ISO37301

ISO 37301 Compliance Management Systems

Globalne standardy kształtowania systemów zarządzania zgodnością

Otaczająca nas rzeczywistość poddana jest ścisłej standaryzacji. Krajowe i międzynarodowe standardy określają wymiar kartki papieru, aby pasowała do drukarki (DIN A4), czy sposób kształtowania palety barw (RGB). Fundamentalną rolę w działaniach normalizacyjnych odgrywają krajowe i międzynarodowe organizacje standaryzacyjne, a w szczególności ISO: International Organization for Standardization. ISO już od dawna nie wypracowuje jedynie standardów przemysłowych, ale również odnoszących się do systemów zarządzania, przykładowo kwestiami środowiskowymi czy jakością. Kolejną normą, odnoszącą się do systemów zarządzania, jest norma ISO 37301, która formułuje wymagania w zakresie kształtowania, implementacji i zapewnienia skuteczności systemów zarządzania compliance (Compliance Management Systems, CMS). Norma ISO 37301 została opublikowana w kwietniu 2021 r. i zastąpiła obowiązującą do tej pory normę ISO 19600.

ISO 37301 Compliance Management Systems – najważniejsze informacje:

  • Norma ISO 37301 zostałą opublikowana w kwietniu 2021 r. i zastąpiła normę ISO 19600, która została ogłoszona w grudniu 2014 r.
  • Zawiera 50 klauzul sformułowanych na 31 stronach
  • Jest to tzw. typ normy A (czyli inaczej niż pierwotna norma ISO 19600, nowa norma ISO 37301 podlega certyfikacji)
  • Zawiera wymagania (requirements), a nie jak wcześniejsza norma ISO 19600, która zawierałą jedynie wytyczne
  • Uniwersalny zakres stosowania („organisations“), plementacja możliwa jest we wszystkich rodzajach organizacji włączając podmioty administracji publicznej
  • Nowoczesne podejście (m.in. odwołanie do zasad good governance, proporcjonalności, elastyczności, zarządzania ryzykiem)
  • Funkcja compliance = elastyczne ukształtowanie
  • Norma od kwietnia 2021 r. podlega certyfikacji

ISO 37301 Compliance Management Systems – praktyka stosowania

Norma ISO 37301 dzięki swojemu uniwersalnemu charakterowi i formułowaniu ogólnych wymogów w zakresie kształtowania CMS zyskała dużą popularność. Co oczywiste, norma stosowana jest powszechnie przez organizacje, w szczególności duże koncerny, które działają transgranicznie. Budowanie CMS w oparciu o ISO 37301 umożliwia stosowanie w całej strukturze koncernu podobnych rozwiązań, jednak z uwzględnieniem wymogów elastyczności i proporcjonalności, a więc daje możliwość dostosowywania CMS do lokalnych wymagań. Zalety korzystania z ISO 37301 dostrzegane są także przez mniejsze organizacje: norma wskazuje, jak efektywnie kształtować system compliance, aby spełniał swoje funkcje, a jednocześnie nie generował dla organizacji nadmiernych kosztów, co następuje m.in. poprzez integrację w istniejące już struktury. Organizacja, która stoi przed wyzwaniem implementacji CMS, powinna zrobić to w oparciu o ISO 37301; organizacja, która ma już wdrożony CMS, powinna dokonać jego przeglądu pod kątem zaleceń ISO 37301.

 

Zasadnicze treści normy ISO 19600 Compliance Management Systems

Podstawowe pojęcia

Norma wprowadza jednolitą definicję compliance rozumianego jako zgodność ze wszystkimi obowiązkami compliance danej organizacji, tj. wymaganiami, które organizacja musi lub chce spełnić.

Norma przewiduje ponadto długofalowe działanie systemu zarządzania compliance, co następować powinno poprzez osadzenie w kulturze organizacyjnej, zachowaniu oraz świadomości wszystkich członków organizacji.

