ISO 19600:2014

INTERNATIONAL ISO
STANDARD 19600
First edition
2014-12-15
Compliance management systems —
Guidelines
Systèmes de management de la conformité — Lignes directrices
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definition . 1
4 Context of the organization . 5
4.1 Understanding the organization and its context . 5
4.2 Understanding the needs and expectations of interested parties . 5
4.3 Determining the scope of the compliance management system . 5
4.4 Compliance management system and principles of good governance . 6
4.5 Compliance obligations . 6
4.6 Identification, analysis and evaluation of compliance risks . 7
5 Leadership . 8
5.1 Leadership and commitment . 8
5.2 Compliance policy . 9
5.3 Organizational roles, responsibilities and authorities.10
6 Planning .13
6.1 Actions to address compliance risks .13
6.2 Compliance objectives and planning to achieve them .14
7 Support .14
7.1 Resources .14
7.2 Competence and training .14
7.3 Awareness .16
7.4 Communication .17
7.5 Documented information .18
8 Operation .19
8.1 Operational planning and control .19
8.2 Establishing controls and procedures .19
8.3 Outsourced processes .20
9 Performance evaluation .21
9.1 Monitoring, measurement, analysis and evaluation .21
9.2 Audit .25
9.3 Management review .25
10 Improvement .26
10.1 Nonconformity, noncompliance and corrective action .26
10.2 Continual improvement .27
Bibliography .28
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any
patent rights identified during the development of the document will be in the Introduction and/or on
the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is Project Committee ISO/PC 271, Compliance
management systems.
iv © ISO 2014 – All rights reserved

Introduction
Organizations that aim to be successful in the long term need to maintain a culture of integrity and
compliance, and to consider the needs and expectations of stakeholders. Integrity and compliance are
therefore not only the basis, but also an opportunity, for a successful and sustainable organization.
Compliance is an outcome of an organization meeting its obligations, and is made sustainable by
embedding it in the culture of the organization and in the behaviour and attitude of people working for
it. While maintaining its independence, it is preferable if compliance management is integrated with the
organization’s financial, risk, quality, environmental and health and safety management processes and
its operational requirements and procedures.
An effective, organization-wide compliance management system enables an organization to demonstrate
its commitment to compliance with relevant laws, including legislative requirements, industry codes
and organizational standards, as well as standards of good corporate governance, best practices, ethics
and community expectations.
An organization’s approach to compliance is ideally shaped by the leadership applying core values and
generally accepted corporate governance, ethical and community standards. Embedding compliance
in the behaviour of the people working for an organization depends above all on leadership at all levels
and clear values of an organization, as well as an acknowledgement and implementation of measures
to promote compliant behaviour. If this is not the case at all levels of an organization, there is a risk of
noncompliance.
In a number of jurisdictions, the courts have considered an organization’s commitment to compliance
through its compliance management system when determining the appropriate penalty to be imposed
for contraventions of relevant laws. Therefore, regulatory and judicial bodies can also benefit from this
International Standard as a benchmark.
Organizations are increasingly convinced that by applying binding values and appropriate compliance
management, they can safeguard their integrity and avoid or minimize noncompliance with the law.
Integrity and effective compliance are therefore key elements of good, diligent management. Compliance
also contributes to the socially responsible behaviour of organizations.
This International Standard does not specify requirements, but provides guidance on compliance
management systems and recommended practices. The guidance in this International Standard is
intended to be adaptable, and the use of this guidance can differ depending on the size and level of
maturity of an organization’s compliance management system and on the context, nature and complexity
of the organization’s activities, including its compliance policy and objectives.
The flowchart in Figure 1 is consistent with other management systems and is based on the continual
improvement principle (“Plan-Do-Check-Act”).
&TUBCMJTI
*EFOUJGJDBUJPO
PG
FYUFSOBM
BOE
JOUFSOBM
JTTVFT %FUFSNJOJOH
UIF
TDPQF


BOE
FTUBCMJTIJOH
UIF


(PPE
HPWFSOBODF

DPNQMJBODF

QSJODJQMFT

NBOBHFNFOU
TZTUFN

*EFOUJGJDBUJPO 


PG
JOUFSFTUFE
QBSUJFT

SFRVJSFNFOUT



&TUBCMJTIJOH

DPNQMJBODF
QPMJDZ


*EFOUJGJDBUJPO
PG

DPNQMJBODF
PCMJHBUJPOT

BOE
FWBMVBUJOH

DPNQMJBODF
SJTLT


%FWFMPQ
.BJOUBJO
-FBEFSTIJQ

DPNNJUNFOU
.BOBHJOH 1MBOOJOH
UP
OPODPNQMJBODFT *OEFQFOEFOU
BEESFTT
DPNQMJBODF
BOE
DPOUJOVBM DPNQMJBODF
GVODUJPO
SJTLT
BOE
UP

JNQSPWFNFOU


3FTQPOTJCJMJUJFT
BDIJFWF
PCKFDUJWFT

BU
BMM
MFWFMT



4VQQPSU
GVODUJPOT

&WBMVBUF *NQMFNFOU
1FSGPSNBODF
0QFSBUJPOBM
FWBMVBUJPO
BOE
QMBOOJOH
BOE
DPNQMJBODF DPOUSPM
PG

SFQPSUJOH
DPNQMJBODF
SJTLT


Figure 1 — Flowchart of a compliance management system
This International Standard has adopted the “high-level structure” (i.e. clause sequence, common text
and common terminology) developed by ISO to improve alignment among its International Standards
for management systems. In addition to its generic guidance on a compliance management system, this
International Standard also provides a framework to assist in the implementation of specific compliance-
related requirements in any management system.
Organizations that have not adopted management system standards or a compliance management
framework can easily adopt this International Standard as stand-alone guidance within their
organization.
This International Standard is suitable to enhance the compliance-related requirements in other
management systems and to assist an organization in improving the overall management of all its
compliance obligations.
This International Standard can be combined with existing management system standards (e.g.
ISO 9001, ISO 14001, ISO 22000) and generic guidelines (e.g. ISO 31000, ISO 26000).
vi © ISO 2014 – All rights reserved
*NQSPWF
INTERNATIONAL STANDARD ISO 19600:2014(E)
Compliance management systems — Guidelines
1 Scope
This International Standard provides guidance for establishing, developing, implementing, evaluating,
maintaining and improving an effective and responsive compliance management system within an
organization.
The guidelines on compliance management systems are applicable to all types of organizations. The
extent of the application of these guidelines depends on the size, structure, nature and complexity of the
organization. This International Standard is based on the principles of good governance, proportionality,
transparency and sustainability.
2 Normative references
There are no normative references.
3 Terms and definition
For the purpose of this document, the following terms and definitions apply.
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships
to achieve its objectives (3.9)
Note 1 to entry: The concept of organization includes, but is not limited to sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated
or not, public or private.
3.2
interested party (preferred term)
stakeholder (admitted term)
person or organization (3.1) that can affect, be affected by, or perceive themselves to be affected by a
decision or activity
3.3
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the
organization.
Note 2 to entry: If the scope of the management system (3.7) covers only part of an organization then top
management refers to those who direct and control that part of the organization.
3.4
governing body
person or group of people that governs an organization (3.1), sets directions and holds top management
(3.3) to account
3.5
employee
individual in a relationship recognized as an employment relationship in national law or practice
3.6
compliance function
person(s) with responsibility for compliance (3.17) management
Note 1 to entry: Preferably one individual will be assigned overall responsibility for compliance (3.17) management
3.7
management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.8) and objectives
(3.9) and processes (3.10) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The system elements include the organization’s structure, roles and responsibilities, planning,
operation, etc.
Note 3 to entry: The scope of a management system may include the whole of the organization, specific and
identified functions of the organization, specific and identified sections of the organization, or one or more
functions across a group of organizations.
3.8
policy
intentions and direction of an organization (3.1) as formally expressed by its top management (3.7)
3.9
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical and/or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as financial, health and safety, and environmental
goals) and can apply at different levels (such as strategic, organization-wide, project, product and process (3.10)).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended outcome, a purpose, an operational
criterion, as a compliance objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of compliance management systems, compliance objectives are set by the
organization, consistent with the compliance policy, to achieve specific results.
3.10
process
set of interrelated or interacting activities which transforms inputs into outputs
3.11
risk
effect of uncertainty on objectives (3.9)
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential “events” (as defined in ISO Guide 73:2009,
3.5.1.3) and “consequences” (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including
changes in circumstances) and the associated “likelihood” (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
3.12
compliance risk
effect of uncertainty on compliance objectives (3.9)
Note 1 to entry: Compliance risk can be characterized by the likelihood of occurrence and the consequences of
noncompliance (3.18) with the organization’s compliance obligations (3.16).
2 © ISO 2014 – All rights reserved

3.13
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example in documented information.
3.14
compliance requirement
requirement (3.13) that an organization (3.1) has to comply with
3.15
compliance commitment
requirement (3.13) that an organization (3.1) chooses to comply with
3.16
compliance obligation
compliance requirement (3.14) or compliance commitment (3.15)
3.17
compliance
meeting all the organization’s compliance obligations (3.16)
Note 1 to entry: Compliance is made sustained by embedding it in the culture of an organization (3.1) and in the
behaviour and attitude of people working for it.
3.18
noncompliance
non-fulfilment of a compliance obligation (3.16)
Note 1 to entry: Noncompliance can be a single or a multiple event and may or may not be the result of a
nonconformity (3.33).
3.19
compliance culture
values, ethics and beliefs that exist throughout an organization (3.1) and interact with the
organization’s structures and control systems to produce behavioural norms that are conducive to
compliance (3.17) outcomes
3.20
code
statement of practice developed internally or by an international, national or industry body or other
organization (3.1)
Note 1 to entry: The code may be mandatory or voluntary.
3.21
organizational and industry standards
documented codes (3.20), good practices, charters , technical and industry standards deemed by an
organization (3.1) to be relevant
3.22
regulatory authority
organization (3.1) responsible for regulating or enforcing compliance (3.17) with legislative and other
requirements (3.13)
3.23
competence
ability to apply knowledge and skills to achieve intended results
3.24
documented information
information required to be controlled and maintained by an organization (3.1) and the medium on which
it is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to:
— the management system (3.7), including related processes (3.10);
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.25
procedure
specified way to carry out an activity or process (3.10)
3.26
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of activities, processes (3.10), products (including
services), systems or organizations (3.1).
3.27
continual improvement
recurring activity or process (3.10) to enhance performance (3.26)
3.28
outsource (verb)
make an arrangement where an external organization (3.1) performs part of an organization’s function
or process (3.10)
Note 1 to entry: An external organization is outside the management system (3.7), although the outsourced
function or process is within the scope.
3.29
monitoring
determining the status of a system, a process (3.10) or an activity
Note 1 to entry: To determine the status there may be a need to check, supervise or critically observe.
Note 2 to entry: Monitoring is not a once-only activity, but a process of regularly or continuously observing a situation.
3.30
measurement
process (3.10) to determine a value
3.31
audit
systematic, independent and documented process (3.10) for obtaining audit evidence and evaluating it
objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party),
and it can be a combined audit (combining two or more disciplines).
Note 2 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
4 © ISO 2014 – All rights reserved

Note 3 to entry: Independence can be demonstrated by the freedom from responsibility for the activity being
audited or freedom from bias and conflict of interest.
3.32
conformity
fulfilment of a management system requirement (3.13)
3.33
nonconformity
non-fulfilment of a management system requirement (3.13)
Note 1 to entry: A nonconformity is not necessarily a noncompliance (3.18).
3.34
correction
action to eliminate a detected nonconformity (3.33) or a noncompliance (3.18)
3.35
corrective action
action to eliminate the cause of a nonconformity (3.33) or a noncompliance (3.18) and to prevent recurrence
4 Context of the organization
4.1 Understanding the organization and its context
The organization should determine external and internal issues, such as those related to compliance
risks, that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its
compliance management system. In doing so, the organization should consider a broad range of external
and internal aspects, such as the regulatory, social and cultural contexts, the economic situation and the
internal policies, procedures, processes and resources.
4.2 Understanding the needs and expectations of interested parties
The organization should determine:
— the interested parties that are relevant to the compliance management system;
— the requirements of these interested parties.
4.3 Determining the scope of the compliance management system
The organization should determine the boundaries and applicability of the compliance management
system to establish its scope.
NOTE The scope of the compliance management system is intended to clarify the geographical and/or
organizational boundaries to which the compliance management system will apply, especially if the organization
is a part of a larger organization at a given location.
When determining this scope, the organization should consider:
— the external and internal issues referred to in 4.1;
— the requirements referred to in 4.2 and 4.5.1.
The scope should be readily available as documented information.
4.4 Compliance management system and principles of good governance
The organization should establish, develop, implement, evaluate, maintain and continually improve a
compliance management system, including the processes needed and their interactions, in accordance
with this International Standard, taking into consideration the following governance principles:
— direct access of the compliance function to the governing body;
— independence of the compliance function;
— appropriate authority and adequate resources allocated to the compliance function.
The compliance management system should reflect the organization’s values, objectives, strategy and
compliance risks.
4.5 Compliance obligations
4.5.1 Identification of compliance obligations
The organization should systematically identify its compliance obligations and their implications
for its activities, products and services. The organization should take these obligations into account
in establishing, developing, implementing, evaluating, maintaining and improving its compliance
management system.
The organization should document its compliance obligations in a manner that is appropriate to its size,
complexity, structure and operations.
Sources of compliance obligations should include compliance requirements and can include
compliance commitments.
EXAMPLE 1 Examples of compliance requirements include:
— laws and regulations;
— permits, licences or other forms of authorization;
— orders, rules or guidance issued by regulatory agencies;
— judgments of courts or administrative tribunals;
— treaties, conventions and protocols.
EXAMPLE 2 Examples of compliance commitments include:
— agreements with community groups or non-governmental organizations;
— agreements with public authorities and customers;
— organizational requirements, such as policies and procedures;
— voluntary principles or codes of practice;
— voluntary labelling or environmental commitments;
— obligations arising under contractual arrangements with the organization;
— relevant organizational and industry standards.
4.5.2 Maintenance of compliance obligations
Organizations should have processes in place to identify new and changed laws, regulations, codes and
other compliance obligations to ensure on-going compliance. Organizations should have processes to
6 © ISO 2014 – All rights reserved

