ISO 37301: как применять на практике ИСО по комплаенс

Что такое ISO 37301

Международная организация по стандартизации (ISO) выпустила ISO 37301 (далее – стандарт) в 2021 году, чтобы заменить ISO 19600 и усовершенствовать свои рекомендации и стандарты по системам управления в вопросах соответствия организации внутренним и внешним требованиям.

Фактически ISO 37301 представляет собой набор фреймворков - готовый набор инструментов, который помогает быстро создать систему нормативно-правого соответствия комплаенс-менеджмента в организации. ISO 37301 экономит время и силы специалиста, которые ушли бы на создание комплаенс-системы. Кроме того, стандарт позволяет более эффективно управлять комплаенс-риском, так как он разработан с учетом лучших практик по управлению комплаенс-рисками, а также с учетом ошибок, которые при этом допускались.

Трудности, с которыми можно столкнуться при работе с ISO 37301

Хотя стандарт и является набором фреймворков, но уровень их детализации разный. В некоторых разделах указаны только положения, которые организация должна применять, но ответа на вопрос как это делать, может не быть.

Например, раздел 5.1.2 называется: Культура соблюдения нормативно-правового соответствия. В нем указано, что организация должна:

·измерить культуру соблюдения требований;

·разработать планы действий, основанные на результатах выявленных показателей культуры нормативно-правового соответствия организации.

Вместе с тем комплаенс-менеджеры могут столкнуться с некоторыми сложностями при оценке корпоративной культуры с позиции нормативно-правового соответствия, что может быть связано как с объективными, так и субъективными факторами.

Объективный фактор. Культура — это сложное и абстрактное понятие, которое трудно поддается оценке, поскольку для измерения требуются наблюдаемые и объективные элементы. Не существует универсальной методологии для измерения культуры группы людей. Тем более сложно непредвзято измерить культуру нормативно-правового соответствия в организации.

Субъективный фактор. Учитывая, что для оценки корпоративной культуры каждой конкретной группы людей необходимо разработать специальную методологию, то необходимо заложить в нее определенные целевые показатели, которые нужно замерять. Не существует эмпирически правильной или неправильной культуры: две организации в одной отрасли могут иметь разные культуры, но ни одна из них не может быть “лучше”.

Несмотря на объективные и субъективные трудности, которые связаны с оценкой корпоративной культуры, способность уверенно и беспристрастно заявлять о том, что поведение сотрудников в организации соответствует ее стратегии, основным принципам и желаемым целям, требует набора показателей, которые могут подтвердить эти заявления.

Таким образом, самой методологии оценки культуры нормативно-правового соответствия в стандарте нет. Поскольку абстрактная природа культуры является основой проблемы с точки зрения измерения, нужно найти осязаемые и непосредственные проявления культуры, которые можно наблюдать и измерять.

На практике можно использовать ряд показателей, которые поддаются оценке. Например, можно оценить:

• тон сверху;
• тон снизу;
• уровень склонности к девиантности;
• стиль управления;
• этическое лидерство.

При оценке корпоративной культуры также необходимо обращать внимание на показатели формальной и неформальной культуры, а также этическую инфраструктуру нормативно-правового соответствия.

Как уже отмечалось, ISO 37301 не всегда дает подробную инструкцию по выполнению тех или иных положений. Поэтому официальные указания стандарта мы дополним некоторыми практическими рекомендациями.

1. Контекст организации

Начать внедрение системы нормативно-правового соответствия необходимо с понимания контекста, то есть определения внешних и внутренних факторов, которые, с одной стороны, относятся к целям организации, а с другой, могут повлиять на достижение этих целей.

Цель состоит в том, чтобы собрать информацию, которую затем можно использовать для внедрения и совершенствования комплаенс-системы.

Фреймворк для оценки контекста организации

2. Лидерство

Руководящий орган и высшее руководство должны продемонстрировать лидерство и приверженность системе управления нормативно-правовым соответствием путем:

- обеспечения условий для того, чтобы политика нормативно-правового соответствия и цели нормативно-правового соответствия были установлены и были совместимы со стратегическим направлением деятельности организации;

- обеспечения интеграции требований системы управления нормативно-правовым соответствием в бизнес-процессы организации;

Руководящий орган и высшее руководство должны:

- устанавливать и поддерживать ценности организации;

- гарантировать, что политика, процессы и процедуры разработаны и внедрены для достижения целей соответствия;

- назначить ответственного за нормативно-правовое соответствие

3. Политика нормативно-правового соответствия

Политика нормативно-правового соответствия – это документ, который фиксирует общие принципы функционирования комплаенс-системы.

Давайте разберем несколько обязанностей комплаенс-менеджера, которые установлены ISO 37301. Комплаенс-менеджер несет ответственность за:

Чтобы определить, какие обязательные требования должна соблюдать организация, комплаенс-менеджеру следует разработать методологию идентификации обязательств и рисков, которые с ними связаны. В методологии можно предусмотреть, кто участвует в оценке, что оценивается, как оценивается, в какие сроки, где аккумулируется информация, кто готовит сводный документ. Например, участвовать в процессе могут бизнес-подразделения, юридическая служба, подразделения по управлению персоналом и СБ. Методологическую основу готовит комплаенс-подразделение. Оно же консолидирует данные и готовит итоговый документ для вышестоящего руководства или комплаенс-комитета.

Чтобы осуществлять мониторинг функционирования комплаенс-системы, комплаенс-менеджеру заранее необходимо установить сферы для мониторинга, критерии и метрики отчетности, а также сроки для предоставления отчетности.

Чтобы создать систему для сообщения о проблемах и обеспечить их разрешение, необходимо выполнить организационные и формальные меры. Например, необходимо разработать политику по горячей линии, внести дополнения в должностную инструкцию сотрудника, который будет отвечать за работу горячей линии, определить каналы, по которым сотрудники будут обращаться на горячую линию, провести обучение сотрудников по обращению на горячую линию. Определить, каким образом будут фиксироваться обращения, поступившие на горячую линию. Например, для этого может быть утвержден журнал регистрации обращений или регистрация будет осуществляться в CRM системе.

Комплаенс-менеджеру целесообразно разработать контрольные процедуры для определения эффективности функционирования горячей линии.

Вывод

ISO 37301 — это ведущий международный стандарт, которому следуют организации при создании и поддержании эффективных систем управления соответствием требованиям. Организации любого размера, которые хотят создать, разработать, внедрить, оценить, поддерживать или улучшить свою систему управления соответствием требованиям, могут сделать это с помощью ISO 37301.