ISO 37001 與 ISO 37301 - 審計員 Hans-Jürgen Fengler 訪談

漢斯-於爾根·馮格勒，非常感謝您抽出時間接受這次採訪！我想和您談談ISO 37001和ISO 37301標準之間的差異。您能否簡單解釋一下這兩個標準分別指的是什麼？

漢斯-於爾根·馮格勒：樂意效勞。這兩個標準都涉及管理體系的實施，以確保遵守法律法規。 ISO 37001 特別關注反腐敗，它提供了一個識別、評估和消除腐敗風險的框架；而 ISO 37301 則採取更全面的方法，涵蓋組織的所有合規義務，包括法律法規以及自願性承諾，例如《全球契約》或《鮑姆守則》。

那麼，要如何引進ISO 37301中所描述的這種管理系統呢？

漢斯-於爾根·馮格勒：根據 ISO 37301 標準，組織必須制定一套流程來識別最大的合規風險。隨後進行風險評估，以確定需要採取哪些措施、政策等。 ISO 37001 標準也要求對貪腐問題進行類似的評估。該體係需定期審查並持續改進，以確保其有效性。最終，組織可以向認可機構申請認證。之後，像我這樣的審核員將對管理系統進行分析，並檢視其優化潛力。關鍵在於開發一套量身定制的合規管理體系，以滿足組織的特定要求和風險，並持續改進。

換句話說，如果合規管理顯示腐敗是一個主要問題，那麼我就必須求助於 ISO 37001 嗎？

漢斯-於爾根·馮格勒：是的，您可以這樣做。 ISO 37001 的核心是反腐敗。這意味著，如果腐敗是最相關的合規風險，那麼您可以專注於 ISO 37001。但是，如果腐敗並非最相關的問題，那麼引入合規管理系統則更為合理。您也可以利用 ISO 37001 的內容來優化合規管理系統中的反腐敗措施，從而改善並完善整個管理系統。在 ISO 37301 和 ISO 37001 之間進行選擇時，總是會面臨這樣的問題：我想向利害關係人展示什麼？他們的要求是什麼？以及對我的組織而言，哪一種方案比較有意義？此外，在某些國家/地區，法律也要求特定產業（例如義大利的建築業或法國證券交易所的上市公司）必須建立符合 ISO 37001 標準的反貪腐管理系統。在這些情況下，無需考慮其他因素，ISO 37001 認證是強制性的。

37301 這個數字出現在 37001 之後。這個編號代表什麼意思呢？

漢斯-於爾根·馮格勒： ISO 37001 於 2016 年發布，而 ISO 37301 則於 2021 年才生效。 ISO 37301 的前身標準 ISO 19600 僅作為指導原則，不包含任何特定要求，也無法頒發認可證書。由於 ISO 37001 已使用編號 37001，因此新的、更全面的標準選擇了編號 37301。 ISO 在合規性管理系統領域發布的所有標準都屬於 37000 系列。因此，ISO 37301 也被歸入該系列。

ISO 37001 和 ISO 37301 對不同規模、產業和地理位置的組織有多適用？

漢斯-於爾根·馮格勒：基本上，所有ISO管理系統標準都適用於不同規模、產業和地理位置的組織。 ISO 37001和ISO 37301也不例外。第四章「組織環境」詳細規定了與管理體系相關的公司特定要求以及需要考慮的因素。大型組織的要求比小型組織更多。當然，所有這些都會對具體需要考慮的合規性要求產生重大影響。

地理位置的一個重要因素是，某些國家的腐敗風險高於其他國家。透明國際組織提供…腐敗感知指數（CPI）該報告由 13 個獨立指標、12 個獨立機構和專家訪談組成，反映了世界各地不同地區的腐敗風險。

如果我在一個腐敗風險較高的國家工作或與該國合作，那麼就需要建立比在腐敗風險較低的國家更細緻的控制機制，而腐敗風險較低的國家則往往需要較少的檢查。換句話說，地理位置會影響管理體系的具體設計。

是否必須對相關標準進行認證，還是實施適當的管理系統就足夠了？

漢斯-於爾根·馮格勒：認證當然是可選的。但是，它可以幫助公司記錄其合規義務，並向利害關係人證明這一點。

ISO 37001 和 ISO 37301 標準在多大程度上可以與其他管理系統標準（如 ISO 9001）結合？

漢斯-於爾根·馮格勒：這兩個標準分別基於高階結構（HLS）和協調結構（HS），其他ISO管理系統標準也採用這兩種結構。因此，原則上可以進行整合。

然而，整合是否有意義取決於特定組織及其具體需求。

是否也可以只對標準範圍內的某些部分或活動進行認證？

漢斯-於爾根·馮格勒：原則上，部分認證是可行的。然而，在合規性問題上，這會造成問題，因為相關要求通常會影響整個組織。因此，對個別領域進行認證需要人為地劃定界限，這在實踐中幾乎不可能實現。

非常感謝您的精彩評論！

本次訪談由康斯坦茲·伊爾納進行。