V našich končinách se ještě norma 19600 nestačila ohřát a ve světě se již čile připravují na ISO 37301. Jaký je v těchto normách rozdíl a proč vlastně vzniká norma na „Compliance management systems" nová, vysvětluje Petr Moroz.
Stále více firem stojí před úkolem implementovat systém řízení compliance (CMS) do svých společností. Velmi často přitom vyvstává otázka, jak má systém compliance vypadat, nebo také čím se při tvorbě takového systému řídit. V posledních několika letech se jako nejčastější standard při tvorbě a zavádění uvedeného systému začala využívat norma ISO 19600 – Compliance management systems, vydaná již v roce 2014. V současnosti se připravuje pod označením ISO 37301 její novela, která bude na rozdíl od původní normy certifikovatelná.
Samo ISO 19600 je takzvanou normou typu B, u které se nepředpokládá její následná certifikace. Je to proto, že norma je ve své současné podobě jen doporučením či vodítkem. Praxe však ukazuje, že firmy, které své interní systémy zavedly, mají zájem i o jejich certifikaci, kterou chtějí jasně navenek deklarovat úroveň svého CMS. Nově připravovaná norma, která ponese označení ISO 37301, je reakcí na tyto požadavky, bude proto obsahovat nejen doporučení, ale i jasně definované požadavky, které umožní následnou certifikaci.
Na přípravě nového standardu se podílejí zástupci různých zemí. Za zmínku, která dokresluje jeho budoucí význam a globální dopad, stojí velmi aktivní účast a zapojení zástupců Číny. Zavedení ISO 37301, jež bude publikováno v angličtině, je naplánováno na rok 2020.
Porovnání stávající a připravované normy ukazuje, že připravované ISO svým smyslem a obsahem plně navazuje na ISO 19600. Nově se zde objevují definice a poznámky, jakož i upřesnění některých použitých výrazů. To vše by mělo vést ke zjednodušení a větší srozumitelnosti nové normy. Rovněž obsahuje ustanovení tzv. „shall“, která srozumitelně doplňují konkrétní požadavky, oproti tzv. „should“ (mělo by), které užívá stávající norma. Významnou novinkou je příloha, která je jakýmsi „návodem na použití“ (anglicky „guidance for use“) vycházejícím z běžné praxe.
Co konkrétně tedy nová norma přináší?
Pro ty, kteří již dnes zavádějí svůj CMS podle stávajícího standardu, se na základních principech mnoho nezmění. Smysl obou norem je podobný. Nová norma bere při zavádění CMS do úvahy velikost, strukturu a komplexnost společnosti. Podle cílů compliance systému musí společnost provést podrobnou analýzu rizik, tzv. „Compliance Risk Assessment“. Rizika přitom musí být vyhodnocena podle jejich priorit a pravděpodobnosti výskytu. Důležitým kritériem je dopad rizik na společnost v případě jejich výskytu, tzv. „probability and impact“.
V rámci systému compliance ve společnosti musí být definovány role a zodpovědnosti, jinak řečeno, musí obsahovat odpověď na otázku: kdo je zodpovědný za které riziko? Rovněž také musí být jasně definována opatření, která je potřeba přijmout jako první. Norma předpokládá také vznik nezávislé funkce Compliance. Celý systém musí být postaven na principu kontroly a neustálého zlepšování.
V neposlední řadě zmiňuje ISO 37301 také komunikaci a firemní kulturu. Součástí firemní komunikace jsou tak školení zaměstnanců, interní instrukce, ale i komunikace s externím prostředím. Firemní kultura je z pohledu nové normy klíčovým aspektem, který je zmíněn hned v jejím úvodu, kde se hovoří o kultuře a integritě. Norma nicméně nepoužívá jen obecná vyjádření, ale zároveň definuje požadavky na kulturu organizace a uvádí konkrétní případy elementů, které podporují rozvoj compliance kultury společnosti.
Při zavádění compliance podle tohoto nového standardu mohou společnosti v reálu čelit mnoha výzvám, například jak sladit požadavky na CMS s požadavky na společenskou zodpovědnost (Corporate Social Responsibility), Corporate Governance, řízení rizik apod. Právě tato komplexnost vzbuzuje u mnoha společností obavy. Současné ISO 19600 i připravované ISO 37301 mohou být účinným nástrojem k překonání těchto obav a vybudování funkčního compliance standardu podle mezinárodně uznávaných pravidel, který s provázáním těchto systémů počítá.
Definitivní verze ISO 37301 není zatím k dispozici. I z pracovní verze je však zřejmé, že se bude jednat o významnou pomůcku při tvorbě, implementaci a udržování CMS v organizacích. Navíc bude možné, jak již bylo zmíněno, podle této normy organizace i certifikovat. ISO 37301 není všelék, bude to však významný nástroj a signál (jak dovnitř organizace, tak i navenek ve vztahu k obchodním partnerům, ale i orgánům státní správy) o tom, že organizace to se svým etickým chováním a zodpovědným přístupem myslí vážně, a že si je vědoma své společenské odpovědnosti.
Vzhledem k trendům posledních několika let lze očekávat, že tento nový nástroj si najde své výrazné uplatnění i v České republice. A to zejména s ohledem na vydanou metodiku Nejvyššího státního zastupitelství k trestní odpovědnosti právnických osob, která v popisu compliance management systému umožňujícímu se právnické osobě vyvinit, odkazuje právě na zmiňované ISO standardy.
Petr Moroz
Managing Partner