Norma ISO 37301 obchodzi drugie urodziny. To okazja do krótkiej recenzji.
Kilka zapisów wyróżnia ją na plus. Ale w jednym miejscu można odczuć niedosyt. Czy na pewno uzasadniony?
Dwa pojęcia zgodności
Na początek warto zwrócić uwagę na wyzwanie terminologiczne.
Polskim pojęciom „zgodność / niezgodność” odpowiadają dwa różne terminy w języku angielskim.
- Conformity / nonconformity – co oznacza zgodność / niezgodność dotyczącą spełnienia wymagań normy.
- Compliance / noncompliance – co oznacza zgodność / niezgodność dotyczącą spełnienia przez organizację wymagań prawnych i standardów.
(Ciekawe wyzwanie dla tłumaczy oficjalnej wersji)
9 stałych punktów gry
Normy zarządzania ISO same są zharmonizowane.
Posiadają taką samą strukturę składającą się z 10 rozdziałów. 9 jest stosunkowo podobnych, a tylko w jednym (8. – działania operacyjne) zawarte są wymagania specyficzne dla danego standardu.
Wszystkie opierają się na ocenie kontekstu i na zarządzaniu ryzykiem. Zwracają uwagę na przywództwo i zaangażowanie kadry kierowniczej. Ich istotną częścią są procesy stałego doskonalenia.
Tak więc bardzo interesujące są te wymagania, które wyróżniają ją z innych norm.
Dobre praktyki to też wymagania
Zacznijmy od samej definicji wymagań. W normie antykorupcyjnej (ISO 37001) wymaganiami są wyłącznie odpowiednie zapisy wskazane w tekście dokumentu.
W IAO 37301 wymaganiami, które trzeba spełnić, są także „wymagania przyjęte zwyczajowo”, czyli dobre praktyki stosowane powszechnie i oczekiwane w danej branży.
Stawia to wyzwanie zarówno po stronie organizacji wdrażającej normę jak i po stronie audytorów. Trzeba znać branżę i jej dobre praktyki w zakresie zgodności. Mogą być nimi np. kodeksy przyjęte przez izby przedsiębiorców z danego sektora.
Ten zapis, choć jest wyzwaniem, jest także atutem. Zachęca do poszukiwania i wdrażania dobrych praktyk.
Kultura compliance
Norma bardzo eksponuje potrzebę właściwej kultury organizacyjnej.
Podana jest nawet jej definicja: „Kultura compliance to wartości, etyka, wierzenia i zachowanie, które występuje w organizacji i oddziałuje wzajemnie ze strukturami i systemem kontroli w organizacji, aby wytworzyć normy zachowania sprzyjające zgodności.”
Tworzenie, utrzymywanie i promowanie kultury zgodności jest jednym z wymagań normy. Wskazuje ona na konieczność dawania własnego, dobrego przykładu przez kadrę kierowniczą każdego szczebla. Najwyższe kierownictwo musi wspierać zachowania sprzyjającego zgodności oraz zapobiegać i nie tolerować zachowań, które naruszają zgodność.
To kolejny atut.
Bo same procedury i regulaminy niczego nie załatwią. Procedury, które nie oparte na wartościach, mogą wręcz sankcjonować nadużycia i niezgodności. W kulturze cwaniactwa compliance stanie się zakurzonym segregatorem na półce.
Oficer compliance to jest figura
Kolejne, niezwykle ciekawe zapisy, dotyczą pełniącego funkcję zapewnienia zgodności. W praktyce: oficera compliance lub dyrektora komórki ds. zgodności. Odpowiada on za operacyjne działanie systemu.
Norma przyznaje mu szereg istotnych uprawnień:
- bezpośredni dostęp do najwyższego kierownictwa i organu zarządzającego (np. zarządu i rady nadzorczej), przykładowo przez bezpośrednie raportowanie i udział w posiedzeniach,
- bezpośredni dostęp do innych decydentów i całego personelu,
- możliwość wpływania na proces decyzyjny na wczesnych etapach (!!!),
- dostęp do wszelkich informacji, danych i szczebli organizacyjnych,
- niezależność, polegającą na swobodzie pełnienia funkcji, bez nieuzasadnionej ingerencji i nacisków,
- zapewnienie wsparcia eksperckiego.
To kolejny atut. Oficer compliance, który niewiele może – szybko się wypali.
Powinien być tam, gdzie podejmowane są decyzje mające wpływ na zgodność.
Przykładowo, Amerykański Departament Sprawiedliwości zaleca, aby przy fuzjach i przejęciach oficer compliance uczestniczył od początku negocjacji i przeprowadzania due diligence drugiej spółki. Bo w jej szafach mogą się kryć prawne trupy. A w konsekwencji, z udziałami można nabyć także korporacyjną odpowiedzialność za przestępstwa przejmowanego podmiotu.
