...

Wprowadzenie do projektu „due diligence” wg ISO 37001

Zamieszczona na Linkedin’ie na moim profilu zawodowym zapowiedź niniejszego artykułu to krótkie podsumowanie lekcji z projektu, która powinna towarzyszyć każdej dojrzałej organizacji realizującej projekt czy to własny – rozwojowy, dla siebie, czy też komercyjny – dla klienta.  Tak też jest i u nas. Ze względu na podpisane zobowiązania NDA – o zachowaniu poufności, wszystkie dane zostały zanonimizowane, tak aby nie definiować kto, jak i dlaczego robił badanie due diligence w ramach projektu, a który dotyczył kryterium oceny jakim był standard ISO 37001. Zwyczajowo w publicznym obiegu nie mógłbym uchylić rąbka tajemnicy w tej sytuacji, ale ze względu na ciekawe konkluzje z udziału w tym projekcie, udało mi się po 3 miesiąca starań uzyskać zgodę na przedstawienie  kilku ciekawych faktów z tego badania, z zachowaniem wszystkich zobowiązań, jak również wywiad z niezwykle ciekawym ekspertem na tym projekcie, chroniącym biznes klienta.

Projekt był realizowany dla skandynawskiej globalnej firmy, która planując swoje działania biznesowe jest zmuszona do korzystania z siły roboczej poza swoimi granicami. Termin realizacji projektu sierpień – wrzesień 2022 rok. Poszukiwanie partnerów biznesowych jako podwykonawców obeznanych w rynkach pracy w tym regionie, czy też agencji pracy tymczasowej stanowi część wstępną całego ich przedsięwzięcia. Klient nie ukrywał, że krajami, które były brane pod uwagę i zostały objęte poszukiwaniami pod kątem pozyskania firm do współpracy były: kraje nadbałtyckie, Polska, Rumunia i Bułgaria. Ale dotyczyły także firm, z którymi współpracowali wcześniej.  W Polsce badaniem objęto 16 firm, w Bułgarii – 3, w Rumunii – 8, a w krajach nadbałtyckich bodajże jedną. Była więc wyraźna przewaga naszych firm, podyktowana głównie dłuższą obecnością na rynku skandynawskim. Z ramienia klienta, który współpracował w naszym kraju z długoletnim partnerem polskim, była osoba w pełni decyzyjna, która oceniała efekty badania, i był to członek zespołu CSO – Chief Security Officer’a korporacji, czyli Project Security Officer (w dalszej części artykułu, w skrócie PSO). Nie miałem wcześniej do czynienia z taką osobą na projektach, stad moje zdziwienie i zainteresowanie z początku. Niezwykle wyrazista i błyskotliwa osoba, która wszystko oceniała „na ostro”, „na chłodno”, odnosząc wszystko do ryzyka. Przerywało to jakąkolwiek niepotrzebną w sumie polemikę o wynikach badania dla poszczególnych firm. Dystans, krytyczne myślenie i refleksja oraz niesamowita przenikliwość sugerowała kompetencje osoby ze służb, ale nie dostaliśmy odpowiedzi na takie zapytanie, ale już informację o kompetencji w zakresie ISO 37001 już tak.

Wyniki oceny firm w łańcuchu dostaw

Jednym z głównych oczekiwań poza możliwościami do spełnienia wymagań jakościowych, kompetencyjnych, była ocena wdrożonych przez nie standardów w obszarze etyki i antykorupcji. Jako jedne z kryterium przyjęto standard ISO 37001, ale brak certyfikatu nie przekreślał wyniku oceny. Bo jeżeli potencjalny kontraktor miał wdrożony kodeks etyczny, polityki czy procedury i w ramach wywiadów chciał i mógł to udowodnić, to było to uznane za gotowość do współpracy. Tak właśnie było z dotychczasowymi partnerami – w sumie 4 firmami, które pozostały w swoich rozwiązaniach organizacyjno-prawnych na poziomie j.w. Można to uznać za pozytywną ocenę i tak też była ona przyjęta przez PSO.

A co z pozostałymi? Dwie firmy legitymizowały się certyfikatami oznaczonymi jako akredytowane, natomiast aż 8 firm przedstawiły certyfikaty bez oznaczeń świadczących o akredytacji certyfikatora, i dwie ostatnie przedstawiły dokumenty, z których w wyniku rozmowy wycofały się – przynajmniej jakaś refleksja przyszła w porę. Pozostawię to bez komentarza, bo klient przemilczał przypadek. Natomiast kilka słów więcej o pozostałych firmach, gdyż one stały się kanwą bardzo inspirującej i pouczającej rozmowy z PSO i pozwoliły nam dowiedzieć się jak to robią dojrzałe firmy, na normalnych rynkach, co znaczy dla nich zarządzanie ryzykiem, w tym ryzykiem reputacyjnym.

