Jaký je přínos této relativně nové normy a v čem se nejvíce liší od ISO 9001, systému řízení managementu kvality?
Překlad normy ISO 37301:2021 Compliance management systems do češtiny vyjde v nejbližších týdnech. Připomínky jsme odevzdali a teď už jen počkat -). Bude nakonec slovo Compliance přeložené do češtiny nebo zůstane v originálu? Po jeho přeložení tam totiž vznikali velice krkolomné výrazy a věty.
Ale dneska bych vám ji ráda více přiblížila, protože často poslouchám, že jde o soulad s legislativou a že jde o záležitost firemního právníka apod. Nevidím to tak.
Pár slov k systému řízení Compliance / shody / souladu
V dubnu 2021 byla vydána norma ISO 37301:2021 Systémy managementu shody - Požadavky s návodem k použití. Tato norma nahradila normu ISO 19600:2014 Systémy managementu shody - Směrnice.
Compliance management systems /Systém řízení shody zahrnuje procesy, postupy a opatření, které organizace zavede k zajištění dodržování legislativy, ale i dalších norem např. ISO, požadavků zákazníka a dalším pravidlům a postupům, ke kterým se dobrovolně zavázala a které si sama určila (interní směrnice, etické kodexy aj.).
Jak sami vidíte, opravdu nejde jen o legislativu! Ani zdaleka...
Nejenom že stanovuje požadavky, ale nabízí také návod a doporučené postupy. Samotná realizace pak záleží jako vždy na velikosti a vyspělosti organizace, ale také na míře složitosti jejích procesů a podnikatelském prostředí, ve kterém působí.
O jaké požadavky jde?
Organizace musí zabezpečit vedle plnění legislativy i plnění požadavků a podmínek:
➜ povolení či různých licencí
➜ regulačních orgánů
➜ rozsudků soudů
➜ smluv a jiných dohod
➜ etických kodexů
➜ různých oborových standardů a dohod
➜ dohod s komunitními skupinami nebo nevládními organizacemi
➜ dohod s orgány veřejné správy
➜ dohod se zákazníky a jejich specifickými požadavky
➜ které si sama organizace stanovila (politiky a postupy, směrnice, pracovní instrukce)
➜ environmentálních závazků
➜ protikorupčních závazků a opatření
A teď se mnou nahlédněte trochu pod pokličku
6 aspektů tohoto zajímavého systému řízení organizace:
1) Kultura dodržování předpisů, integrita a kontinuita organizace
Hlavním důvodem, proč norma vznikla a celým jejím účelem je podporovat dodržování nejenom legislativy, jak se mylně této normě často přisuzuje, ale i etických kodexů, ISO norem, ke kterým se organizace zavázala, či vlastních pravidel v rámci organizace, požadavků a očekávání zákazníků a obchodních partnerů… Můžete namítnout, že to je jasné a stačí lidem říct. Ale stejně tak je jasné, že mají usilovat o kvalitní výstupy a také tu máme ISO 9001 atd. Jde o to, aby každý znal své povinnosti a odpovědnosti, i důsledky toho, když se tak nestane.
Norma je souborem nejlepších praktik a opatření, jak této shody s požadavky dosahovat v dlouhodobém horizontu. Aby nedocházelo k poškození dobrého jména společnosti a aby společnost existovala po mnoho let a v dobré kondici.
2) Důraz na kontext / prostředí
Stejně jako v jiných systémech řízení i tady je základem pochopení podnikatelského prostředí. Každý subjekt je jedinečný a má své prostředí, ve kterém je vázán celou řadou právních i jiných předpisů. Musí zmapovat své postavení vůči konkurentům a nastavit si i svá pravidla. A soubor všech pravidel a norem pak musí dodržovat každý v organizaci.
