ISO 37001 έναντι ISO 37301 - Συνέντευξη με τον ελεγκτή Hans-Jürgen Fengler

Hans-Jürgen Fengler, σε ευχαριστώ πολύ που αφιέρωσες χρόνο για αυτή τη συνέντευξη! Θα ήθελα να σας μιλήσω για τις διαφορές μεταξύ των προτύπων ISO 37001 και ISO 37301. Θα μπορούσατε σας παρακαλώ να μου εξηγήσετε εν συντομία σε τι αναφέρεται καθένα από αυτά τα πρότυπα;

Hans-Jürgen Fengler: Με χαρά. Και τα δύο πρότυπα ασχολούνται με την εφαρμογή συστημάτων διαχείρισης για τη διασφάλιση της συμμόρφωσης με τους νόμους και τους κανονισμούς. Το ISO 37001 επικεντρώνεται ειδικά στην καταπολέμηση της διαφθοράς. Παρέχει ένα πλαίσιο για τον εντοπισμό, την αξιολόγηση και την εξάλειψη των κινδύνων διαφθοράς, ενώ το ISO 37301 υιοθετεί μια πιο ολοκληρωμένη προσέγγιση και καλύπτει όλες τις υποχρεώσεις συμμόρφωσης ενός οργανισμού. Αυτό περιλαμβάνει νόμους, κανονισμούς, αλλά και εθελοντικές δεσμεύσεις όπως το Παγκόσμιο Σύμφωνο ή ο Κώδικας B.A.U.M.

Και πώς λειτουργεί η εισαγωγή ενός τέτοιου συστήματος διαχείρισης όπως περιγράφεται στο ISO 37301;

Hans-Jürgen Fengler: Σύμφωνα με το ISO 37301, ένας οργανισμός πρέπει να καθορίσει μια διαδικασία στην οποία εντοπίζονται οι μεγαλύτεροι κίνδυνοι συμμόρφωσης. Στη συνέχεια, διενεργείται εκτίμηση κινδύνου προκειμένου να προσδιοριστούν τα αναγκαία μέτρα, πολιτικές κ.λπ. Το ίδιο πρέπει να γίνει και για το ISO 37001 μόνο για το θέμα της διαφθοράς. Το σύστημα επανεξετάζεται τακτικά και βελτιώνεται συνεχώς για να διασφαλιστεί η αποτελεσματικότητά του. Στο τέλος, μπορεί να ζητηθεί πιστοποίηση από διαπιστευμένο φορέα. Στη συνέχεια, ένας ελεγκτής όπως εγώ έρχεται για να αναλύσει το σύστημα διαχείρισης και να ελέγξει τις δυνατότητες βελτιστοποίησης. Το κλειδί είναι η ανάπτυξη ενός εξατομικευμένου συστήματος διαχείρισης συμμόρφωσης που ανταποκρίνεται στις συγκεκριμένες απαιτήσεις και τους κινδύνους του οργανισμού και βελτιώνεται συνεχώς.

Με άλλα λόγια, εάν η διαχείριση συμμόρφωσης δείχνει ότι η διαφθορά είναι ένα σημαντικό ζήτημα, τότε πρέπει να στραφώ στο ISO 37001;

Hans-Jürgen Fengler: Ναι, μπορείτε να το κάνετε αυτό. Το ISO 37001 έχει να κάνει με τη διαφθορά. Αυτό σημαίνει ότι εάν η διαφθορά είναι ο πιο σχετικός κίνδυνος συμμόρφωσης, τότε μπορείτε να επικεντρωθείτε στο ISO 37001. Ωστόσο, εάν η διαφθορά δεν είναι το πιο σχετικό θέμα, τότε είναι πιο λογικό να εισαχθεί το σύστημα διαχείρισης συμμόρφωσης. Είναι επίσης δυνατή η χρήση του περιεχομένου του ISO 37001 για τη βελτιστοποίηση του συστήματος διαχείρισης συμμόρφωσης όσον αφορά την καταπολέμηση της διαφθοράς και έτσι τη βελτίωση και την υλοποίηση του συστήματος διαχείρισης στο σύνολό του.Όταν αποφασίζετε μεταξύ ISO 37301 και ISO 37001, τίθεται πάντα το ερώτημα: Τι θέλω να δείξω στα ενδιαφερόμενα μέρη μου, ποιες είναι οι απαιτήσεις τους; Και τι έχει νόημα για μένα ως οργανισμό; Επιπλέον, υπάρχουν χώρες όπου ένα σύστημα διαχείρισης κατά της διαφθοράς σύμφωνα με το ISO 37001 απαιτείται επίσης από το νόμο για ορισμένους τομείς, για παράδειγμα στον κατασκευαστικό κλάδο στην Ιταλία ή για ανώνυμες εταιρείες στο γαλλικό χρηματιστήριο. Σε αυτές τις περιπτώσεις, δεν τίθεται το ερώτημα και η πιστοποίηση ISO 37001 είναι υποχρεωτική.