Funkcja compliance powinna mieć bezpośredni dostęp do kierownictwa organizacji, być niezależna i dysponować odpowiednimi upoważnieniami oraz zasobami.

Zasady

Generyczna norma ISO 37301 wskazuje, jakie zasady powinny być uwzględnione przy tworzeniu i zapewnieniu skuteczności działania CMS. Należą do nich (patrz rysunek Zasady Compliance Management Systems zgodnie z par. 1 ISO 37301):

Good Governance

  • Elastyczność
  • Proporcjonalność
  • Transparencja
  • Długofalowość
  • Uniwersalność

Innowacje

Zalecenia normy wyróżnia innowacyjne podejście. Tytułem przykładu wskazać można na:

  • Norma operuje szerokim pojęciem compliance. Zgodnie z nim compliance obejmuje nie tylko zgodność z obowiązującym prawem, ale również z zasadami etycznymi, standardami, normami i oczekiwaniami społecznymi.
  • Z uwagi na zachowanie zasad efektywności i skuteczności norma zaleca, aby CMS był zintegrowany w istniejące w organizacji systemy zarządzania (np. ryzykiem).
  • Kamieniem węgielnym sprawnego CMS jest w ujęciu normy długofalowa kultura compliance

Model CMS

Norma bazuje na trzech zasadniczych ogólnych modelach, które połączone zostały dla stworzenia modelu CMS. Są to:

  • Risk Management System: norma opiera się na modelu zarządzania ryzykiem.
  • High Level Structure: norma wpisuje się do kanonu struktur systemu zarządzania.
  • PDCA-Model: u podstaw normy leży model ciągłego ulepszania (Plan > Do > Check > Act).

Zastosowanie normy ISO 37301

Dalszą korzyścią normy jest szerokie określenie zakresu jej stosowania w organizacji. ISO 37301 Compliance Management Systems nie jest ograniczona wyłącznie do dużych przedsiębiorstw sektora prywatnego. Wprost przeciwnie: norma posługuje się szerokim pojęciem organizacji, w którym mieszczą się zarówno podmioty prowadzące działalność gospodarczą, jak i wszelką inną działalność, bez względu na formę prawną i własnościową. Norma będzie więc mieć zastosowanie przykładowo do przedsiębiorstw bez względu na wielkość (małe, średnie, duże), stowarzyszeń, urzędów i innych jednostek sektora publicznego, fundacji, etc.

Małe i średnie przedsiębiorstwa

Norma znajduje zastosowanie również dla małych i średnich przedsiębiorstw.

W odniesieniu do następujących elementów norma wyraźnie wskazuje, że uwzględnione mają być wielkość, struktura, natura i kompleksowość organizacji:

  • Określenie zakresu stosowania i kontekstu CMS w programie compliance
  • Określenie upoważnień funkcji compliance
  • Określenie zasobów funkcji compliance
  • Zakres dokumentacji
  • Pozyskiwanie informacji: co do zasady Risk Management System, ale także inne źródła

Ponadto we wszystkich sytuacjach: zasada elastyczności i proporcjonalności.

Inhouse Trainings zgodnie z ISO 37301

Instytut Compliance Sp. z o. o. organizuje szkolenia zamknięte z zagadnień compliance. Nasze programy szkoleniowe tworzone są w oparciu o ISO 37301. Jesteśmy otwarci na Państwa oczekiwania – prosimy o kontakt!

Szkolenia prowadzi min. Prof. Dr. Bartosz Makowicz

Ekspert Instytutu Compliance, Prof. Dr. Bartosz Makowicz, brał udział w tworzeniu normy ISO 37301, przewodnicząc niemieckiemu komitetowi DIN zaangażowanemu w prace nad normą. Prof. Makowicz dysponuje ekspercką wiedzą „z pierwszej ręki“ na temat normy ISO 37301 oraz ISO 37001 i kształtowania na jej podstawie systemów zarządzania compliance. Prof. Makowicz jest autorem wielu publikacji z zakresu ISO-Compliance.