3) Rizika jsou všude
Už jsme si zvykli, že od roku 2015 se v systémech řízení skloňují rizika ve všech pádech. A je to pochopitelně dobře. Je potřeba si vždy uvědomit, co vše organizaci a jejím zaměstnancům i majitelům hrozí. Ať už jde o vyrobení vadného dílu nebo poskytnutí špatné služby. Ale také v kontextu této normy: co hrozí, když nedodržíte daný předpis. Je rozdíl, když zaměstnanci řeknete: " musíš dodržet to, co chce tahle směrnice." než když mu řeknete " dtto, protože jinak se může stát pracovní úraz, a protože jsi vedoucí směny, můžeš se dostat až před soud za nedbalost." A to jsme jen u vysvětlení důsledku. Norma stanovuje řadu opatření, která mají pomoci i jiným způsobem rizika ošetřit a minimalizovat jejich dopady, když se objeví. A ano, namítačům, že ne vše jde dopředu promyslet dávám za pravdu, ale proto s riziky pracujeme průběžně a neodkládáme je do šuplíku s tím, že je vytáhneme až u auditu.
Více o řízení rizik: ISO 31000 či ISO 31010.
Chystáme na téma řízení rizik seminář, v případě zájmu mi napište prosím zprávu ať vás mohu kontaktovat s termínem a nabídkou. Bude se jednat o krátký online seminář o best practice s ukázkou řízení rizik v rámci požadavků ISO 9001, ale i IATF 16949. (Ti z vás, kdo máte zájem o oblast řízení rizik v medical devices ozvěte se mi taktéž a připravíme seminář čistě pro vás).
4) Whistleblowing
Oznamovací kanály jsou i v této normě stejně jako u dalších z řady ISO 37k významnou součástí systému. Stručný princip: Víte o podvodném nebo protiprávním jednání? Nahlaste ho dříve, než nebobtná a poškodí celou organizaci. Není to výmysl ISO, ale Evropské komise a ISO zformovalo dobrou praxi v rámci ISO 37002 (norma není povinné, ale je souborem dobré praxe, jak s oznamováním pracovat, aby byl oznamovatel chráněn a případ co nejlépe a nejdříve odhalen a vyšetřen.) Polehčující okolnost v právním sporu
5) Polehčující okolnost v právním sporu
A protože jsme se výše celou dobu bavili o tom, jak může organizace udělat maximum pro to, aby zabezpečila, že předpisy dodržuje, je v pořádku, že to bude zohledněno. Kde? Třeba u soudu. Už se objevují první vlaštovky. V minulosti jsme se o něčem podobném bavili v souvislosti s úplatkářstvím a ISO 37001, vzpomínáte? Viz článek BLOG
6) Systém řízení si můžete nechat certifikovat
A pokud chcete deklarovat svůj postoj ke compliance směrem ven, můžete si nechat svůj systém certifikovat. Posouzení nezávislou certifikační autoritou pak řekne vašim obchodním partnerům, ale i vašim lidem "podívejte, my to s dodržováním předpisů a platné legislativy myslíme opravdu vážně a nic nepodceňujeme."
Více informací k požadavkům normy
ISO 37301:2021 si můžeme představit jako základovou desku pro všechny ostatní systémy. Protože bez dodržování pravidel, legislativy, požadavků zákazníků a obchodních i jiných partnerů je jakýkoliv další systém řízení nemyslitelný. Nebo naopak jako zastřešení všech ostatních systémů.
Mám nejblíže k systému řízení kvality, a proto vám nabídnu i srovnání s normou ISO 9001:2015.
Struktura ISO 37301:2021
ISO 37301:2021 dodržuje stejně jako ostatní MSS-A standardy závaznou HLS strukturu: články 4-10 jsou stěžejní a stanovují požadavky, které musíte splnit. Způsob realizace je zase do velké míry na vás.
Přikládám infografiku v rámci cyklu PDCA, kde jsem se snažila dané články pojmenovat tak, aby bylo jasné, co přesně po vás chtějí.
Jaké jsou nejpodstatnější rozdíly oproti ISO 9001?
4.5 Závazné požadavky musíte sledovat i v 9k. Zde je nutné opravdu doložit, že systematicky sledujete, jaké požadavky se Vás týkají. Že jste si je sepsali a že je sledujete nebo že se o změně zkrátka dozvíte. Také musíte hodnotit dopad těch identifikovaných změn na vaši organizaci a c promítnout vše do systému CMS.