evaluate the impact of the identified changes and implement any changes in the management of the
compliance obligations.
EXAMPLE Examples of processes to obtain information on changes to laws and other compliance
obligations include:
— being on the mailing lists of relevant regulators;
— membership of professional groups;
— subscribing to relevant information services;
— attending industry forums and seminars;
— monitoring the websites of regulators;
— meeting with regulators;
— arrangements with legal advisors;
— monitoring the sources of the compliance obligations (e.g. regulatory pronouncements and court decisions).
4.6 Identification, analysis and evaluation of compliance risks
The organization should identify and evaluate its compliance risks. This evaluation can be based on a
formal compliance risk assessment or conducted via alternative approaches. Compliance risk assessment
constitutes the basis for the implementation of the compliance management system and the planned
allocation of appropriate and adequate resources and processes to manage identified compliance risks.
The organization should identify compliance risks by relating its compliance obligations to its
activities, products, services and relevant aspects of its operations in order to identify situations
where noncompliance can occur. The organization should identify the causes for and consequences of
noncompliance.
The organization should analyse compliance risks by considering causes and sources of noncompliance
and the severity of their consequences, as well as the likelihood that noncompliance and associated
consequences can occur. Consequences can include, for example, personal and environmental harm,
economic loss, reputational harm and administrative liability.
Risk evaluation involves comparing the level of compliance risk found during the analysis process with
the level of compliance risk the organization is able and willing to accept. Based on this comparison,
priorities can be set as a basis for determining the need for implementing controls and the extent of
these controls (see 6.1).
The compliance risks should be reassessed periodically and whenever there are:
— new or changed activities, products or services;
— changes to the structure or strategy of the organization;
— significant external changes, such as financial-economic circumstances, market conditions,
liabilities and client relationships;
— changes to compliance obligations (see 4.5);
— noncompliance(s).
NOTE 1 The extent and level of detail of the compliance risk assessment are dependent on the risk situation,
context, size and objectives of the organization and can vary for specific sub-areas (e.g. environment, financial, social).
NOTE 2 The risk-based approach to compliance management does not mean that for low compliance risk
situations, noncompliance is accepted by the organization. It assists organizations in focussing primary attention
and resources on higher risks as a priority, and ultimately will cover all compliance risks. All identified compliance
risks/situations are subject to monitoring, correction and corrective action.
NOTE 3 ISO 31000 provides detailed guidance on risk assessment.
5 Leadership
5.1 Leadership and commitment
The governing body and top management should demonstrate leadership and commitment with respect
to the compliance management system by:
a) establishing and upholding the core values of the organization;
b) ensuring that the compliance policy and compliance objectives are established and are consistent
with the values, objectives and strategic direction of the organization (see 6.2);
c) ensuring that policies, procedures and processes are developed and implemented to achieve
compliance objectives;
d) ensuring that the resources needed for the compliance management system are available, allocated
and assigned;
e) ensuring the integration of the compliance management system requirements into the organization’s
business processes;
f) communicating the importance of an effective compliance management system and the importance
of conforming to the compliance management system requirements;
g) directing and supporting persons to contribute to the effectiveness of the compliance
management system;
h) supporting other relevant management roles to demonstrate their leadership as it applies to their
areas of compliance responsibility;
i) ensuring alignment between operational targets and compliance obligations;
j) establishing and maintaining accountability mechanisms, including timely reporting on compliance
matters, including noncompliance;
k) ensuring that the compliance management system achieves its intended outcome(s);
l) promoting continual improvement.
EXAMPLE Effective compliance requires an active commitment from the governing body and top management
that permeates the whole organization. The level of commitment is indicated by the degree to which:
— the governing body and all levels of management actively demonstrate commitment to establishing, developing,
implementing, evaluating, maintaining and improving an effective and responsive compliance management
system through their actions and decisions;
— the compliance policy is formally approved by the governing body;
— top management takes responsibility for ensuring that the commitment to compliance of the organization is
fully realized;
— all levels of management consistently convey a clear message (demonstrated by words and actions) to
employees that the organization will meet its compliance obligations;
— the commitment to compliance is communicated widely in clear and convincing statements supported by action;
— the compliance function is given a level of authority which reflects the importance of effective compliance and
has direct access to the governing body;
— resources are allocated to establishing, developing, implementing, evaluating, maintaining and improving a
robust compliance culture though awareness-raising activities and training;
8 © ISO 2014 – All rights reserved

— policies, procedures and processes reflect not just the legal requirements, but also voluntary codes and the
organization’s core values;
— the organization assigns and requires accountability for compliance to management across all levels of the
organization;
— regular review of the compliance management system is required;
— compliance performance of the organization is continually improved;
— corrective action is taken.
5.2 Compliance policy
5.2.1 General
The governing body and top management, preferably in consultation with employees, should establish
a compliance policy that
— is appropriate to the purpose of the organization;
— provides a framework for setting compliance objectives;
— includes a commitment to satisfy applicable requirements;
— includes a commitment to continual improvement of the compliance management system.
The compliance policy should articulate:
— the scope of the compliance management system;
— the application and context of the system in relation to the size, nature and complexity of the
organization and its operating environment;
— the extent to which compliance will be integrated with other functions, such as governance, risk,
audit and legal;
— the degree to which compliance will be embedded into operational policies, procedures and processes;
— the degree of independence and autonomy of the compliance function;
— the responsibility for managing and reporting compliance issues;
— the principles on which relationships with internal and external stakeholders will be managed;
— the required standard of conduct and accountability;
— the consequences of noncompliance.
The compliance policy should:
— be available as documented information;
— be written in plain language so that all employees can easily understand the principles and intent;
— be translated into other languages if necessary;
— be communicated clearly within the organization and be made readily available to all employees;
— be available to interested parties, as appropriate;
— be updated, as required, to ensure it remains relevant.
The compliance policy should be established in alignment with the organization’s values, objectives and
strategy, and should be endorsed by the governing body.
The compliance policy establishes the overarching principles and commitment to action for an
organization to achieving compliance. It sets the level of responsibility and performance required and
sets expectations to which actions will be assessed. The policy should be appropriate to the organization’s
compliance obligations that arise from its activities.
The compliance policy should not be a stand-alone document but should be supported by other
documents, including operational policies, procedures and processes.
5.2.2 Development
In developing the compliance policy, consideration should be given to:
a) specific international, regional, or local obligations;
b) the organization’s strategy, objectives and values;
c) the organization’s structure and governance framework;
d) the nature and level of risk associated with noncompliance;
e) other internal policies, standards and codes.
5.3 Organizational roles, responsibilities and authorities
5.3.1 General
Top management should ensure that the responsibilities and authorities for relevant roles are assigned
and communicated within the organization.
The governing body and top management should assign the responsibility and authority to the
compliance function for:
a) ensuring that the compliance management system is consistent with this International Standard;
b) reporting on the performance of the compliance management system to the governing body and
top management.
NOTE The specific duties of the compliance function do not relieve other employees of responsibilities for
reporting on compliance that might exist.
5.3.2 Assigning responsibility for compliance in the organization
The active involvement of, and supervision by, governing body and top management is an integral part
of an effective compliance management system. This helps ensure that employees fully understand the
organization’s policy and operational procedures and how these apply to their jobs, and that they carry
out compliance obligations effectively.
For a compliance management system to be effective the governing body and top management need to lead
by example, by adhering to and actively supporting compliance and the compliance management system.
Many organizations have a dedicated person (e.g. a compliance officer) responsible for day-to-day
compliance management, and some have a cross-functional compliance committee to coordinate
compliance across the organization.
Some organizations – depending on their size –also have someone who has overall responsibility for
compliance management, although this may be in addition to other roles or functions, including existing
committees, organizational unit(s), or outsource elements to compliance experts.
10 © ISO 2014 – All rights reserved

This should not be seen as absolving other levels of management of their compliance responsibilities,
as all managers have a role to play with respect to the compliance management system. It is therefore
important that their respective responsibilities are clearly set out and included in their job descriptions.
Compliance responsibilities of managers will, by necessity, vary according to levels of authority, influence
and other factors, such as the nature and size of the organization. However, some responsibilities are
likely to be common across a variety of organizations.
NOTE This International Standard does not distinguish between the concept of responsibility and that of
accountability. Accountability is implicit in the use of the term “responsibility”.
5.3.3 Governing body and top management role and responsibility
The governing body and top management should:
a) establish a compliance policy in accordance with 5.2.2;
b) ensure that the commitment to compliance is maintained and that noncompliance and noncompliant
behaviour are dealt with appropriately;
c) include compliance responsibilities in position statements of top managers;
d) appoint or nominate a compliance function with:
1) authority and responsibility for the design, consistency and integrity of the compliance
management system;
2) clear and unambiguous support from and direct access to the governing body and top management;
3) access to:
— senior decision-makers and the opportunity to contribute early in the decision-making
processes;
— all levels of the organization:
— all documented information and data needed to perform the compliance tasks;
— expert advice on relevant laws, regulations, codes and organizational standards;
4) the authority and capacity to execute countervailing power, by showing any consequences for
compliance in relevant decision-making processes;
e) ensure that the compliance function has authority to act independently and is not compromised by
conflicting priorities, particularly where compliance is embedded in the business.
Top management should:
— allocate adequate and appropriate resources to establish, develop, implement, evaluate, maintain
and improve the compliance management system and performance outcomes;
— ensure that the responsibilities and authorities for relevant roles are assigned and communicated
within the organization;
— ensure that effective and timely systems of reporting are in place;
— be measured against compliance key performance measures or outcomes;
— assign responsibility for reporting on the performance of the compliance management system to
governing body and top management.
5.3.4 Compliance function
Not all organizations will create a discrete compliance function, some may assign this function to an
existing position.
The compliance function, working together with management, should be responsible for:
a) identifying compliance obligations with the support of relevant resources and translating those
obligations into actionable policies , procedures and processes;
b) integrating compliance obligations into existing policies, procedures and processes ;
c) providing or organizing on-going training support for employees to ensure that all relevant
employees are trained on a regular basis;
d) promoting the inclusion of compliance responsibilities into job descriptions and employee
performance management processes;
e) setting in place a compliance reporting and documenting system;
f) developing and implementing processes for managing information, such as complaints and/or
feedback by means of hotlines, a whistle-blowing system and other mechanisms;
g) establishing compliance performance indicators and monitoring and measuring compliance
performance;
h) analysing performance to identify the need for corrective action;
i) identifying compliance risks and managing those compliance risks relating to third parties, such as
suppliers, agents, distributors, consultants and contractors;
j) ensuring the compliance management system is reviewed at planned intervals;
k) ensuring there is access to a
...

NORME ISO
INTERNATIONALE 19600
Première édition
2014-12-15
Systèmes de management de la
compliance — Lignes directrices
Compliance management systems — Guidelines
Numéro de référence
©
ISO 2014
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2014 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Contexte de l’organisme . 5
4.1 Connaissance de l’organisme et contexte . 5
4.2 Compréhension des besoins et des attentes des parties intéressées . 5
4.3 Détermination du périmètre du système de management de la compliance . 6
4.4 Système de management de la compliance et principes de bonne gouvernance . 6
4.5 Obligations de compliance . 6
4.5.1 Identification des obligations de compliance . 6
4.5.2 Tenue à jour des obligations de compliance . 7
4.6 Identification, analyse et évaluation des risques liés à la compliance . 7
5 Leadership . 8
5.1 Leadership et engagement. 8
5.2 Politique de compliance . 9
5.2.1 Généralités . 9
5.2.2 Développement .10
5.3 Rôles, responsabilités et autorités au sein de l’organisme .10
5.3.1 Généralités .10
5.3.2 Attribution des responsabilités pour la compliance au sein de l’organisme .11
5.3.3 Rôle et responsabilité de l’organe directeur et de la direction .11
5.3.4 Fonction en charge de la compliance .12
5.3.5 Responsabilités du personnel d’encadrement .13
5.3.6 Responsabilité des employés .14
6 Planification .14
6.1 Actions pour traiter les risques liés à la compliance .14
6.2 Objectifs de compliance et planification pour les atteindre .14
7 Soutien .15
7.1 Ressources .15
7.2 Compétences et formation .15
7.2.1 Compétences .15
7.2.2 Formation . .16
7.3 Sensibilisation .17
7.3.1 Généralités .17
7.3.2 Comportements .17
7.4 Communication .19
7.4.1 Généralités .19
7.4.2 Communication interne .19
7.4.3 Communication externe .19
7.5 Informations documentées .19
7.5.1 Généralités .19
7.5.2 Mise en place et mise à jour .20
7.5.3 Maîtrise des informations documentées .20
8 Fonctionnement .21
8.1 Planification et maîtrise opérationnelles .21
8.2 Établissement des contrôles et des procédures .21
8.3 Processus externalisés .22
9 Évaluation des performances .22
9.1 Surveillance, mesure, analyse et évaluation .22
9.1.1 Généralités .22
9.1.2 Surveillance .23
9.1.3 Sources de retour d’informations sur les performances de compliance .23
9.1.4 Méthodes de collecte d’informations .24
9.1.5 Analyse et classification des informations .24
9.1.6 Mise en place des indicateurs .25
9.1.7 Communication d’informations sur la compliance .25
9.1.8 Contenu des rapports sur la compliance .26
9.1.9 Conservation des enregistrements .26
9.2 Audit .27
9.3 Revue de direction .27
10 Amélioration .28
10.1 Non-conformité, non-compliance et actions correctives .28
10.1.1 Généralités .28
10.1.2 Remontée des informations .29
10.2 Amélioration continue .30
Bibliographie .31
iv © ISO 2014 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration
du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par
l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
Le comité chargé de l’élaboration du présent document est le Comité de Projet ISO/PC 271, Systèmes de
management de la conformité.
Introduction
Les organismes qui aspirent à garantir leur réussite sur le long terme doivent entretenir une culture
d’intégrité et de compliance et prendre en compte les besoins et attentes des parties prenantes. L’intégrité
et la compliance ne constituent donc pas seulement un prérequis mais également une opportunité pour
un organisme florissant et durable.
La compliance est un résultat d’un organisme qui respecte ses obligations. La pérennité de la compliance
est assurée par son intégration dans la culture de l’organisme ainsi que dans le comportement et la
conduite des personnes qui travaillent en son sein. Tout en gardant son indépendance, il est préférable
que le management de la compliance soit intégré aux processus de management de la finance, des risques,
de la qualité, de l’environnement et de la santé et de la sécurité de l’organisme ainsi qu’à ses exigences
et procédures opérationnelles.
Un système de management de la compliance efficace pour un organisme dans son ensemble permet à
cette dernière de démontrer son engagement pour le respect de la législation en vigueur, ceci incluant
les exigences légales, les codes industriels et les normes organisationnelles, ainsi que les standards de
bonne gouvernance d’entreprise, les bonnes pratiques, l’éthique et les attentes des parties intéressées.
En ce qui concerne la compliance, l’approche d’un organisme est idéalement définie par un leadership qui
applique ses valeurs fondamentales et les normes communément admises de gouvernance d’entreprise,
d’éthique et communautaires. Intégrer la compliance dans le comportement des personnes qui travaillent
pour un organisme dépend avant tout d’un leadership à tous les niveaux et de valeurs claires pour cet
organisme, ainsi que de la reconnaissance et de la mise en œuvre de mesures pour promouvoir une
attitude de compliance. Si cela n’est pas le cas à tous les niveaux d’un organisme, il y a risque de non-
compliance.
Dans bon nombre de juridictions, pour déterminer la sanction appropriée à imposer en cas de non-
respect des lois en vigueur, les tribunaux ont pris en compte l’engagement d’un organisme pour la
compliance reflété par son système de management de la compliance. Par conséquent, les organismes de
réglementation et judiciaire peuvent également bénéficier de la présente Norme internationale comme
valeur de référence.
Les organismes sont de plus en plus convaincus du fait que l’application de valeurs engageantes et un
management approprié de la compliance leur permettront de préserver leur intégrité et d’éviter ou de
réduire les risques de non-respect de la loi. L’intégrité et une compliance efficaces sont donc des éléments
clés pour un management avisé. La compliance contribue également au comportement socialement
responsable des organismes.
La présente Norme internationale ne spécifie pas d’exigences, mais fournit des lignes directrices
concernant les systèmes de management de la compliance et des pratiques recommandées. Les lignes
directrices fournies dans la présente Norme internationale se veulent flexibles et l’utilisation de ces lignes
directrices peut être différente selon la taille et le niveau de maturité du système de management de la
compliance d’un organisme et selon le contexte, la nature et la complexité des activités de l’organisme, y
compris sa politique et ses objectifs en matière de compliance.
L’organigramme de la Figure 1 est cohérent avec d’autres systèmes de management et est fondé sur le
principe de l’amélioration continue (« Planifier-Mettre en œuvre-Contrôler-Agir »).
vi © ISO 2014 – Tous droits réservés

Figure 1 — Schéma d’un système de management de la compliance
La présente Norme internationale a adopté la « structure de niveau supérieur » (HLS) (c’est-à-dire, l’ordre
des paragraphes, le texte de base identique et les termes et définitions de base communs) élaborées
par l’ISO pour améliorer l’alignement entre ses diverses Normes internationales sur les systèmes de
management. Outre ses recommandations générales sur le système de management de la compliance,
la présente Norme internationale fournit également un cadre pour aider à la mise en œuvre dans tout
système de management d’exigences spécifiques liées à la compliance.
Les organismes qui n’ont pas adopté de norme de systèmes de management, ou de cadre de management
de la compliance, peuvent aisément adopter la présente Norme internationale comme lignes directrices
autonomes au sein de leur organisme.
La présente Norme internationale est à même d’améliorer les exigences liées à la compliance dans d’autres
systèmes de management et d’aider un organisme à améliorer le management dans son ensemble de
toutes ses obligations de compliance.
La présente Norme internationale peut être combinée avec des normes de systèmes de management
existantes (par exemple l’ISO 9001, l’ISO 14001, l’ISO 22000) et des lignes directrices génériques (par
exemple l’ISO 31000, l’ISO 26000).
viii © ISO 2014 – Tous droits réservés

