ISO 37301: Compliance-Management


Die einfachste und beste Methode, um Rechtsverstöße zu verhindern, ist die Einführung eines Compliance-Management-Systems. Dieses umfasst die Einführung von Präventionsmaßnahmen, Kontrollmaßnahmen und Reaktionsmaßnahmen.
Prävention
Compliance-Verstöße lassen sich am Besten verhindern, indem Sie gar nicht erst entstehen. Setzen Sie daher auf Präventivmaßnahmen:
- Schulung und Sensibilisierung der Mitarbeiter
- Unternehmensinterne Richtlinien
- Strukturiertes Informations- und Berichtswesen zur Dokumentation und Nachvollziehbarkeit
- Geschäftspartnerprüfungen vor Geschäftsabschluss
- Plausibilitätsprüfungen
- Nachweisprüfung (z.B. Protokolle, Zertifikate, etc.)
- Genehmigungsverfahren (z.B. Vieraugenprinzip)
- Funktionstrennung
- Automatisierte Prüf- und Freigabeprozesse mittels Software
- Etablierung eines Hinweisgebersystems
- Regelmäßige Wiederholung der Risikoanalyse
Kontrolle
Die fortlaufende Überwachung des Compliance-Managements sowie das Monitoring ausgewählter Risikobereiche werden im Zuge von Kontrollmaßnahmen durchgeführt . Dazu gehören u.A:
- Regelmäßige Mitarbeitergespräche / Interviews
- Regelmäßige Prozessprüfungen
- Regelmäßige Dokumentations- und Dokumentenprüfung
- Regelmäßige Durchführung von Audits
- Regelmäßiger Austausch mit anderen Instanzen und Beauftragten (z.B. Interne Revision, Datenschutz, Qualitätsmanagement, IT-Sicherheit, etc.)
- Automatisierte Software-Prüfungen (z.B. Plausibilität, Risiko, etc.)
Reaktion
Kommt es entgegen aller getroffenen Sicherheitmaßnahmen doch zu einem Gesetzes- oder Regelverstoß, so müssen Sie reagieren. Dazu gehört die vollständige Untersuchung und Aufklärung des Vorfalls:
- Mitarbeiterbefragung und Dokumentation
- Beweissicherung mittels Datensicherung und Informationssammlung
- Auswertung der gesammelten Informationen
- Auswirkungen und Konsequenzen feststellen und bewerten
- Sofortmaßnahmen festlegen z.B. Freistellung des betroffenen Mitarbeiters
- Benachrichtigung von Behörden, falls dies geboten ist
- Sanktionsmaßnahmen durchführen: Ermahnung, Abmahnung, Versetzung sowie Ausspruch der ordentlichen oder außerordentlichen Kündigung sowie Einleitung einer Strafanzeige
