CMS jako projekt

Wdrażanie Compliance Management System (CMS) w oparciu o ISO 37301 można potraktować jako projekt i stosować odpowiednią metodologię zarządzania projektami. Powiem więcej, ciężko traktować to wdrożenie inaczej, niż projekt. Czy jednak oficerowie compliance czują się PM -ami, czy poznają zasady kierowania projektami i regularnie się z tego szkolą? Cóż, pewnie to zależy. Niniejsza publikacja ma na celu przybliżenie tej tematyki i przedstawienie pewnych ogólnych ram zarządzania projektami, które być może zainspirują Was do innego, bardziej metodologicznego podejścia do wdrażania complinace. Jednocześnie pewne cechy CMS, jak choćby cykliczność PDCA (Deming) sprawiają, że koniec projektu traktowany być musi jako pewien etap. W tym kontekście, szczególnie metodologia Prince2 wydaje się szczególnie użyteczna ze względu na swoją strukturę i podejście do zarządzania projektami. Poniżej przedstawiam, w jaki sposób wdrażanie CMS może być realizowane zgodnie z Prince2, jakie są kluczowe aspekty, na które należy zwrócić uwagę, oraz jakie inne metodologie mogą być również użyteczne. Zdjęcie nie jest przypadkowe i jak w projekcie bywa, liczą się szczegóły. Ale po kolei.

Prince2 to popularna metodologia zarządzania projektami, która składa się z kilku etapów:

1. Inicjowanie projektu:
• Definiowanie zakresu projektu: określenie, które obszary organizacji będą priorytetowo objęte wdrożeniem CMS i w jakim powiązaniu do strategii klienta.
• Ustalenie celów i korzyści: zidentyfikowanie celów projektu, takich jak ochrona regulacyjna planów firmy, wsparcie reputacji firmy, czy ochrona związana z jakąś aktywnością, np. wejściem na nowy rynek, fuzją, czy wdrożeniem innowacji.
• Określenie interesariuszy: Identyfikacja osób i grup, które będą zaangażowane w projekt, które będą jego odbiorcami oraz te, które będą go wspierać.
2. Planowanie projektu:
• Opracowanie planu projektu: stworzenie szczegółowego planu, który obejmuje m.in. harmonogram, zasoby, budżet oraz techniki zarządzania ryzykiem.
• Zarządzanie ryzykiem: Identyfikacja potencjalnych ryzyk związanych z wdrożeniem CMS i opracowanie strategii ich minimalizacji.
• Zarządzanie zakresem: Upewnienie się, że wszystkie wymagania ISO 37301 są uwzględnione w planie projektu.
3. Wykonanie:
• Realizacja zadań: Nadzorowanie wykonania zadań zgodnie z planem projektu, takich jak szkolenia pracowników, wdrażanie systemów IT, tworzenie polityk i procedur, czy komunikacja.
• Monitorowanie i kontrola: Regularne monitorowanie postępów projektu oraz kontrola jakości, aby zapewnić, że wdrożenie CMS przebiega zgodnie z planem i przyjętymi założeniami.
4. Zamknięcie projektu:
• Ocena i raportowanie: Przeprowadzenie oceny wyników projektu i sporządzenie raportów, które będą pomocne w przyszłych projektach.
• Przekazanie odpowiedzialności: Przekazanie odpowiedzialności za CMS do odpowiednich osób w organizacji.
• Certyfikacja?

Na co trzeba zwrócić uwagę?

1. Zrozumienie ISO 37301: Osoby odpowiedzialne za wdrożenie CMS muszą mieć głęboką wiedzę na temat wymagań i zasad ISO 37301, aby móc skutecznie wdrożyć system zgodnie z tymi wymaganiami tak, by przynosił on wartość dla organizacji.
2. Zarządzanie zespołem: Należy zbudować i zarządzać zespołem projektowym, który będzie odpowiedzialny za różne aspekty wdrożenia CMS.
3. Komunikacja: Ważne jest, aby utrzymywać regularną i skuteczną komunikację z interesariuszami, zespołem projektowym oraz kierownictwem organizacji.
4. Zarządzanie ryzykiem: Należy zidentyfikować potencjalne ryzyka i opracować strategie ich minimalizacji.
5. Zarządzanie budżetem i zasobami: Trzeba efektywnie zarządzać budżetem i zasobami, aby projekt był realizowany w ramach ustalonych ram czasowych i finansowych.