NORME INTERNATIONALE ISO 19600:2014(F)
Systèmes de management de la compliance — Lignes
directrices
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices relatives à l’établissement, au
développement, à la mise en œuvre, à l’évaluation, à la maintenance et à l’amélioration d’un système de
management de la compliance efficace et réactif au sein d’un organisme.
Les lignes directrices concernant les systèmes de management de la compliance sont applicables à
tous les types d’organismes. L’étendue de l’application de ces lignes directrices dépend de la taille, de la
structure, de la nature et de la complexité de l’organisme. La présente Norme internationale est basée
sur les principes de bonne gouvernance, de proportionnalité, de transparence et de durabilité.
2 Références normatives
Il n’y a aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
organisme
personne ou groupe de personnes ayant sa propre structure fonctionnelle avec des responsabilités,
autorités et relations en vue d’atteindre ses objectifs (3.9)
Note 1 à l’article: Le concept d’organisme comprend, sans toutefois s’y limiter, le travailleur indépendant, la
compagnie, société, firme, entreprise, autorité, le partenariat, l’organisme caritatif ou institution, ou une partie
ou une combinaison des entités précédentes, à responsabilité limitée ou d’un autre statut, de droit public ou privé.
3.2
partie intéressée (terme préféré)
partie prenante (terme admis)
personne ou organisme (3.1) qui peut avoir une incidence, être affectée ou se sentir affectée par une
décision ou une activité
3.3
direction
personne ou groupe de personnes qui dirige et contrôle un organisme (3.1) au plus haut niveau
Note 1 à l’article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de
l’organisme.
Note 2 à l’article: Si le domaine d’application du système de management (3.7) traite uniquement une partie de
l’organisme, alors la direction se réfère à ceux qui dirigent et contrôlent cette partie de l’organisme.
3.4
organe directeur
personne ou groupe de personnes qui administre un organisme (3.1), fixe les orientations et à qui la
direction (3.3) rend compte
3.5
employé
individu placé dans une relation reconnue comme étant une relation de travail, dans la législation
nationale ou dans la pratique
3.6
fonction en charge de la compliance
personne(s) chargée(s) du management de la compliance (3.17)
Note 1 à l’article: Il est préférable que la responsabilité globale du management de la compliance (3.17) soit confiée
à une seule personne.
3.7
système de management
ensemble d’éléments corrélés ou interactifs d’un organisme (3.1), utilisés pour établir des politiques (3.8)
et des objectifs (3.9) et des processus (3.10) pour atteindre ces objectifs
Note 1 à l’article: Un système de management peut aborder une seule ou plusieurs disciplines.
Note 2 à l’article: Les éléments du système comprennent la structure organisationnelle, les rôles et responsabilités,
la planification, le fonctionnement, etc.
Note 3 à l’article: Le domaine d’application d’un système de management peut comprendre l’ensemble de
l’organisme, des fonctions spécifiques et identifiées de l’organisme, des sections spécifiques et identifiées de
l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
3.8
politique
intentions et orientations d’un organisme (3.1), telles qu’elles sont officiellement formulées par sa
direction (3.7)
3.9
objectif
résultat à atteindre
Note 1 à l’article: Un objectif peut être stratégique, tactique et/ou opérationnel.
Note 2 à l’article: Les objectifs peuvent être relatifs à différentes disciplines (telles que la finance, la santé et
sécurité, et les buts environnementaux) et ils peuvent s’appliquer à divers niveaux (tels que stratégie, organisation
dans son ensemble, projet, produit et processus (3.10)).
Note 3 à l’article: Un objectif peut être exprimé par d’autres façons, par exemple par un résultat escompté, un
besoin, un critère opérationnel, en tant qu’objectif de compliance ou par l’utilisation d’autres termes ayant la
même signification (par exemple fin, but ou cible).
Note 4 à l’article: Dans le contexte des normes de systèmes de management de la compliance, les objectifs de
compliance sont établis par l’organisme, en cohérence avec sa politique en matière de compliance, en vue d’obtenir
des résultats spécifiques.
3.10
processus
ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de
sortie
3.11
risque
effet de l’incertitude sur l’atteinte des objectifs (3.9)
Note 1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l’article: L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
2 © ISO 2014 – Tous droits réservés

Note 3 à l’article: Un risque est souvent caractérisé en référence à des « événements » potentiels ((tels que
définis dans le ISO Guide 73:2009, 3.5.1.3) et des « conséquences » potentielles (telles que définies dans le
le ISO Guide 73:2009, 3.6.1.3), ou une combinaison des deux.
Note 4 à l’article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(incluant des changements de circonstances) et de sa « vraisemblance » associée d’occurrence (telle que définie
dans le ISO Guide 73:2009, 3.6.1.1).
3.12
risque lié à la compliance
effet de l’incertitude sur les objectifs (3.9) en matière de compliance
Note 1 à l’article: Le risque lié à la compliance peut être caractérisé par la vraisemblance d’occurrence et les
conséquences de la non-compliance (3.18) aux obligations de compliance (3.16) de l’organisme.
3.13
exigence
besoin ou attente qui est formulé, généralement implicite ou obligatoire
Note 1 à l’article: « Généralement implicite » signifie qu’il est habituel ou de pratique commune pour l’organisme
et les parties intéressées que le besoin ou l’attente à prendre en considération soit implicite.
Note 2 à l’article: Une exigence spécifiée est une exigence imposée, par exemple dans une information documentée.
3.14
exigence de compliance
exigence (3.13) à laquelle un organisme (3.1) doit se conformer
3.15
engagement de compliance
exigence (3.13) à laquelle un organisme (3.1) choisit de se conformer
3.16
obligation de compliance
exigence de compliance (3.14) ou engagement de compliance (3.15)
3.17
compliance
respect de toutes les obligations de compliance (3.16) d’un organisme
Note 1 à l’article: On pérennise la compliance en l’intégrant dans la culture d’un organisme (3.1) ainsi que dans le
comportement et l’attitude des personnes travaillant au sein de cet organisme.
3.18
non-compliance
non-respect d’une obligation de compliance (3.16)
Note 1 à l’article: La non-compliance peut être un événement unique ou répété et il peut ou non être le résultat
d’une non-conformité (3.33).
3.19
culture de la compliance
les valeurs, l’éthique et les convictions qui existent au sein d’un organisme (3.1) et interagissent avec
les structures fonctionnelles et les systèmes de contrôle de l’organisme pour produire des normes
comportementales conduisant aux résultats de compliance (3.17)
3.20
code
énoncé d’une pratique établie en interne ou par un organisme international, national ou sectoriel ou un
autre organisme (3.1)
Note 1 à l’article: Le code peut être à caractère obligatoire ou à adhésion volontaire.
3.21
normes organisationnelles et sectorielles
ensemble documenté de codes (3.20), bonnes pratiques, chartes, normes techniques et sectorielles
jugées pertinents par un organisme (3.1)
3.22
autorité réglementaire
organisme (3.1) chargée de régir ou de faire appliquer la compliance (3.17) aux exigences (3.17) légales
et autres
3.23
compétence
capacité à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.24
information documentée
information qui nécessite d’être contrôlée et tenue à jour par un organisme (3.1) et le format sur lequel
elle est contenue
Note 1 à l’article: Les informations documentées peuvent se présenter dans tout format et sur tout support et
provenir de toute source.
Note 2 à l’article: Les informations documentées peuvent se rapporter:
— au système de management (3.7), y compris les processus (3.10) associés;
— aux informations créées en vue du fonctionnement de l’organisme (documentation);
— aux preuves des résultats obtenus (enregistrements).
3.25
procédure
manière spécifiée de réaliser une activité ou un processus (3.10)
3.26
performance
résultat mesurable
Note 1 à l’article: La performance peut porter sur des constatations quantitatives ou qualitatives.
Note 2 à l’article: La performance peut concerner le management d’activités, de processus (3.10), de produits (y
compris services), de systèmes ou d’organismes (3.1).
3.27
amélioration continue
activité ou processus (3.10) récurrents d’amélioration des performances (3.26)
3.28
externaliser (verbe)
passer un accord en vertu duquel un organisme (3.1) externe assure une partie de la fonction ou met en
œuvre une partie du processus (3.10) d’un organisme
Note 1 à l’article: L’organisme externe n’est pas inclus dans le périmètre du système de management (3.7),
contrairement à la fonction ou au processus externalisé(e) qui en fait bien partie.
3.29
surveillance
détermination de l’état d’un système, d’un processus (3.10) ou d’une activité
Note 1 à l’article: Pour déterminer cet état, il peut être nécessaire de vérifier, superviser ou observer de façon
critique.
4 © ISO 2014 – Tous droits réservés

Note 2 à l’article: La surveillance n’est pas une activité ponctuelle, mais un processus d’observation régulière ou
continue d’une situation.
3.30
mesure
processus (3.10) visant à déterminer une valeur
3.31
audit
processus (3.10) méthodique, indépendant et documenté, permettant d’obtenir des preuves d’audit et de
les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits
Note 1 à l’article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut
être combiné (s’il associe deux disciplines ou plus).
Note 2 à l’article: Les termes « preuves d’audit » et « critères d’audit » sont définis dans l’ISO 19011.
Note 3 à l’article: L’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à
auditer ou l’absence de divergence et de conflit d’intérêt.
3.32
conformité
satisfaction d’une exigence d’un système de management (3.13)
3.33
non-conformité
non-satisfaction d’une exigence d’un système de management (3.13)
Note 1 à l’article: Une non-conformité n’est pas nécessairement une non-compliance (3.18).
3.34
correction
action visant à éliminer une non-conformité (3.33) ou une non-compliance (3.18) détectée
3.35
action corrective
action visant à éliminer la cause d’une non-conformité (3.33) ou d’une non-compliance (3.18) et à éviter
sa réapparition
4 Contexte de l’organisme
4.1 Connaissance de l’organisme et contexte
Il convient que l’organisme détermine les enjeux externes et internes, tels que ceux associés aux risques
liés à la compliance, pertinents compte tenu de sa mission, et qui influent sur sa capacité à obtenir le(s)
résultat(s) escompté(s) de son système de management de la compliance. Ce faisant, il convient que
l’organisme prenne en compte une grande variété d’aspects externes et internes, tels que les contextes
réglementaires, sociaux et culturels, la situation économique ainsi que les politiques, procédures,
processus et ressources internes.
4.2 Compréhension des besoins et des attentes des parties intéressées
Il convient que l’organisme détermine:
— les parties intéressées qui sont concernées par le système de management de la compliance;
— les exigences de ces parties intéressées.
4.3 Détermination du périmètre du système de management de la compliance
Pour établir le périmètre du système de management de la compliance, il convient que l’organisme en
détermine les limites et l’applicabilité.
NOTE Le périmètre du système de management de la compliance vise à clarifier les limites géographique
et/ou organisationnelles dans lesquelles le système de management de la compliance s’appliquera, en particulier
si l’organisme fait partie d’un organisme plus grand dans un lieu donné.
Lorsqu’elle établit ce périmètre, il convient que l’organisme prenne en compte:
— les enjeux externes et internes auxquels il est fait référence en 4.1;
— les exigences auxquelles il est fait référence en 4.2 et 4.5.1.
Il convient que le périmètre soit disponible sous forme d’information documentée.
4.4 Système de management de la compliance et principes de bonne gouvernance
Il convient que l’organisme établisse, développe, mette en œuvre, évalue, tienne à jour et améliore
continuellement un système de management de la compliance, y compris les processus nécessaires et
leurs interactions, conformément à la présente Norme internationale, en tenant compte des principes de
gouvernance suivants:
— accès direct de la fonction en charge de la compliance à l’organe directeur;
— indépendance de la fonction en charge de la compliance;
— allocation de l’autorité et des ressources appropriées à la fonction en charge de la compliance.
Il convient que les valeurs, les objectifs, la stratégie et les risques liés à la compliance de l’organisme
transparaissent dans le système de management de la compliance.
4.5 Obligations de compliance
4.5.1 Identification des obligations de compliance
Il convient que l’organisme identifie systématiquement ses obligations de compliance et leurs implications
pour ses activités, produits et services. Il convient que l’organisme prenne en compte ces obligations
pour établir, développer, mettre en œuvre, évaluer, tenir à jour et améliorer son système de management
de la compliance.
Il convient que l’organisme documente ses obligations de compliance d’une manière appropriée à sa
taille, à sa complexité, à sa structure et à ses opérations.
Il convient que les sources d’obligations de compliance incluent les exigences de compliance. Elles
peuvent également inclure des engagements de compliance.
EXEMPLE 1 Les exemples suivants figurent parmi les exemples d’exigences de compliance:
— lois et réglementations;
— permis, licences ou autres formes d’autorisations;
— arrêtés, règles ou directives énoncés par les organismes de réglementation;
— décisions de justice ou de tribunaux administratifs;
— traités, conventions et protocoles.
EXEMPLE 2 Les exemples suivants figurent parmi les exemples d’engagements de compliance:
— accords avec des groupes de communautés ou des organismes non-gouvernementaux;
6 © ISO 2014 – Tous droits réservés

