Základním přehled toho, co je to compliance management systém (CMS) a jak může v organizaci pomoci s řízením rizik a zajištěním souladu s právními požadavky, ale i s efektivní správou organizace jako takové, jsme se už zabývali.
Co je to compliance?
Můžeme shrnout, že cílem compliance management systému je předejít riziku nesouladu s právními požadavky či etickými závazky. Právní požadavky na organizaci klade především regulace, zákony, vyhlášky atd., ale také smlouvy s klienty a dodavateli, povolení k činnosti či certifikace nebo kodexy chování, ke kterým organizace dobrovolně přistoupí.
Právní nároky mohou souviset se specifikou regulací oblasti, ve které daná organizace působí, např. telekomunikace, energetika, zdravotnictví, finanční služby, poskytování ICT služeb atd. Stejně tak ale na řadu firem dopadají i průřezové regulace a právní povinnosti, typicky v oblasti ochrany osobních údajů, kybernetické bezpečnosti, plnění daňových povinností, whistleblowingu atd.
Důležitým aspektem a benefitem Compliance management systému je také předcházení trestní odpovědnosti právnických osob (tzv. trestněprávní compliance).
Compliance pro velké i menší firmy
Pro některé menší organizace může dávat smysl zavést jen vybrané prvky compliance systému nebo do compliance programu zahrnout jen nejvíce rizikové oblasti činnosti. Typickým příkladem je význam regulace zpracování osobních údajů a online marketingu pro organizace aktivní v e-commerce oblasti, které by měly být alespoň základním compliance programem pokryty.
Ve kterých případech je naproti tomu na místě zavést komplexní compliance management systém? Vhodný je zejména pro organizace, které:
mají širší záběr činnosti
čelí více compliance rizikům
zvažují expanzi do dalších oblastí či na zahraniční trhy
připravují se na vstup investora
potřebují demonstrovat svůj soulad s právem pro obchodní partnery nebo mateřskou společnost
ISO standard: Efektivní cesta k dosažení souladu s regulací
Při zavádění compliance programu není nutné vše vymýšlet znovu. Naopak, lepší je zužitkovat zkušenosti ostatních a aplikovat best practise postupy. Ty jsou často shrnuty v mezinárodních standardech a normách.
Mezinárodní organizace pro standardizaci (International Organization for Standardization, ISO) vydává rovněž ISO standardy zaměřený právě na oblast compliance. Jedná se o normu ISO 37301:2021, Compliance management systems.
Norma ISO 37301:2021 obsahuje definici uceleného a komplexního compliance systému.
Pouze komplexní a průběžně udržovaný compliance systém může přispět k zajištění souladu činnosti organizace s právními požadavky a k celkovému snížení compliance rizik.
Za nesoulad s požadavky práva v řadě oblastí hrozí opravdu vysoké pokuty, např. až 20 milionů EUR nebo 4 % z ročního obratu skupiny za porušení GDPR a protiprávní zpracování osobních údajů, nebo 130 milionů korun nebo 10 % z čistého ročníku obratu v oblasti boje proti praní špinavých peněz (AML). A to nejsou zdaleka jediné případy. Vysoké pokuty hrozí i za porušení pravidel hospodářské soutěže nebo ochrany spotřebitele. Investice do zavedení compliance management systému dle normy ISO 32301:2021 se proto skutečně vyplatí.
Zavedení compliance management systému dle ISO 37301:2021
Jaké hlavní prvky compliance management systém podle ISO normy obsahuje? Jsou to:
Porozumění činnosti a podmínkám organizace
Závazek vedení postupovat v souladu s právními požadavky
Nastavení compliance procesů, role compliance officera a povinnosti dalších útvarů
Způsoby řízení compliance rizik
Zdroje, kompetence a nároky na compliance officera
Informovanost
Dokumentování klíčových kroků a procesů
Nastavení vnitřního kontrolního prostředí
Měření výkonu compliance funkcí
Reporting vedení organizace
Průběžné vylepšování a posilování compliance management systému
Jak začít s implementací a certifikací ISO 37301?
Zavedení compliance management systému není tak složité, jak to může na první pohled vypadat. S využitím zkušeností z dalších implementačních projektů a auditů lze poměrně rychle a efektivně identifikovat oblasti, ve kterých každé organizaci hrozí největší compliance rizika. A navrhnout způsoby pro jejich vhodné řešení.
Samotná ISO 37301:2021 certifikace pak vašim klientům, zaměstnancům i veřejnosti potvrdí, že to se snahou postupovat podle všech požadavků zákonů, nařízení, vyhlášek a smluv myslíte skutečně vážně.
