V praxi firemní (korporátní) compliance se uplatňuje celá řada dílčích požadavků ve formě doporučení, norem a standardů, ale normy vydávané Mezinárodní organizací pro standardizaci (International Organization for Standardization, ISO) tvoří globálně respektovaný základ každé takové standardizace. V tomto směru jsou přitom příslušné normy ISO používány a referovány buď napřímo jako výchozí mezinárodní normy (ISO) anebo i jako normy, které byly převzaty ze strany evropských a národních autorit pro normalizaci. Takto převzaté normy pak mají buď podobu evropských norem EN ISO anebo české technické normy ČSN ISO, německé DIN ISO apod.
Pokud jde o vlastní i převzaté české technické normy, tak tyto vydává Česká agentura pro standardizaci (ČAS), která byla zřízena jako státní příspěvková organizace Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví.
Základem jsou ISO normy z oblasti managementu
Funkce compliance je u obchodních korporací i u jiných organizací zpravidla naplňována v prostředí zavedeného anebo zaváděného compliance management systému (CMS). Z hlediska systematiky norem ISO se proto primárně uplatňují normy ze sektoru Management a služby (Management and services). V kontextu systematiky ISO (Standards catalogue) jde jednak o normy v rámci obecné skupině 03.100.70 (Management systems) a v úžeji zaměřených skupinách 03.100.01 (Company organization and management in general) a 03.100.02 (Governance an ethics). Takto vymezené skupiny norem také někdy bývají označovány jako „ISO Standards Family“.
U compliance management systému se také vychází z „universální normy“ pro management kvality, tj. z ISO 9001:2015 (Quality management systems – Requirements), která je v kontextu třídění ISO standardů součástí shora uvedené skupiny 03.100.70 (Management systems). U nás v České republice je přitom při standardizaci a certifikaci zpravidla používána převzatá a harmonizovaná norma ČSN EN ISO 9001:2016 (Systémy managementu kvality – Požadavky).
Standardy pro compliance programy
Pro standardizaci a případnou certifikaci CMS ale samozřejmě mají v oblasti compliance klíčový význam vybrané normy ze skupiny 03.100.02 (Governance an ethics). Z nich je přitom třeba jmenovat zejména dvě rámcové organizačně technické normy, a to ISO 37301:2021 (Compliance management systems – Requirements with guidence for use) a ISO 37002:2021 (Whistleblowing management systems – Guidelines).
Obě tyto mezinárodní normy jsou převzaty i jako české technické normy, a to jako ČSN ISO 37301:2023 (Systémy managementu souladu - Požadavky s návodem pro použití) a s ní bezprostředně související ČSN ISO 37002:2022 (Systémy managementu oznamování protiprávního jednání – Směrnice).
Nová norma ISO 37301, která byla publikována v dubnu roku 2021, přitom zcela nahradila předchozí ISO 19600 a byla již vytvořena v souladu se standardizovaným postupem HLS (High Level Structure). V zásadě jde u této „struktury vysoké úrovně“ o to, že ISO normy vytvořené na základě HLS používají stejné termíny a definice a mají také stejnou strukturu. Tato skutečnost pak umožňuje, aby ISO 37301 byla, stejně jako ISO 37002, integrovatelná k již zavedeným ISO standardům managementu, včetně ISO 9001. Vedle toho je ISO 37301 současně i normou typu A, tj. normou plně certifikovatelnou, a umožňuje tak, aby v rámci auditu bylo ověřeno, zda je compliance management systém v organizaci skutečně zaveden, dokumentován a prosazován v souladu s požadavky této normy.
Pokud jde o organizaci a řízení funkce compliance u organizací, tak jsou ze skupiny 03.100.02 (Governance an ethics) v praxi použitelné i další související organizačně technické normy. V prvé řadě jde o nadstavbový standard ISO 37000:2021 (Governance of organizations – Guidance), který dosud u nás nebyl jako česká technická norma převzat.
V kontextu naplňování funkce compliance má zcela specifické, lze říci i výjimečné, postavení norma zaměřená na oblast řízení prevence korupčního chování. Jedná se o v compliance praxi zřejmě nejznámější mezinárodní norma ISO 37001:2016 (Anti-bribery management systems – Requirements with guidence for use). Tato mezinárodní norma přitom byla převzata jako česká technická norma ČSN ISO 37001:2017 (Systémy protikorupčního managementu – Požadavky s návodem pro použití).
Další normy na obzoru
Skupina norem 03.100.02 (Governance and ethics) patří v rámci celkové struktury norem ISO k velmi dynamickým a rychle se rozvíjejícím oblastem standardizace. O tom svědčí i aktuální stav přípravy zcela nových standardů, které navazují na ISO 37301 jako nespornou „královnu“ této skupiny, jež stanoví základní požadavky na organizaci a řízení compliance management systému.
Jedná se zejména o speciální normu pro interní investigaci, která byla sice zatím vydána jen jako „technická specifikace“ ISO/TS 37008:2023 (Internal investigations of organizations – Guidance), ale do budoucna určitě bude mít ambici patřit k široce využitelným a respektovaným compliance standardům.