— accords avec les autorités publiques et les clients;
— exigences organisationnelles, telles que politiques et procédures;
— principes ou codes de pratiques à adhésion volontaire;
— engagements volontaires en matière d’étiquetage ou d’environnement;
— obligations au titre de dispositions contractuelles avec l’organisme;
— normes organisationnelles et sectorielles applicables.
4.5.2 Tenue à jour des obligations de compliance
Il convient que les organismes disposent de processus mis en place pour identifier les nouveautés et
changements au niveau des lois, réglementations, codes et autres obligations de compliance afin d’assurer
une compliance continuelle. Il convient que les organismes disposent de processus permettant d’évaluer
l’impact des changements identifiés et de mettre en œuvre tout changement dans le management des
obligations de compliance.
EXEMPLE Les exemples suivants figurent parmi les exemples de processus pour obtenir des informations
concernant les changements au niveau de la législation et autres obligations de compliance:
— être destinataire des bulletins d’information des organismes de réglementation concernés;
— être membre de groupes professionnels;
— s’abonner aux services d’informations appropriés;
— prendre part à des forums et séminaires sectoriels;
— visiter régulièrement les sites Internet des organismes de réglementation;
— organiser des rencontres avec les organismes de réglementation;
— faire appel aux services de conseillers juridiques;
— surveiller les sources des obligations de compliance (par exemple déclarations réglementaires et décisions de
justice).
4.6 Identification, analyse et évaluation des risques liés à la compliance
Il convient que l’organisme identifie et évalue ses risques liés à la compliance. Cette évaluation peut être
basée sur une évaluation formelle des risques liés à la compliance ou effectuée par le biais d’approches
alternatives. L’évaluation des risques liés à la compliance constitue la base de la mise en œuvre
du système de management de la compliance et de la planification de l’affectation des ressources et
processus appropriés et adéquats pour le management des risques liés à la compliance identifiés.
Il convient que l’organisme identifie les risques liés à la compliance en reliant ses obligations de
compliance à ses activités, à ses produits, à ses services et aux aspects pertinents de ses opérations
afin d’identifier les situations dans lesquelles une non-compliance peut se produire. Il convient que
l’organisme identifie les causes et les conséquences de la non-compliance.
Il convient que l’organisme analyse les risques liés à la compliance en étudiant les causes et les sources
de non-compliance ainsi que la gravité de leurs conséquences et la vraisemblance d’occurrence de la
non-compliance et de ses conséquences associées. Des préjudices corporels et écologiques, une perte
économique, une atteinte à la réputation et une responsabilité administrative figurent parmi les
conséquences envisageables.
L’évaluation du risque implique la comparaison du niveau de risque lié à la compliance tel que déterminé
lors du processus d’analyse avec le niveau de risque lié à la compliance que l’organisme peut et consent à
accepter. Cette comparaison pourra être utilisée pour fixer des priorités qui serviront de base à la mise
en œuvre de contrôles si nécessaire, ainsi qu’à la détermination de l’étendue de ces contrôles (voir 6.1).
Il convient de procéder périodiquement à une nouvelle évaluation des risques liés à la compliance ainsi
que dans les cas suivants:
— activités, produits ou services nouveaux ou modifiés;
— changement de structure ou de stratégie de l’organisme;
— changements externes notables, tels que situation économique et financière, conditions du marché,
responsabilités et relations avec les clients;
— changements au niveau des obligations de compliance (voir 4.5);
— non-compliance(s).
NOTE 1 L’étendue et le niveau de détail de l’évaluation du risque lié à la compliance dépendent de la situation du
risque, du contexte, de la taille et des objectifs de l’organisme et peuvent varier pour des aspects spécifiques (par
exemple environnemental, financier, social).
NOTE 2 L’approche basée sur le risque pour le management de la compliance ne signifie pas que pour des
situations présentant un faible risque lié à la compliance, la non-compliance soit acceptée par l’organisme. Cette
approche permet à l’organisme de centrer tout particulièrement l’attention et les ressources sur les risques élevés
en priorité, et, in fine, de couvrir l’ensemble des risques liés à compliance. L’ensemble des risques/situations liés à
la compliance font l’objet de surveillance, correction et action corrective.
NOTE 3 L’ISO 31000 fournit des informations détaillées sur l’évaluation du risque.
5 Leadership
5.1 Leadership et engagement
Il convient que l’organe directeur et la direction fassent preuve de leadership et affirment leur engagement
à l’égard du système de management de la compliance en:
a) établissant et respectant les valeurs fondamentales de l’organisme;
b) s’assurant que la politique et les objectifs de compliance sont établis et qu’ils sont cohérents avec les
valeurs, les objectifs et l’orientation stratégique de l’organisme (voir 6.2);
c) s’assurant que des politiques, procédures et processus sont élaboré(e)s et mis(es) en œuvre afin
d’atteindre les objectifs de compliance;
d) s’assurant que les ressources requises pour le système de management de la compliance sont
disponibles, affectées et attribuées;
e) s’assurant que les exigences liées au système de management de la compliance sont intégrées aux
processus métiers de l’organisme;
f) communiquant qu’il est important de disposer d’un système de management de la compliance efficace
et qu’il est important de satisfaire aux exigences du système de management de la compliance;
g) orientant et appuyant les personnes pour qu’elles contribuent à l’efficacité du système de management
de la compliance;
h) aidant les autres rôles managériaux concernés à eux aussi faire preuve de leadership puisque la
condition s’applique à leurs domaines de responsabilité en matière de compliance;
i) assurant l’alignement entre objectifs opérationnels et obligations de compliance;
j) établissant et tenant à jour des mécanismes de responsabilité, incluant le reporting en temps et
heure sur les sujets liés à la compliance, y compris la non-compliance;
k) s’assurant que le système de management de la compliance produit le ou les résultats escomptés;
8 © ISO 2014 – Tous droits réservés

l) promouvant l’amélioration continue.
EXEMPLE Une compliance efficace nécessite un engagement actif de la part de l’organe directeur et de la
direction qui se transmet à l’ensemble de l’organisme. Le niveau d’engagement est indiqué par le degré auquel:
— l’organe directeur et tous les niveaux de management démontrent activement leur engagement pour établir,
développer, mettre en œuvre, évaluer, tenir à jour et améliorer un système de management de la compliance
efficace et réactif grâce à leurs actions et à leurs décisions;
— la politique de compliance est formellement approuvée par l’organe directeur;
— la direction prend la responsabilité de s’assurer que l’engagement de l’organisme en matière de compliance est
entièrement tenu;
— tous les niveaux de management véhiculent de manière cohérente un message (démontré par des paroles et
des actes) indiquant clairement aux employés que l’organisme respectera ses obligations de compliance;
— l’engagement en matière de compliance est largement communiqué sous forme d’énoncés clairs et convaincants
soutenus par des actions;
— la fonction en charge de la compliance se voit attribuer un niveau d’autorité qui traduit l’importance d’une
compliance efficace et rend directement compte à l’organe directeur;
— des ressources sont allouées pour établir, développer, mettre en œuvre, évaluer, tenir à jour et améliorer une
solide culture de la compliance au travers d’activités et de sessions de sensibilisation;
— les politiques, procédures et processus reflètent non seulement les exigences légales, mais également les codes
à adhésion volontaire et les valeurs fondamentales de l’organisme;
— l’organisme attribue et exige une responsabilisation du management en
...

МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ
Первое издание
2014-12-15
Системы управления соответствием.
Руководящие указания
Compliance management systems — Guidelines

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2014
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

©  ISO 2014
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и записи в интернете или во
внутрисетевых электронных системах, без предварительного письменного согласия. Соответствующее разрешение может быть
получено либо от ISO по запросу, направленному по приведенному ниже адресу, или от комитета-члена ISO в стране
запрашивающего лица.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2014 – Все права сохраняются

Содержание Страница
Предисловие . iv
Введение . v
1  Область применения . 1
2  Нормативные ссылки . 1
3  Термины и определения . 1
4  Среда деятельности организации . 6
4.1  Понимание организации и среды ее деятельности . 6
4.2  Понимание потребностей и ожиданий заинтересованных сторон . 6
4.3  Определение области применения системы управления соответствием . 7
4.4  Система управления соответствием и принципы эффективного управления . 7
4.5  Обязанности по соблюдению норм соответствия . 7
4.6  Идентификация, анализ и оценивание рисков несоблюдения . 8
5  Лидерство . 9
5.1  Лидерство и обязательства . 9
5.2  Политика в области нормативно- правового соответствия . 10
5.3  Организационные роли, ответственность и полномочия . 12
6  Планирование . 16
6.1  Действия в отношении рисков несоответствия . 16
6.2  Цели в области нормативно- правового соответствия и планирование их
достижения . 16
7  Вспомогательные средства . 17
7.1  Ресурсы . 17
7.2  Компетентность и обучение . 17
7.3  Осведомленность . 19
7.4  Обмен информацией . 21
7.5  Документированная информация. 21
8  Операционная деятельность . 23
8.1  Планирование и управление операциями . 23
8.2  Внедрение средств управления и процедур . 23
8.3  Процессы, переданные на аутсорсинг . 24
9  Оценивание результатов осуществления деятельности . 24
9.1  Мониторинг, измерение, анализ и оценка . 24
9.2  Аудит . 30
9.3  Анализ со стороны руководства . 30
10  Улучшение . 31
10.1  Несоответствие, несоблюдение норм и корректирующие действия . 31
10.2  Постоянное улучшение . 33
Библиография . 34

iii
Предисловие
Международная организация по стандартизации (ISO) представляет собой организацию мирового
уровня, объединяющую национальные органы по стандартизации (комитеты-члены ISO). Работа по
подготовке международных стандартов обычно ведется через технические комитеты ISO. Каждый
комитет-член ISO, проявляющий интерес к тематике, по которой учрежден технический комитет, имеет
право быть представленным в этом комитете. Международные организации, государственные и
негосударственные, имеющие связи с ISO, также принимают участие в работе. ISO тесно сотрудничает
с Международной электротехнической комиссией (IEC) по всем вопросам стандартизации в области
электротехники.
Процедуры, используемые для разработки данного документа, и процедуры, предусмотренные для его
дальнейшего ведения, описаны в Директивах ISO/IEC Directives, Part 1. В частности, следует отметить
различные критерии утверждения, требуемые для различных типов документов ISO. Проект данного
документа был разработан в соответствии с редакционными правилами Директив ISO/IEC Directives,
Part 2. (см. www.iso.org/directives).
Необходимо обратить внимание на возможность того, что ряд элементов данного документа могут
быть предметом патентных прав. Международная организация ISO не должна нести ответственность
за идентификацию таких прав, частично или полностью. Сведения о патентных правах,
идентифицированных при разработке документа, будут указаны во Введении и/или в перечне ISO
полученных объявлений о патентном праве. (см. www.iso.org/patents).
Любое торговое название, использованное в данном документе, является информацией,
предоставляемой для удобства пользователей, а не свидетельством в пользу того или иного товара
или той или иной компании.
Для разъяснения значения терминов и выражений, используемых ISO применительно к оценке
соответствия, а также для получения информации о соблюдении ISO принципов Всемирной торговой
организации (ВТО), касающихся технических барьеров в торговой деятельности, см. URL: Foreword -
Supplementary information.
Проектный комитет ISO/PC 271, Системы управления соответствием несет ответственность за
настоящий документ.
iv © ISO 2014 – Все права сохраняются

Введение
Организациям, нацеленным на многолетнюю успешную деятельность, нужно поддерживать культуру
добросовестного поведения и соблюдения нормативно- правового соответствия, а также
рассматривать потребности и ожидания заинтересованных сторон. Таким образом, добросовестность
и обеспечение соответствия нормам образуют не только основу, но также и благоприятную
возможность для успешной и устойчивой работы организации.
Соблюдение норм соответствия — это результат выполнения организацией своих обязательств, и оно
становится устойчивым при укоренении в культуре организации, а также в поведении и отношении
работающих в ней людей. Оставаясь самостоятельным направлением, желательно, чтобы управление
соответствием было интегрировано с процессами организации в области менеджмента финансовой
деятельности, рисков, качества, охраны труда и окружающей среды, а также с ее операционными
требованиями и процедурами.
Эффективная, распространяющаяся на все уровни организации система управления соответствием
дает возможность организации демонстрировать свое обязательство по обеспечению соответствия
относящимся к ее деятельности правовым нормам, включая законодательные требования, отраслевые
своды правил и организационные стандарты, а также стандарты по эффективному управлению
организацией, наилучшие практики, этические нормы и ожидания общественности.
Подход организации к обеспечению соответствия идеально формируется через умение повести за
собой, используя ключевые ценности и общепринятые стандарты корпоративного управления,
этические и общественные нормы. Внедрение соответствия нормам в сознание и поведение
работающих в организации людей, прежде всего, зависит от реализации лидерских качеств на всех
уровнях и понятных ценностей организации, также, как и от признания и внедрения мер,
содействующих развитию соответствующего поведения. Если этого не происходит на всех уровнях
организации, возникает риск несоответствия.
Во многих случаях при принятии судебных решений, суды учитывают обязательства организаций по
обеспечению соответствия посредством имеющихся у них систем управления соответствием при
определении адекватных штрафных санкций, накладываемых за нарушение соответствующих законов.
Следовательно, регулирующие и судебные органы могут также извлекать пользу из использования
настоящего международного стандарта в качестве точки отчета.
Организации в растущей мере убеждаются в том, что через применение ценностей обязывающего
характера и подходящего управления соответствием, они могут обеспечить добросовестное
отношение и избежать или минимизировать несоответствия правовым нормам. Следовательно,
добросовестное поведение и эффективное соответствие являются ключевыми элементами
эффективного и добротного менеджмента. Нормативно- правовое соответствие также вносит свой
вклад в социально- ответственное поведение организаций.
Настоящий международный стандарт не только устанавливает требования, но и содержит руководство
по системам управления соответствием и рекомендуемым практикам. Применение настоящего
руководства может носить вариативный характер и различаться в зависимости от размера и уровня
развития системы управления соответствием организации и условий, характера и сложности
деятельности организации, включая политику и цели в области нормативно-правового соответствия.
Блок — схема на Рисунке 1 согласуется с другими системами менеджмента, основываясь на принципе
постоянного улучшения.
v
Рисунок 1 — Блок — схема системы управления соответствием
В настоящем стандарте применяется “структура высокого уровня” (т.е. последовательность разделов,
единое текстовое содержание базовых положений документации, общие базовые термины и
определения), разработанная ISO для улучшения структурной согласованности между ее
международными стандартами на системы менеджмента. В дополнение к своему универсальному
руководству по системе управления соответствием настоящий стандарт также предоставляет рамки,
помогающие внедрить в любую систему менеджмента специальные требования, относящиеся к
обеспечению соответствия.
Организации, не внедрившие стандартов на системы менеджмента или структуру управления
соответствием, могут без каких- либо затруднений использовать настоящий стандарт у себя в
организации в виде отдельного руководства.
Настоящий международный стандарт подходит для совершенствования требований, связанных с
соблюдением соответствия, в других системах менеджмента и для помощи организации в улучшении
общего менеджмента всех ее обязанностей по соблюдению соответствия.
Настоящий стандарт может использоваться в сочетании с действующими стандартами на системы
менеджмента (например, ISO 9001, ISO 14001, ISO 22000) и руководящими указаниями
универсального характера (например, ISO 31000, ISO 26000).

vi © ISO 2014 – Все права сохраняются

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 19600:2014(R)

Системы менеджмента соответствия. Руководящие
указания
1 Область применения
Настоящий международный стандарт содержит указания по созданию, внедрению, оцениванию,
поддержанию и улучшению эффективной и оперативно реагирующей системы управления
соответствием в организации.
Руководящие указания по системам управления соответствием применимы ко всем типам
организаций. Степень применения настоящих руководящих указаний зависит от размера, структуры,
характера и сложности организации. В основе настоящего стандарта заложены принципы
эффективного управления, соразмерности, транспарентности и устойчивости.
2 Нормативные ссылки
Нормативные ссылки отсутствуют.
3 Термины и определения
В настоящем документе применяются следующие термины и определения.
3.1
организация
organization
юридическое лицо или группа работников со своими собственными средствами обеспечения
деятельности и областью ответственности, полномочий и взаимоотношений, ориентированных на
достижение поставленных целей (3.9)
Примечание 1 для внесения в текст Понятие организации включает, но не ограничивается такими субъектами
как предприятие розничной торговли, компания, корпорация, фирма, предприятие, государственный орган,
товарищество, благотворительная организация или учреждение, а также их подразделения или комбинация из них
независимо от того, зарегистрирована ли данная организация в качестве юридического лица или является ли она
государственной или частной.
3.2
заинтересованная сторона
interested party (предпочтительный для использования термин)
stakeholder (допустимый для использования термин)
лицо или организация (3.1), которые могут влиять на то или иное решение или деятельность, или быть
подверженными влиянию или воспринимать себя таковыми в связи решением или деятельностью
3.3
высшее руководство
top management
лицо или группа лиц, осуществляющих руководство и управление организацией (3.1) на высшем
уровне
Примечание 1 для внесения в текст Высшее руководство имеет власть делегировать полномочия и
предоставлять ресурсы в рамках своей организации.
Примечание 2 для внесения в текст В случае если область применения системы менеджмента (3.7)
охватывает только часть организации, тогда высшее руководство относится к тем, кто руководит и управляет
данной частью организации.
3.4
руководящий орган
governing body
лицо или группа лиц, осуществляющих административное управление организацией (3.1),
устанавливающих правила и контролирующих работу высшего руководства (3.3)
3.5
работник
employee
лицо, вступившее в трудовые отношения с работодателем согласно требованиям действующего в
стране законодательства или в соответствии с установленным порядком
3.6
ответственный за соблюдение норм соответствия
compliance function
лицо(а), отвечающее за управление соответствием (3.17)
Примечание1 для внесения в текст Предпочтительно, когда общая ответственность за управление
соответствием (3.17) будет возложена на одного человека.
3.7
система менеджмента
management system
совокупность взаимосвязанных или взаимодействующих элементов организации (3.1) для разработки
политик (3.8), целей (3.9) и процессов (3.10) для достижения этих целей
Примечание 1 для внесения в текст Система менеджмента может включать одну или несколько дисциплин.
Примечание 2 для внесения в текст Элементы системы включают организационную структуру, роли и
обязанности, планирование, функционирование и т.д.
Примечание 3 для внесения в текст Область применения системы менеджмента может охватывать всю
организацию, отдельные и идентифицированные функции организации, отдельные и идентифицированные
структурные подразделения организации или же одну или несколько функций, осуществляемых группой
организаций.
3.8
политика
policy
общие намерения и направление деятельности организации (3.1), официально сформулированные
высшим руководством (3.7)
3.9
цель
objective
результат, которого добиваются или стремятся достигнуть
Примечание 1 для внесения в текст Цели могут быть стратегическими, тактическими и/или операционными.
Примечание 2 для внесения в текст Цели могут иметь отношение к различным областям деятельности (как
например, финансовые цели или цели в области охраны труда или окружающей среды) и могут применяться на
различных уровнях (например, на стратегическом уровне, в масштабе всей организации, ее проекта, продукции и
процесса (3.10)).
Примечание 3 для внесения в текст Цель (objective) может быть выражена различными способами, например,
как намеченный результат, поставленная задача, операционный критерий, а также как цель в области
соответствия или же с помощью других слов со схожим значением (например, aim, goal или target).
Примечание 4 для внесения в текст В отношении систем управления соответствием цели в области
соответствия устанавливаются организацией в соответствии с политикой в области нормативно- правового
соответствия для того, чтобы добиться заданных результатов.
2 © ISO 2014 – Все права сохраняются

