Procjena stanja područja usklađenosti u nekom poslovnom sustavu ili njegova Gap analiza je početni korak za planiranje i vođenje uspostave konzistentnog CM-a. Njena svrha je procijeniti trenutačno stanje neusklađenosti kao polazne točke prema željenom stanju. Prijelaz iz trenutačnog u željeno stanje usmjerava se akcijskim planom i postiže njegovim ostvarenjem. Ova, na prvi pogled jednostavna premisa, prikazana je na slici:
Ovu analizu moguće je načiniti na više razina:
- Razini cijelog poslovnog sustava,
- Za neka specifična poslovna područja i
- Na razini sustava upravljanja usklađenostima.
- Gap analiza cijelog poslovnog sustava
Ovaj vid Gap analize čini se kad je nužno procijeniti trenutačno stanje nekog poslovnog sustava zbog ocjene njegove poslovne zrelosti, zahtjeva potencijalnog investitora, zahtjeva regulatora, zahtjeva koji vrijede u burzovnom poslovanju, zahtjeva vlastitog vršnog menadžmenta itd. Za takvu analizu postoji više referentnih metodologija, kao što su npr.: CAF, COSO, CSA, metodologije vodećih konzultantskih kuća itd. Svaka od njih je posebna tema. Sa stajališta usklađenosti cilj takvih analiza jest vidjeti koliko je konkretni poslovni sustav usklađen sa zahtjevima takvih metodologija. U nastavku daje se tek njihov kratki prikaz.
CAF (Common Assessment Framework) – European Public Administration Network)
CAF metodologija usmjerena je na postizanje maksimalnih poslovnih performansi u organizacijama javnog sektora. Sastoji se od 9 područja / kriterija prema donjoj slici i njihovih 28 podpodručja / podkriterija.
Izvor: EUPAN european public administration network
CAF se razvija od 2008. g., a u verziju 2020 ugrađene su najbolje prakse: Quality of Public Administration, European Commission (2018), Innovation in Governments Global Trends (OECD 2018), OECD Declaration on Public Sector Innovation (2019), The Principles of Public Administration, SIGMA OECD (2019), EPSA – European Public Sector Award EIPA, Observatory of Public Sector Innovation (OECD). Također, ovaj model fokusira digitalizaciju, agilnost, održivost i raznolikost potreba javnog sektora.
Trenutačno stanje jednog poslovnog sustava (Gap) izmjerenog prema CAF-u je kako slijedi. Na apscisi su % sadašnjeg zadovoljenja zahtjeva, razlike do 100 % su neusklađenosti.
Gap analiza putem ove metodologije služi za otkrivanje slabih strana neke organizacije javnog područja i promatranim ključnim područjima. Na osnovi Gap rezultata, rade se programi poboljšanja, kako bi se utjecalo na povećanje sposobnosti svakog od navedenih područja, njegovih pod područja, a time i poslovnog sustava u cjelini.
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
Ova metodologija fokusira procjene unutarnjih kontrola u nekom poslovnom sustavu koje nužno trebaju biti integrirane u poslovne procese. Osnovni cilj je postići: obavljanje poslovanja na pravilan, etičan, djelotvoran i učinkovit način, usklađenost sa zakonima, propisima, programima, postupcima, zaštitu od nepravilnosti, jačanje odgovornosti za uspješno ostvarenje poslovnih ciljeva, pouzdanost i sveobuhvatnost financijskih i drugih izvještaja. Postoji 5 temeljnih kontrolnih komponenti COSO-a: (Control Environment, Risk Assessment, Control Activities, Information & Communication and Monitoring Activities). Ovih 5 kontrolnih područja / komponenti ostvaruju se kroz 3 sloja: Operations, Reporting and Compliance, vidjeti sliku ispod. Njen lijevi dio prikazuje logiku COSO metodologije, a desni trenutačne razine zrelosti kontrolnih područja i udaljenosti (Gap) do željene razine.
Izvor: COSO Framework Izvor: Rezultati jednog konkretnog slučaja
Korištenjem ove metodologije želi se vidjeti koliko su unutarnje kontrole promatrane u nekom poslovnom sustavu, promatrane kroz glavne kategorije, usklađene sa suvremenim zahtjevima. Procjenom prikazanih komponenti otkrivaju se slabosti u unutarnjim kontrolama, na osnovi čega se radi plan njihovog poboljšanja.