Ο αριθμός 37301 έρχεται μετά το 37001. Περί τίνος πρόκειται;

Hans-Jürgen Fengler: Το ISO 37001 δημοσιεύθηκε ήδη το 2016, ενώ το ISO 37301 τέθηκε σε ισχύ μόλις το 2021. Το προηγούμενο πρότυπο του ISO 37301, ISO 19600, σχεδιάστηκε μόνο ως κατευθυντήρια γραμμή και δεν περιείχε συγκεκριμένες απαιτήσεις, ούτε μπορούσε να εκδοθεί διαπιστευμένο πιστοποιητικό. Καθώς το ISO 37001 έφερε ήδη τον αριθμό 37001, επιλέχθηκε ο αριθμός 37301 για το νέο, πιο ολοκληρωμένο πρότυπο. Όλα όσα δημοσιεύονται από τον ISO στον τομέα των συστημάτων διαχείρισης συμμόρφωσης μπορούν να βρεθούν στη σειρά 37000. Και αυτός είναι ο λόγος για τον οποίο το ISO 37301 έχει επίσης ταξινομηθεί εδώ.

Πόσο κατάλληλα είναι τα ISO 37001 και ISO 37301 για οργανισμούς διαφορετικών μεγεθών, βιομηχανιών και γεωγραφικών τοποθεσιών;

Hans-Jürgen Fengler: Βασικά, όλα τα πρότυπα συστήματος διαχείρισης ISO είναι κατάλληλα για όλους τους οργανισμούς διαφορετικών μεγεθών, βιομηχανιών και γεωγραφικών τοποθεσιών. Τα ISO 37001 και ISO 37301 δεν αποτελούν εξαιρέσεις. Το κεφάλαιο 4 "Πλαίσιο του οργανισμού" καθορίζει ποιες ειδικές απαιτήσεις της εταιρείας σχετίζονται λεπτομερώς με το σύστημα διαχείρισης και τι πρέπει να ληφθεί υπόψη. Σε έναν μεγάλο οργανισμό, υπάρχουν περισσότερες απαιτήσεις από ό, τι σε έναν μικρό οργανισμό. Φυσικά, όλα αυτά έχουν ισχυρή επίδραση στις απαιτήσεις συμμόρφωσης που πρέπει να ληφθούν υπόψη συγκεκριμένα.5

Ένας σημαντικός παράγοντας όσον αφορά τη γεωγραφική θέση είναι ότι ο κίνδυνος διαφθοράς είναι υψηλότερος σε ορισμένες χώρες από ό,τι σε άλλες. Η Διεθνής Διαφάνεια παρέχει τον Δείκτη Αντίληψης της Διαφθοράς (CPI). Αυτό αποτελείται από 13 επιμέρους δείκτες, δώδεκα ανεξάρτητους οργανισμούς και συνεντεύξεις εμπειρογνωμόνων και δείχνει τον κίνδυνο διαφθοράς στις διάφορες περιοχές παγκοσμίως.

Εάν εργάζομαι σε μια χώρα ή σε συνεργασία με μια χώρα στην οποία οι κίνδυνοι διαφθοράς αξιολογούνται ως υψηλοί, τότε πρέπει να εγκατασταθούν πιο λεπτομερείς μηχανισμοί ελέγχου από ό,τι σε μια χώρα στην οποία οι κίνδυνοι διαφθοράς είναι χαμηλότεροι και τείνω να πρέπει να ελέγχω λιγότερο. Με άλλα λόγια, η γεωγραφική θέση επηρεάζει τον συγκεκριμένο σχεδιασμό του συστήματος διαχείρισης.

Είναι υποχρεωτική η πιστοποίηση των προτύπων ή αρκεί η εφαρμογή κατάλληλου συστήματος διαχείρισης;

Hans-Jürgen Fengler: Η πιστοποίηση είναι φυσικά προαιρετική. Ωστόσο, μπορεί να βοηθήσει τις εταιρείες να τεκμηριώσουν τις υποχρεώσεις συμμόρφωσής τους και να τις αποδείξουν στα ενδιαφερόμενα μέρη.

Σε ποιο βαθμό μπορούν τα πρότυπα ISO 37001 και ISO 37301 να ενσωματωθούν με άλλα πρότυπα συστημάτων διαχείρισης όπως το ISO 9001;

Hans-Jürgen Fengler: Και τα δύο πρότυπα βασίζονται στη δομή υψηλού επιπέδου (HLS), δηλαδή στην εναρμονισμένη δομή (HS), η οποία χρησιμοποιείται επίσης από άλλα πρότυπα συστημάτων διαχείρισης ISO. Επομένως, η ολοκλήρωση είναι καταρχήν δυνατή.

Ωστόσο, το αν η ενσωμάτωση έχει νόημα εξαρτάται από τον αντίστοιχο οργανισμό και τις συγκεκριμένες απαιτήσεις του.

Είναι επίσης δυνατή η πιστοποίηση μόνο ορισμένων τμημάτων ή δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής των προτύπων;

Hans-Jürgen Fengler: Κατ 'αρχήν, είναι δυνατή η μερική πιστοποίηση. Ωστόσο, αυτό είναι προβληματικό στην περίπτωση ζητημάτων συμμόρφωσης, καθώς οι απαιτήσεις συνήθως επηρεάζουν ολόκληρο τον οργανισμό. Συνεπώς, η πιστοποίηση μεμονωμένων περιοχών θα απαιτούσε τεχνητές οριοθετήσεις που είναι σχεδόν αδύνατο να εφαρμοστούν στην πράξη.

Σας ευχαριστώ πολύ για τα ενδιαφέροντα σχόλιά σας!

Η συνέντευξη πραγματοποιήθηκε από την Constanze Illner.