ISO 37301: Compliance-Management

Einrichtung, Entwicklung, Implementierung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven Compliance Management Systems

ISO 37301: Compliance-Management

Einrichtung, Entwicklung, Implementierung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven Compliance Management Systems

Die ISO 37301 legt die Anforderungen an ein Compliance Management Systeme fest und stellt Richtlinien für die Einrichtung, Entwicklung, Implementierung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven Compliance Management Systems innerhalb einer Organisation bereit. Ein Compliance-Management-System soll dazu beitragen, die Risiken regelwidrigen Verhaltens zu erkennen, zu verstehen und richtig darauf zu reagieren. Es umfasst die Einführung von Präventionsmaßnahmen, Kontrollmaßnahmen und Reaktionsmaßnahmen. Die Norm kann sowohl in Unternehmen als auch in anderen Organisationen angewendet werden.

Sollte im Ernstfall ein Verfahren gegen Ihr Unternehmen nach dem Gesetz über Ordnungswidrigkeiten (OWiG) oder zukünftig nach dem Verbandssanktionengesetz (VerSanG) wegen Verdacht auf mangelhafte Sorgfalt eingeleitet werden, kann die ISO 37301 als Beleg für die Einhaltung Ihrer unternehmerischen Verpflichtung dienen. Denn es sollen z.B. bei der Bemessung einer Geldsanktion die Behörden vor der Verbandstat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandstaten berücksichtigen (§ 15 (3) Nr. 6 VerSanG).

Kontakt

Governance, Compliance & Risk Advisory
E-Mail: compliance (at) dreyfield.de
Telefon: +49 (0) 89 12414-9020

Kontakt aufnehmen

Prävention

Compliance-Verstöße lassen sich am Besten verhindern, indem Sie gar nicht erst entstehen. Setzen Sie daher auf Präventivmaßnahmen:

  • Schulung und Sensibilisierung der Mitarbeiter
  • Unternehmensinterne Richtlinien
  • Strukturiertes Informations- und Berichtswesen zur Dokumentation und Nachvollziehbarkeit
  • Geschäftspartnerprüfungen vor Geschäftsabschluss
  • Plausibilitätsprüfungen
  • Nachweisprüfung (z.B. Protokolle, Zertifikate, etc.)
  • Genehmigungsverfahren (z.B. Vieraugenprinzip)
  • Funktionstrennung
  • Automatisierte Prüf- und Freigabeprozesse mittels Software
  • Etablierung eines Hinweisgebersystems
  • Regelmäßige Wiederholung der Risikoanalyse

Kontrolle

Die fortlaufende Überwachung des Compliance-Managements sowie das Monitoring ausgewählter Risikobereiche werden im Zuge von Kontrollmaßnahmen durchgeführt . Dazu gehören u.A:

  • Regelmäßige Mitarbeitergespräche / Interviews
  • Regelmäßige Prozessprüfungen
  • Regelmäßige Dokumentations- und Dokumentenprüfung
  • Regelmäßige Durchführung von Audits
  • Regelmäßiger Austausch mit anderen Instanzen und Beauftragten (z.B. Interne Revision, Datenschutz, Qualitätsmanagement, IT-Sicherheit, etc.)
  • Automatisierte Software-Prüfungen (z.B. Plausibilität, Risiko, etc.)

Reaktion

Kommt es entgegen aller getroffenen Sicherheitmaßnahmen doch zu einem Gesetzes- oder Regelverstoß, so müssen Sie reagieren. Dazu gehört die vollständige Untersuchung und Aufklärung des Vorfalls:

  • Mitarbeiterbefragung und Dokumentation
  • Beweissicherung mittels Datensicherung und Informationssammlung
  • Auswertung der gesammelten Informationen
  • Auswirkungen und Konsequenzen feststellen und bewerten
  • Sofortmaßnahmen festlegen z.B. Freistellung des betroffenen Mitarbeiters
  • Benachrichtigung von Behörden, falls dies geboten ist
  • Sanktionsmaßnahmen durchführen: Ermahnung, Abmahnung, Versetzung sowie Ausspruch der ordentlichen oder außerordentlichen Kündigung sowie Einleitung einer Strafanzeige