ISO19600

ISO 19600 Compliance Management Systems

Globalne wytyczne kształtowania systemów zarządzania compliance

Otaczająca nas rzeczywistość poddana jest ścisłej standaryzacji. Krajowe i międzynarodowe standardy określają wymiar kartki papieru, aby pasowała do drukarki (DIN A4), czy sposób kształtowania palety barw (RGB). Fundamentalną rolę w działaniach normalizacyjnych odgrywają krajowe i międzynarodowe organizacje standaryzacyjne, a w szczególności ISO: International Organization for Standardization. ISO już od dawna nie wypracowuje jedynie standardów przemysłowych, ale również odnoszących się do systemów zarządzania, przykładowo kwestiami środowiskowymi czy jakością. Kolejną normą, odnoszącą się do systemów zarządzania, jest norma ISO 19600, która formułuje wytyczne w zakresie kształtowania, implementacji i zapewnienia skuteczności systemów zarządzania compliance (Compliance Management Systems, CMS).

ISO 19600 Compliance Management Systems – najważniejsze informacje:

  • Norma ISO 19600 została ogłoszona w grudniu 2014 r.
  • Zawiera 50 klauzul sformułowanych na 31 stronach
  • Jest to tzw. typ normy B
  • Zawiera wskazówki, zalecenia (guidelines), a nie wymagania
  • Charakter zaleceń podkreślony poprzez użycie czasownika „should“ > powinien
  • Uniwersalny zakres stosowania („organisations“)
  • Nowoczesne podejście (m.in. odwołanie do zasad good governance, proporcjonalności, elastyczności, zarządzania ryzykiem)
  • Funkcja compliance = elastyczne ukształtowanie
  • Norma nie podlega certyfikacji

ISO 19600 Compliance Management Systems – praktyka stosowania

Norma ISO 19600 dzięki swojemu uniwersalnemu charakterowi i formułowaniu ogólnych wytycznych w zakresie kształtowania CMS zyskała dużą popularność. Co oczywiste, norma stosowana jest powszechnie przez organizacje, w szczególności duże koncerny, które działają transgranicznie. Budowanie CMS w oparciu o ISO 19600 umożliwia stosowanie w całej strukturze koncernu podobnych rozwiązań, jednak z uwzględnieniem wymogów elastyczności i proporcjonalności, a więc daje możliwość dostosowywania CMS do lokalnych wymagań. Zalety korzystania z ISO 19600 dostrzegane są także przez mniejsze organizacje: norma wskazuje, jak efektywnie kształtować system compliance, aby spełniał swoje funkcje, a jednocześnie nie generował dla organizacji nadmiernych kosztów, co następuje m.in. poprzez integrację w istniejące już struktury. Organizacja, która stoi przed wyzwaniem implementacji CMS, powinna zrobić to w oparciu o ISO 19600; organizacja, która ma już wdrożony CMS, powinna dokonać jego przeglądu pod kątem zaleceń ISO 19600.

Kontekst przyjęcia ISO 19600 Compliance Management Systems

Od inicjatywy do przyjęcia normy mija zazwyczaj kilka lat. W przypadku normy ISO 19600 okres ten wynosił ok. 2 lata i przedstawiał się następująco:

Czerwiec 2012

Pomysł stworzenia normy wyszedł od Australii, która zaproponowała wstępny projekt normy ISO dla programów compliance. Projekt ten miał za punkt odniesienia australijską normę AS 3806-2006.

Październik 2012

Członkowie ISO decydują o przyjęciu pomysłu wypracowania normy. Przy ISO powołany zostaje Komitet nr 271 (ISO/PC 271), który zajmować ma się wypracowaniem normy. Poszczególne krajowe organizacje normalizacyjne mogą decydować, czy chcą uczestniczyć w pracach nad normą w charakterze członka aktywnego lub obserwatora. Polska nie przyłącza się do inicjatywy.

Kwiecień 2013

W Sydney odbywa się pierwsze globalne posiedzenie Komitetu ISO/PC 271. Postępują prace, które prowadzą do stworzenia projektu normy, który od tego momentu zaczyna nosić nazwę ISO/CD 19600.

