Der Standard und das damit verbundene Handbuch sollte die Grundelemente aufzeigen, die ein Management System zur Erfüllung der für die Organisation anwendbaren Compliance-Anforderungen enthalten muss; die konkrete Ausgestaltung und Umsetzung des Compliance Management Systems ist organisationsabhängig und liegt in der Verantwortung der obersten Leitung. Die im Standard aufgezeigten Elemente des Compliance Management Systems müssen überprüfbar und nachweisbar sein, um feststellen zu können, ob und in welchen Punkten eine Organisation über ein Compliance Management System verfügt, das die mit dem CMS verbundenen Ziele erfüllt. Compliance Management Systeme können organisationsspezifisch unterschiedlich strukturiert oder dokumentiert sein.

Diese Frage bildet Kapitel 4.4 der ISO 37301 ab.

Musterprozess:

Wir haben eine Struktur für unser CMS aufgebaut, die es uns ermöglicht

1. ein wirksames Compliance Management System aufrechtzuerhalten,
2. die Mindestanforderungen an ein Compliance Management System zu erfüllen
3. präventive wie korrigierende Maßnahmen umzusetzen.

Unsere Organisation muss das Compliance Management System dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig verbessern.

Die Organisation muss

1. die für das Compliance Management System erforderlichen Prozesse und ihre Anwendung in der gesamten Organisation festlegen,
2. die Abfolge und Wechselwirkung dieser Prozesse festlegen,
3. die erforderlichen Kriterien und Methoden festlegen, um das wirksame Durchführen und Lenken dieser Prozesse sicherzustellen,
4. die Verfügbarkeit von Ressourcen und Informationen sicherstellen, die zur Durchführung und Überwachung dieser Prozesse benötigt werden,
5. diese Prozesse überwachen, soweit zutreffend messen und analysieren
6. die erforderlichen Maßnahmen treffen, um die geplanten Ergebnisse sowie eine ständige Verbesserung dieser Prozesse zu erreichen.

Die Organisation muss diese Prozesse in Übereinstimmung mit den Anforderungen unseres CMS-Standards leiten und lenken.

Wenn sich die Organisation entscheidet, compliance-relevante Prozesse auszugliedern, muss sie die Lenkung derartiger Prozesse sicherstellen. Die Art und der Umfang der Lenkung derartiger ausgegliederter Prozesse müssen im Compliance Management System festgelegt sein. Die Ausgliederung von compliance-relevanten Prozessen entbindet uns als Organisation nicht von der Pflicht zur Erfüllung der für uns geltenden Compliance-Anforderungen.