ISO normy v praxi firemní compliance

V praxi firemní (korporátní) compliance se uplatňuje celá řada dílčích požadavků ve formě doporučení, norem a standardů, ale normy vydávané Mezinárodní organizací pro standardizaci (International Organization for Standardization, ISO) tvoří globálně respektovaný základ každé takové standardizace. V tomto směru jsou přitom příslušné normy ISO používány a referovány buď napřímo jako výchozí mezinárodní normy (ISO) anebo i jako normy, které byly převzaty ze strany  evropských a národních autorit pro normalizaci. Takto převzaté normy pak mají buď podobu evropských norem EN ISO anebo české technické normy ČSN ISO, německé DIN ISO apod. 

Pokud jde o vlastní i převzaté české technické normy, tak tyto vydává Česká agentura pro standardizaci (ČAS), která byla zřízena jako státní příspěvková organizace Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví.       

Základem jsou ISO normy z oblasti managementu

Funkce compliance je u obchodních korporací i u jiných organizací zpravidla naplňována v prostředí zavedeného anebo zaváděného compliance management systému (CMS). Z hlediska systematiky norem ISO se proto primárně uplatňují normy ze sektoru Management a služby (Management and services). V kontextu systematiky ISO (Standards catalogue) jde jednak o normy v rámci obecné skupině 03.100.70 (Management systems) a v úžeji zaměřených skupinách 03.100.01 (Company organization and management in general) a 03.100.02 (Governance an ethics). Takto vymezené skupiny norem také někdy bývají označovány jako „ISO Standards Family“.

U compliance management systému se také vychází z „universální normy“ pro management kvality, tj. z ISO 9001:2015 (Quality management systems – Requirements), která je v kontextu třídění ISO standardů součástí shora uvedené skupiny 03.100.70 (Management systems). U nás v České republice je přitom při standardizaci a certifikaci zpravidla používána převzatá a harmonizovaná norma ČSN EN ISO 9001:2016 (Systémy managementu kvality – Požadavky). 

Standardy pro compliance programy

Pro standardizaci a případnou certifikaci CMS ale samozřejmě mají v oblasti compliance klíčový význam vybrané normy ze skupiny 03.100.02 (Governance an ethics). Z nich je přitom třeba jmenovat zejména dvě rámcové organizačně technické normy, a to ISO 37301:2021 (Compliance management systems – Requirements with guidence for use)  a ISO 37002:2021 (Whistleblowing management systems – Guidelines).

Obě tyto mezinárodní normy jsou převzaty i jako české technické normy, a to jako ČSN ISO 37301:2023 (Systémy managementu souladu - Požadavky s návodem pro použití) a s ní bezprostředně související ČSN ISO 37002:2022 (Systémy managementu oznamování protiprávního jednání – Směrnice).

Nová norma ISO 37301, která byla publikována v dubnu roku 2021, přitom zcela nahradila předchozí ISO 19600 a byla již vytvořena v souladu se standardizovaným postupem HLS (High Level Structure). V zásadě jde u této „struktury vysoké úrovně“ o to, že ISO normy vytvořené na základě HLS používají stejné termíny a definice a mají také stejnou strukturu. Tato skutečnost pak umožňuje, aby ISO 37301 byla, stejně jako ISO 37002, integrovatelná k již zavedeným ISO standardům managementu, včetně ISO 9001. Vedle toho je ISO 37301 současně i normou typu A, tj. normou plně certifikovatelnou, a umožňuje tak, aby v rámci auditu bylo ověřeno, zda je  compliance management systém v organizaci skutečně zaveden, dokumentován a prosazován v souladu s požadavky této normy.     

Pokud jde o organizaci a řízení funkce compliance u organizací, tak jsou ze skupiny 03.100.02 (Governance an ethics) v praxi použitelné i další související organizačně technické normy. V prvé řadě jde o nadstavbový standard ISO 37000:2021 (Governance of organizations – Guidance), který dosud u nás nebyl jako česká technická norma převzat.     

