Die Organisation muss über ein dokumentiertes Verfahren für den Umgang mit compliance-relevanten Vorgängen, einschließlich Zuständigkeiten und Berichtswegen, verfügen. Die Organisation muss die rechtlich vorgeschriebene Kommunikation nach außen (z.B. Berichts-, Melde-, Informations- und Warnpflichten gegenüber Behörden, Kapitalmarkt, Kunden etc.) sicherstellen.

Alle relevanten Compliance-Vorgänge sowie ihre Behandlung und Lösung müssen dokumentiert werden. Die für das Compliance-Managementsystem erforderlichen und von diesem Dokument geforderten dokumentierten Informationen müssen gelenkt werden, um sicherzustellen, dass sie:

1. für eine Nutzung geeignet und jederzeit und an jedem Ort verfügbar sind, an dem sie benötigt werden;
2. ausreichend geschützt sind (z.B. vor dem Verlust der Vertraulichkeit, einem unsachgemäßen Gebrauch oder dem Verlust der Unversehrtheit

Diese Frage bildet Kapitel 7.5 und 9.1.5 der ISO 37301 ab.

Musterprozess:

Die Lenkung dokumentierter Informationen und Aufzeichnungen soll sicherstellen, dass sie

1. verfügbar und für die Verwendung geeignet ist, wo und wann sie benötigt wird,
2. angemessen geschützt wird (Vertraulichkeit, Verlust Integrität).

Außerdem ist zu berücksichtigen:

1. Verteilung, Zugriff, Auffindung und Verwendung (z. B. Schreib- / Leserechte)
2. Ablage/Speicherung und Erhaltung, einschließlich Erhaltung der Lesbarkeit
3. Überwachung von Änderungen (z. B. Versionskontrolle)
4. Aufbewahrung und Verfügung über den weiteren Verbleib (was lagert wo wie lange).

Dokumentierte Informationen externer Herkunft, die als notwendig für das QM-System bestimmt wurden, müssen angemessen gekennzeichnet und ebenfalls gelenkt werden.

Die Dokumentation zum Compliance Management System muss die notwendigen Vorgabe- und Nachweisdokumente enthalten. Wir orientieren uns an den Vorgaben der ISO 9001:2015. Übliche Vorgabedokumente sind:

1. Rechtsquellen; darunter Gesetze, Verordnungen, Verwaltungsakte, Satzungen, verbindliche Standards oder Kodizes
2. Aufstellung der spezifischen, für die Organisation anwendbaren Compliance-Anforderungen (Handbücher, Richtlinien)
3. Beschreibung des Compliance Management Systems
4. dokumentierte Verfahren und Prozesse oder Arbeitsanweisungen zur Sicherstellung der Erfüllung von Compliance-Anforderungen und zur Vernetzung von compliance-relevanten Prozessen mit anderen Prozessen und
5. dokumentierte Verfahren, die von diesem Standard gefordert werden.