ČESKÁ TECHNICKÁ NORMA

ICS 03.100.01; 03.100.02; 03.100.70                                                                                                   Červenec 2023

Systémy managementu souladu – Požadavky s návodem pro použití

ČSN
ISO 37301

01 0394

 

Compliance management systems – Requirements with guidance for use

Systèmes de management de la conformité – Exigences et recommandations pour la mise en oeuvre

Tato norma je českou verzí mezinárodní normy ISO 37301:2021. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO 37301:2021. It was translated by the Czech Standardization Agency. It has the same status as the official version.

Nahrazení předchozích norem

Touto normou se nahrazuje ČSN ISO 37301 (01 0394) z října 2021.

 

Národní předmluva

Souvisící ČSN a TNI

ČSN EN ISO 9000 (01 0300) Systémy managementu kvality – Základní principy a slovník

ČSN EN ISO 9001 (01 0321) Systémy managementu kvality – Požadavky

ČSN EN ISO 14001 (01 0901) Systémy environmentálního managementu – Požadavky s návodem pro použití

ČSN EN ISO 19011 (01 0330) Směrnice pro auditování systémů managementu

ČSN EN ISO 22000 (56 9600) Systémy managementu bezpečnosti potravin – Požadavky na organizaci v potravinovém řetězci

ČSN EN ISO 26000 (01 0390) Pokyny pro oblast společenské odpovědnosti

ČSN EN ISO/IEC 27001 (36 9797) Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky

ČSN ISO 31000 (01 0351) Management rizik – Směrnice

ČSN EN IEC 31010 ed. 2 (01 0352) Management rizik – Techniky posuzování rizik

ČSN ISO 37001 (01 0392) Systémy protikorupčního managementu – Požadavky s návodem pro použití

ČSN ISO 37002 (01 0395) Systémy managementu oznamování protiprávního jednání – Směrnice

TNI 01 0350 (01 0350) Management rizik – Slovník (Pokyn 73)

Vypracování normy

Zpracovatel: Mgr. Jakub Neumann, IČO 49853368

Technická normalizační komise: TNK 6 Management kvality a prokazování kvality

Pracovník České agentury pro standardizaci: Ing. Radmila Foretová

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

MEZINÁRODNÍ NORMA

Systémy managementu souladu – Požadavky s návodem pro použití            ISO 37301
                                                                                                                                              První vydání
                                                                                                                                              2021-04

ICS 03.100.01; 03.100.02; 03.100.70

Obsah

 

Contents

Strana

 

Page

Předmluva. 5

Úvod. 6

1......... Předmět normy. 10

2......... Citované dokumenty. 10

3......... Termíny a definice. 10

4......... Kontext organizace. 15

4.1...... Porozumění organizaci a jejímu kontextu. 15

4.2...... Porozumění potřebám a očekáváním zainteresovaných stran. 16

4.3...... Určení rozsahu systému managementu souladu. 16

4.4...... Systém managementu souladu. 16

4.5...... Povinnosti dosahování souladu. 16

4.6...... Posouzení rizik souladu. 17

5......... Vedení (leadership) 17

5.1...... Vedení (leadership) a závazek. 17

5.1.1... Správní a řídicí orgán a vrcholové vedení 17

5.1.2... Kultura souladu. 18

5.1.3... Správa a řízení souladu. 18

5.2...... Politika souladu. 19

5.3...... Role, odpovědnosti a pravomoci 19

5.3.1... Správní a řídicí orgán a vrcholové vedení 19

5.3.2... Funkce dosahování souladu. 20

5.3.3... Management 21

5.3.4... Pracovníci 21

6......... Plánování 22

6.1...... Opatření pro řešení rizik a příležitostí 22

6.2...... Cíle souladu a plánování jejich dosažení 22

6.3...... Plánování změn. 23

7......... Podpora. 23

7.1...... Zdroje. 23

7.2...... Kompetence. 23

7.2.1... Obecně. 23

7.2.2... Proces zaměstnávání 23

7.2.3... Výcvik. 24

 