Dwie firmy legitymizujące się certyfikatem ISO 37001 prezentowanym także na ich stronie internetowej w swoich odpowiedziach zdradzały bardzo niską świadomość systemową z tego obszaru. Budziło to pewną wątpliwość, czy legitymizacja systemu jest prawdziwa, rzetelna i czy była prowadzona w rzeczywistości. Tego jednak nie możemy podważyć, bo oznaczenia na certyfikacie wskazują na akredytowaną certyfikację. Mieliśmy więc formalne potwierdzenie poprzez dokumenty oraz dylematy etyczne, którymi podzieliliśmy się z PSO. Natomiast największa grupa firm, bo aż 8 przedstawiła certyfikaty nieakredytowane. O jakości rozmowy z ich przedstawicielami lepiej nie wspominać. Ale mimo wszystko warto powiedzieć, że nie były to jedyne z posiadanych przez nie certyfikatów i to budziło zdziwienie. Znamienna, niezwykle sugestywna była w tym miejscu reakcja PSO!!! Jedną, grubą linią przekreślił w raporcie wszystkie 8 firm, bez potrzeby analizy. Trochę zabolało mimo wszystko, ale to pozwoliło mi poprosić go potem o rozmowę, wywiad poza protokołem, i to było ciekawe dla mnie doświadczenie, a być może również dla czytelników.

Główne tezy i pytania z rozmowy z PSO. „… Nie współpracujemy z firmami, które legitymizują się pseudo certyfikacją, bo za taką uznajemy certyfikację nieakredytowaną. Jak ktoś tego nie rozumie, powinien zając się innym biznesem, albo nie przedstawiać tego faktu w relacjach biznesowych. To zwykłe oszustwo, to przecież duże ryzyko reputacyjne, które w naszych oczach, na naszym rynku wyklucza firmę z gry. Wystarczy spojrzeć na synonimy, które Panu pokazałem. Kto tymi firmami zarządza? Czy oni cokolwiek wiedzą na temat ryzyka? To tak jak jeździć autem bez prawa jazdy, jak kupić sobie dyplom ukończenia uczelni – to u Was popularne, normalne. Czy oni rozumieją na czym polega akredytacja, czy certyfikacja? Dlaczego rynek nie zwraca na to uwagi? Przecież to rola edukacyjna Waszej akredytacji, ale także jednostek certyfikacyjnych….” Z jednej strony wszystko rozumiałem i podzielałem pogląd, z drugiej jednak było to jak zimny prysznic, bo 8 firm zostało potraktowane jak niedojrzali potencjalni partnerzy, jeśli nie oszuści. Nawet o tym nie będą wiedzieć, co stracili.

Wywiad audytowy z Project Security Officer

Poniżej tylko 5 pytań do PSO, któremu dziękuję przy okazji za autoryzację i zgodę na publikację, za zaproszenie do projektu. Pytania i odpowiedzi dotyczą tylko tematyki projektu lub bliskie temu zagadnieniu.

DR: Skąd wiedza o certyfikacji, wdrożeniu, prawie, regulacjach, technicznych sprawach, regulacjach, etc..:

 PSO: Tak jak umawialiśmy się, odpowiem Panu tylko to na co mogę, pozostałe aspekty przemilczę i proszę do nich nie wracać. Jesteśmy odpowiedzialni za bezpieczeństwo biznesu, czy też projektu w zależności od potrzeb. Pomaga w tym doświadczenie i edukacja, którą każdy w strukturach CSO posiada. Certyfikację znamy nie tylko ze strony systemów zarządzania, ale przede wszystkim wyrobów, wymagań prawnych i odbiorowych, bo uczestniczymy obok QC w odbiorach technicznych, jako „drugie oczy”.  Nie stać nas na błędy, które można było łatwo przewidzieć. W zakresie certyfikacji byliśmy szkoleni przez akredytację, jak i wewnętrznie przez departamenty, które tematy zgodności prowadzą w różnych aspektach. Wielu z nas jest audytorami zewnętrznymi.

DR:  Jak prowadzone są u Państwo projekty wdrożeniowe tego typu jak np. systemy zarządzania, czy też wprowadzenie regulacji wewnętrznych związanych z dostosowaniem do innych wymagań prawnych, technicznych?

PSO: Powiem w skrócie. Do tego są powoływane odpowiednie zespoły, które mają swoje kompetencje i uprawnienia, budżet, a wszystko nadzorowane przez departament PMO. Na bazie niniejszego projektu kilka słów więcej. Powołany jest do tego Project Manager, który ma swój zespół oraz doradców i  ekspertów, a nad nim komitet sterujący i sponsora.