Ubogi rozdział 8
Jak wspomniałem wyżej, ósme rozdziały poszczególnych norm zarządzania zawierają narzędzia, specyficzne dla danego standardu. Niektórzy w żargonie nazywają to „mięsem”. Konkretami do zastosowania.
W normie antykorupcyjnej (ISO 37001) jest ich dziewięć.
W ISO 37301 …są tylko trzy.
Gdy pierwszy raz czytałem tekst normy, byłem srodze zawiedziony. (Nie tylko zresztą ja). Spodziewałem się znacznie więcej!
Tymczasem mamy tutaj:
- dwa wymagania konkretne, dotyczące wdrożenia kanałów zgłoszeniowych i prowadzenia postępowań wyjaśniających,
- trzeci punkt opisowy.
Stanowi on, że:
„Organizacja powinna wdrożyć środki nadzoru w celu zarządzania swoimi zobowiązaniami dotyczącymi zgodności i powiązanymi ryzykami dotyczącymi zgodności.
Te środki nadzoru powinny być utrzymywane, okresowo przeglądane i testowane w celu zapewnienia ich stałej skuteczności.”
A gdzie konkrety? Co z tego wymagania praktycznie wynika?
W dodatku A, tym ze wskazówkami, mamy trochę podpowiedzi. Wspomina się, że takim środkiem może być np. kodeks postępowania.
I to wszystko?
Ale czy dało się inaczej?
Po głębszym zastanowieniu doszedłem jednak do wniosku, że w sumie twórcy normy nie mieli innego wyboru.
Systemy compliance mogą obejmować bardzo różne zagadnienia. W pewnych podmiotach obejmą AML, w innych nie. W pewnych jest istotna ochrona środowiska, w innych nie. Podobnie z tax compliance. BHP. I dziesiątkami innych tematów.
W konsekwencji narzędzia wymagane w jednych organizacjach byłyby zbędne w innych. Jedynie kanały sygnalizowania są potrzebne wszędzie.
Tak więc zamiast narzekać, w ten punkt normy należy się po prostu dobrze wczytać. Mówi on tyle, że:
- najpierw zidentyfikuj zobowiązania w zakresie zgodności,
- potem ryzyka niezgodności,
- z oceny ryzyka wyjdzie ci, które środki nadzoru działają, a które trzeba usprawnić lub dodać,
- dodaj lub usprawnij co trzeba,
- a następnie utrzymuj, przeglądaj i testuj.
A więc, jeśli
- zrobisz dobrą listę wymagań w zakresie zgodności
- dobrze zarządzasz ryzykiem,
- znasz dobre praktyki w branży
– to otrzymasz gotową listę środków nadzoru.
A może integracja ISO 37301 z innymi normami?
Jest też inna ścieżka – integracja.
Systemy zarządzania zgodnością dobrze integrują sią z innymi, szczegółowymi systemami zarządzania (antykorupcja, BHP, ochrona informacji, zarządzanie środowiskowe itp.)
Otrzymujemy wtedy zintegrowany system zarządzania, w którym sumujemy narzędzia z ósmych rozdziałów różnych norm. Ale tych, które są dla nas istotne (bo je wdrożyliśmy).
W pozostałym zakresie używamy podejścia z ISO 37301: lista wymagań + zarządzanie ryzykiem + dobre praktyki.
Trzy opcje wdrożenia ISO 37301
Norma ISO 37301 Systemy zarządzania zgodnością stała się powszechnie uznanym standardem systemów compliance.
W zeszłym roku została ustanowiona jako Polska Norma. Nie ma jeszcze oficjalnego polskiego tłumaczenia. Stosuje się wersję angielską.
Można certyfikować jej wdrożenie. Ale czy warto?
To zależy (wiem, że nie lubisz tej odpowiedzi). To zależy jaki apetyt na zgodność ma twoja organizacja. I jakie problemy jej grożą
Ja widzę trzy opcje wdrożenia.
Pierwsza – kluczowe procesy i dokumenty, z zarządzaniem ryzykiem niezgodności jako silnikiem compliance.
Druga – prawie pełna, bez certyfikacji. Można pominąć procesy audytów wewnętrznych.
Trzecia – pod certyfikację, obejmująca wszystkie wymagania, z audytami.
Gdy apetyt na zgodność rośnie, można wdrożenia rozszerzać.
(Miały być ciekawostki, a znowu się rozpisałem).
Zapraszam do newslettera
Pakiet ciekawych informacji kilka razy w miesiącu. Plus przywileje. Zapisz się tutaj.
Jeśli czytasz ostatni akapit…
..to tekst był pewnie interesujący. Podziel się nim w swoich sieciach społecznościowych. To doskonała forma podziękowania.
Przyciski znajdziesz poniżej.
Możesz też postawić mi kawę.
