Комплаенс означает "соблюдение правил" - независимо от того, что это за правила и кто их устанавливает. В случае нарушений высшее руководство компании несет прямую ответственность. Поэтому организации должны решить, внедрять ли межфирменную систему управления соответствием (CMS) для обеспечения соблюдения правил. Но этим дело не ограничивается. Как именно проверить эффективность CMS?
Что касается управления соответствием требованиям в малых и средних компаниях (МСП), то разработка и внедрение системы управления соответствием (CMS) на первый взгляд может показаться экономическим бременем, отнимающим много времени у любой компании. Однако если посмотреть глубже, то можно обнаружить интересные перспективы: при поддержке руководящего органа, а также при проверке уместности и эффективности CMS внутренними и внешними аудиторами, культура соответствия устойчиво растет и открывает возможности для повышения корпоративного успеха, а значит, и для увеличения стоимости компании.
Каковы основные мотивы для создания CMS?
Большинство малых и средних предприятий рассматривают избежание ответственности и предотвращение коррупции как наиболее важные мотивы для создания CMS. Однако все большее значение приобретают требования деловых партнеров и защита репутации. Коррупция, нарушения антимонопольного законодательства и защита данных регулярно занимают верхние строчки в списке актуальных вопросов соответствия. Другими важнейшими вопросами являются трудовые и социальные стандарты в компании.
С другой стороны, малые и средние предприятия опасаются дополнительной нагрузки на организацию, связанной с соблюдением нормативных требований, в виде так называемой бюрократии. Поэтому разумный подход для МСП должен существенно отличаться от подхода для крупных корпораций.
Идентификация опасностей
Прежде всего, важно, чтобы компания выяснила для себя индивидуальные опасности, связанные с соблюдением нормативных требований, путем анализа рисков. Только в этих важных выявленных областях риска следует пересмотреть существующие правила и модели поведения и, если необходимо, дополнить их. Например: компании могут сначала посмотреть, охвачены ли критически важные подобласти в компании (например, защита данных в отделе кадров) или отдельные виды соответствия, например, соблюдение правовых обязательств в области охраны труда и техники безопасности. Другими словами: меры по обеспечению соответствия в конечном итоге являются разумными и необходимыми, если они основаны именно на такой оценке рисков.
Комплаенс-менеджмент в МСП: Соответствующие стандарты
Первым стандартом, который будет упомянут в апреле 2021 года, конечно же, является ISO 37301:2021-04. В стандарте сформулированы требования к системам менеджмента соответствия с руководством по применению. Стандарт доступен в компании Beuth. Тем временем ISO 19600:2016-12 (Системы менеджмента соответствия - Руководящие указания) был отозван.
ISO 31000:2018-10 также интересен с точки зрения ориентации на риск. Стандарт устанавливает руководящие принципы для работы с рисками, с которыми сталкиваются компании. Стандарт можно приобрести в компании Beuth.
Аудиты для обеспечения эффективности?
В частности, с учетом обязанности законных представителей по управлению, наряду с фактическим CMS должен проводиться постоянный аудит эффективности. Причина этого кроется в прецедентном праве. Здесь руководство должно выполнять две задачи в рамках своей обязанности по контролю: С одной стороны, оно должно контролировать меры, принятые в компании для обеспечения соответствия. Во-вторых, оно должно критически оценивать их эффективность - и делать это регулярно, а не от случая к случаю. Эта обязанность распространяется как на членов совета директоров акционерных обществ, так и на управляющих директоров обществ с ограниченной ответственностью.
"Проверка эффективности CMS независимой третьей стороной является объективным доказательством того, что обязательства по мониторингу выполняются".
Мониторинг призван обеспечить, что внедренные принципы (поведенческие рекомендации, политика и т.д.) и меры (обучение, контроль и т.д.) СУП подходят для предотвращения, значительного препятствования или своевременного выявления нарушений правил, определенных СУП. Эффективность СУП может быть проверена с помощью внутреннего и внешнего контроля:
- Мониторинг эффективности посредством внутреннего контроля: Контроль, который является внутренним для системы, называется "внутренним контролем". Этот контроль является важным компонентом СУП, который также можно назвать менеджментом качества (QM). Таким образом, QM включает в себя все меры, которые вносят подготовительный, сопутствующий и последующий вклад в создание или поддержание ранее определенного качества СУК.
- Мониторинг эффективности посредством внешнего контроля: Внешний по отношению к системе мониторинг называется "экспертизой" или "аудитом". В этой форме мониторинга аудиторская организация независима от системы и не участвует в приведении ее к фактическому состоянию. Здесь есть преимущество с точки зрения независимости. Аудит CMS проводят внешние аудиторы (например, юристы, аудиторы, аккредитованные сертификаторы, такие как DQS, или другие внешние эксперты).