A potem zgodnie z metodyką PM, inną w zależności od przedmiotu i zakresu – jest ich kilka. Tak też jest realizowany ten projekt. Zapomniałem, jest jeszcze uzasadnienie biznesowe na początku przed uruchomieniem projektu, bo nie każdy projekt warty jest podjęcia. Jeżeli w projekcie musi uczestniczyć doradca / ekspert zewnętrzny  to zwykle w ramach opcji interim (zatrudnienie czasowe, ale z pełnym dostępem do dokumentów, które potrzebuje), lub konsultant przywoływany do określonych działań, zawsze pod nadzorem osoby wewnątrz firmy, ale z ograniczonym dostępem do danych. Jego rola kończy się na wsparciu a nie tworzeniu czegokolwiek za nas, bo on nie zna tak dobrze naszej organizacji jak my. Projekt wdrożeniowy kończy się audytem wewnętrznym i to zamyka współpracę z doradcą. Gdy jest potrzebna ocena zewnętrzna – np. certyfikacja, proces wyboru oceniającego robimy sami. Inaczej mówiąc, to co Wy mówicie jako praktyka w Polsce, że konsultant, doradca wskazuje firmy oceniające, to z pkt widzenia ABMS jest konfliktem interesu.

DR: A jakie są kryteria wyboru firmy do oceny zewnętrznej – np. w odniesieniu do certyfikacji ABMS?

PSO: Ustalane są one interdyscyplinarnie zgodnie z procedurami. A dokładnie przede wszystkim:

  • akredytacja przedmiotowa, np. w naszym przypadku ISO 37001, sprawdzana u źródła,
  • kompetencje zespołu audytorskiego – chcemy wiedzieć kto do nas przyjedzie,
  • referencje z projektów potwierdzone listami referencyjnymi, 1-3 przykłady,
  • rejestracja certyfikatów na stronie IAFCertSearch.org, mimo że nie jest to wymaganie akredytacyjne,
  • doświadczenie w prowadzeniu projektów certyfikacyjnych, assessment’ów – czas obecności na rynku związany z nimi,
  • kondycja finansowa, w mniejszym stopniu warunki handlowe,
  • artykuły w sieci sygnowane przez certyfikatora na temat zagadnień będących przedmiotem oceny czy też zawarte na jego stronie firmowej,
  • opinia na rynku ale ta pozaformalna, od partnerów, klientów – nie OSINT, najlepiej wywiad gospodarczy.
  • międzynarodowy charakter, jeżeli jest to uzasadnione planami rozszerzenia certyfikacji w przyszłości poza granicami kraju siedziby głównej.

Zwykle nie bacząc na SEO, bo to płatna zabawka Google’a bierzemy firmy z TOP 30 do frazy kluczowej dotyczącej przedmiotu usługi + ewentualne rekomendacje od partnerów biznesowych. I to one zakreślają pierwszy obszar poszukiwań. Potem przychodzi pierwszy kontakt, analiza zebranych dokumentów i zawężenie zwykle do maksimum 50% zidentyfikowanych firm. Kolejny etap to rozmowy, oferty i negocjacje. Czasami jest jeszcze jakaś dogrywka w wąskim gronie, ale rzadko. Nawet gdyby zawęzić zakres poszukiwań, to takie podejście znacząco ogranicza ryzyko decyzyjne wyboru niewłaściwego partnera certyfikacyjnego, oceniającego – jest to historycznie udowodnione.

W korporacji nie mamy certyfikowanego ABMS, gdyż rozwiązania nasze są znacznie bardziej rozbudowane w oparciu o model GRC. A tematyka ABMS jest pod kontrolą Departamentu Compliance i stanowi część jego kompetencji. Stosowanie ABMS jako kryterium ułatwia często sprawę oceny podmiotów zewnętrznych, ale honorujemy także systemy compliance nienormatywne, ale sprawdzalne. Służą do tego audyty klientowskie.

DR: W kilku przetargach w Polsce jako kryterium dla zespołu audytowego wskazano –  Przynajmniej jeden z audytorów powinien posiadać certyfikat kompetencji Audytora wiodącego wydany przez podmiot akredytowany w zakresie ISO/IEC 17024 w obszarze ISO 37001 na wskazanym poziomie, lub inny równoważny certyfikat kompetencji jak: CLFE, CLPI, CLSIM, COM. Dopuszcza się auditorów spełniających wymagania PKN-ISO/IEC TS 17021-9:2019-11 Część 9 jako faktycznego wymogu kompetencji dla auditorów wiodących dla ISO 37001. Jak to oceniasz?