3.10
процесс
process
совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в
выходы
3.11
риск
risk
результат воздействия имеющейся неопределенности на цели (3.9)
Примечание 1 для внесения в текст Результат воздействия – это отклонение от ожидаемого значения – в
лучшую или в худшую сторону.
Примечание 2 для внесения в текст Неопределенность – это состояние, даже частичное, связанное с
недостатком информации, понимания или знаний о каком- либо событии, его последствиях или его вероятности.
Примечание 3 для внесения в текст Риск часто оценивают в связи с потенциально возможными “событиями”
(как определено в ISO Guide 73:2009, 3.5.1.3) и “последствиями” (как определено в ISO Guide 73:2009, 3.6.1.3) или
их комбинацией.
Примечание 4 для внесения в текст Часто риск выражают через комбинацию последствий какого- либо
события (включая изменения в обстоятельствах) и связанную с этим “вероятность” (как определено в ISO Guide
73:2009, 3.6.1.1) его появления.
3.12
риск несоответствия
risk
результат воздействия имеющейся неопределенности на цели (3.9) в области соответствия
Примечание 1 для внесения в текст Риск несоответствия часто оценивают в связи с вероятностью
возникновения и последствиями несоответствия (3.18), связанного с обязанностями организации по
соблюдению норм соответствия (3.16).
3.13
требование
requirement
потребность или ожидание, которое установлено, обычно предполагается или является обязательным
Примечание 1 для внесения в текст Слова «обычно предполагается» означают, что это общепринятая
практика организации и заинтересованных сторон, когда предполагается рассматриваемая потребность или
ожидание.
Примечание 2 для внесения в текст Установленным является такое требование, которое определено,
например, в документированной информации.
3.14
требование соблюдения норм соответствия
compliance requirement
ация должн (3.13), которое организация (3.1) обязана выполнить
3.15
обязательство по соблюдению норм соответствия
compliance commitment
требование (3.13), которое организация (3.1) сама решает выполнить
3.16
обязанность по соблюдению норм соответствия
compliance obligation
требование соблюдения норм соответствия (3.14) или обязательство по соблюдению норм
соответствия (3.15)
3.17
соблюдение норм соответствия
compliance
выполнение всех обязанностей (3.16) организации по соблюдению норм соответствия
Примечание 1 для внесения в текст Соблюдение норм соответствия становится устойчивым через внедрение
принципов нормативно- правового соответствия в культуру организации (3.1) и в поведение работающих в ней
людей.
3.18
несоблюдение норм соответствия
noncompliance
невыполнение обязанности по соблюдению норм соответствия (3.16)
Примечание 1 для внесения в текст Несоблюдение норм соответствия может быть единичным или
многократным, и оно может быть или не быть результатом несоответствия (3.33).
3.19
культура соблюдения норм соответствия
compliance culture
ценности, этические принципы и убеждения, существующие в организации (3.1), которые
взаимодействуют со структурами и системами управления организации таким образом, чтобы
выработать поведенческие нормы, имеющие своим результатом соблюдение норм соответствия
(3.17)
3.20
кодекс
code
документально изложенная практика, разработанная своими силами или международным,
национальным или отраслевым органом или другой организацией (3.1)
Примечание 1 для внесения в текст Этот кодекс может быть обязательным или же применяться в
добровольном порядке.
3.21
организационные и отраслевые стандарты
organizational and industry standards
документированные кодексы (3.20), надлежащие практики, уставы, технические и отраслевые
стандарты, которые организация (3.1) сочтет релевантными
3.22
регулирующий орган
regulatory authority
организация (3.1), ответственная за регулирование или принуждение к исполнению мер, направленных
на соблюдение норм соответствия (3.17) законодательным и другим требованиям (3.13)
3.23
компетентность
competence
способность применять знания и навыки на практике для достижения намеченных результатов
3.24
документированная информация
documented information
информация, которую организация (3.1) должна управлять и поддерживать, а также носитель, на
котором она содержится
Примечание 1 для внесения в текст Документированная информация может быть представлена в любом
формате и на любом носителе и поступать из любого источника.
4 © ISO 2014 – Все права сохраняются

Примечание 2 для внесения в текст Документированная информация может относиться:
— к системе менеджмента (3.7), включая связанные с ней процессы (3.10);
— к информации, созданной для того, чтобы организация могла осуществлять свою деятельность
(документация);
— к свидетельствам, подтверждающим достигнутые результаты (записи).
3.25
процедура
procedure
определенный способ осуществления деятельности или процесса (3.10)
3.26
результативность осуществления деятельности
performance
измеримый результат
Примечание 1 для внесения в текст Результативность осуществления деятельности может иметь отношение к
полученным данным либо количественного или качественного типа.
Примечание 2 для внесения в текст Результативность осуществления деятельности может относиться к
менеджменту мероприятий, процессам (3.10), продукции (включая услуги), системам или организациям (3.1).
3.27
постоянное улучшение
continual improvement
повторяющаяся деятельность или процесс (3.10) по повышению результативности осуществления
деятельности (3.26)
3.28
аутсорсинг
outsource
выполнение внешней организацией (3.1) части работ или процесса (3.10) той организации, которая
дает на это соответствующее поручение
Примечание 1 для внесения в текст Внешняя организация не охватывается системой менеджмента (3.7),
несмотря на то, что передаваемая для выполнения работа или процесс входят в область применения данной
системы.
3.29
мониторинг
monitoring
определение статуса системы, процесса (3.10) или действия
Примечание 1 для внесения в текст Для определения статуса может потребоваться проверка, надзор или
организация мероприятий по наблюдению.
Примечание 2 для внесения в текст Мониторинг — это не разовое действие, а процесс наблюдения за
ситуацией, осуществляемого на регулярной или непрерывной основе.
3.30
измерение
measurement
процесс (3.10), проводимый для определения значения измеряемой величины
3.31
аудит
audit
систематический, независимый и документированный процесс (3.10) получения свидетельств аудита и
объективного их оценивания с целью установления степени выполнения критериев аудита
Примечание 1 для внесения в текст Аудиты могут быть внутренними (аудиты первой стороной) или внешними
(аудиты второй стороной или аудиты третьей стороной) и они могут быть комплексными (сочетающими две или
более дисциплин).
Примечание 2 для внесения в текст Определения «свидетельства аудита» и «критериев аудита» даются в
стандарте ISO 19011.
Примечание 3 для внесения в текст Независимость можно продемонстрировать через отсутствие пристрастий
и конфликта интересов и ответственности за проверяемую работу.
3.32
соответствие
conformity
выполнение требования (3.13) к системе менеджмента
3.33
несоответствие
nonconformity
невыполнение требования (3.13) к системе менеджмента
Примечание 1 для внесения в текст Несоответствие не обязательно является несоблюдением норм
соответствия (3.18).
3.34
коррекция
correction
действие, предпринятое для устранения обнаруженного несоответствия (3.33) и несоблюдения норм
соответствия (3.18).
3.35
корректирующее действие
corrective action
действие, предпринятое для устранения причины обнаруженного несоответствия (3.33) или
несоблюдения норм соответствия (3.18) и для предотвращения его повторного возникновения.
4 Среда деятельности организации
4.1 Понимание организации и среды ее деятельности
Организация должна определить внешние и внутренние факторы, такие как риски несоблюдения,
которые актуальны для целей ее деятельности и которые влияют на способность организации
добиваться результата(ов), запланированных в отношении ее системы управления соответствием.
Работая в этом направлении, организация должна рассматривать широкий спектр внешних и
внутренних аспектов, таких нормативно- правовая, социальная и культурная среда деятельности,
экономическая ситуация и внутренние политики, процедуры, процессы и ресурсы.
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
— заинтересованные стороны, имеющие отношение к системе управления соответствием;
— требования этих заинтересованных сторон.
6 © ISO 2014 – Все права сохраняются

4.3 Определение области применения системы управления соответствием
Чтобы установить область применения своей системы управления соответствием, организация должна
определить границы и применимость данной системы.
ПРИМЕЧАНИЕ Предполагается, что область применения системы управления соответствием уточнит
географические и/или организационные границы, в рамках которых она будет применяться, особенно в том случае,
если организация является частью более крупной организации на данной территории.
При определении области применения организация должна рассматривать:
— внешние и внутренние факторы, указанные в п.4.1;
— требования, указанные в п.4.2 и 4.5.1.
Область применения должна быть представлена в виде документированной информации.
4.4 Система управления соответствием и принципы эффективного управления
Организация должна учредить, разработать, внедрить, поддерживать в рабочем состоянии и
постоянно улучшать систему управления соответствием, включая необходимые процессы и их
взаимодействия, в соответствии с требованиями настоящего международного стандарта, принимая в
расчет соответствующие принципы управления.
— прямой доступ лица, ответственного за соблюдение норм соответствия, к руководящему органу;
— независимость лица, ответственного за соблюдение норм соответствия;
— необходимые полномочия и ресурсы, выделяемые лицу, ответственному за соблюдение норм
соответствия.
Система управления соответствием должна отражать ценности, цели, стратегию организации и риски
несоответствия.
4.5 Обязанности по соблюдению норм соответствия
4.5.1 Идентификация обязанностей по соблюдению норм соответствия
Организация должна систематически идентифицировать свои обязанности по соблюдению норм
соответствия и их выводы для своей деятельности, продукции и услуг. Организация должна учитывать
эти обязанности в процессе проектирования, разработки, внедрения, оценивания, поддержания и
улучшения своей системы управления соответствием.
Организация должна документировать свои обязанности по соблюдению норм соответствия таким
образом, чтобы это отвечало ее размерам, сложности, структуре и рабочим процессам.
Обязанности по соблюдению норм соответствия могут исходить из требований соблюдения норм
соответствия и могут включать обязательства по соблюдению норм соответствия.
ПРИМЕР 1 Примерами требований соблюдения норм соответствия являются:
— законы и правила;
— разрешения, лицензии или другие формы санкционирования;
— приказы, правила или руководства, изданные регулирующими органами;
— решения суда или исполнительных трибуналов;
— международные договоры, соглашения и протоколы.
ПРИМЕР 2 Примерами обязательств по соблюдению норм соответствия являются:
— соглашения с общественными группами или неправительственными организациями;
— соглашения с органами власти и потребителями;
— организационные требования, такие как политики и процедуры;
— добровольные принципы или кодексы практик;
— добровольная маркировка или экологические обязательства;
— обязанности по контрактным соглашениям с данной организацией;
— соответствующие организационные и отраслевые стандарты.
4.5.2 Обеспечение соблюдения обязанностей
Организации должны иметь процессы для идентификации новых и изменившихся законов, правил,
кодексов и других обязанностей по соблюдению норм в целях обеспечения непрерывного
соответствия этим нормам. Организации должны иметь процессы, чтобы оценивать влияние этих
идентифицированных изменений и внедрять любые изменения в менеджмент обязанностей по
соблюдению норм соответствия.
ПРИМЕР Примерами процессов для получения информации об изменениях в законах и других обязанностях
по соблюдению норм соответствия являются:
— присутствие в рассылочных листах соответствующих регулирующих органов;
— членство в профессиональных союзах и объединениях;
— подписка на соответствующие информационные услуги;
— посещение отраслевых форумов и семинаров;
— мониторинг интернет- сайтов регулирующих органов;
— встречи с представителями регулирующих органов;
— обращение к услугам консультантов по правовым вопросам;
— мониторинг источников, содержащих обязанности по соблюдению норм соответствия (например,
официальные заявления регулирующих органов и судебные решения).
4.6 Идентификация, анализ и оценивание рисков несоблюдения
Организация должна идентифицировать и оценивать свои риски, связанные с несоблюдением норм
соответствия. Это может основываться на формальной оценке рисков несоответствия или
альтернативных методах. Оценка рисков несоблюдения правовых норм образует основу для
внедрения системы управления соответствием и спланированного распределения подходящих и
адекватных ресурсов и процессов с тем, чтобы управлять идентифицированными рисками
несоблюдения.
Организация должна идентифицировать риски несоблюдения, соотнося свои обязанности по
соблюдению норм в отношении процессов, продукции, услуг и релевантных аспектов своих операций
для того, чтобы определить ситуации, при которых возможно несоблюдение норм соответствия.
Организация должна идентифицировать причины и последствия несоблюдения установленных норм.
䡳рганизация должна анализировать риски несоблюдения, рассматривая причины и источники
несоблюдения и серьезность вытекающих последствий, так же, как и вероятность несоблюдения и
8 © ISO 2014 – Все права сохраняются