Inne metodologie

Oprócz Prince2, istnieją inne metodologie zarządzania projektami, które mogą być użyteczne w wdrażaniu CMS:

1. Agile: Metodologia Agile, zwinna, elastyczna, może być przydatna w sytuacjach, gdy wymagania CMS mogą ulec zmianie w trakcie projektu. Czyli warto ją poznać 😊
2. IPMA (International Project Management Association): IPMA oferuje kompleksowe podejście do zarządzania projektami, które może być dostosowane do specyficznych potrzeb wdrażania CMS.
3. PMBOK (Project Management Body of Knowledge): PMBOK to zbiór najlepszych praktyk w zarządzaniu projektami, który może być użyteczny jako uzupełnienie do Prince2.

Przykłady organizacji, które uzyskały certyfikat ISO z zakresu compliance:

• ABN AMRO Bank: Holenderski bank, który uzyskał certyfikat ISO 37301 w 2019 roku. Certyfikat został przyznany przez TÜV Rheinland.
• Deutsche Bank: Niemiecki bank, który uzyskał certyfikat ISO 37301 w 2020 roku. Certyfikat został przyznany przez DQS.
• Siemens: Międzynarodowa korporacja technologiczna, która uzyskała certyfikat ISO 37301 w 2021 roku. Certyfikat został przyznany przez TÜV Rheinland.
• Volkswagen: Niemiecki producent samochodów, który uzyskał certyfikat ISO 37301 w 2020 roku. Certyfikat został przyznany przez DQS.
• PKN Orlen: uzyskał certyfikat ISO 37301 w 2022 roku. Certyfikat został przyznany przez TÜV Rheinland.
• Bank Pekao: Polski bank, który uzyskał certyfikat ISO 37301 w 2021 roku. Certyfikat został przyznany przez TÜV Rheinland.
• ZUS. Nie, ZUS chyba jeszcze nie uzyskał.

Podsumowanie

Wdrażanie Compliance Management System w oparciu o ISO 37301 może jak najbardziej być postrzegane jako wdrażanie projektu zgodnie z metodologią zarządzania projektami. Kluczowe aspekty, na które należy zwrócić uwagę, obejmują zrozumienie ISO 37301, zarządzanie zespołem, komunikację, zarządzanie ryzykiem oraz efektywne zarządzanie budżetem i zasobami. Inne metodologie, takie jak Agile, IPMA i PMBOK, również mogą być użyteczne w zależności od specyficznych potrzeb tak projektu, jak i przede wszystkim klienta. Im większy, bardziej skomplikowany to biznes, tym bardziej uważnie & rozważnie trzeba wdrażać CMS. Co to oznacza? Warto oczywiście poznawać różne spojrzenia ma CMS, na wartość dla organizacji, na biznes. I szukać sprawdzonych metod, które pozwolą osiągnąć założone cele. Temu służą te metodologie. A jeśli szukasz wsparcia w budowie systemu na którymkolwiek etapie, to… wiesz jak mnie znaleźć. Poruszę też to zagadnienie w najbliższej edycji kursu ACO od Instytutu Compliance. Bo czasem cos się projektuje, jak ten basen na zdjęciu, czyli ‘Rehabilitacja lecznicza w ramach prewencji rentowej ZUS’. I poza wyszukaną nazwą, ta prewencja po prostu może nie zadziałać. Cos się nie doprojektowało. Albo przeprojektowało. W każdym razie czegoś jest ewidentnie w tym projekcie brak.