PSO: Pierwsze zdanie jak najbardziej poprawne. Druga część przeczy pierwszej – masło maślane. Bo pierwsza część mówi o certyfikatach kompetencji a druga o tym, że audytor powinien umieć czytać i pisać. Nie ma w niej żadnych wymagań kompetencyjnych twardych, sprawdzonych, jest tylko deklaracja. Deklarować można wszystko. Ponadto druga część określa minimalne wymagania, a my nie chcemy audytorów o minimalnych wymaganiach, dlatego wskazane w pierwszym zdaniu certyfikaty są dobrym benchmarkiem dla audytorów. Dziwię się, bo inne systemy certyfikowane w zakresie kompetencji audytorskich wymagają m.in. certyfikatu ukończenia kursu audytora wiodącego. Czemu ma służyć ta śmieszna gimnastyka? Ktoś kto to pisał, nie rozumiał co pisze.

DR: A co gdy na rynku nie ma nikt takich kompetencji audytorskich w jednostce certyfikacyjnej? Czy jakieś inne certyfikaty mogą być zamiennie wskazane, np. LA ISO 37301, SMETA.

PSO: To nadszedł czas aby je uzupełnić. Jeżeli ktoś chce świadczyć takie usługi wygląda niepoważnie gdy kontestuje takie wymagania. Dzisiaj nie ma barier w edukacji. Można się kształcić online także w tym zakresie. LA ISO 37301 zapewne tak, bo ABMS jest jego częścią, ale nie znam takiego przypadku z autopsji i musiałbym znać stanowisko naszego Departamentu Compliance. SMETA – NIE, wyjaśnienie jest zbędne, jeżeli ktoś zna ten standard.

DR: Co było przesłanką wprowadzenia do tego projektu kryterium dotyczące kwestii antykorupcyjnych?

PSO: Od trzech lat wprowadzono w projektach ocenę partnerów biznesowych w łańcuchu dostaw pod tym kątem. Cały nasz Vendor List, jest już zweryfikowany. Due diligence w łańcuchu dostaw to wymaganie wprost art. 8.2. wymagania ISO 37001. Zobacz proszę w normie kiedy ma zastosowanie, a kiedy nie musi. U nas nie ma taryfy ulgowej, gdyż ryzyko korupcyjne związane z partnerami jest ocenione na poziomie nie mniejszym niż średnie, a w perspektywie reputacyjnej jako wysokie. Stąd moja decyzja przy omawianiu firm, które wykreśliłem….. Część firm o dużej wartości projektu, czy też których zadania leżą na ścieżce krytycznej, są obligatoryjnie objęte audytem on-site i szerszym niż tylko zagadnienia ABMS.

DR: A jak wypadliśmy na tle innych krajów?

PSO: Bez szczegółów – gorzej, co też obserwowaliśmy w trakcie tych 3 lat współpracy, pod różnym kątem. Kraje nadbałtyckie – nie ta skala, nie porównuję. Ale Rumunia i Bułgaria w swojej skali – certyfikaty akredytowane, czyli 100% strony formalnej. Rumunia przegoniła Polskę, bo mają już 8 firm w ramach Vendor List. Bułgaria dopiero 1,5 roku ale 3 firmy zaakceptowane.  

ISO 37001 akredytowany

Czy jeszcze masz dylemat – Akredytowany vs. Nieakredytowany?

Jeżeli na rynku działa system akredytacyjny dla standardu ISO 37001, to pojęcie nieakredytowany należy traktować tak jak na obrazku wyróżniającym do artykułu. Kompromitacja i ośmieszenie od strony rynku, chociaż niejawna może być w końcu sprowadzona do odrzucenia, jak to miało miejsce w powyższym studium przypadku na projekcie. Jakkolwiek ktoś będzie próbował nieakredytowany schemat certyfikacyjny „sprzedać” ma w tym interes, ale to nie Twój interes.

Trochę przewrotnie na koniec artykułu – Trzeba mieć bowiem świadomość, że schemat nieakredytowany nie jest przez nikogo nadzorowany, a taki certyfikat w ramach swobody działalności certyfikacyjnej wystawić może każdy, i nie musi być jednostką certyfikacyjną. Uznawalność certyfikatu nieakredytowanego jest fakultatywna, a certyfikatu akredytowanego obligatoryjna.

Mam nadzieję, że jeżeli ktokolwiek z osób zajmujących się compliance, czy też antykorupcją stanie przed potrzebą certyfikacji będzie już wiedział jak rozwiązać dylemat „Akredytowana vs. Nieakredytowana”. A gdyby przyszła potrzeba wyjaśnienia jakiejś specyficznej sytuacji, to zapraszam do kontaktu. 

Zapraszam do współpracy
Zespół Centre of Excellence / QSCert-Poland

Scroll to Top