Październik 2013

W Paryżu odbywa się drugie globalne posiedzenie Komitetu ISO/PC 271. Dyskutowanych jest ok. 400 komentarzy zgłaszanych do normy przez uczestniczące w pracach delegacje krajowych organizacji normalizacyjnych. Prace nad normą osiągają kolejny poziom: DIS – międzynarodowego projektu. Od teraz projekt nazywa się ISO/ DIS 19600.

Lipiec 2014

Po kolejnej serii komentarzy do projektu odbywa się w Wiedniu trzecie i ostatnie globalne posiedzenie Komitetu. Ponieważ wprowadzone zostają jedynie niewielkie zmiany, które nie budzą zastrzeżeń uczestników, dochodzi do pominięcia ostatniej finalnej fazy prac (FDIS) i podjęcia decyzji o wydaniu normy.

Wrzesień 2014

ISO 19600 Compliance Management Systems przekazana zostaje w finalnej wersji do wydania.

Grudzień 2014

Wydanie normy ISO 19600 Compliance Management Systems

Zasadnicze treści normy ISO 19600 Compliance Management Systems

Podstawowe pojęcia

Norma wprowadza jednolitą definicję compliance rozumianego jako zgodność ze wszystkimi obowiązkami compliance danej organizacji, tj. wymaganiami, które organizacja musi lub chce spełnić.

Norma przewiduje ponadto długofalowe działanie systemu zarządzania compliance, co następować powinno poprzez osadzenie w kulturze organizacyjnej, zachowaniu oraz świadomości wszystkich członków organizacji.

Funkcja compliance powinna mieć bezpośredni dostęp do kierownictwa organizacji, być niezależna i dysponować odpowiednimi upoważnieniami oraz zasobami.

Zasady

Generyczna norma ISO 19600 wskazuje, jakie zasady powinny być uwzględnione przy tworzeniu i zapewnieniu skuteczności działania CMS. Należą do nich (patrz rysunek Zasady Compliance Management Systems zgodnie z par. 1 ISO 19600):

ISO

  • Good Governance
  • Elastyczność
  • Proporcjonalność
  • Transparencja
  • Długofalowość
  • Uniwersalność

 

 

 

Innowacje

Zalecenia normy wyróżnia innowacyjne podejście. Tytułem przykładu wskazać można na:

  • Norma operuje szerokim pojęciem compliance. Zgodnie z nim compliance obejmuje nie tylko zgodność z obowiązującym prawem, ale również z zasadami etycznymi, standardami, normami i oczekiwaniami społecznymi.
  • Z uwagi na zachowanie zasad efektywności i skuteczności norma zaleca, aby CMS był zintegrowany w istniejące w organizacji systemy zarządzania (np. ryzykiem).
  • Kamieniem węgielnym sprawnego CMS jest w ujęciu normy długofalowa kultura compliance

Model CMS

Norma bazuje na trzech zasadniczych ogólnych modelach, które połączone zostały dla stworzenia modelu CMS. Są to:

  • Risk Management System: norma opiera się na modelu zarządzania ryzykiem.
  • High Level Structure: norma wpisuje się do kanonu struktur systemu zarządzania.
  • PDCA-Model: u podstaw normy leży model ciągłego ulepszania (Plan > Do > Check > Act).

Zastosowanie normy ISO 19600

Dalszą korzyścią normy jest szerokie określenie zakresu jej stosowania w organizacji. ISO 19600 Compliance Management Systems nie jest ograniczona wyłącznie do dużych przedsiębiorstw sektora prywatnego. Wprost przeciwnie: norma posługuje się szerokim pojęciem organizacji, w którym mieszczą się zarówno podmioty prowadzące działalność gospodarczą, jak i wszelką inną działalność, bez względu na formę prawną i własnościową. Norma będzie więc mieć zastosowanie przykładowo do przedsiębiorstw bez względu na wielkość (małe, średnie, duże), stowarzyszeń, urzędów i innych jednostek sektora publicznego, fundacji, etc.

Małe i średnie przedsiębiorstwa

Norma znajduje zastosowanie również dla małych i średnich przedsiębiorstw.

