etwa durch gemeinsame Risikoanalysen, abgestimmte Reporting-Strukturen oder integrierte Audits. Gleichzeitig steigt der Koordinationsaufwand: Verschiedene Fachbereiche müssen zusammenarbeiten, Zuständigkeiten werden neu geordnet, etablierte Routinen hinterfragt. Der früher unter dem Begriff GRC-Governance-Risk-Compliance geführte Begriff erlebt eine Renaissance unter dem Schlagwort der Integrated Assurance.5

Tipp für die Praxis:

Versuchen Sie hier frühzeitig Synergien mit anderen Kontrollfunktionen zu nutzen und Reibungsverluste durch unklare Zuständigkeiten zu vermeiden, z. B. durch eine Geschäftsordnung-Compliance, die Aufgaben, Rechte und Pflichten der Compliance-Funktion, auch in Abgrenzung zu den anderen Kontrollfunktionen, klar regelt.

3. Umgang mit dynamischen Rahmenbedingungen

Regulatorische Anforderungen, Marktbedingungen und gesellschaftliche Erwartungen verändern sich stetig und in immer kürzeren Intervallen. Unternehmen und Compliance-Officer müssen daher in der Lage sein, ihr CMS laufend an neue Rahmenbedingungen anzupassen. Dies betrifft etwa:

  • neue Rechtsvorschriften,
  • veränderte internationale Anforderungen,
  • oder neue Risikofelder wie Cyberangriffe und den Umgang mit KI.

Ein statisch verstandenes CMS wird diesen Anforderungen nicht gerecht. Es braucht Mechanismen, um Veränderungen frühzeitig zu erkennen, auf ihre Relevanz zu prüfen und zielgerichtete Anpassungen vorzunehmen.

Tipp für die Praxis:

Bauen Sie, wenn möglich, interdisziplinäre Compliance-Teams auf.

4. Reporting und Transparenz

Ein weiteres zentrales Problemfeld ist das Reporting. In der Praxis fehlt häufig eine einheitliche und verlässliche Informationsbasis zu Compliance-Risiken und Verstößen. Ohne strukturierte Prozesse zur Meldung, Konsolidierung und Bewertung von Informationen bleibt das Management auf punktuelle Einzelberichte angewiesen, die weder vollständig noch vergleichbar sind.

Ein wirksames CMS erfordert daher:

  • klare Regelungen, wer was, wann, an wen berichtet;
  • standardisierte Formate und Kanäle;
  • sowie definierte Eskalationswege für schwerwiegende Sachverhalte.

Nur auf dieser Basis können fundierte Managemententscheidungen getroffen und Gerichte und Behörden überzeugt werden.

5. Unabhängigkeit und Ressourcen der Compliance-Funktion

Die Rolle der Compliance-Funktion ist für Glaubwürdigkeit und Wirksamkeit des Systems zentral. Compliance-Beauftragte müssen in der Lage sein, unabhängig, objektiv und frei von Interessenkonflikten zu agieren. Gleichzeitig stehen sie in einem Spannungsfeld: Einerseits sollen sie das Geschäft verstehen und konstruktiv begleiten, andererseits müssen sie im Konfliktfall klare Grenzen setzen.

Damit diese Rolle erfüllbar ist, braucht es:

  • eine ausreichende organisatorische Verankerung,
  • direkten Zugang zur Geschäftsleitung,
  • angemessene personelle wie finanzielle Ressourcen und
  • sehr gute Kommunikationsfähigkeiten des Chief Compliance Officers und seiner Mitarbeiter.

Ohne diese Rahmenbedingungen besteht die Gefahr, dass die Compliance-Funktion formal existiert, in der Praxis jedoch kaum Wirkung entfalten kann. Gerade in den herausfordernden, aktuellen Zeiten müssen die Compliance-Abteilungen weiter ausgebaut werden, um der erhöhten Risikolage gerecht zu werden. In der Praxis ist leider teilweise ein gegenteiliger Trend zu beobachten, der sich aus der wirtschaftlichen Sorge vieler Unternehmensleitungen begründen lässt.

6. Kontinuierliche Verbesserung und Zukunftsperspektiven

Ein wesentliches Charakteristikum moderner CMS ist weiterhin dessen dynamische Ausrichtung. Ein CMS darf nie als abgeschlossenes Projekt verstanden werden, sondern muss als lebender Prozess organisiert sein, der sich fortlaufend an neue Anforderungen anpasst.

Die kontinuierliche Verbesserung umfasst insbesondere:

  • die regelmäßige Aktualisierung interner Richtlinien,
  • die Anpassung von Kontrollmechanismen,
  • die Auswertung von Vorfällen und Hinweisen,
  • sowie die wiederkehrende Schulung und Sensibilisierung der Mitarbeitenden.

