ISO 37301: Nový standard pro Compliance Management System
- Datum: 04.05.2021
- Autor: František Nonnemann
Při zavádění compliance management systému lze efektivně využít mezinárodních zkušeností a best practise postupů a zároveň svoji vůli compliance rizika řídit jednoznačně demonstrovat. Ano, řeč je o ISO standardu.
Základní přehled toho, co je to compliance management systém (CMS) a jak může v organizaci pomoci nejen s řízením rizik a zajištěním souladu s právními požadavky, ale i s efektivní správou organizace jako takové, jsme popsali v předchozím článku:
Můžeme shrnout, že cílem compliance management systému je předejit riziku nesouladu s právními požadavky kladenými na organizaci ať už zákony či vyhláškami, smlouvami s klienty a dodavateli nebo licencí, povolením k činnosti či certifikací, ke které se daná organizace přihlásí.
Jedná se jak o specifické právní nároky související se regulací oblasti, ve které daná organizace působí (telekomunikace, energetika, zdravotnictví, finanční služby, poskytování ICT služeb atd.), tak i průřezové regulace (ochrana osobních údajů, pracovněprávní agenda). Důležitým aspektem je také předcházení trestní odpovědnosti právnických osob (tzv. trestněprávní compliance.)
Compliance pro velké i menší firmy
Pro některé menší organizace může dávat smysl zavést jen vybrané prvky compliance systému nebo do compliance programu zahrnout jen nejvíce rizikové oblasti činnosti. Typickým příkladem je význam regulace ochrany osobních údajů a blížící se nová úprava ePrivacy pro organizace aktivní v e-commerce oblasti, které by měly být alespoň základním compliance programem pokryty.
Ve kterých případech je naproti tomu na místě zavést komplexní compliance management systém? Vhodný je zejména pro organizace, které:
- mají širší záběr činnosti
- čelí více compliance rizikům
- zvažují expanzi do dalších oblastí či na zahraniční trhy
- připravují se na vstup investora
- potřebují demonstrovat svůj soulad s právem pro obchodní partnery nebo mateřskou společnost
Nový ISO standard.
Efektivní cesta k dosažení souladu s regulací.
Při zavádění compliance management systému lze efektivně využít mezinárodních zkušeností a best practise postupů a zároveň svoji vůli compliance rizika řídit jednoznačně demonstrovat. Ano, řeč je o ISO standardu.
Mezinárodní organizace pro standardizaci (International Organization for Standardization, ISO) doslova před několika dny vydala nový ISO standard zaměřený právě na oblast compliance. Jedná se o normu ISO 37301:2021, Compliance management systems.
Norma ISO 37301:2021 obsahuje definici uceleného a komplexního systému, který může velmi efektivně přispět k zajištění souladu činnosti organizace, která bude podle této normy postupovat, s právními požadavky a k celkovému snížení compliance rizik.
Za nesoulad s požadavky práva v řadě oblastí hrozí opravdu vysoké pokuty, (např. až 20 milionů EUR nebo 4 % z ročního obratu skupiny za porušení GDPR a protiprávní zpracování osobních údajů, nebo 130 milionů korun nebo 10 % z čistého ročníku obratu v oblasti boje proti praní špinavých peněz (AML). A již v příštím roce můžeme očekávat zvýšení sankcí týkajících se ochrany spotřebitele či ochrany soukromí online (ePrivacy). Investice do zavedení compliance management systému dle normy ISO 32301:2021 se tudíž skutečně vyplatí.
Kroky k zavedení compliance management systému dle ISO 37301:2021
Jaké hlavní kroky či oblasti compliance management systém podle ISO normy obsahuje:
- Porozumění činnosti a specifikům dané organizace
- Závazek vedení postupovat v souladu s právními požadavky
- Nastavení compliance procesů, role compliance officera a dalších útvarů
- Identifikace a způsoby řešení compliance rizik
- Zdroje, kompetence a nároky na compliance officera
- Vnitřní informovanost
- Dokumentování klíčových kroků a procesů
- Nastavení vnitřního kontrolního prostředí
- Měření výkonu compliance funkcí
- Reporting vedení organizace
- Průběžné vylepšování a posilování compliance management systému
Jak začít s implementací a certifikací ISO 37301?
Zavedení compliance management systému není tak složité, jak to může na první pohled vypadat. S využitím zkušeností z dalších implementačních projektů a auditů však lze poměrně rychle a efektivně identifikovat oblasti, ve kterých každé organizaci hrozí největší compliance rizika, a navrhnout způsoby pro jejich vhodné řešení.
Samotná ISO 37301:2021 certifikace pak vašim klientům, zaměstnancům i veřejnosti potvrdí, že to se snahou postupovat podle všech požadavků zákonů, nařízení, vyhlášek a smluv myslíte skutečně vážně.
V případě zájmu o více informací nás neváhejte kontaktovat!