W odniesieniu do następujących elementów norma wyraźnie wskazuje, że uwzględnione mają być wielkość, struktura, natura i kompleksowość organizacji:

  • Określenie zakresu stosowania i kontekstu CMS w programie compliance
  • Określenie upoważnień funkcji compliance
  • Określenie zasobów funkcji compliance
  • Zakres dokumentacji
  • Pozyskiwanie informacji: co do zasady Risk Management System, ale także inne źródła

Ponadto we wszystkich sytuacjach: zasada elastyczności i proporcjonalności.

Polecana literatura

  • Daniel Lucien Bühr, Alexander Petschcke, Martin Tolar (red.), ISO 19600 – Compliance Management Systems. A Commentary for Practitioners, Bern 2016
  • Magdalena Gertig, Bartosz Jagura, Certyfikacja systemów zarządzania compliance, w: Deutsch-Polnische Juristen-Zeitschrift, 3 i 4/2015, s. 26 i nast.

Szkolenia compliance zgodnie z ISO 19600

Planowane szkolenia z zakresu ISO 19600 & ISO 37001:

Gru
3
czw
Cyber Security Crash Course & wyzwania IT dla compliance @ Szkolenie ONLINE (link do zalogowania zostanie wysłany przed szkoleniem)
Gru 3@09:30 – 17:00

Cyber Security Crash Course & wyzwania IT dla compliance

Czyli: wiedza i praktyczne umiejętności od oficerów compliance-inżynierów dla oficerów compliance-nie-inżynierów

Dlaczego?: Ostatnie lata to dynamiczny rozwój w obszarze IT, który ma wpływ na wszystkie sfery naszego życia. Z jednej strony oznacza to dla oficera compliance nowe obszary ryzyk, które trzeba zidentyfikować i odpowiednio nimi zarządzić, z drugiej zaś strony rozwój technologii informacyjnej dostarcza narzędzia wspierające codzienną pracę oficera compliance. Wywołana pandemią aktualna sytuacja sprawia, że digitalizacja wysuwa się na pierwszy plan zainteresowań compliance. Bezpieczeństwo informacji czy informatyka śledcza stanowią jedne z fundamentalnych wyzwań dla funkcji compliance w każdej organizacji.

Co?: Celem kursu jest węzłowe przedstawienie zagadnień cyber security oraz omówienie wyzwań zgodności stojących przed organizacjami w zakresie rozwoju nowych technologii. Zajęcia podzielone są na 4 zasadnicze części:

  • Bezpieczeństwo Informacji – wyzwania dla compliance (istota bezpieczeństwa w kontekście compliance; zagrożenia bezpieczeństwa informacji: charakterystyka, źródła, rodzaje, identyfikacja zagrożeń; case study)
  • Proces e-discovery dla oficerów compliance(informatyka śledcza i e-discovery; dowód cyfrowy: zabezpieczanie, analiza, raportowanie; narzędzia, ich działanie oraz ograniczenia: metodyki, dane a metadane; kompetencje informatyków śledczych; reagowanie na incydenty; śledztwa własne; współpraca z organami ścigania; case study)
  • Wyzwania digitalizacji dla compliance (kwestie technologiczne i cyfrowe w compliance; algorytmizacja decyzji; gromadzenie i analiza danych; „cyfrowa ślepota”; problemy z bezkrytyczną wiarą w rozwiązania cyfrowe)
  • Psychologiczne i techniczne aspekty audytu śledczego dla IT compliance.

Dla kogo?: Trening adresowany jest do wszystkich osób chcących zdobyć zrozumienie, praktyczną wiedzę i umiejętności w obszarze bezpieczeństwa IT i wyzwań, przed którymi stają organizacje w związku z rozwojem nowych technologii. Szkolenie szczególnie polecamy osobom na co dzień zajmującym się zarządzaniem zgodnością w różnego typu organizacjach, pracownikom działów prawnych, HR, audytu, zarządzania ryzykiem i in. Szczególna wartość dodana szkolenia polega na tym, że prowadzone jest ono przez grono wybitnych inżynierów posiadających głębokie zrozumienie i doświadczenie w obszarze compliance.