OECD S&P CSA ( Corporate Sustaninability Assessment)
Ova metodologija služi za procjenu sposobnosti nekog poslovnog sustava da predvidi negativne pojave u njegovoj okolini, te ga pripremi za moguće posljedice. Težište je na održivosti poslovanja, njegovoj reputaciji i izbjegavanju financijskih gubitaka. Posebno se preporuča za tvrtke koje su izlistane na burzama ili bi to željele biti.
Ova metodologija sastoji se od 8 cjelina prikazanih na slici. Gap analiza čini se za svaku od njih na analogan način kao i u gornjim primjerima, a u skladu s dobivenim rezultatima, sastavlja i provodi plan poboljšanja.
Izvor: CSA Methodology Framework, 2021
2. Gap analize specifičnih područja sustava upravljanja
Postoje brojna područja u svakom poslovnom sustavu za koja je korisno načiniti njihove Gap analize. To su npr.: informacijska sigurnost, kibernetička sigurnost, upravljanje kontinuitetom poslovanja, upravljanje poslovnim procesima, zaštita privatnosti, upravljanje kvalitetom, upravljanje zaštitom okoliša, upravljanje energetskom učinkovitosti, područje digitalizacije itd. Svako od ovih područja danas je pokriveno svojim normama upravljanja ili specifičnim metodologijama.
ZIH je načinio svoje alate za Gap analize svakog od ovih područja, koje primjenjuje kod svojih korisnika na početku realizacije ovih projekata. Kao primjer Gap analize sustava informacijske sigurnosti (ISMS) navodi se mali dio rezultata koje takvi alati daju. Po skupinama zahtjeva ove norme (ISO 27001) vidi se stanje potpuno implementiranih, djelomično implementiranih i ne implementiranih sigurnosnih kontrola, temeljem čega se poduzimaju adekvatne mjere.
Samo kao primjer, zbog aktualnosti teme, navodi se i Digital Maturity Model kojeg je razvio Deloitte i kojeg se može koristiti za ovaj tip određivanja Gap-a. Sastoji se od 5 osnovnih područja, 28 pod područja, a digitalna zrelost se određuje preko 179 indikatora stanja.
Primjena ovog modela na jednom konkretnom primjeru daje slijedeće razine zrelosti promatranih područja, a time i Gap rezultate:
Dakle, ukupna trenutačna digitalna zrelost ovog sustava je 2,08, a njegovih pojedinih područja, kako je prikazano. Svako od njih potrebno je poboljšati pripadajućim mjerama i postupno uskladiti ga sa zahtjevima ovog područja.
3. Gap analiza putem norme ISO 37301
Za upravljanje usklađenostima kao sustavom, vodeća svjetska organizacija za normizaciju razvila je standard ISO 37301 – Compliance Management System – Requirements with guidance for use. Ovaj standard sastoji se od niza skupina zahtjeva[1] (Kontekst Compliance-a, Vodstvo & Compliance, Planiranje Compliance-a, Potpora Compliance-u, Operativna provedba Compliance-u, Upravljanje dokumentacijom Compliance-a, Kontrole & Eskalacija problema, Evaluacija performanci Compliance-a i Poboljšanja Compliance-a). Ukupno ovaj standard ima 95 konkretnih zahtjeva za uspostavu i primjenu konzistentnog CMS-a. Treba ga koristiti kao osnovu za Gap analizu postojećeg stanja područja (ne)usklađenosti, na osnovi koje se rade planovi poboljšanja, sve dok se ne ispune standardom predviđeni zahtjevi. Tada je poslovni sustav spreman i za certifikaciju po ovom standardu, ukoliko mu takav čin treba.
ZIH je načinio i alat za Gap analizu temeljen na ovom standardu. Na slici u nastavku navodi se početno stanje razina zrelosti svih 9 područja Compliance-a (plavo) kao i razine zrelosti ovih područja nakon provedenih poboljšanja (smeđe). Razine zrelosti određuju se prema kriterijima 1 – 5, pri čemu 1 označava stanje da je konkretni zahtjev tek rudimentarno ispunjen, dok 5 označava stanje potpunog zadovoljenja tog zahtjeva u praksi.
Treba znati da i navedena norma u svom Anexu B ima matricu za procjenu razine zrelosti CMS-a (CMS Maturity Matrix).
Autorski tekst: Zabranjeno je prenošenje sadržaja ili njegovog dijela bez izričite dozvole nositelja autorskog prava. Iskazivanje i drugačijih mišljenja može samo obogatiti našu praksu u području compliance management-a.
[1] Sama norma ima 7 takvih skupina zahtjeva, no ZIH ih je prilagodio na 9.