Регулярные проверки - Хорошо спланировано
Чтобы обеспечить эффективность независимых от системы обзоров, интервалы между ними должны быть хорошо спланированы. Обзор может быть полезен каждый раз, когда CMS только внедряется. Кроме того, внешние проверки должны проводиться на регулярной основе каждые три-пять лет. Эпизодические обзоры проводятся после выявления нарушений соответствия. Однако даже при наличии уже внедренной СУП становится все более очевидным, что регулярные аудиты считаются де-факто обязательными. Помимо контроля, связанного с процессами, необходимо регулярно проверять дизайн, адекватность и эффективность CMS, а независимые системные аудиты или сертификации в идеале должны проводиться раз в год и не реже одного раза в три года.
Преимущества аудитов соответствия
Когда дело доходит до управления соответствием требованиям в МСП, от аудитов соответствия, как правило, можно ожидать следующих преимуществ:
- Оптимизация существующих процессов
- Выявление слабых мест в СУЗ
- Повышение эффективности и результативности СУЗ
- Внедрение современных стандартов
- Формирование культуры соответствия
- Повышение конкурентоспособности
- Безопасность операционного бизнеса
- Обеспечение устойчивого корпоративного успеха
- Повышение стоимости компании
Правильный аудитор - самый важный критерий принятия решения:
Аудиты эффективности CMS предполагают многодисциплинарные требования.Поэтому профессиональные знания аудитора должны стоять на первом месте.→ Например, аудитор должен обладать соответствующими юридическими и деловыми знаниями, а также опытом работы в отрасли. → Независимость аудитора должна быть гарантирована (независимость в фактах, но также и в отношении общественности - независимость в видимости).→ Наконец, важно, чтобы аудит имел высокую рыночную репутацию.→ Примером установленных стандартов аудита и сертификации является, например, стандарт аудита IDW "Принципы надлежащего аудита систем управления соответствием" (IDW PS 980).→ Результаты внешних аудитов CMS могут быть использованы для "сертификации" проверенной CMS. Выдаваемый сертификат представляет собой внешнее доказательство соответствия установленным требованиям к CMS. Он определяет срок действия и область применения сертификата, целевой объект и процедуру аудита (предмет, тип и объем аудита), а также требования к независимости и компетентности аудиторского органа ("аккредитация").
More about compliance audits by DQS
- Достоверный анализ рисков соответствия нормативным требованиям в вашей компании
- Систематическое соблюдение правовых норм
- Эффективное снижение рисков ответственности
- Улучшенный корпоративный имидж
Заключение
Управление эффективной и экономичной системой управления соответствием нормативным требованиям может быть поддержано и развито внешним аудитом. Аудитор поддерживает руководство компании в создании и укреплении культуры соответствия.
Необходимым условием является добросовестный выбор внешнего эксперта. Благодаря превосходным возможностям сравнения, опыту других компаний и его взгляду на вещи как нейтральной третьей стороны, он должен представлять собой ценного партнера для обсуждения. Также важно выбрать подходящий набор правил в качестве основы для внешнего аудита.
DQS: Простое использование качества.
Являясь международно признанным сертификатором систем менеджмента и процессов, DQS проводит аудиты более 30 000 аудито-дней в год. Наше утверждение начинается там, где заканчиваются контрольные списки аудита: Поверьте нам на слово! Мы с нетерпением ждем встречи с вами и будем рады показать вам, на чем основаны результативность и качество наших аудитов, а именно:
- Компетентные аудиторы с честностью и опытом работы в отрасли
- Индивидуальные решения, подходящие для вашей организации и вашей системы менеджмента
- Целенаправленное выявление потенциальных недостатков и рисков
- Объективные, понятные результаты и существенные инструменты для принятия решений
- Международно признанные сертификаты с высоким рыночным признанием
- Последующее сопровождение результатов аудита/анализа, включая проверку эффективности принятых мер
- Индивидуальная разработка и создание каталогов критериев и систем оценки
Do you have any questions?
Свяжитесь с нами - без обязательств и бесплатно.
Рассылка DQS
Viola Beecken
Viola Beecken is an auditor and tax consultant with her own office in Hamburg, Germany, as well as an auditor of DQS for the auditing standard IDW PS 980 "Principles of proper auditing of compliance management systems". Furthermore, she is active in the field of quality assurance systems for auditors ("Peer Review") and tax consultants (ISO 9000:2015).