Tento týden přišel dlouho očekávaný posun v oblasti implementace a nastavování compliance management systémů (CMS).
Ten představuje publikace nově přijaté normy ISO 37301: Compliance management systems – Requirements with guidance for use, na jejíž tvorbu normy jsme vás v minulosti upozornili již v našem článku „Král je mrtev, ať žije král! Po ISO 19600 přichází ISO 37301“.
O čem ale nová norma je a čím se liší od své předchůdkyně?
Dosud platná norma ISO 19600: Compliance management systems, publikovaná v roce 2014, byla prvním mezinárodním standardem svého druhu zaměřeným na oblast compliance, nyní však získala svého nástupce v normě ISO 37301. Základním rozdílem mezi oběma normami je to, že ISO 37301 je nově normou typu A, tedy normou, jejíž implementaci lze certifikovat, po čemž v průběhu vývoje normy mj. volali i zástupci soukromého sektoru.
Možnost certifikace v praxi znamená, že ISO 37301 jasně a závazně formuluje, jaká opatření, procesy a mechanismy musí organizace zavést pro splnění vysokých kvalitativních požadavků na její CMS. Předchozí norma ISO 19600 je na rozdíl od toho obecnější povahy, obsahuje pouze jednotlivá doporučení a neumožňuje certifikaci. ISO 37301 nicméně z velké většiny kopíruje obsah ISO 19600, organizace, které již tuto starší normu implementovaly, se tak nemusí bát požadavků na zásadní změny ve svých existujících CMS.
Implementace ISO 37301 klade také zásadní důraz na roli compliance manažera a celého compliance oddělení u větších společností, případně na osoby zodpovědné za tuto oblast u menších firem.
Nová norma do jisté míry může dále posouvat i obsah pojmu compliance. Dosud se zpravidla setkáváme s tím, že compliance v pojetí většiny tuzemských organizací znamená dodržování souladu s platnými zákony, předpisy či jinými závaznými normami.
Moderní pojetí compliance však tuto oblast zasazuje do podstatně širšího kontextu. Důvodem je fakt, že ISO 37301 klade důraz nejen na dodržování zákonů, ale i na podporu při prosazování strategických cílů společnosti – moderní CMS tak zohledňuje i dodržování předpisů, úředních rozhodnutí, smluv, interních směrnic, koncernových a/nebo podnikových procesů, oborových ujednání a mnoho dalších aspektů fungování organizace.
V prostředí České republiky je zároveň nezanedbatelným přínosem certifikace podle ISO 37301 její potenciální role při posuzování společnosti v případech, kdy orgány činné v trestním řízení postupují podle Zákona o trestní odpovědnosti právnických osob (č. 418/2011 Sb.).
Certifikace dle ISO 37301 je účinným nástrojem k ochraně společnosti a jejího vedení a v tomto smyslu se vyjadřuje i aktuální verze metodiky NSZ, která je zaměřená mj. na prokázání existence funkčního a účinného CMS.
V mezinárodním prostředí má pak zvláště v zemích západní Evropy a v USA implementace a certifikace funkčního compliance vzrůstající význam v obchodních vztazích – stejně jako v případě dalších norem (např. ISO 37001 nebo ISO 9001) je úspěšná certifikace symbolem důvěryhodnosti v očích partnerů a často i konkurenční výhodou.
Struktura ISO 37301 vychází jako u všech moderních norem z tzv. PDCA cyklu (Plan-Do-Check-Act, v češtině známé jako Naplánuj-Proveď-Ověř-Jednej), zobrazeného v následujícím diagramu.
Norma a její tzv. high-level struktura přitom klade důraz na 3 základní procesy, kterými jsou plánování, podpora a leadership. Na tyto procesy pak navazují další, jako jsou politika compliance, Compliance Risk Assessment (zhodnocení compliance rizik), zodpovědnosti v rámci compliance, hodnocení výkonu a compliance školení.
Pro zavedení a certifikaci podle ISO 37301 je velmi důležitá compliance kultura organizace. Norma se zaměřuje na všechny úrovně organizace a vyžaduje pozitivní přístup, resp. závazek vůči compliance napříč celou organizací, od vedení společnosti až po nejníže zařazené zaměstnance. Toho lze dosáhnout cílenou a efektivní komunikací a zavedením účinných nástrojů umožňujících řízení této problematiky.
Důležitým aspektem je i ošetření problematiky tzv. whistleblowingu neboli oznamování protispolečenské činnosti. K tomu se váží i aktuálně připravovaný zákon o ochraně oznamovatelů, který reaguje na požadavky směrnice EU 2019/1937.
ISO 37301 lze zároveň provázat s dalšími normami, mezi které se řadí např. nám dobře známá „protikorupční“ norma ISO 37001.
Screening Solutions je jedním z lídrů na trhu v oblasti zavádění compliance management systémů a jejich komponentů. Po mnoha úspěšných implementacích v ČR i v zahraničí zakončených certifikacemi jsme připraveni pomoci našim zákazníkům i při zavádění a přípravě na certifikaci podle ISO 37301.
Naši certifikovaní auditoři a specialisté jsou připraveni odpovědět na Vaše případné otázky a pomoci Vám s nastavením a implementací funkčního compliance systému, čímž chceme přispět k budování zdravého a transparentního podnikatelského prostředí v České republice i v zahraničí.