Ein Compliance-Management-System („CMS“) ist in seiner Form und Ausprägung im Gesetz nicht näher bestimmt. Um die Bewertung bzw. Beurteilung eines solchen Systems zu beurteilen, braucht es aber einen Maßstab, der ganz nebenbei beim Aufbau und der Konzeption eines solchen Systems natürlich hilfreich sein kann.
Der Begriff des Compliance-Management-Systems soll im Folgenden wie folgt verstanden werden: „Ein Compliance-Management-System umfasst die seitens der verantwortlichen Leitung getroffenen Maßnahmen, die die Einhaltung von bestimmten Regeln sicherstellen sollen. Es umfasst auch solche Maßnahmen, die wesentliche Verstöße aufdecken und verhindern.“
Die einzuhaltenden Regeln können interne (z.B. Verfahrensanweisungen) oder externe Regeln (z.B. Gesetze) sein. Ein Compliance-Management-System kann sich auf bestimmte Regeln fokussieren und muss nicht allumfassend sein. Darüber hinaus kann es auf bestimmte Organisationseinheiten oder Teilbereiche einer Organisation bezogen sein.
Im Prüfungsstandard 980 des IdW „Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ sind die notwendigen Elemente eines solchen Systems, die selbstverständlich zueinander in Wechselwirkung stehen, dargestellt und definieren nicht nur aus prüferischer Sicht die Beurteilungsgrundlage, sondern geben damit natürlich auch eine nützliche Hilfestellung bei der Gestaltung und Implementierung solcher Systeme.