Zudem gewinnen technologische Entwicklungen an Bedeutung. Automatisierte Prozesse, Data-Analytics, Künstliche Intelligenz und maschinelles Lernen eröffnen neue Möglichkeiten, Compliance-Risiken zu überwachen, Muster zu erkennen und Schwachstellen frühzeitig zu identifizieren. Gleichzeitig stellen sie neue Anforderungen an Datenschutz, Transparenz und Verantwortlichkeit und werden damit selbst zum Gegenstand von Compliance-Fragestellungen.

Die Zukunft eines wirksamen CMS liegt daher in einer integrativen Weiterentwicklung: Traditionelle Prüfungs- und Kontrollmechanismen bleiben relevant, werden aber durch digitale Lösungen ergänzt und durch eine starke, werteorientierte Unternehmenskultur und adressatengerechte Kommunikation getragen. Compliance-Themen werden dabei zunehmend in die strategische Unternehmensführung eingebettet, statt nur auf operativer Ebene adressiert zu werden.

VI. Schlussfolgerungen für die Praxis aus diesem Einleitungsartikel

Für Unternehmen und Compliance-Officer lässt sich festhalten: Ein CMS ist weit mehr als ein Überwachungsinstrument zur Einhaltung von Rechtsnormen. Es bildet den Rahmen, in dem Risikomitigation unter möglichst weitgehendem Erhalt der operativ-gewinnbringenden Prozesse und Strukturen entwickelt wird und Compliance-Maßnahmen wirksam mit einem ernstgemeinten Tone-from-the-top umgesetzt werden. Kontrolle und Verbesserung rundet die Logik des CMS dabei ab.

Ein ganzheitlich verstandenes CMS ermöglicht es Unternehmen,

  • operative und strategische Ziele im Einklang mit gesetzlichen und ethischen Anforderungen zu verfolgen,
  • Haftungs- und Reputationsrisiken deutlich zu reduzieren,
  • interne Abläufe transparenter und steuerbarer zu machen,
  • Geschäfte erst zu ermöglichen (Stichwort „Supply Chain Compliance“)
  • und das Vertrauen von Kunden, Geschäftspartnern, Mitarbeitenden und Öffentlichkeit zu stärken.

Gerade in einer Zeit, in der Vertrauen und Integrität zu zentralen Werttreibern geworden sind, ist ein wirksames CMS kein „Nice-to-have“, sondern ein unverzichtbares Element moderner Unternehmensführung. Unternehmen, die ihr CMS nicht als Pflichtübung, sondern als strategisches Instrument begreifen und es kontinuierlich weiterentwickeln, schaffen damit die Grundlage für langfristige Stabilität und eine verantwortliche, nachhaltige Entwicklung.

VII. Ausblick

Die folgenden sechs Beiträge dieser Serie erscheinen in CB 5, 6, 8, 9, 11 und 12–2026 und werden sich einem der genannten Elemente widmen – von der Compliance-Kultur über Ziele, Organisation, Risikoanalyse und Programme bis hin zu Kommunikation, Überwachung und Verbesserung. Ziel ist es, Compliance-Praktikern und Experten vertiefte Einblicke und Anregungen für die Weiterentwicklung ihrer eigenen Systeme zu geben. Der Gedankengang knüpft nahtlos an diesen ersten Beitrag an, der die wichtigsten, übergeordneten Erkenntnisse dargelegt hat.

Autorin

Prof. Dr. Katharina Hastenrath ist Professorin für Governance, Compliance und Compliance-Management-Systeme an der ZHAW (Zürich/Schweiz); zuvor war sie (C)CO bei mehreren, internationalen deutschen Unternehmen. Sie ist als Referentin, Dozentin, Herausgeberin und Autorin zu Compliance im In- und Ausland aktiv und berät zu Compliance. Zudem ist Sie Chefredakteurin des Schweizer Compliance Journals Recht relevant. für Compliance Officers (RRCO).

1

Orientiert wird sich dabei v. a. an Bay/Hastenrath, Compliance-Management-Systeme: Praxiserprobte Elemente, Prozesse und Tools, 4. Auflage, 2026.

2

Vgl. Schulz, in: Schulz, Compliance Management im Unternehmen, 3. Aufl. 2025, S. 1–15.

3

Siehe dazu auch Moosmayer, Compliance-Praxisleitfaden für Unternehmen 4. Aufl. 2021, S. 1 ff. sowie vertieft zum Risikomanagement, S. 27 ff.

4

Ausführlich zu allen sieben Elementen: Bay/Hastenrath, Compliance-Management-Systeme: Praxiserprobte Elemente, Prozesse und Tools, 4. Auflage, 2026, S. 1–252.

5

Ausführlich zur Integrated Assurance etwa: Moosmayer/Lösler, in: Moosmayer/Lösler, Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 4. Aufl. 2024, S. 15 ff.

Beitrag per E-Mail empfehlen

Auf LinkedIn teilen

Seite drucken