Wdrażanie compliance zgodnie z ISO 37301
Kolejna odsłona ISO Compliance, w której przybliżamy wszystkim zainteresowanym normę ISO 37301. W dzisiejszej, trzeciej części cyklu, skupimy się na krótkim omówieniu aspektów dotyczących wdrażania compliance. Przypomnijmy, że norma ISO 37301 jest zgodna z wymaganiami ISO dotyczącymi zharmonizowanej struktury norm dotyczących systemów zarządzania i składa się z 10 rozdziałów oraz załącznika. Przy czym pierwsze 3 rozdziały dotyczą zakresu normy i zdefiniowania pojęć jakimi posłużono się w dokumencie, a kolejne tj. 4-10 określają wymagania i zawierają wytyczne dotyczące tworzenia, rozwijania, wdrażania, oceny, utrzymywania i doskonalenia skutecznego systemu zarządzania zgodnością wewnątrz organizacji, i właśnie na tych rozdziałach skupimy się poniżej i w kolejnych artykułach.
Rozdział nr 4. Kontekst organizacji
Przede wszystkim celem tej klauzuli jest pokazanie i uświadomienie, iż na system zarządzania zgodnością ma wpływ wiele czynników, a rolą organizacji jest szczegółowa analiza swojego otoczenia i określenie, które czynniki zarówno zewnętrzne jak i wewnętrzne, mogą wpływać na jej zdolność do osiągnięcia zamierzonych rezultatów w zakresie zgodności.
W tym celu organizacja powinna rozważyć szeroki zakres zagadnień takich jak:
– model biznesowy, charakter, wielkość i skalę złożoności działalności;
– charakter i zakres relacji biznesowych ze stronami trzecimi;
– kontekst prawny i regulacyjny;
– sytuację gospodarczą;
– kontekst społeczny, kulturowy i środowiskowy;
– strukturę wewnętrzną, zasady, procesy, procedury, dostępne zasoby oraz technologię;
– kulturę przestrzegania prawa.
Swoistym novum, przy identyfikacji obowiązków w organizacji w zakresie zgodności jest wskazówka do zastosowania zasady Pareto tj. najpierw należy określić najważniejszy obowiązek w zakresie zgodności, który jest istotny dla działalności danej organizacji, a następnie skupić się na wszystkich pozostałych.
Dodatkowo zaleca się stworzenie rejestru określającego wszystkie obowiązki organizacji w zakresie zgodności, który dodatkowo powinien zawierać informacje o zarządzaniu i monitorowaniu ich wykonywania oraz ocenie ryzyka.
Podstawą wdrożenia systemu zarządzania zgodnością jest ocena ryzyka braku zgodności oraz przydział odpowiednich i adekwatnych zasobów i procesów do zarządzania zidentyfikowanym ryzykiem braku zgodności. W zakresie zgodności wyróżnia się ryzyko rezydualne oraz ryzyko inherentne, gdzie ryzyko inherentne odnosi się do wszystkich ryzyk zgodności, na jakie narażona jest organizacja w stanie niekontrolowanym bez odpowiednich środków postępowania w przypadku ryzyka braku zgodności. Ryzyko inherentne to ryzyko zgodności, które nie jest skutecznie kontrolowane przez istniejące środki zarządzania ryzykiem braku zgodności w organizacji. Podczas przeprowadzania oceny ryzyka, należy postępować zgodnie z wytycznymi ISO 31000 i zwrócić uwagę na odpowiednie techniki (jak szczegółowo opisano w IEC 31010).
Rozdział nr 5. Przywództwo
Skuteczny system zarządzania zgodnością wymaga zaangażowania ze strony organu zarządzającego i kadry kierowniczej. Aktywne i widoczne wsparcie dla ustanowienia i utrzymania systemu zarządzania zgodnością zostało uznane za podstawowy sposób okazania zaangażowania przez ww. osoby.
ISO 37301, w porównaniu do ISO 19600, w rozdziale 5 dotyczącym przywództwa, dodatkowo zawiera podrozdział o nawie „kultura compliance” oraz „zarządzanie zgodnością”. Podrozdział dotyczący kultury compliance był już obecny w ISO 19600 w rozdziale 7 dotyczącym komunikacji/wsparcia, ale z uwagi na rolę jaką odgrywa organ zarządzający oraz wyższa kadra menadżerska w szerzeniu kultury compliance nie jest zaskoczeniem, iż został on przeniesiony do rozdziału nr 5.
Dodatkowo, obok czynników wspierających budowanie kultury compliance dodano zalecenie w zakresie:
a) mierzalności kultury zgodności;
b) zwracania się do całego personelu o opinie, w zakresie postrzegania przestrzegania zgodności przez wyższą kadrę kierowniczą i organ zarządzający;
c) ustanowienia planów działania na podstawie wyników wskaźników kultury compliance organizacji.
Ww. może oznaczać nowe obowiązki dla komórki compliance i dodanie do oceny ryzyka braku zgodności oceny ryzyka kultury compliance w organizacji.
Informacje na temat zarządzania zgodnością również pojawiły się już w ISO 19600, lecz nie jako osobny podrozdział, ale jako opis systemu zarządzania zgodnością.
Zgodnie z nowym ISO zarządzanie zgodnością opiera się na następujących podstawowych zasadach:
a) komórka ds. zgodności powinna mieć bezpośredni dostęp do organu zarządzającego i najwyższego kierownictwa. Przy czym jeśli zajdzie taka potrzeba pracownicy komórki mogą ominąć innych członków organizacji i bezpośrednio komunikować się z osobą lub osobami z największym autorytetem do działania. Komunikacja powinna być systematyczna i zaplanowana.
b) komórka ds. zgodności powinna być niezależna i móc działać bez ingerencji ze strony kierownictwa.
c) komórka ds. zgodności powinna mieć autorytet i jej raporty nie mogą być zmieniane przez przez osoby, którym podlega. Komórka ds. zgodności powinna mieć „głos przy stole” aby móc popierać i zgłaszać wszelkie obawy dotyczące zgodności.
d) komórka ds. zgodności powinna mieć odpowiednie zasoby, w tym dostęp do technologii aby móc wspierać organizację w osiąganiu celów w zakresie zgodności.
Zachęcamy Państwa do udziału w warsztacie podczas którego skupimy się na kwestiach wdrażaniach compliance zgodnie z normą ISO 37301 szczegóły w linku: wdrażanie compliance JustComply