связанных с этим возможных последствий. Последствия могут включать, например, вред, причиненный
людям и окружающей среде, убытки, репутационный ущерб и административную ответственность.
Оценивание рисков включает сопоставление уровня риска несоблюдения, найденного в процессе
анализа, с уровнем риска несоблюдения, которая организация может и готова принять. Основываясь
на этом сравнении, можно установить приоритеты как основу для определения потребности во
внедрении средств управления и степени данных средств управления (см.6.1).
Риски несоблюдения должны оцениваться заново через определенные периоды времени, а также в
том случае, когда имеют место:
— новые или измененные виды работ, продукты или услуги;
— изменения в структуре или стратегии организации;
— значительные внешние изменения, такие как финансово- экономические условия, ситуация на
рынке, обязательства по выплатам и взаимоотношения с клиентами;
— изменения в обязанностях по соблюдению норм соответствия (см. 4.5);
— несоблюдение(я) норм соответствия.
ПРИМЕЧАНИЕ 1 Степень и уровень детализации оценки рисков несоблюдения зависит от ситуации, связанной
с рисками, среды деятельности организации, ее размера и целей и может отличаться для конкретной области
(например, экономической, финансовой, социальной).
ПРИМЕЧАНИЕ 2 Подход к управлению соответствием на основе рисков не означает того, что в случае низких
рисков, несоблюдение норм допускается организацией. Данный подход помогает организации сосредоточить
основное внимание и ресурсы на более серьезных или вероятных рисках в первую очередь, а затем охватить все
риски, связанные с несоблюдением норм. Должен проводиться мониторинг в отношении всех
идентифицированных рисков/ ситуаций, связанных с несоблюдением установленных правил, а также должны
осуществляться коррекции и корректирующие действия.
ПРИМЕЧАНИЕ 3 ISO 31000 содержит более подробное руководство, по оценке рисков.
5 Лидерство
5.1 Лидерство и обязательства
Руководящий орган и высшее руководство должны демонстрировать лидерство и обязательства в
отношении системы управления соответствием путем:
a) создания и утверждения основополагающих ценностей организации;
b) обеспечения разработки политики и целей по соблюдению норм соответствия, которые
согласуются с ценностями, целями и стратегией развития организации (см.6.2);
c) обеспечения разработки и внедрения политик, процедур и процессов для достижения целей по
соблюдению норм соответствия;
d) обеспечения ресурсами, необходимыми для системы управления соответствием;
e) обеспечения интеграции требований системы управления соответствием в бизнес- процессы
организации;
f) доведения до сведения персонала организации важности выполнения требований системы
управления соответствием и ее эффективного функционирования;
g) побуждения и оказания поддержки работникам в принятии активного участия и внесения своего
вклада в повышение результативности системы управления соответствием;
h) оказания поддержки другим руководящим сотрудникам, чтобы они демонстрировали лидерские
качества в своих областях ответственности за соблюдение установленных правил;
i) обеспечения согласованности операционных целей с обязанностями по соблюдению
соответствия;
j) внедрения и поддержания в рабочем состоянии механизмов персональной ответственности и
подотчетности, включая своевременное информирование по вопросам, связанным с
соблюдением норм соответствия, включая нарушения;
k) обеспечения достижения системой управления соответствия своих намеченных результатов;
l) содействия постоянному улучшению.
ПРИМЕР Эффективное соблюдение нормативно- правового соответствия требует от руководящего органа и
высшего руководства активных обязательств, распространяющихся на все уровни и структуры организации. Об
уровне обязательств можно судить по тому как:
— руководящий орган и руководители на всех уровнях организации активным образом демонстрируют
обязательства по учреждению, разработке, внедрению, поддержанию и улучшению эффективной и
восприимчивой системы управления соответствием через свои действия и принимаемые решения;
— политика по соблюдению нормативно- правового соответствия утверждена руководящим органом с
соблюдением всех необходимых формальностей;
— высшее руководство берет на себя ответственность за полное исполнение обязательств по соблюдению
нормативного соответствия;
— руководители на всех уровнях организации систематически (на словах и делах) доводят до своих
работников положение о том, что организация будет выполнять свои обязанности по соблюдению нормативно
соответствия;
— обязательство по соблюдению норм соответствия установленным правилам широко распространяется в
форме четких и убедительных заявлений, подкрепляемых соответствующими действиями;
— лицо, курирующее вопросы, связанные с соблюдением норм соответствия, наделено полномочиями в той
мере, которая отражает всю важность, придаваемую вопросам эффективного соблюдения норм соответствия, и
имеет прямой доступ к руководящему органу;
— выделены ресурсы для формирования, развития, внедрения, оценивания, поддержания и улучшения
добротной культуры посредством обучения и мероприятий, повышающих осведомленность работников;
— в политиках, процедурах и процессах отражены не только обязательные правовые требования, но также и
кодексы, принимаемые в добровольном порядке, и базовые ценности организации;
— организация устанавливает персональную ответственность за соблюдение норм соответствия и
предъявляет соответствующие требования к руководителям на всех уровнях организации;
— требуется проведение регулярного анализа системы управления соответствием;
— неуклонно повышается результативность работы по соблюдению норм соответствия;
— предпринимаются корректирующие действия.
5.2 Политика в области нормативно — правового соответствия
5.2.1 Общие положения
Высшее руководство должно разработать политику по соблюдению нормативно- правового
соответствия, которая:
— соответствует целям организации;
10 © ISO 2014 – Все права сохраняются

— создает основы для постановки целей в области нормативно- правового соответствия;
— включает в себя обязательство соответствовать применяемым требованиям;
— включает в себя обязательство по постоянному улучшению системы управления соответствием.
В политике в области нормативно- правового соответствия должны четко указываться:
— область применения системы управления соответствием;
— применимость и контекст данной системы в связи с размером, характером деятельности и
сложностью организации и ее рабочей среды;
— степень интеграции деятельности по соблюдению соответствия с другими функциями, такими
как административное управление, риски, аудит и правовые нормы;
— степень, с которой соблюдение соответствия будет заложено в операционные политики,
процедуры и процессы;
— степень независимости и автономности лиц, ответственных за соблюдение соответствия;
— ответственность за управление и предоставление отчетности по вопросам соблюдения
соответствия;
— принципы, на основе которых будут строиться взаимоотношения с внутренними и внешними
заинтересованными сторонами;
— требуемый стандарт поведения и персональной ответственности;
— последствия несоблюдения норм соответствия.
Политика в области нормативно- правового соответствия должна:
— быть представленной в документированном виде;
— быть написанной простым языком таким образом, чтобы все работники могли без труда
понимать принципы и намерения;
— быть переведенной на другие языки в случае такой необходимости;
— быть доведенной до сведения всех работников организации;
— быть доступной для заинтересованных сторон, насколько это возможно;
— быть обновленной, насколько это требуется для сохранения ее релевантности.
Политика в области нормативно- правового соответствия должна вырабатываться в соответствии с
организационными ценностями, целями и стратегией и быть одобренной руководящим органом.
Политика в области нормативно- правового соответствия устанавливает всеобщие принципы и
обязательства в связи с деятельностью организации по достижению норм соответствия. Она
устанавливает уровень требуемой ответственности и показатели осуществления деятельности, а
также те ожидания, в отношении которых будет осуществляться оценка действий. Политика должна
соответствовать обязанностям организации по соблюдению норм соответствия, вытекающим из ее
деятельности.
Политика в области нормативно- правового соответствия не должна быть отдельно стоящим
документом, а она должна подкрепляться другими документами, включая операционные политики,
процедуры и процессы.
5.2.2 Разработка
При разработке политики в области нормативно- правового соответствия должны учитываться:
a) специальные международные, региональные или местные обязанности;
b) стратегия, цели и ценности организации;
c) структура организации и ее схема административного управления;
d) характер и уровень риска, связанный с несоблюдением соответствия;
e) другие внутренние политики, стандарты и кодексы.
5.3 Организационные роли, ответственность и полномочия
5.3.1 Общие положения
Высшее руководство должно обеспечивать определение и доведение до сведения персонала внутри
организации ответственности и полномочий для соответствующих ролей.
Руководящий орган и высшее руководство должно поручать ответственность и делегировать
полномочия для лиц, ответственных за соблюдение соответствия, в целях:
a) обеспечения соответствия системы управления соответствием положениям настоящего
международного стандарта;
b) предоставления руководящему органу и высшему руководству отчетов о функционировании
системы управления соответствием.
ПРИМЕЧАНИЕ Специальные обязанности, закрепленные за лицами, которым поручена работа по
соблюдению соответствия, не освобождают других работников от ответственности за информирование по
возможным ситуациям, связанным с соблюдением соответствия.
5.3.2 Установление ответственности за соблюдение норм соответствия в организации
Активное участие и надзор со стороны руководящего органа и высшего руководства являются
неотъемлемой частью эффективной системы управления соответствием. Это помогает обеспечить
уверенность в том, что работники в полной мере понимают политику и операционные процедуры
организации и то, каким образом они применимы к их работе, а также то, что работники эффективным
образом исполняют обязанности по соблюдению соответствия.
Чтобы система управления соответствия была эффективной, необходимо, чтобы руководящий орган и
высшее руководство на своем примере демонстрировали приверженность соблюдению норм
соответствия и делали все от них зависящее для поддержания соответствия и обеспечения
функционирования системы управления соответствием.
Во многих организациях имеется специально назначенное лицо (например, служащий, курирующий
вопросы по соблюдению соответствия), отвечающего за каждодневный менеджмент по соблюдению
соответствия, и в ряде организаций имеется комитет, координирующий работу по обеспечению
соответствия в структурных подразделениях организации.
Некоторые организации — в зависимости от их размера — также имеют сотрудника, отвечающего за
управление соответствием, хотя это может быть в дополнение к
...

SLOVENSKI SIST ISO 19600
STANDARD december 2016
Sistemi upravljanja skladnosti – Smernice

Compliance management systems – Guidelines

Systèmes de management de la compliance – Lignes directrices

Referenčna oznaka
ICS 03.100.70; 03.120.01 SIST ISO 19600:2016 (sl, en)

Nadaljevanje na straneh od 2 do 49

© 2017-02. Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

SIST ISO 19600 : 2016
NACIONALNI UVOD
Standard SIST ISO 19600 (sl, en), Sistemi upravljanja skladnosti – Smernice, 2016, ima status
slovenskega standarda in je istoveten mednarodnemu standardu ISO 19600, Compliance
management systems – Guidelines, 2014.
NACIONALNI PREDGOVOR
Besedilo standarda ISO 19600:2014 je pripravil projektni odbor ISO/PC 271 Sistemi upravljanja
skladnosti. Slovenski standard SIST ISO 19600:2016 je prevod angleškega besedila mednarodnega
standarda ISO 19600:2014. V primeru spora glede besedila slovenskega prevoda v tem standardu je
odločilen izvirni evropski standard v angleškem jeziku. Slovensko-angleško izdajo standarda je
pripravil Evropski inštitut za skladnost in etiko poslovanja v sodelovanju s SIST/TC VZK Vodenje in
zagotavljanje kakovosti.
Odločitev za privzem tega standarda je 8. julija 2016 sprejel SIST/TC VZK Vodenje in zagotavljanje
kakovosti.
ZVEZE S STANDARDI
S privzemom tega evropskega standarda veljajo za omejeni namen referenčnih standardov vsi
standardi, navedeni v izvirniku, razen standardov, ki so že sprejeti v nacionalno standardizacijo:
SIST EN ISO 9001:2015 (sl,en) Sistemi vodenja kakovosti – Zahteve (ISO 9001:2015)
SIST ISO 10002:2014 (en) Vodenje kakovosti – Zadovoljstvo odjemalcev – Smernice za
ravnanje s pritožbami v organizacijah
SIST EN ISO 14001:2015 (sl,en) Sistemi ravnanja z okoljem – Zahteve z navodili za uporabo (ISO
14001:2015)
SIST EN ISO 19011:2011 (sl,en) Smernice za presojanje sistemov vodenja (ISO 19011:2011)
SIST ISO 31000:2011 (sl,en) Obvladovanje tveganja – Načela in smernice
SIST ISO 26000:2010 (sl,en) Napotki za družbeno odgovornost.
OSNOVA ZA IZDAJO STANDARDA
– Privzem standarda ISO 19600:2014
OPOMBI
– Povsod, kjer se v besedilu standarda uporablja izraz "mednarodni standard", v
– Nacionalni uvod in nacionalni predgovor nista sestavni del standarda.

SIST ISO 19600 : 2016
Vsebina Stran Contents Page
Predgovor . 5 Foreword .5
Uvod . 6 Introduction .6
1 Področje uporabe . 9 1 Scope .9
2 Zveza s standardi . 9 2 Normative references .9
3 Izrazi in definicije . 9 3 Terms and definitions .9
4 Kontekst organizacije . 15 4 Context of the organization .15
4.1  Razumevanje organizacije in njenega 4.1 Understanding the organization and its
konteksta . 15 context .15
4.2  Razumevanje potreb in pričakovanj 4.2  Understanding the needs and expectations
zainteresiranih strani . 15 of interested parties .15
4.3 Opredeljevanje področja uporabe  4.3 Determining the scope of the compliance
sistema upravljanja skladnosti . 15 management system .15
4.4 Sistem upravljanja skladnosti in načela 4.4 Compliance management system and
dobrega upravljanja . 15 principles of good governance .15
4.5 Obveze glede skladnosti . 16 4.5 Compliance obligations .16
4.6 Identificiranje, analiza in vrednotenje 4.6 Identification, analysis and evaluation of
tveganj skladnosti . 17 compliance risks .17
5 Voditeljstvo . 18 5 Leadership .18
5.1 Voditeljstvo in zavezanost . 18 5.1 Leadership and commitment .18
5.2 Politika skladnosti . 20 5.2 Compliance policy .20
5.3 Organizacijske vloge, odgovornosti in 5.3  Organizational roles, responsibilities and
pooblastila . 22 authorities .22
6 Planiranje . 27 6 Planning .27
6.1  Ukrepi za obravnavanje tveganj  6.1 Actions to address compliance risks .27
skladnosti . 27
6.2 Cilji skladnosti in planiranje njihovega 6.2 Compliance objectives and planning to
doseganja . 28 achieve them .28
7 Podpora . 28 7 Support .28
7.1 Viri . 28 7.1 Resources .28
7.2 Kompetentnost in usposabljanje . 29 7.2 Competence and training .29
7.3 Ozaveščenost . 31 7.3 Awareness .31
7.4 Komuniciranje . 33 7.4 Communication .33
7.5 Dokumentirane informacije . 34 7.5 Documented information .34
8 Delovanje . 36 8 Operation .36
8.1 Planiranje in obvladovanje delovanja . 36 8.1 Operational planning and control .36
8.2 Vzpostavitev ukrepov obvladovanja in 8.2 Establishing controls and procedures .36
postopkov . 36
8.3 Oddajanje procesov v izvajanje zunanjim 8.3 Outsourced processes .37
ponudnikom . 37
9 Vrednotenje izvedbe . 38 9 Performance evaluation .38
9.1 Nadzorovanje, merjenje, analiziranje in 9.1  Monitoring, measurement, analysis and
vrednotenje . 38 evaluation .38
SIST ISO 19600 : 2016
9.2 Presoja. 44 9.2 Audit .44
9.3 Vodstveni pregled . 45 9.3 Management review .45
10 Izboljševanje . 46 10 Improvement .46
10.1 Neskladnost z zahtevami sistema 10.1  Nonconformity, noncompliance and
vodenja, neskladnost in korektivni corrective action .46
ukrepi . 46
10.2 Nenehno izboljševanje . 48 10.2 Continual improvement .48
Literatura . 49 Bibliography .49
SIST ISO 19600 : 2016
Foreword
Predgovor
Mednarodna organizacija za standardizacijo ISO (the International Organization for
(ISO) je svetovna zveza nacionalnih organov za Standardization) is a worldwide federation of
standarde (članov ISO). Mednarodne standarde national standards bodies (ISO member bodies).
po navadi pripravljajo tehnični odbori ISO. Vsak The work of preparing International Standards is
član, ki ga zanima področje, za katero je bil normally carried out through ISO technical
ustanovljen tehnični odbor, ima pravico biti committees. Each member body interested in a
zastopan v tem odboru. Pri delu sodelujejo tudi subject for which a technical committee has been
mednarodne vladne in nevladne organizacije, established has the right to be represented on
povezane z ISO. V vseh zadevah, ki so that committee. International organizations,
povezane s standardizacijo na področju governmental and non-governmental, in liaison
elektrotehnike, ISO tesno sodeluje z with ISO, also take part in the work. ISO
Mednarodno elektrotehniško komisijo (IEC). collaborates closely with the International
Electrotechnical Commission (IEC) on all matters
of electrotechnical standardization.
Postopki, ki so bili uporabljeni pri pripravi tega The procedures used to develop this document
dokumenta, in tisti, ki so namenjeni njegovemu and those intended for its further maintenance
nadaljnjemu vzdrževanju, so opisani v 1. delu are described in the ISO/IEC Directives, Part 1.
Direktiv ISO/IEC. Zlasti je treba opozoriti na In particular the different approval criteria
različna merila za sprejem, zahtevana za needed for the different types of ISO
različne vrste dokumentov ISO. Ta dokument je documents should be noted. This document
bil pripravljen v skladu z uredniškimi pravili was drafted in accordance with the editorial
2. dela Direktiv ISO/IEC rules of the ISO/IEC Directives, Part 2 (see
(glej www.iso.org/directives). www.iso.org/directives).
Opozoriti je treba na možnost, da je nekaj Attention is drawn to the possibility that some of
elementov tega dokumenta lahko predmet the elements of this document may be the
patentnih pravic. ISO ne prevzema subject of patent rights. ISO shall not be held
odgovornosti za identifikacijo katerihkoli ali responsible for identifying any or all such
vseh takih patentnih pravic. Podrobnosti o patent rights. Details of any patent rights
katerihkoli patentnih pravicah, ugotovljenih pri identified during the development of the
pripravi dokumenta, bodo navedene v Uvodu document will be in the Introduction and/or on
in/ali na seznamu prejetih patentnih prijav ISO the ISO list of patent declarations received
(glej www.iso.org/patents). (see www.iso.org/patents).
Blagovne znamke, uporabljene v tem Any trade name used in this document is
dokumentu, so podane samo kot informacija za information given for the convenience of users
uporabnike in ne pomenijo odobritve. and does not constitute an endorsement.
Za razlago pomena besed in izrazov, ki jih For an explanation on the meaning of ISO
uporablja ISO in se nanašajo na ugotavljanje specific terms and expressions related to
skladnosti, ter tudi za informacije, kako ISO conformity assessment, as well as information
upošteva načela Svetovne trgovinske about ISO's adherence to the WTO principles in
organizacije o tehničnih ovirah v trgovini the Technical Barriers to Trade (TBT) see the
(WTO/TBT), glej obrazložitev na spletnem following URL: Foreword – Supplementary
naslovu: Foreword – Supplementary Information. information
Odbor, ki je odgovoren za ta dokument, je The committee responsible for this document is
projektni odbor ISO/PC 271 Sistemi upravljanja Project Committee ISO/PC 271, Compliance
skladnosti. management systems.