V kontextu naplňování funkce compliance má zcela specifické, lze říci i výjimečné, postavení norma zaměřená na oblast řízení prevence korupčního chování. Jedná se o v compliance praxi zřejmě nejznámější mezinárodní norma ISO 37001:2016 (Anti-bribery management systems – Requirements with guidence for use). Tato mezinárodní norma přitom byla převzata jako česká technická norma ČSN ISO 37001:2017 (Systémy protikorupčního managementu – Požadavky s návodem pro použití).

Další normy na obzoru

Skupina norem 03.100.02 (Governance and ethics) patří v rámci celkové struktury norem ISO k velmi dynamickým a rychle se rozvíjejícím oblastem standardizace. O tom svědčí i aktuální stav přípravy zcela nových standardů, které navazují na ISO 37301 jako nespornou „královnu“ této skupiny, jež stanoví základní požadavky na organizaci a řízení compliance management systému. 

Jedná se zejména o speciální normu pro interní investigaci, která byla sice zatím vydána jen jako „technická specifikace“ ISO/TS 37008:2023 (Internal investigations of organizations – Guidance), ale do budoucna určitě bude mít ambici patřit k široce využitelným a respektovaným compliance standardům.     

Jako velmi zajímavé se ve shora popsaných souvislostech jeví i další dvě připravované normy ISO, které mají obsahově navazovat na výchozí standard ISO 37301. Obě přitom mají být normami povahy „guidelines". V prvním případě jde o návrh normy ISO/DIS 37302 (Compliance management systems — Guidelines for the evaluation of effectiveness) a ve druhém pak o návrh ISO/DIS 37303 (Compliance management systems — Guidelines for competence management). 

Ani jedna z nově vytvářených norem nemá měnit či jinak upravovat vlastní obsahové požadavky na compliance management systém podle ISO 37301:2021. Zaměří se na hodnocení jeho účinnosti, resp. na řízení kompetencí a personálního zajištění funkce compliance v organizacích.

Normy z oblasti informační bezpečnosti

Vedle ISO norem, které stanoví obecné požadavky na řízení organizací (management), jsou u firemní compliance široce použitelné i speciální normy ze sektoru Informační technologie (Information Technology) a v jeho rámci pak především ze skupiny 35.030 (IT Security). Jejich případné využití se přitom zvláště týká compliance na úseku ochrany soukromí a osobních údajů, zajištění souladu s regulací v oblasti kybernetické bezpečnosti a dostupnosti, jakož i oznamování možného protiprávního anebo neetického jednání (whistleblowingu).     

Zde je přitom třeba upozornit na skutečnost, že normy ze sektoru informačních technologií vydává Mezinárodní organizace pro standardizaci (ISO) společně s Mezinárodní elektrotechnickou komisí (International Electrotechnical Commission, IEC). Tyto normy jsou vždy publikovány pod společným označením ISO/IEC, které je pak následně zachováno i u převzatých evropských a národních norem.  

Tato skupina ISO/IEC norem je z hlediska jejich počtu velmi rozsáhlá, ale v compliance praxi je důraz kladen zejména na podskupinu norem v oblasti managementu informační bezpečnosti. Tato podskupina je také známa jako „IT Security Standards“ (v užším slova smyslu) anebo „ISO/IEC 27000 Family“, když tato v číselné řadě začíná normou s celkovým přehledem a „slovníkem“ systému managementu informační bezpečnosti. 

Základ této podskupiny standardů informační bezpečnosti představuje norma ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection – Information security management system – Requirements), na kterou pak navazuje celá řada dalších souvisejících ISO norem. 

Rovněž tato byla u nás převzata jako současně harmonizovaná norma, a to jako ČSN EN ISO/IEC 27001:2023 (Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky).    

Pokračování článku naleznete na GDPR.cz.