Jako velmi zajímavé se ve shora popsaných souvislostech jeví i další dvě připravované normy ISO, které mají obsahově navazovat na výchozí standard ISO 37301. Obě přitom mají být normami povahy „guidelines". V prvním případě jde o návrh normy ISO/DIS 37302 (Compliance management systems — Guidelines for the evaluation of effectiveness) a ve druhém pak o návrh ISO/DIS 37303 (Compliance management systems — Guidelines for competence management).
Ani jedna z nově vytvářených norem nemá měnit či jinak upravovat vlastní obsahové požadavky na compliance management systém podle ISO 37301:2021. Zaměří se na hodnocení jeho účinnosti, resp. na řízení kompetencí a personálního zajištění funkce compliance v organizacích.
Normy z oblasti informační bezpečnosti
Vedle ISO norem, které stanoví obecné požadavky na řízení organizací (management), jsou u firemní compliance široce použitelné i speciální normy ze sektoru Informační technologie (Information Technology) a v jeho rámci pak především ze skupiny 35.030 (IT Security). Jejich případné využití se přitom zvláště týká compliance na úseku ochrany soukromí a osobních údajů, zajištění souladu s regulací v oblasti kybernetické bezpečnosti a dostupnosti, jakož i oznamování možného protiprávního anebo neetického jednání (whistleblowingu).
Zde je přitom třeba upozornit na skutečnost, že normy ze sektoru informačních technologií vydává Mezinárodní organizace pro standardizaci (ISO) společně s Mezinárodní elektrotechnickou komisí (International Electrotechnical Commission, IEC). Tyto normy jsou vždy publikovány pod společným označením ISO/IEC, které je pak následně zachováno i u převzatých evropských a národních norem.
Tato skupina ISO/IEC norem je z hlediska jejich počtu velmi rozsáhlá, ale v compliance praxi je důraz kladen zejména na podskupinu norem v oblasti managementu informační bezpečnosti. Tato podskupina je také známa jako „IT Security Standards“ (v užším slova smyslu) anebo „ISO/IEC 27000 Family“, když tato v číselné řadě začíná normou s celkovým přehledem a „slovníkem“ systému managementu informační bezpečnosti.
Základ této podskupiny standardů informační bezpečnosti představuje norma ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection – Information security management system – Requirements), na kterou pak navazuje celá řada dalších souvisejících ISO norem.
Rovněž tato byla u nás převzata jako současně harmonizovaná norma, a to jako ČSN EN ISO/IEC 27001:2023 (Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky).
Další použitelné normy a integrovaný management systém
V praxi firemní compliance je dále použitelná rovněž řada dalších ISO norem, a to jak pro účely nastavení a zavedení potřebných standardů, tak i případně pro osvědčení „souladu“ (compliance) a „nejlepší praxe“ (best practice).
V tomto směru se jako všestranně využitelná jeví zejména ISO norma pro řízení rizik, tedy norma ISO 31000:2018 (Risk management – Guideines), jež byla u nás převzata jako ČSN ISO 31000:2018 (Management rizik – Směrnice).
Z ostatních je možné dále jmenovat mezinárodně respektované standardy ze sektoru bezpečnosti a ochrany zdraví při práci (Health and safety standards) a v jejich rámci pak normy spadající do skupiny 13.100 (Occupational safety. Industrial hygiene). Do této skupiny patří i klíčová norma ISO 45001:2018 (Occupational health and safety management systems — Requirements with guidance for use), která byla převzata jako ČSN EN ISO 45001:2018 (Systémy managementu bezpečnosti a ochrany zdraví při práci - Požadavky s návodem k použití).
V kontextu compliance na úseku ochrany životního prostředí nelze nezmínit ISO normy ze skupiny 13.020.10 (Environmental management). Základní normu zde představuje ISO 14001:2015 (Environmental management systems – Requirements with guidance for use), resp. v České republice převzatá a harmonizovaná ČSN EN ISO 14001:2016 (Systémy environmentálního managementu - Požadavky s návodem pro použití).
Závěrem je třeba konstatovat, že v korporátní praxi dochází stále častěji k propojování různých systémů řízení (managementu a kvality, informační bezpečnosti, ochrany životního prostředí, BOPZ aj.) do jednoho uceleného systému řízení, kterým je integrovaný management systém (IMS). V tomto směru přitom IMS vytváří nejen centralizovaný a transparentní přehled o všech relevantních interních procesech a postupech, ale současně přináší i časovou a nákladovou úsporu a efektivní využívání zdrojů, včetně jednoduší a efektivní dokumentace zavedených procesů.
Tento trend bude pro firemní compliance do budoucna stále významnější, protože umožňuje, aby byly do integrovaného management systému (IMS) efektivně a rychle začleňovány i požadavky podle těch norem ISO, které se týkají funkce compliance, compliance management systému a s nimi spojených interních procesů, postupů a opatření.