Foreword................................................................................................................................................................................................... 5

Introduction............................................................................................................................................................................................... 6

1......... Scope.......................................................................................................................................................................................... 10

2......... Normative references.............................................................................................................................................................. 10

3......... Terms and definitions.............................................................................................................................................................. 10

4......... Context of the organization..................................................................................................................................................... 15

4.1...... Understanding the organization and its context................................................................................................................. 15

4.2...... Understanding the needs and expectations
of interested parties.................................................................................................................................................................. 16

4.3...... Determining the scope of the compliance management system................................................................................... 16

4.4...... Compliance management system........................................................................................................................................ 16

4.5...... Compliance obligations.......................................................................................................................................................... 16

4.6...... Compliance risk assessment................................................................................................................................................. 17

5......... Leadership................................................................................................................................................................................. 17

5.1...... Leadership and commitment................................................................................................................................................. 17

5.1.1... Governing body and top management................................................................................................................................ 17

5.1.2... Compliance culture.................................................................................................................................................................. 18

5.1.3... Compliance governance......................................................................................................................................................... 18

5.2...... Compliance policy.................................................................................................................................................................... 19

5.3...... Roles, responsibilities and authorities.................................................................................................................................. 19

5.3.1... Governing body and top management................................................................................................................................ 19

5.3.2... Compliance function................................................................................................................................................................ 20

5.3.3... Management............................................................................................................................................................................. 21

5.3.4... Personnel................................................................................................................................................................................... 21

6......... Planning..................................................................................................................................................................................... 22

6.1...... Actions to address risks and opportunities.......................................................................................................................... 22

6.2...... Compliance objectives and planning
to achieve them......................................................................................................................................................................... 22

6.3...... Planning of changes................................................................................................................................................................ 23

7......... Support....................................................................................................................................................................................... 23

7.1...... Resources.................................................................................................................................................................................. 23

7.2...... Competence.............................................................................................................................................................................. 23

7.2.1... General....................................................................................................................................................................................... 23

7.2.2... Employment process............................................................................................................................................................... 23

7.2.3... Training....................................................................................................................................................................................... 24

Strana

 

Page

7.3...... Povědomí 24

7.4...... Komunikace. 25

7.5...... Dokumentované informace. 26

7.5.1... Obecně. 26

7.5.2... Vytváření a aktualizace dokumentovaných informací 26

7.5.3... Řízení dokumentovaných informací 26

8......... Provoz. 27

8.1...... Plánování a řízení provozu. 27

8.2...... Stanovení způsobů řízení a postupů. 27

8.3...... Vyjadřování obav. 27

8.4...... Procesy vyšetřování 28

9......... Hodnocení výkonnosti 28

9.1...... Monitorování, měření, analýza a vyhodnocování 28

9.1.1... Obecně. 28

9.1.2... Zdroje zpětné vazby o výkonnosti souladu. 28

9.1.3... Stanovení ukazatelů. 29

9.1.4... Předkládání zpráv o souladu. 29

9.1.5... Vedení záznamů. 29

9.2...... Interní audit 29

9.2.1... Obecně. 29

9.2.2... Program interního auditu. 29

9.3...... Přezkoumání systému managementu. 30

9.3.1... Obecně. 30

9.3.2... Vstupy pro přezkoumání systému managementu. 30

9.3.3... Výsledky přezkoumání systému managementu. 31

10....... Zlepšování 31

10.1.... Neustálé zlepšování 31

10.2.... Neshoda a nápravné opatření 31

Příloha A (informativní) Návod k použití tohoto dokumentu. 32

 

 

7.3...... Awareness................................................................................................................................................................................. 24

7.4...... Communication........................................................................................................................................................................ 25

7.5...... Documented information........................................................................................................................................................ 26

7.5.1... General....................................................................................................................................................................................... 26

7.5.2... Creating and updating documented information............................................................................................................... 26

7.5.3... Control of documented information...................................................................................................................................... 26

8......... Operation.................................................................................................................................................................................... 27