SIST ISO 19600 : 2016
Uvod Introduction
Organizacije, ki si prizadevajo biti dolgoročno Organizations that aim to be successful in the
uspešne, morajo vzdrževati kulturo integritete in long term need to maintain a culture of integrity
skladnosti ter upoštevati potrebe in priča- and compliance, and to consider the needs and
kovanja deležnikov. Integriteta in skladnost torej expectations of stakeholders. Integrity and
nista le osnova, ampak tudi priložnost za compliance are therefore not only the basis, but
uspešno in trajnostno organizacijo. also an opportunity, for a successful and
sustainable organization.
Skladnost je rezultat organizacije, ki izpolnjuje Compliance is an outcome of an organization
svoje obveze, in postane trajnostna, ko se meeting its obligations, and is made sustainable
vgradi v kulturo organizacije ter v ravnanje in by embedding it in the culture of the organization
odnos ljudi, ki zanjo delajo. Medtem ko je treba and in the behaviour and attitude of people
vzdrževati neodvisnost upravljanja skladnosti, working for it. While maintaining its independence,
je zaželeno, da je upravljanje skladnosti hkrati it is preferable if compliance management is
vključeno v procese upravljanja financ, tveganj, integrated with the organization’s financial, risk,
kakovosti, okolja, zdravja in varnosti pri delu v quality, environmental and health and safety
organizaciji ter v njene operativne zahteve in management processes and its operational
postopke. requirements and procedures.
Uspešen sistem upravljanja skladnosti v celotni An effective, organization-wide compliance
organizaciji omogoča, da organizacija pokaže management system enables an organization
svojo zavezanost skladnosti z ustreznimi to demonstrate its commitment to compliance
zakoni, vključno z zakonodajnimi zahtevami, with relevant laws, including legislative
panožnimi kodeksi in organizacijskimi stan- requirements, industry codes and organi-
dardi, ter tudi s standardi dobrega upravljanja zational standards, as well as standards of
družb, najboljšimi praksami, etiko in priča- good corporate governance, best practices,
kovanji skupnosti. ethics and community expectations.
Organizacija lahko najbolje oblikuje svoj pristop An organization’s approach to compliance is
k skladnosti tako, da njeno voditeljstvo upo- ideally shaped by the leadership applying core
rablja temeljne vrednote in splošno sprejete values and generally accepted corporate
standarde upravljanja podjetij, etične standarde governance, ethical and community standards.
in standarde skupnosti. Vključevanje skladnosti Embedding compliance in the behaviour of the
v ravnanje ljudi, zaposlenih v organizaciji, je people working for an organization depends
predvsem odvisno od voditeljstva na vseh above all on leadership at all levels and clear
ravneh in od jasnih vrednot organizacije, prav values of an organization, as well as an
tako pa tudi od potrditve in izvajanja ukrepov za acknowledgement and implementation of
spodbujanje skladnega ravnanja. Če se to ne measures to promote compliant behaviour. If
izvaja na vseh ravneh organizacije, je prisotno this is not the case at all levels of an
tveganje za neskladnosti. organization, there is a risk of noncompliance.
V številnih pravnih ureditvah so sodišča pri In a number of jurisdictions, the courts have
določanju ustrezne kazni za kršitev relevantnih considered an organization’s commitment to
zakonov upoštevala zavezanost organizacije compliance through its compliance manage-
skladnosti na podlagi njenega sistema ment system when determining the appropriate
upravljanja skladnosti. Zato lahko ta medna- penalty to be imposed for contraventions of
rodni standard koristi tudi regulatornim in relevant laws. Therefore, regulatory and judicial
pravosodnim organom ter jim služi kot merilo. bodies can also benefit from this International
Standard as a benchmark.
V organizacijah vse bolj prevladuje prepričanje, Organizations are increasingly convinced that
da lahko z uporabo zavezujočih vrednot in z by applying binding values and appropriate
ustreznim upravljanjem skladnosti zaščitijo compliance management, they can safeguard
svojo integriteto in se izognejo ali zmanjšajo their integrity and avoid or minimize
neskladnost z zakonom. Torej sta integriteta in noncompliance with the law. Integrity and
uspešno zagotavljanje skladnosti ključna ele- effective compliance are therefore key elements
menta dobrega, skrbnega vodenja. Skladnost of good, diligent management. Compliance also
SIST ISO 19600 : 2016
prav tako prispeva k družbeno odgovornemu contributes to the socially responsible
ravnanju organizacij. behaviour of organizations.
Ta mednarodni standard ne določa zahtev, This International Standard does not specify
temveč daje navodila za sisteme upravljanja requirements, but provides guidance on comp-
skladnosti in priporočljive prakse. Namen liance management systems and recommen-
navodil v tem mednarodnem standardu je, da ded practices. The guidance in this International
so prilagodljiva in da se njihova uporaba lahko Standard is intended to be adaptable, and the
razlikuje glede na obseg uporabe in stopnjo use of this guidance can differ depending on
razvitosti sistema upravljanja skladnosti v the size and level of maturity of an orga-
organizaciji ter glede na kontekst, naravo in nization’s compliance management system and
kompleksnost dejavnosti organizacije, vključno on the context, nature and complexity of the
z njeno politiko in cilji skladnosti. organization’s activities, including its complian-
ce policy and objectives.
Diagram v sliki 1 je skladen z drugimi sistemi The flowchart in Figure 1 is consistent with
vodenja in temelji na načelu nenehnega other management systems and is based on
izboljševanja ("planiraj-izvedi-preveri-ukrepaj"). the continual improvement principle (“Plan-Do-
Check-Act”).
Slika 1: Diagram sistema upravljanja Figure 1 – Flowchart of a compliance
skladnosti management system
SIST ISO 19600 : 2016
Ta mednarodni standard uporablja "poenoteno This International Standard has adopted the
strukturo" (npr. zaporedje točk, skupno besedilo “high-level structure” (i.e. clause sequence,
in skupno terminologijo), ki jo je razvil ISO za common text and common terminology)
izboljšanje usklajenosti med svojimi developed by ISO to improve alignment among
mednarodnimi standardi za sisteme vodenja. its International Standards for management
Poleg splošnih navodil za sistem upravljanja systems. In addition to its generic guidance on
skladnosti pa ta mednarodni standard določa a compliance management system, this
tudi okvir, ki pomaga pri izvajanju posebnih International Standard also provides a
zahtev v zvezi s skladnostjo v vsakem sistemu framework to assist in the implementation of
vodenja. specific compliance-related requirements in any
management system.
Organizacije, ki še niso privzele standardov za Organizations that have not adopted
sistem upravljanja ali okvira upravljanja management system standards or a
skladnosti, lahko v svoji organizaciji preprosto compliance management framework can easily
privzamejo ta mednarodni standard kot adopt this International Standard as stand-
samostojno navodilo. alone guidance within their organization.
Ta mednarodni standard je primeren za This International Standard is suitable to
razširitev zahtev, povezanih s skladnostjo, v enhance the compliance-related requirements
druge sisteme vodenja in kot pomoč in other management systems and to assist an
organizaciji pri izboljševanju celotnega vodenja organization in improving the overall
njenih obvez glede skladnosti. management of all its compliance obligations.
Ta mednarodni standard je mogoče združiti z This International Standard can be combined with
obstoječimi standardi za sistem vodenja (npr. existing management system standards (e.g. ISO
ISO 9001, ISO 14001, ISO 22000) in splošnimi 9001, ISO 14001, ISO 22000) and generic
smernicami (npr. ISO 31000, ISO 26000). guidelines (e.g. ISO 31000, ISO 26000).
SIST ISO 19600 : 2016
Sistemi upravljanja skladnosti – Compliance management systems –
Smernice Guidelines
1 Področje uporabe 1 Scope
Ta mednarodni standard daje napotke za This International Standard provides guidance
vzpostavitev, razvijanje, izvajanje, vrednotenje, for establishing, developing, implementing,
vzdrževanje in izboljševanje uspešnega in evaluating, maintaining and improving an
odzivnega sistema upravljanja skladnosti v effective and responsive compliance
organizaciji. management system within an organization.
Smernice za sisteme upravljanja skladnosti The guidelines on compliance management
lahko uporabljajo organizacije vseh vrst. Obseg systems are applicable to all types of
uporabe teh smernic je odvisen od velikosti, organizations. The extent of the application of
strukture, narave in kompleksnosti organizacije. these guidelines depends on the size, structure,
Ta mednarodni standard temelji na načelih nature and complexity of the organization. This
dobrega upravljanja, sorazmernosti, trans- International Standard is based on the
parentnosti in trajnostnosti. principles of good governance, proportionality,
transparency and sustainability.
2 Zveza s standardi 2 Normative references
Standard ne vključuje nobenega normativnega There are no normative references.
sklicevanja.
3 Izrazi in definicije 3 Terms and definitions
V tem dokumentu se uporabljajo naslednji izrazi For the purpose of this document, the following
in definicije. terms and definitions apply.
3.1 3.1
organizacija organization
oseba ali skupina ljudi, ki ima lastne funkcije z person or group of people that has its own
odgovornostmi, pooblastili in odnosi za functions with responsibilities, authorities and
doseganje svojih ciljev (3.9) relationships to achieve its objectives (3.9)

OPOMBA 1: Pojem organizacije med drugimi vključuje NOTE 1 to entry: The concept of organization includes, but
samostojne podjetnike, družbe, korporacije, is not limited to sole-trader, company,
firme, podjetja, organe oblasti, partnerstva, corporation, firm, enterprise, authority,
združenja, dobrodelne ustanove ali partnership, charity or institution, or part or
institucije, njihove dele ali kombinacije, ki so combination thereof, whether incorporated
lahko povezani ali nepovezani, javni ali or not, public or private.
zasebni.
3.2 3.2
zainteresirana stran (priporočen izraz) interested party (preferred term)
deležnik (priznan izraz) stakeholder (admitted term)
oseba ali organizacija (3.1), ki lahko vpliva na person or organization (3.1) that can affect, be
neko odločitev ali dejavnost, na katero lahko affected by, or perceive themselves to be
vpliva neka odločitev ali dejavnost ali ki domneva, affected by a decision or activity
da lahko neka odločitev ali dejavnost vpliva nanjo

3.3 3.3
najvišje vodstvo top management
oseba ali skupina ljudi, ki na najvišji ravni person or group of people who directs and
usmerja in obvladuje organizacijo (3.1) controls an organization (3.1) at the highest level
OPOMBA 1: Najvišje vodstvo je pristojno za prenos NOTE 1 to entry: Top management has the power to

pooblastil in zagotavljanje virov znotraj delegate authority and provide resources
organizacije. within the organization.
SIST ISO 19600 : 2016
OPOMBA 2: Če obseg sistema vodenja (3.7) zajema NOTE 2 to entry: If the scope of the management system
samo del organizacije, potem je najvišje (3.7) covers only part of an organization
vodstvo tisto, ki usmerja in obvladuje ta del then top management refers to those who
organizacije. direct and control that part of the
organization.
3.4 3.4
organ upravljanja in nadzora governing body
oseba ali skupina ljudi, ki upravlja organizacijo person or group of people that governs an
(3.1), določa usmeritve in kateri je najvišje organization (3.1), sets directions and holds top
vodstvo (3.3) odgovorno management (3.3) to account
3.5 3.5
zaposleni employee
posameznik, ki je z organizacijo v razmerju, ki individual in a relationship recognized as an
ga nacionalna zakonodaja ali praksa prepoz- employment relationship in national law or
nava kot "delovno razmerje" practice
3.6 3.6
funkcija skladnosti compliance function
oseba(-e), ki je (so) odgovorna(-e) za person(s) with responsibility for compliance
upravljanje skladnosti (3.17) (3.17) management
OPOMBA 1: Zaželeno je, da se eni osebi dodeli celovita NOTE 1 to entry: Preferably one individual will be assigned
odgovornost za upravljanje skladnosti overall responsibility for compliance
(3.17). (3.17) management.
3.7 3.7
sistem vodenja management system
niz medsebojno povezanih ali medsebojno set of interrelated or interacting elements of an
odvisnih elementov organizacije (3.1) za organization (3.1) to establish policies (3.8) and
vzpostavitev politik (3.8) in ciljev (3.9) ter objectives (3.9) and processes (3.10) to
procesov (3.10) za doseganje teh ciljev achieve those objectives
OPOMBA 1: Sistem vodenja lahko vključuje eno ali več NOTE 1 to entry: A management system can address a
področij. single discipline or several disciplines.
OPOMBA 2: Elementi sistema vključujejo strukturo NOTE 2 to entry: The system elements include the
organizacije, vloge in odgovornosti, organization’s structure, roles and
planiranje, delovanje itd. responsibilities, planning, operation, etc.
NOTE 3 to entry: The scope of a management system may
OPOMBA 3: Obseg sistema vodenja lahko vključuje
celotno organizacijo, posebne in iden- include the whole of the organization,
tificirane funkcije organizacije, posebne in specific and identified functions of the
identificirane oddelke organizacije ali eno organization, specific and identified sections
ali več funkcij v skupini organizacij. of the organization, or one or more functions
across a group of organizations.
3.8 3.8
politika policy
namere in usmeritev organizacije (3.1), ki jih
intentions and direction of an organization (3.1) as
formalno izraža njeno najvišje vodstvo (3.7) formally expressed by its top management (3.7)
3.9 3.9
cilj objective
rezultat, ki naj bi bil dosežen result to be achieved
OPOMBA 1: Cilj je lahko strateški, taktični in/ali NOTE 1 to entry: An objective can be strategic, tactical
operativni. and/or operational.
OPOMBA 2: Cilji se lahko nanašajo na različna področja NOTE 2 to entry: Objectives can relate to different
(npr. finančni cilji, cilji varnosti in zdravja ter disciplines (such as financial, health and
okoljski cilji) in se lahko uporabljajo na safety, and environmental goals) and can
različnih ravneh (npr. strateški, po celotni apply at different levels (such as
organizaciji, projektni, na ravni izdelka in strategic, organization-wide, project,
procesa (3.10)). product and process (3.10)).
SIST ISO 19600 : 2016
OPOMBA 3: Cilj se lahko izrazi tudi na drugačne načine, NOTE 3 to entry: An objective can be expressed in other
npr. kot predvideni izid, namen, operativno ways, e.g. as an intended outcome, a
merilo, kot cilj skladnosti ali z drugimi purpose, an operational criterion, as a
besedami s podobnim pomenom (npr. copliance objective or by the use of other
okvirni cilj, izvedbeni cilj ali tarča). words with similar meaning (e.g. aim,
goal, or target).
OPOMBA 4: V kontekstu sistemov upravljanja skladnosti NOTE 4 to entry: In the context of compliance management
organizacija v skladu s politiko skladnosti systems, compliance objectives are set
postavlja cilje skladnosti, da bi dosegla by the organization, consistent with the
specifične rezultate. compliance policy, to achieve specific
results.
3.10 3.10
proces process
skupek med seboj povezanih ali interaktivnih set of interrelated or interacting activities which
aktivnosti, ki uporabljajo vhode za doseganje transforms inputs into outputs
predvidenega rezultata
3.11 3.11
tveganje risk
effect of uncertainty on objectives (3.9)
učinek negotovosti ciljev (3.9)
OPOMBA 1: Učinek je odstopanje – pozitivno ali NOTE 1 to entry: An effect is a deviation from the expected
negativno – od pričakovanega. – positive or negative.
OPOMBA 2: Negotovost je stanje, tudi delno, pomanjkanja NOTE 2 to entry: Uncertainty is the state, even partial, of
informacij v zvezi z razumevanjem dogodka ali deficiency of information related to,
znanjem o dogodku, njegovi posledici ali understanding or knowledge of, an event,
verjetnosti. its consequence, or likelihood.
OPOMBA 3: Tveganje se pogosto označuje s sklicevanjem NOTE 3 to entry: Risk is often characterized by reference to
na možne dogodke (kot so opredeljeni v ISO potential “events” (as defined in ISO Guide
Vodilu 73:2009, točka 3.5.1.3) in posledice (kot 73:2009, 3.5.1.3) and “consequences” (as
so opredeljene v ISO Vodilu 73:2009, točka defined in ISO Guide 73:2009, 3.6.1.3), or a
3.6.1.3) ali na kombinacijo obojih. combination of these.
OPOMBA 4: Tveganje se pogosto izraža kot kombinacija NOTE 4 to entry: Risk is often expressed in terms of a
posledic nekega dogodka (vključno s combination of the consequences of an event
spremembami okoliščin) in pripadajoče (including changes in circumstances) and the
verjetnosti (kot je opredeljena v ISO Vodilu associated “likelihood” (as defined in ISO
73:2009, točka 3.6.1.1) nastanka. Guide 73:2009, 3.6.1.1) of occurrence.
3.12 3.12
tveganje skladnosti compliance risk
učinek negotovosti ciljev (3.9) skladnosti effect of uncertainty on compliance objectives
(3.9)
OPOMBA 1: Tveganje skladnosti je lahko opredeljeno z NOTE 1 to entry: Compliance risk can be characterized by
verjetnostjo nastanka in posledicami the likelihood of occurrence and the
neskladnosti (3.18) z obvezami glede consequences of noncompliance (3.18)
skladnosti organizacije (3.16). with the organization’s compliance
obligations (3.16).
3.13 3.13
zahteva requirement
potreba ali pričakovanje, ki je izraženo, na need or expectation that is stated, generally
splošno samoumevno ali obvezno implied or obligatory
OPOMBA 1: "Na splošno samoumevno" pomeni, da je NOTE 1 to entry: “Generally implied” means that it is custom
navada ali uveljavljena praksa organizacije or common practice for the organization and
in zainteresiranih strani, da je obravnavana interested parties that the need or
potreba ali pričakovanje samoumevno. expectation under consideration is implied.
OPOMBA 2: Specificirana zahteva je tista, ki je NOTE 2 to entry: A specified requirement is one that is
navedena, na primer v dokumentiranih stated, for example in documented
informacijah. information.
SIST ISO 19600 : 2016
3.14 3.14
zahteva glede skladnosti compliance requirement
zahteva (3.13), s katero mora biti organizacija requirement (3.13) that an organization (3.1)
(3.1) skladna has to comply with
3.15  3.15
zavezanost skladnosti compliance commitment
zahteva (3.13), ki jo organizacija (3.1) izbere, da requirement (3.13) that an organization (3.1)
bo skladna z njo chooses to comply with
3.16 3.16
obveza glede skladnosti compliance obligation
zahteva glede skladnosti (3.14) ali zavezanost compliance requirement (3.14) or compliance
skladnosti (3.15) commitment (3.15)
3.17 3.17
skladnost compliance
izpolnjevanje vseh obvez organizacije glede meeting all the organization’s compliance
skladnosti (3.16) obligations (3.16)
OPOMBA 1: Skladnost postane trajnostna, ko je NOTE 1 to entry: Compliance is made sustained by