4.6 Compliance rizika a jejich pravidelné posuzování v rámci Kontextu. Plus ad-hoc při zásadních změnách kontextu. Také si vymiňuje posouzení rizika plynoucího z kooperace s dalšími subjekty. V kapitole 6 jde pak stejně jako u ISO 9001 o řízení rizik spojených se systémem v rámci plánování. A pozor, musíte mít písemný záznam.
5.1 v oblasti leadershipu jsou vypíchnuty hodnoty společnosti a včasná komunikace nálezů v oblasti nedodržování předpisů a pravidel včetně přijatých opatření. Také je tu jasně napsáno, že musí být už v popisech pracovních míst dodržování předpisů zmíněno. Pak se zde mluví o podpoře whistleblowingu, vytvoření compliance funkce i o compliance kultuře jako takové. Na rozdíl od ISO 9001 tedy u CMS musíte mít člověka / roli compliance officer, který za uvedenou oblast odpovídá. U kvality to bylo tak kdysi, že musel existovat představitel vedení pro kvalitu/zmocněnec kvality. Dnes to může být prostě jednatel a je to OK. U C. funkce musí být jasná nezávislost a přímý přístup k rozhodovacím pozicím i vedení společnosti. Stejně tak i pravomoc a kompetence, které této roli dávají váhu a mandát. Vedení organizace musí systému vytvořit podmínky, nastavit disciplinární postihy, a pak svému řídicímu orgánu doložit, že CMS funguje. Je zde navíc jeden článek, který vyzdvihuje odpovědnost každého jedince v organizaci dodržovat závazné požadavky organizace, ale i hlásit podezření na jejich nedodržování, o kterých se dozví. Pasivní "Já to neudělal, jen jsem mlčel a šel si po svém" zde zkrátka nemá co dělat.
7.2 v rámci personálních procesů je požadováno due diligence u rizikových pozic, nastavení disciplinárních řízení, ale také věnování zvýšené péče výkonnostním měřítkům a s nimi spojeným prémiím a dalším stimulům, aby se nestalo, že je člověk k nedodržování pravidel sváděn. V rámci výcviku pozor na to, že musíte zabezpečit i u třetích stran, které jednají jménem organizace nebo představují C.riziko.
7.3 navíc whistleblowing kanály a povědomí o důsledcích nedodržování závazků včetně disciplinárních postihů.
8 Provoz - jen 4 články, zcela jiné, protože jde o zcela jiný systém -) Tématy jsou samotný provoz/realizace aktivit s ohledem na Compliance včetně stanovení KPIs na úrovni procesů, aby bylo možné tuto oblast vyhodnotit. Také stanovení opatření a účinných postupů, sdělování svých podezření na nedodržování postupů a pravidel (Whistleblowing) a samotné vyšetřování jednotlivých případů.
9.1 Musíte mít stanovený proces ke zpětné vazbě k CMS a to z různých zdrojů (v QMS jde o spokojenost zákazníka). Navíc musíte hledat kořenovou příčinu a přijmout adekvátní opatření a zohlednit vše v analýze rizik. Přidejte ještě pravidelný a precizní compliance reporting a vedení záznamů (sice se všude v normě mluví o dokumentované informaci jako u kvality, ale tady je explicitně napsáno, že musíte udržovat záznamy, abyste prokázali funkčnost CMS).
10.3 zabezpečení adekvátnosti a kontinuity systému zde chybí jako samostatný článek
V případě zájmu vás ráda s normou seznámím v rámci osobního nebo online semináře. Termíny jsem nevypsala, protože předpokládám, že firmy upřednostní seminář na míru. V případě, že máte zájem si o tématu více popovídat - napište mi do zprávy.
Závěrem: překládali byste vy osobně do češtiny termín #Compliance nebo ne?
Veronika Soukupová z S-cope s.r.o.
v.soukupova@s-cope.cz, +420 603 171 017
Comments