8.1...... Operational planning and control.......................................................................................................................................... 27

8.2...... Establishing controls and procedures.................................................................................................................................. 27

8.3...... Raising concerns...................................................................................................................................................................... 27

8.4...... Investigation processes........................................................................................................................................................... 28

9......... Performance evaluation.......................................................................................................................................................... 28

9.1...... Monitoring, measurement, analysis and evaluation.......................................................................................................... 28

9.1.1... General....................................................................................................................................................................................... 28

9.1.2... Sources of feedback on compliance performance........................................................................................................... 28

9.1.3... Development of indicators...................................................................................................................................................... 29

9.1.4... Compliance reporting.............................................................................................................................................................. 29

9.1.5... Record-keeping......................................................................................................................................................................... 29

9.2...... Internal audit.............................................................................................................................................................................. 29

9.2.1... General....................................................................................................................................................................................... 29

9.2.2... Internal audit programme....................................................................................................................................................... 29

9.3...... Management review................................................................................................................................................................ 30

9.3.1... General....................................................................................................................................................................................... 30

9.3.2... Management review inputs.................................................................................................................................................... 30

9.3.3... Management review results................................................................................................................................................... 31

10....... Improvement............................................................................................................................................................................. 31

10.1.... Continual improvement........................................................................................................................................................... 31

10.2.... Nonconformity and corrective action.................................................................................................................................... 31

Annex A (informative) Guidance for the use of this document.................................................................................................... 32

 

 

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO 2021

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8 

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku

Předmluva

 

Foreword

ISO (Mezinárodní organizace pro normalizaci) je celosvětová federace národních normalizačních orgánů (členů ISO). Mezinárodní normy obvykle vypracovávají technické komise ISO. Každý́ člen ISO, který se zajímá o předmět, pro který byla vytvořena technická komise, má právo být v této technické komisi zastoupen. Práce se zúčastňují také vládní i nevládní mezinárodní orga-
nizace, s nimiž̌ ISO navázala pracovní styk. ISO úzce spolupracuje s Mezinárodní elektrotechnickou komisí (IEC) ve všech záležitostech normalizace v elektro-
technice.

 

ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee.
International organizations, governmental and non-
governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrni-
cích ISO/IEC, část 2 (viz www.iso.org/directives).

 

The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO nelze činit odpovědnou za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).

 

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

 

Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na tomto odkazu URL:           
www.iso.org/iso/foreword.html

 

For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see the following URL: www.iso.org/iso/foreword.html.

Tento dokument vypracovala technická komise IS0/TC 309 Správa a řízení organizací.

 

This document was prepared by Technical Committee IS0/TC 309, Governance of organizations.

Toto první vydání ISO 37301 zrušuje a nahrazuje ISO 19600:2014, která byla technicky revidována.

 

This first edition of ISO 37301 cancels and replaces ISO 19600:2014, which has been technically revised.

Hlavní změny proti ISO 19600:2014 jsou tyto:

 

The main changes compared to ISO 19600:2014 are as follows:

    tento dokument nyní obsahuje požadavky s dodatečným návodem pro použití založeným na těchto požadavcích;

 

    this document now contains requirements with additional guidance for use based on those requirements;

    tento dokument se řídí požadavky ISO na harmoni-
zovanou strukturu norem systému managementu.

 

    this document follows ISO’s requirements for a har-
monized structure for management system standards.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normali-
začnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.

 

Any feedback or questions on this document should be directed to the user’s national standards body. A complete listing of these bodies can be found at           
www.iso.org/members.html

 

Úvod

 

Introduction

Organizace, které si kladou za cíl být dlouhodobě úspěšné, potřebují vytvořit a udržovat kulturu souladu s ohledem na potřeby a očekávání zainteresovaných stran. Soulad je tedy nejen základem, ale i příležitostí pro úspěšnou a udržitelnou organizaci.

 

Organizations that aim to be successful in the long term need to establish and maintain a culture of com-
pliance, considering the needs and expectations of
interested parties. Compliance is therefore not only the basis, but also an opportunity, for a successful and sustainable organization.

Dosahování souladu je trvalý proces a výstup organi-
zace, která plní své povinnosti. Dosahování souladu se stává udržitelné tím, že je zakotveno v kultuře organi-
zace a v chování a přístupu lidí, kteří pro ni pracují. Při zachování nezávislosti je žádoucí, aby management souladu byl integrován s ostatními řídicími procesy
organizace a jejími provozními požadavky a postupy.

 

Compliance is an ongoing process and the outcome of an organization meeting its obligations. Compliance is made sustainable by embedding it in the culture of the organization and in the behaviour and attitude of people working for it. While maintaining its independence, it is preferable that compliance management is integrated with the organization’s other management processes and its operational requirements and procedures.

Efektivní systém managementu souladu v celé organi-
zaci umožňuje organizaci prokázat svůj závazek dodr-
žovat příslušné zákony, regulační požadavky, kodexy odvětví a organizační standardy, jakož i standardy řádné správy a řízení, obecně uznávané nejlepší praxe, etiku a očekávání společenství.

 

An effective, organization-wide compliance management system enables an organization to demonstrate its commitment to comply with relevant laws, regulatory requirements, industry codes and organizational stan-
dards, as well as standards of good governance,
generally accepted best practices, ethics and community expectations.

Přístup organizace k dosahování souladu je utvářen vedením, které uplatňuje základní hodnoty a obecně přijímané standardy řádné správy a řízení, etické a společenské normy. Zakotvení dosahování souladu v chování lidí pracujících pro organizaci závisí přede-
vším na vedení na všech úrovních a jasných hodnotách organizace, jakož i na uznání a implementaci opatření na podporu chování v souladu s pravidly. Pokud tomu tak není na všech úrovních organizace, existuje riziko nesouladu.

 

An organization’s approach to compliance is shaped by the leadership applying core values and generally accepted good governance, ethical and community standards. Embedding compliance in the behaviour of the people working for an organization depends above all on leadership at all levels and clear values of an
organization, as well as an acknowledgement and
implementation of measures to promote compliant
behaviour. If this is not the case at all levels of an
organization, there is a risk of noncompliance.

V řadě jurisdikcí při určování přiměřené sankce za
porušení příslušných zákonů přihlížejí soudy k závazku souladu prostřednictvím systému managementu souladu. Proto mohou regulační a soudní orgány rovněž využít tento dokument jako měřítko.

 

In a number of jurisdictions, courts have considered an organization’s commitment to compliance through its compliance management system when determining the appropriate penalty to be imposed for contraventions of relevant laws. Therefore, regulatory and judicial bodies can also benefit from this document as a benchmark.

Organizace jsou stále více přesvědčeny, že uplatňováním závazných hodnot a vhodným managementem souladu mohou chránit svou integritu a zabránit nesouladu s povinnostmi organizace v oblasti dosahování souladu nebo jej minimalizovat. Integrita a efektivita souladu jsou proto klíčovými prvky správného a náležitého
řízení. Dosahování souladu rovněž přispívá ke spole-
čensky odpovědnému chování organizací.

 

Organizations are increasingly convinced that, by
applying binding values and appropriate compliance management, they can safeguard their integrity and avoid or minimize noncompliance with the organi-
zation’s compliance obligations. Integrity and effective compliance are therefore key elements of good and
diligent management. Compliance also contributes to the socially responsible behaviour of organizations.

Jedním z cílů tohoto dokumentu je pomoci organizacím rozvíjet a šířit pozitivní kulturu souladu tím, že efektivní a řádné řízení rizik souvisejících se souladem má být považováno za příležitost, kterou je třeba sledovat a využít, a to vzhledem k několika přínosům, které
organizaci přináší, jako jsou

 

One of the objectives of this document is to assist
organizations to develop and spread a positive culture of compliance, considering that an effective and sound management of compliance-related risks should be
regarded as an opportunity to pursue and take, due to the several benefits that it provides to the organization such as:

    zlepšení obchodních příležitostí a udržitelnosti;