vgrajena v kulturo organizacije (3.1) ter v embedding it in the culture of an
ravnanje in odnos ljudi, ki delajo za organization (3.1) and in the behaviour
and attitude of people working for it.
organizacijo.
3.18 3.18
neskladnost noncompliance
neizpolnjevanje obvez glede skladnosti (3.16) non-fulfilment of a compliance obligation (3.16)

OPOMBA 1: Neskladnost je lahko enkraten ali večkraten NOTE 1 to entry: Noncompliance can be a single or a

dogodek in je lahko ali pa ni rezultat multiple event and may or may not be the
neskladnosti z zahtevami sistema vodenja result of a nonconformity (3.33).
(3.33).
3.19 3.19
kultura skladnosti compliance culture
vrednote, etika in prepričanja, ki obstajajo v values, ethics and beliefs that exist throughout
celotni organizaciji (3.1) in se povezujejo s an organization (3.1) and interact with the
strukturo organizacije in sistemi ukrepov za organization’s structures and control systems to
obvladovanje, da bi se ustvarile norme produce behavioural norms that are conducive
obnašanja, ki privedejo do skladnosti (3.17) to compliance (3.17) outcomes
3.20 3.20
kodeks code
pravila ravnanja, ki jih pripravi organizacija ali statement of practice developed internally or by
mednarodni, nacionalni ali panožni organi ali an international, national or industry body or
druge organizacije (3.1) other organization (3.1)
OPOMBA 1: Kodeks je lahko obvezen ali prostovoljen NOTE 1 to entry: The code may be mandatory or voluntary.

3.21 3.21
standardi organizacije in panoge  organizational and industry standards
dokumentirani kodeksi (3.20), dobre prakse, documented codes (3.20), good practices,
listine, tehnični in panožni standardi, ki jih charters, technical and industry standards
organizacija (3.1) šteje za relevantne deemed by an organization (3.1) to be relevant
3.22 3.22
regulatorni organ regulatory authority
organizacija (3.1), odgovorna za urejanje (regu- organization (3.1) responsible for regulating or
liranje) ali prisilno uveljavljanje skladnosti (3.17) enforcing compliance (3.17) with legislative and
z zakonodajnimi in drugimi zahtevami (3.13) other requirements (3.13)
SIST ISO 19600 : 2016
3.23 3.23
kompetentnost competence
zmožnost uporabe znanja in veščin za ability to apply knowledge and skills to achieve
doseganje predvidenih rezultatov intended results
3.24 3.24
dokumentirane informacije documented information
informacije, ki jih mora organizacija (3.1) information required to be controlled and
obvladovati in vzdrževati, ter medij, ki jih maintained by an organization (3.1) and the
vsebuje medium on which it is contained
OPOMBA 1: Dokumentirane informacije so lahko v NOTE 1 to entry: Documented information can be in any
kakršnikoli obliki in mediju ter iz kakršne- format and media and from any source.
gakoli vira.
OPOMBA 2: Dokumentirane informacije se lahko NOTE 2 to entry: Documented information can refer to:
nanašajo na:
–sistem vodenja (3.7), vključno s̶the management system (3.7), including
pripadajočimi procesi (3.10), related processes (3.10);
– informacije, ustvarjene zato, da bi̶information created in order for the
organizacija delovala (dokumentacija), organization to operate (documentation);
– dokaze o doseženih rezultatih (zapisi).̶evidence of results achieved (records).
3.25 3.25
postopek procedure
specificiran način za izvedbo aktivnosti ali specified way to carry out an activity or process
procesa (3.10) (3.10)
3.26 3.26
izvedba performance
merljiv rezultat measurable result
OPOMBA 1: Izvedba se lahko nanaša na količinske ali NOTE 1 to entry: Performance can relate either to
kakovostne ugotovitve. quantitative or qualitative findings.
OPOMBA 2: Izvedba se lahko nanaša na vodenje NOTE 2 to entry: Performance can relate to the
aktivnosti, procesov (3.10), izdelkov, management of activities, processes
storitev, sistemov ali organizacij (3.1). (3.10), products (including services),
systems or organizations (3.1).
3.27 3.27
nenehno izboljševanje continual improvement
ponavljajoča se aktivnost ali proces (3.10) za recurring activity or process (3.10) to enhance
izboljšanje izvedbe (3.26) performance (3.26)
3.28 3.28
oddati v izvajanje zunanjim ponudnikom outsource (verb)
(glagol)
skleniti dogovor, po katerem zunanja make an arrangement where an external
organizacija (3.1) izvaja del funkcije ali procesa organization (3.1) performs part of an
(3.10) neke organizacije organization’s function or process (3.10)
OPOMBA 1: Zunanja organizacija je zunaj obsega NOTE 1 to entry: An external organization is outside the
sistema vodenja (3.7), čeprav je zunanjemu management system (3.7), although the
ponudniku oddana funkcija ali proces outsourced function or process is within
znotraj obsega. the scope.
3.29 3.29
nadzorovanje monitoring
opredeljevanje stanja sistema, procesa (3.10) determining the status of a system, a process
ali aktivnosti (3.10) or an activity
SIST ISO 19600 : 2016
OPOMBA 1: Za opredeljevanje stanja je lahko potrebno NOTE 1 to entry: To determine the status there may be a
preverjanje, nadziranje ali kritično need to check, supervise or critically
opazovanje. observe.
OPOMBA 2: Nadzorovanje ni enkratna aktivnost, temveč NOTE 2 to entry: Monitoring is not a once-only activity, but
proces rednega ali nenehnega opazovanja a process of regularly or continuously
situacije. observing a situation.
3.30 3.30
merjenje measurement
proces ( ) opredeljevanja vrednosti process ( ) to determine a value
3.10 3.10
3.31 3.31
presoja audit
sistematičen, neodvisen in dokumentiran proces systematic, independent and documented

(3.10) pridobivanja dokazov presoje in process (3.10) for obtaining audit evidence and
njihovega objektivnega vrednotenja, da se evaluating it objectively to determine the extent
ugotovi, v kolikšnem obsegu so izpolnjeni to which the audit criteria are fulfilled
kriteriji presoje
OPOMBA 1: Presoja je lahko notranja (presoja prve NOTE 1 to entry: An audit can be an internal audit (first
stranke) ali zunanja (presoja druge ali tretje party) or an external audit (second party
stranke), lahko pa je tudi kombinirana or third party), and it can be a combined
presoja (kombinira dve ali več področij). audit (combining two or more disciplines).
OPOMBA 2: Izraza "dokazi presoje" in "kriteriji presoje" NOTE 2 to entry: “Audit evidence” and “audit criteria” are
sta opredeljena v ISO 19011. defined in ISO 19011.
OPOMBA 3: Neodvisnost se lahko dokaže z oprostitvijo NOTE 3 to entry: Independence can be demonstrated by
odgovornosti za aktivnost, ki se presoja, ali the freedom from responsibility for the
z odsotnostjo predsodkov in nasprotja activity being audited or freedom from
interesov. bias and conflict of interest.
3.32 3.32
skladnost z zahtevami sistema vodenja conformity
izpolnjevanje zahtev (3.13) sistema vodenja fulfilment of a management system
requirement (3.13)
3.33 3.33
neskladnost z zahtevami sistema vodenja nonconformity
neizpolnjevanje zahtev (3.13) sistema vodenja non-fulfilment of a management system
requirement (3.13)
OPOMBA 1: Neskladnost z zahtevami sisema vodenja NOTE 1 to entry: A nonconformity is not necessarily a
ne predstavlja nujno tudi neskladnosti noncompliance (3.18).
(3.18).
3.34 3.34
korekcija correction
ukrep za odpravo zaznane neskladnosti z action to eliminate a detected nonconformity
zahtevami sistema vodenja (3.33) ali (3.33) or a noncompliance (3.18)
neskladnosti (3.18)
3.35 3.35
korektivni ukrep corrective action
ukrep za odpravo vzroka neskladnosti z action to eliminate the cause of a nonconformity
zahtevami sistema vodenja (3.33) ali (3.33) or a noncompliance (3.18) and to prevent
neskladnosti (3.18) ter preprečitev njune recurrence
ponovitve.
SIST ISO 19600 : 2016
4 Kontekst organizacije 4 Context of the organization
4.1 Razumevanje organizacije in njenega 4.1 Understanding the organization and its
konteksta  context
Organizacija naj opredeli zunanja in notranja The organization should determine external and
vprašanja, kot so tista v zvezi s tveganji internal issues, such as those related to
skladnosti, ki so relevantna za njen namen in ki compliance risks, that are relevant to its purpose
vplivajo na njeno zmožnost dosegati predvi- and that affect its ability to achieve the intended
den(-e) rezultat(-e) njenega sistema upravljanja outcome(s) of its compliance management system.
skladnosti. Pri tem naj organizacija upošteva In doing so, the organization should consider a
širok nabor zunanjih in notranjih vidikov, kot so broad range of external and internal aspects, such
regulativni, družbeni in kulturni kontekst, as the regulatory, social and cultural contexts, the
gospodarske razmere ter notranje politike, economic situation and the internal policies,
postopki, procesi in viri. procedures, processes and resources.
4.2 Razumevanje potreb in pričakovanj 4.2 Understanding the needs and

zainteresiranih strani expectations of interested parties
Organizacija naj opredeli: The organization should determine:
– zainteresirane strani, ki so relevantne za – the interested parties that are relevant to
the compliance management system;
sistem upravljanja skladnosti,
– zahteve teh zainteresiranih strani. – the requirements of these interested parties.
4.3 Opredeljevanje področja uporabe 4.3 Determining the scope of the
sistema upravljanja skladnosti compliance management system
Za vzpostavitev področja uporabe sistema The organization should determine the
upravljanja skladnosti naj organizacija določi boundaries and applicability of the compliance
njegove meje in uporabnost. management system to establish its scope.
OPOMBA: Področje uporabe sistema upravljanja NOTE The scope of the compliance management
skladnosti je namenjeno pojasnitvi system is intended to clarify the geographical
geografskih in/ali organizacijskih meja, za and/or organizational boundaries to which the
katere bo veljal sistem upravljanja compliance management system will apply,
skladnosti, zlasti če je organizacija del večje especially if the organization is a part of a
organizacije na določeni lokaciji. larger organization at a given location.
Pri določanju tega področja uporabe naj When determining this scope, the organization
organizacija upošteva: should consider:
– zunanja in notranja vprašanja iz točke 4.1, – the external and internal issues referred to
in 4.1;
– zahteve iz točk 4.2 in 4.5.1.  – the requirements referred to in 4.2 and
4.5.1.
Področje uporabe naj bo vedno na voljo kot The scope should be readily available as
dokumentirana informacija. documented information.
4.4 Sistem upravljanja skladnosti in načela 4.4 Compliance management system and
dobrega upravljanja principles of good governance
Organizacija naj vzpostavi, razvija, izvaja, The organization should establish, develop,
vrednoti, vzdržuje in nenehno izboljšuje sistem implement, evaluate, maintain and continually
upravljanja skladnosti, vključno s potrebnimi improve a compliance management system,
procesi in njihovimi interakcijami, v skladu s tem including the processes needed and their
mednarodnim standardom in z upoštevanjem interactions, in accordance with this International
naslednjih načel upravljanja: Standard, taking into consideration the following
governance principles:
SIST ISO 19600 : 2016
– neposreden dostop funkcije skladnosti do – direct access of the compliance function to
organa upravljanja in nadzora, the governing body;
– neodvisnost funkcije skladnosti, – independence of the compliance function;
– ustrezna pooblastila in ustrezni viri, – appropriate authority and adequate
dodeljeni funkciji skladnosti. resources allocated to the compliance
function.
Sistem upravljanja skladnosti naj odraža The compliance management system should
vrednote, cilje in strategijo organizacije ter reflect the organization's values, objectives,
tveganja skladnosti. strategy and compliance risks.
4.5 Obveze glede skladnosti 4.5 Compliance obligations
4.5.1 Identificiranje obvez glede skladnosti 4.5.1 Identification of compliance
obligations
Organizacija naj sistematično identificira svoje The organization should systematically identify
obveze glede skladnosti in njihove posledice za its compliance obligations and their implications
svoje dejavnosti, izdelke in storitve. for its activities, products and services. The
Organizacija naj te obveze upošteva pri organization
...