Prelegenci:

dr inż. Marek Stolarski, MBA

Posiada ponad 20 lat doświadczenia w obszarze bezpieczeństwa informacji, obecnie Dyrektor ds. Bezpieczeństwa w Techland sp z o. o. Absolwent Wydziału Podstawowych Problemów Techniki, Informatyki i Zarządzania Politechniki Wrocławskiej oraz Akademii Obrony Narodowej w Warszawie. Członek Polskiego Towarzystwa Informatycznego, rzeczoznawca Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego, członek komitetu technicznego KT 182 Polskiego Komitetu Normalizacyjnego (ds. Ochrony Informacji w Systemach Teleinformatycznych) z odznaczeniem 2015 Lawrence D. Eicher Leadership Award. Biegły sądowy z zakresu informatyki i bezpieczeństwa komputerowego przy Sądzie Okręgowym we Wrocławiu (III kadencja), biegły skarbowy z zakresu informatyki przy Izbie Administracji Skarbowej we Wrocławiu, audytor wiodący SZBI zgodnego z ISO/IEC 27001 (IRCA), licencjonowany prywatny detektyw.

Piotr Chmiel

Chief Compliance Officer w T-Mobile Polska S.A., od 2009 związany z firmą i zagadnieniami compliance. Ukończył Akademię Górniczo-Hutniczą w Krakowie, na wydziale Fizyki i Techniki Jądrowej. Certified Compliance Manager International (Frankfurt School of Finance and Management). Jest jedną z pierwszych osób, które zbudowały Compliance Management System w T-Mobile Polska S.A. Poprzednio pracował jako audytor w firmie PricewaterhouseCoopers, zajmując się analizą i projektowaniem mechanizmów kontrolnych w procesach biznesowych i procesach IT.

Piotr Welenc (ACO)

Dyrektor GRC w Wolters Kluwer SA. Certyfikowany audytor IT, certyfikowany specjalista w zakresie zarządzania ryzykiem informatycznym i ładem IT, certyfikowany compliance officer. Posiada ponad 20-letnie doświadczenie zawodowe, m.in. w zakresie zarządzania strategicznego, controllingu oraz zarządzania ryzykiem operacyjnym, audytu wewnętrznego, audytu IT. Wykonywał audyty dla EBC, jako członek zespołu audytorów informatycznych ESBC. Doradca we wdrożeniach Rekomendacji D i M dla dużych jednostek sektora bankowo-finansowego w Polsce. Członek Komitetu Technicznego 306 Polskiego Komitetu Normalizacyjnego.

 

rejestracja

Lut
18
czw
Wdrażanie systemów zarządzania zgodnością w oparciu o wartości i międzynarodowe standardy – szkolenie online dla ekspertów (prowadzi: Prof. Makowicz) @ Szkolenie ONLINE (link do zalogowania zostanie wysłany przed szkoleniem)
Lut 18@09:30 – 12:45

Dlaczego?: Norma ISO 19600 Compliance Management Systems jest globalnie przyjętym standardem compliance. Podlega ona obecnie aktualizacji i już w 2020 r. zostanie po zmianach opublikowana jako norma ISO 37301. W tej formie po raz pierwszy podlegać będzie certyfikacji. Obecnie organizacje i spółki nie tylko na świecie ale coraz częściej także w Polsce decydują się na implementację ISO 19600. Dzięki temu spółka staje się wiarygodnym i bezpiecznym graczem na rynku globalnym, generując swoistą wartość dodaną organizacji. ISO 19600 może nie tylko być implementowane od podstaw, może także służyć weryfikacji istniejących systemów celem podniesienia ich jakości zgodnie z międzynarodowym standardem. Centralnym elementem CMS, także w założeniu norm, jest kreowanie długofalowej kultury zgodności, w której to zasadnicze znaczenie mają wartości.

Co?: Uczestnicy poznają normę ISO 19600 „z pierwszej ręki”, przedstawiony zostanie cykl wdrażania zgodnie z normą na modelu “step-by-step”. Nacisk położony zostanie na znaczeniu wartości oraz integralności, etyki i zachowań w ramach optymalizacji CMS. Ekspert prowadzący szkolenie, Prof. Dr. Bartosz Makowicz, uczestniczył bezpośrednio w kształtowaniu normy ISO 19600 na poziomie globalnym oraz zaangażowany jest aktualnie w jej rewizję oraz pracę nad nowymi normami (whistleblowing oraz governance). Uczestnicy dowiedzą się, jakie były motywy i rozwój normy, jakie są jej podstawy i przede wszystkim, w jaki sposób wdrożyć normę w strukturze danej organizacji. Krok po kroku zostaną omówione poszczególne etapy procesu wdrażania CMS zgodnie z normą, w oparciu o konkretne przykłady z praktyki. Uczestnicy posiądą ponadto wiedzę odnośnie aktualnego stanu prac nad dalszymi normami oraz ich znaczeniu.

Dla kogo?: Trening adresowany jest do osób na co dzień zajmujących się compliance w różnego typu organizacjach, nie tylko sektora prywatnego. Treść i metodyka kursu skonstruowane są w ten sposób, aby udział w kursie umożliwić także osobom, które zajmują się optymalizacją istniejących systemów, jak i wdrażaniem ich od początku. Serdecznie zapraszamy!

Prelegenci:

Prof. Dr. Bartosz Makowicz

Założyciel Viadrina Compliance Center na Uniwersytecie Viadrina we Frankfurcie nad Odrą oraz Instytut Compliance, wykładowca i autor szkoleń w Compliance Academy Münster. Profesor nauk prawnych. Autor szeregu publikacji oraz mówca na licznych kongresach z zakresu compliance. Zasiada w wielu radach naukowych, m.in. niemieckiego czasopisma Compliance oraz Związku Zawodowego Managerów Compliance. Przewodniczył niemieckiej grupie eksperckiej pracującej nad ISO 19600 Compliance Management Systems oraz ISO 37001 Anti-Bribery Management Systems. Doradzał min. Federalnemu Ministerstwu Obrony oraz instytucjom rządowym w Dubaju przy wdrażaniu systemów zgodności.

 

 

Opłata kursowa (półdniowe szkolenie online): 380 PLN plus VAT

rejestracja

Lut
22
pon
Cyber Security Crash Course & wyzwania IT dla compliance @ Szkolenie ONLINE (link do zalogowania zostanie wysłany przed szkoleniem)
Lut 22@09:30 – 17:00

Cyber Security Crash Course & wyzwania IT dla compliance

Czyli: wiedza i praktyczne umiejętności od oficerów compliance-inżynierów dla oficerów compliance-nie-inżynierów

Dlaczego?: Ostatnie lata to dynamiczny rozwój w obszarze IT, który ma wpływ na wszystkie sfery naszego życia. Z jednej strony oznacza to dla oficera compliance nowe obszary ryzyk, które trzeba zidentyfikować i odpowiednio nimi zarządzić, z drugiej zaś strony rozwój technologii informacyjnej dostarcza narzędzia wspierające codzienną pracę oficera compliance. Wywołana pandemią aktualna sytuacja sprawia, że digitalizacja wysuwa się na pierwszy plan zainteresowań compliance. Bezpieczeństwo informacji czy informatyka śledcza stanowią jedne z fundamentalnych wyzwań dla funkcji compliance w każdej organizacji.

Co?: Celem kursu jest węzłowe przedstawienie zagadnień cyber security oraz omówienie wyzwań zgodności stojących przed organizacjami w zakresie rozwoju nowych technologii. Zajęcia podzielone są na 4 zasadnicze części:

  • Bezpieczeństwo Informacji – wyzwania dla compliance (istota bezpieczeństwa w kontekście compliance; zagrożenia bezpieczeństwa informacji: charakterystyka, źródła, rodzaje, identyfikacja zagrożeń; case study)
  • Proces e-discovery dla oficerów compliance(informatyka śledcza i e-discovery; dowód cyfrowy: zabezpieczanie, analiza, raportowanie; narzędzia, ich działanie oraz ograniczenia: metodyki, dane a metadane; kompetencje informatyków śledczych; reagowanie na incydenty; śledztwa własne; współpraca z organami ścigania; case study)
  • Wyzwania digitalizacji dla compliance (kwestie technologiczne i cyfrowe w compliance; algorytmizacja decyzji; gromadzenie i analiza danych; „cyfrowa ślepota”; problemy z bezkrytyczną wiarą w rozwiązania cyfrowe)
  • Psychologiczne i techniczne aspekty audytu śledczego dla IT compliance.

Dla kogo?: Trening adresowany jest do wszystkich osób chcących zdobyć zrozumienie, praktyczną wiedzę i umiejętności w obszarze bezpieczeństwa IT i wyzwań, przed którymi stają organizacje w związku z rozwojem nowych technologii. Szkolenie szczególnie polecamy osobom na co dzień zajmującym się zarządzaniem zgodnością w różnego typu organizacjach, pracownikom działów prawnych, HR, audytu, zarządzania ryzykiem i in. Szczególna wartość dodana szkolenia polega na tym, że prowadzone jest ono przez grono wybitnych inżynierów posiadających głębokie zrozumienie i doświadczenie w obszarze compliance.

Prelegenci:

dr inż. Marek Stolarski, MBA

Posiada ponad 20 lat doświadczenia w obszarze bezpieczeństwa informacji, obecnie Dyrektor ds. Bezpieczeństwa w Techland sp z o. o. Absolwent Wydziału Podstawowych Problemów Techniki, Informatyki i Zarządzania Politechniki Wrocławskiej oraz Akademii Obrony Narodowej w Warszawie. Członek Polskiego Towarzystwa Informatycznego, rzeczoznawca Izby Rzeczoznawców Polskiego Towarzystwa Informatycznego, członek komitetu technicznego KT 182 Polskiego Komitetu Normalizacyjnego (ds. Ochrony Informacji w Systemach Teleinformatycznych) z odznaczeniem 2015 Lawrence D. Eicher Leadership Award. Biegły sądowy z zakresu informatyki i bezpieczeństwa komputerowego przy Sądzie Okręgowym we Wrocławiu (III kadencja), biegły skarbowy z zakresu informatyki przy Izbie Administracji Skarbowej we Wrocławiu, audytor wiodący SZBI zgodnego z ISO/IEC 27001 (IRCA), licencjonowany prywatny detektyw.

Piotr Chmiel

Chief Compliance Officer w T-Mobile Polska S.A., od 2009 związany z firmą i zagadnieniami compliance. Ukończył Akademię Górniczo-Hutniczą w Krakowie, na wydziale Fizyki i Techniki Jądrowej. Certified Compliance Manager International (Frankfurt School of Finance and Management). Jest jedną z pierwszych osób, które zbudowały Compliance Management System w T-Mobile Polska S.A. Poprzednio pracował jako audytor w firmie PricewaterhouseCoopers, zajmując się analizą i projektowaniem mechanizmów kontrolnych w procesach biznesowych i procesach IT.

Piotr Welenc (ACO)

Dyrektor GRC w Wolters Kluwer SA. Certyfikowany audytor IT, certyfikowany specjalista w zakresie zarządzania ryzykiem informatycznym i ładem IT, certyfikowany compliance officer. Posiada ponad 20-letnie doświadczenie zawodowe, m.in. w zakresie zarządzania strategicznego, controllingu oraz zarządzania ryzykiem operacyjnym, audytu wewnętrznego, audytu IT. Wykonywał audyty dla EBC, jako członek zespołu audytorów informatycznych ESBC. Doradca we wdrożeniach Rekomendacji D i M dla dużych jednostek sektora bankowo-finansowego w Polsce. Członek Komitetu Technicznego 306 Polskiego Komitetu Normalizacyjnego.

 

rejestracja

 

Inhouse Trainings zgodnie z ISO 19600

Instytut Compliance Sp. z o. o. organizuje szkolenia zamknięte z zagadnień compliance. Nasze programy szkoleniowe tworzone są w oparciu o ISO 19600. Jesteśmy otwarci na Państwa oczekiwania – prosimy o kontakt!

Szkolenia prowadzi min. Prof. Dr. Bartosz Makowicz

Ekspert Instytutu Compliance, Prof. Dr. Bartosz Makowicz, brał udział w tworzeniu normy ISO 19600, przewodnicząc niemieckiemu komitetowi DIN zaangażowanemu w prace nad normą. Prof. Makowicz dysponuje ekspercką wiedzą „z pierwszej ręki“ na temat normy ISO 19600 oraz ISO 37001 i kształtowania na jej podstawie systemów zarządzania compliance. Prof. Makowicz jest autorem wielu publikacji z zakresu ISO-Compliance.