 

    improving business opportunities and sustainability;

    ochrana a posílení pověsti a důvěryhodnosti orga-
nizace;

 

    protecting and enhancing an organization’s reputation and credibility;

    zohlednění očekávání zainteresovaných stran;

 

    taking into account expectations of interested parties;

    prokázání závazku organizace efektivně a účinně řídit svá rizika souladu;

 

    demonstrating an organization’s commitment to managing its compliance risks effectively and efficiently;

    zvýšení důvěry třetích stran ve schopnost organizace dosáhnout udržitelného úspěchu;

 

    increasing the confidence of third parties in the
organization’s capacity to achieve sustained success;

    minimalizace rizika, že dojde k porušení a s tím spojeným nákladům a poškození dobrého jména.

 

    minimizing the risk of a contravention occurring with the attendant costs and reputational damage.

Tento dokument specifikuje požadavky a také poskytuje návod pro systémy managementu souladu a doporučené praxe. Požadavky i návod uvedené v tomto dokumentu jsou určeny k přizpůsobení a implementace se může lišit v závislosti na velikosti a úrovni vyspělosti systému managementu souladu organizace a na kontextu, povaze a složitosti činností a cílů organizace.

 

This document specifies requirements as well as pro-
vides guidance on compliance management systems and recommended practices. Both the requirements and the guidance in this document are intended to be adaptable, and implementation can differ depending on the size and level of maturity of an organization’s compliance management system and on the context, nature and complexity of the organization’s activities and objectives.

Tento dokument je vhodný k rozšíření požadavků sou-
visejících s dosahováním souladu v jiných systémech managementu a k tomu, aby organizaci pomohl zlepšit celkové řízení všech jejích povinností v oblasti dosa-
hování souladu.

 

This document is suitable to enhance the compliance-
related requirements in other management systems and to assist an organization in improving the overall management of all its compliance obligations.

Obrázek 1 poskytuje přehled obecných prvků systému managementu souladu.

 

Figure 1 provides an overview on common elements of a compliance management system.

 

Obrázek 1 – Prvky systému managementu souladu

Figure 1 – Elements of a compliance management system

V tomto dokumentu se používají tyto slovesné tvary:

 

In this document, the following verbal forms are used:

    „musí“ vyjadřuje požadavek;

 

    “shall” indicates a requirement;

    „má“ vyjadřuje doporučení;

 

    “should” indicates a recommendation;

    „smí“ vyjadřuje dovolení;

 

    “may” indicates permission;

    „může“ vyjadřuje možnost nebo způsobilost.

 

    “can” indicates a possibility or a capability.

Informace s označením „POZNÁMKA“ slouží jako návod pro pochopení nebo objasnění souvisejících požadavků.

 

Information marked as “NOTE” is for guidance in understanding or clarifying the associated requirements.

Příloha A obsahuje návod pro použití tohoto dokumentu.

 

Annex A provides guidance for the use of this document.

 

1 Předmět normy

 

1 Scope

Tento dokument specifikuje požadavky a poskytuje směrnice pro vytvoření, vývoj, implementaci, hodnocení, udržování a zlepšování efektivního systému manage-
mentu souladu v organizaci.

 

This document specifies requirements and provides guidelines for establishing, developing, implementing, evaluating, maintaining and improving an effective compliance management system within an organization.

Tento dokument je použitelný pro všechny typy orga-
nizací bez ohledu na typ, velikost a povahu činností, jakož i na to, zda se jedná o organizaci z veřejného, soukromého nebo neziskového sektoru.

 

This document is applicable to all types of organizations regardless of the type, size and nature of the activity, as well as whether the organization is from the public, private or non-profit sector.

Všechny požadavky specifikované v tomto dokumentu, které se odkazují na správní a řídicí orgán, se vztahují na vrcholové vedení v případě, kdy organizace nemá správní a řídicí orgán jako samostatnou funkci.

 

All requirements specified in this document that refer to a governing body apply to top management in cases where an organization does not have a governing body as a separate function.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz