Dariusz Rycek
Co się zmieniło w statusie norm powiązanych z ISO 37301?
Czytając na szybko IAF Outlook z 23.12.2022, w artykule „ISO 37301:2021 New Certifiable Standard Under Accreditation on Compliance Systems”1 pióra Laura Monserrat Balderas Sánchez , Liaison Coordinator EMA, dałem się trochę zwieść nadziei, że coś się rusza w temacie CMS na poziomie akredytacyjnym. Poczyniłem nawet krótki anons w publikacji na LinkedIn, ale sprawdzając potem status prac komitetu TC/309 widzę, że niestety to taki artykuł w stylu „zapchaj dziurę”. Półtora roku od wydania standardu certyfikacyjnego ISO 37301:2021, to poza planowanymi publikacjami ISO 37000:2021 – Governance of organizations — Guidance, oraz ISO 37002:2021 – Whistleblowing management systems — Guidelines, wszystko stoi albo porusza się żółwim tempie. A certyfikacja ISO 37001, czy ISO 37301 to dwa główne motywy certyfikacyjne tego komitetu stosunkowo słabo wspierane przez normy towarzyszące.
Jeżeli można pozytywnie odebrać publikację ISO 37002 jako inspirację do wsparcia uregulowania tematu wdrażania dyrektywy popularnie zwanej „o sygnalistach”, to publikacja równie ciekawej normy ISO 37000 dotyczącej zarządzania organizacją powinna mieć miejsce jako zwieńczenie lub współbieżne wydanie norm mających charakter przewodnika. Dzięki temu można by równolegle wrzucić tematy, które są zasygnalizowane w pracach, ale … stoją publikacyjnie prawie w miejscu. A jest tam miejsce na „reakcję na ryzyko oszustw i nadużyć”, „dochodzenia wewnętrzne”, „Wybieranie, tworzenie i używanie wskaźników”, „Wskaźniki efektywnego zarządzania organizacją”, „konflikt interesu”, „pomiar efektywności”, czy też nowelizacji ISO 37001. Prowadzi to w sumie do tego, że zaprojektowane systemy zarządzania są często wdrożone bez głębszej analizy zagadnienia, a ich charakter jest powierzchowny. Takie odczucie było także przy generycznych normach QSHE – ISO 9001, ISO 14001, ISO 45001. I dopiero potem pojawiły się różnego rodzaju wytyczne w stylu – co autorzy mieli na myśli.
Zmiany w normie ISO 37001
Zapotrzebowanie na standard dotyczący kształtowania kultury zgodności w organizacjach jest naprawdę duże, bo nawet w standardach kierunkowych: jakość, bezpieczeństwo informacji, ciągłość działania, etc. widać, że nie jest to najlepiej zaopiekowany aspekt systemów zarządzania, chociaż w tej ostatniej najlepiej. Efektem tego jest pogłębiająca się luka w ocenie zgodności prawnej a zgodnością wynikającą z zobowiązań umownych, czy nawet systemowych. Nawet jeżeli nie zbuduje się pełnego jednolitego systemu zgodności, bo jest to trudne i szerokie, to komplementarność zgodności w tych obszarach jest oczywista, a jeden obszar wspiera drugi, co stanowi ważny czynnik budowy kultury zgodności.
Może kilka zdań o statusie norm z tego komitetu, który zmienił się na przestrzeni roku czasu, a dla którego informacje zwrotne znalazły ujście publikacyjne, chociażby w formule notatki, artykułu na oficjalnych stronach komitetu – https://committee.iso.org/home/tc309 . Jedyny plus prac tego komitetu widać w lokalizacji normodawcy brytyjskiego BSI Standard, które zwykle wypuszcza dobrze przygotowane opracowania norm.
ISO 37001:2016 jest na etapie 90.92 – a więc będzie przygotowana do poprawki, co sugeruje otwarcie projektu ISO/AWI 37001. Nie wiemy jednak póki co czy norma zostanie uzupełniona o inne tematy powiązane. Wiadomo bowiem, że ISO 37001:2016 nie odnosi się konkretnie do oszustw, karteli i innych przestępstw antymonopolowych/konkurencji, prania pieniędzy lub innych działań związanych z praktykami korupcyjnymi, chociaż organizacja może rozszerzyć zakres systemu zarządzania o takie działania. Wymagania ISO 37001:2016 mają charakter ogólny i mają zastosowanie do wszystkich organizacji (lub części organizacji), niezależnie od typu, wielkości i charakteru działalności, niezależnie od tego, czy działają w sektorze publicznym, prywatnym czy non-profit . Zakres stosowania tych wymagań zależy od czynników określonych w 4.1, 4.2 i 4.5. Rzadko jednak można spotkać wdrożenia, które obejmują większy zakres niż wynika to z normy.
Status ISO/CD TS 37008 – Dochodzenia wewnętrzne
Jak wskazuje oznaczenie CD jest on obecnie na etapie 30.60, czyli zamykania okresu komentowania dla członków komitetu. Czy powróci do prac w grupie roboczej, czy też zostanie zarejestrowany jako DIS – Draft International Standard dowiemy się w kolejnym kwartale. A o czym będzie można przeczytać w abstrakcie:
Wspomniany dokument dotyczy specyfikacji technicznej ISO z wytycznymi dotyczącymi dochodzeń wewnętrznych w organizacji. Powinien on pomóc w tym jak:
- lepiej wykorzystać zasoby dochodzeniowe (zasoby ludzkie, finansowe i inne),
- ustanowić zasady i procedury wdrażania i prowadzenia dochodzeń,
- zwiększyć możliwości dochodzeniowe śledczych,
- zgłaszać wyniki dochodzeń wewnątrz i na zewnątrz oraz
- skutecznie ograniczać narażenie na ryzyko.
Zawiera wskazówki pozwalające określić:
- co się stało,
- dlaczego tak się stało (pierwotna przyczyna),
- kto przeprowadzi dochodzenie,
- jak prowadzić dochodzenie (strategia i taktyka dochodzeniowa),
- jakie są problemy i zagrożenia,
- co można zrobić ( działania zaradcze, w tym postępowanie z ryzykiem wtórnym),
- co i jak zgłaszać,
- jak zakazać działań odwetowych.
Będzie on także dotyczyć wszystkich organizacji w sektorze publicznym, prywatnym i non-profit. Jest to jedno z kluczowych działań na etapie zbierania dowodów, które ewentualnie można będzie wykorzystać w sprawach sądowych.
ISO/DIS 37004 - Model dojrzałości
To jedyny obecnie dokument w komitecie TC 309 o statusie zarejestrowanego już projektu DIS, który można kupić na tym etapie prac rozwojowych. Jest on ściśle powiązany z normą podstawową, tj ISO 37000. W kolejnym kwartale powinniśmy poznać wynik głosowania w komitecie czego efektem może być w ostateczności zmiana status na FDIS i skierowanie go do publikacji, gdyż w takich normach czas publikacji po ostatnim statusie jest zwykle krótszy.
Przy tworzeniu ISO 37000 nie istniało żadne uzgodnione na poziomie międzynarodowym podejście, za pomocą którego można by mierzyć nadzór nad organizacją w kontekście normy. W związku z brakiem takiego podejścia do pomiaru, problematyczna była identyfikacja obszarów wymagających poprawy, spójna ocena dojrzałości nadzorczej organizacji oraz świadome porównanie z innymi. Dojrzałość zarządzania w tym kontekście, odzwierciedla na przykład stopień reaktywności, zwinności i odporności organizacji na zmieniające się warunki operacyjne, przy jednoczesnym zachowaniu zgodności z celem organizacji i jej wartościami. Intencją normy ISO 37004 jest dostarczenie globalnie stosowanych środków do pomiaru dojrzałości zarządzania organizacją oraz opisanie uzgodnionych na poziomie międzynarodowym ram pomiaru dojrzałości oraz modelu dojrzałości dla zarządzania organizacjami.
Praktyki nadzorowania z konieczności różnią się pomiędzy organizacjami. Różnice te wynikają z takich czynników jak: długość istnienia organizacji, kontekst organizacyjny, liczba personelu zatrudnionego w organizacji, rodzaje zasobów, z których korzysta organizacja oraz przepisy prawne i regulacje mające zastosowanie w danej organizacji. Intencją dokumentu nie jest ocena wdrożenia praktyk nadzorczych, ani też skuteczności tych praktyk. Natomiast dokument ten stanowi podstawę do oceny stosowania wytycznych zawartych w ISO 37000. W przypadku zastosowania w organizacji modelu dojrzałości systemu zarządzania zawartego wg niniejszego dokumencie, wyniki mogą być wykorzystane do pomiaru i oceny poziomu, na którym wytyczne dotyczące systemu zarządzania ISO 37000 zostały zastosowane w sposób spójny i znormalizowany.
Oceny, dokonywane przez organizację lub w jej imieniu, mogą:
- ułatwić samoocenę;
- stanowić podstawę do doskonalenia;
- pomagać w rozwiązywaniu problemów związanych z ryzykiem dotyczącym nadzoru;
- stanowić wkład do raportów dla interesariuszy;
- stanowić punkt odniesienia dla porównania z innymi.
Raporty z wyników oceny dojrzałości systemu zarządzania mogą z kolei pomóc:
- organizacjom w ustalaniu priorytetów w zakresie działań doskonalących system zarządzania;
- organom zarządzającym w wykazaniu odpowiedzialności za swoje organizacje;
- kluczowym interesariuszom w obarczaniu organu zarządzającego organizacji odpowiedzialnością za ciągłe doskonalenie zarządzania organizacją.
Wyniki mogą być zatem wykorzystywane np. przez:
- organ zarządzający, aby wykazać ciągłe doskonalenie swojego nadzoru nad organizacją;
- wewnętrznych interesariuszy, takich jak personel, w celu zwiększenia ich zaufania do tego, że zarządzanie organizacją jest właściwe, skuteczne i możliwe do obrony
- zewnętrznych interesariuszy, takich jak inwestorzy i regulatorzy, dla celów podejmowania decyzji.
Zarządzanie organizacją definiuje się w w dokumencie związanym jako “oparty na ludziach system, za pomocą którego organizacja jest kierowana, nadzorowana i rozliczana z osiągnięcia swojego zdefiniowanego celu” (ISO 37000). Dlatego dokument ten dostarcza organizacjom oraz ich interesariuszom narzędzi do oceny, porównania i doskonalenia swojego systemu nadzoru w czasie, tak aby organizacja mogła osiągnąć zamierzone efekty nadzoru. O standardzie tym pisaliśmy we wpisie – zobacz odnośnik nr 2.
Podsumowanie artykułu
Niezależnie od poczucia zawodu po lekturze artykułu będącego inspiracją, z obowiązku napisania o statusie standardów związanych z ISO 37301 – czego zabrakło w artykule, warto przytoczyć przynajmniej kilka tez, które padają w jego treści, bo z nimi akurat można się identyfikować:
- ISO 37301 – to standard certyfikowany. Pozwala to na badanie przez niezależne strony trzecie, które mogą potwierdzić, że zarządy i spółki dołożyły należytej staranności i skutecznie wywiązały się z obowiązku zachowania ostrożności, wprowadzono kontrole i środki w celu ograniczenia ryzyka, na jakie narażona jest firma, oraz że istnieje mechanizm kontroli i monitorowania, który umożliwia firmie wykrycie możliwych nieprawidłowości i, w stosownych przypadkach, prowadzić dochodzenia.
- Standard tworzy nowe źródło nacisku na środowisko. Albowiem standard uznaje firmę za aktora społecznego, wprowadzonego do systemu, a zatem podlegającego siłom społeczeństwa. Wymaga głębszej analizy kontekstu społeczno-politycznego oraz zmiennych konkurencyjnych, społeczno-ekonomicznych i terytorialnych itp.
- Standard promuje otwarte zachęcanie do korzystania z narzędzi do zgłaszania nieprawidłowości. Znaczenie kanałów raportowania podczas wykrywania oszustw lub innych nielegalnych działań jest dobrze udokumentowane w literaturze biznesowej. Tutaj ustanowiono szczegółowe wymagania w celu zapewnienia skuteczności tych narzędzi i aktywnej promocji kultury, w której odpowiedzialność za zgodność spoczywa na każdym członku organizacji.
- Na podstawie podejścia opartego na ryzyku …. Nie przytaczam, nie komentuję, bo widać, że autorka nie należy do grupy ekspertów w zakresie systemów zarządzania.
- Wreszcie najważniejszy aspekt. Kultura zgodności leży u podstaw tego nowego standardu. Promowanie kultury etycznej opartej na wartościach, w której wszyscy znają swoje obowiązki i role, oraz zaangażowanie całej organizacji w zapewnienie rentowności firmy w dłuższej perspektywie jest w jego “genotypie”.
I to wszystko co wnosi artykuł źródłowy wraz z naszym rozwinięciem do wyjaśnienia statusu prac nad normami wspierającymi standardy certyfikowalne jakimi są ISO 37001 oraz ISO 37301.
Zapraszamy do współpracy i do kontaktu
Zespół Centre of Excellence – QSCert-Poland
Odnośniki: