ISO 37301: Compliance-Management

iso-logo

Die einfachste und beste Methode, um Rechtsverstöße zu verhindern, ist die Einführung eines Compliance-Management-Systems. Dieses umfasst die Einführung von Präventionsmaßnahmen, Kontrollmaßnahmen und Reaktionsmaßnahmen.

Prävention

Compliance-Verstöße lassen sich am Besten verhindern, indem Sie gar nicht erst entstehen. Setzen Sie daher auf Präventivmaßnahmen:

  • Schulung und Sensibilisierung der Mitarbeiter
  • Unternehmensinterne Richtlinien
  • Strukturiertes Informations- und Berichtswesen zur Dokumentation und Nachvollziehbarkeit
  • Geschäftspartnerprüfungen vor Geschäftsabschluss
  • Plausibilitätsprüfungen
  • Nachweisprüfung (z.B. Protokolle, Zertifikate, etc.)
  • Genehmigungsverfahren (z.B. Vieraugenprinzip)
  • Funktionstrennung
  • Automatisierte Prüf- und Freigabeprozesse mittels Software
  • Etablierung eines Hinweisgebersystems
  • Regelmäßige Wiederholung der Risikoanalyse

Kontrolle

Die fortlaufende Überwachung des Compliance-Managements sowie das Monitoring ausgewählter Risikobereiche werden im Zuge von Kontrollmaßnahmen durchgeführt . Dazu gehören u.A:

  • Regelmäßige Mitarbeitergespräche / Interviews
  • Regelmäßige Prozessprüfungen
  • Regelmäßige Dokumentations- und Dokumentenprüfung
  • Regelmäßige Durchführung von Audits
  • Regelmäßiger Austausch mit anderen Instanzen und Beauftragten (z.B. Interne Revision, Datenschutz, Qualitätsmanagement, IT-Sicherheit, etc.)
  • Automatisierte Software-Prüfungen (z.B. Plausibilität, Risiko, etc.)

Reaktion

Kommt es entgegen aller getroffenen Sicherheitmaßnahmen doch zu einem Gesetzes- oder Regelverstoß, so müssen Sie reagieren. Dazu gehört die vollständige Untersuchung und Aufklärung des Vorfalls:

  • Mitarbeiterbefragung und Dokumentation
  • Beweissicherung mittels Datensicherung und Informationssammlung
  • Auswertung der gesammelten Informationen
  • Auswirkungen und Konsequenzen feststellen und bewerten
  • Sofortmaßnahmen festlegen z.B. Freistellung des betroffenen Mitarbeiters
  • Benachrichtigung von Behörden, falls dies geboten ist
  • Sanktionsmaßnahmen durchführen: Ermahnung, Abmahnung, Versetzung sowie Ausspruch der ordentlichen oder außerordentlichen Kündigung sowie Einleitung einer Strafanzeige
iso-logo