Moet ik een anticorruptiebeheersysteem of een nalevingsbeheersysteem implementeren? Wat zijn de verschillen tussen de twee normen en hoe kun je bepalen welke norm het meest geschikt is voor welk bedrijf? We praten met Hans-Jürgen Fengler over deze en andere vragen. Hij is auditor voor zowel ISO 37001 als ISO 37301 en daarom precies de juiste persoon om mee te praten.
Hans-Jürgen Fengler, hartelijk dank om de tijd te nemen voor dit interview! Ik wil het graag met je hebben over de verschillen tussen de ISO 37001 en ISO 37301 normen. Kunt u mij in het kort uitleggen waar elk van deze normen naar verwijst?
Hans-Jürgen Fengler: Met plezier. Beide normen gaan over de implementatie van managementsystemen om naleving van wet- en regelgeving te waarborgen. ISO 37001 richt zich specifiek op anticorruptie. Het biedt een kader voor het identificeren, beoordelen en elimineren van corruptierisico's, terwijl ISO 37301 een meer omvattende aanpak heeft en alle nalevingsverplichtingen van een organisatie omvat. Dit omvat wetten, voorschriften, maar ook vrijwillige verbintenissen zoals het Global Compact of de B.A.U.M.-code.
En hoe werkt de invoering van een dergelijk managementsysteem zoals beschreven in ISO 37301?
Hans-Jürgen Fengler: Volgens ISO 37301 moet een organisatie een proces definiëren waarin de grootste nalevingsrisico's worden geïdentificeerd. Vervolgens wordt een risicobeoordeling uitgevoerd om te bepalen waar maatregelen, beleid enz. nodig zijn. Hetzelfde moet worden gedaan voor ISO 37001, alleen voor het onderwerp corruptie. Het systeem wordt regelmatig herzien en voortdurend verbeterd om de doeltreffendheid ervan te garanderen. Uiteindelijk kan certificering door een geaccrediteerde instantie worden aangevraagd. Dan komt een auditor zoals ik langs om het managementsysteem te analyseren en te controleren op optimalisatiemogelijkheden. De sleutel is het ontwikkelen van een op maat gemaakt compliance managementsysteem dat voldoet aan de specifieke vereisten en risico's van de organisatie en dat voortdurend wordt verbeterd.
Met andere woorden, als compliance management aantoont dat corruptie een groot probleem is, dan moet ik me wenden tot ISO 37001?
Hans-Jürgen Fengler: Ja, dat kunt u doen. ISO 37001 gaat over corruptie. Dit betekent dat als corruptie het meest relevante nalevingsrisico is, je je kunt concentreren op ISO 37001. Als corruptie echter niet het meest relevante onderwerp is, dan is het zinvoller om het nalevingsbeheersysteem te introduceren. Het is ook mogelijk om de inhoud van ISO 37001 te gebruiken om het compliance managementsysteem te optimaliseren met betrekking tot anticorruptie en zo het managementsysteem als geheel te verbeteren en te concretiseren. Bij de keuze tussen ISO 37301 en ISO 37001 rijst altijd de vraag: Wat wil ik laten zien aan mijn belanghebbende partijen, wat zijn hun eisen? En wat is logisch voor mij als organisatie? Daarnaast zijn er landen waar een anticorruptiemanagementsysteem volgens ISO 37001 ook wettelijk verplicht is voor bepaalde sectoren, bijvoorbeeld in de bouwsector in Italië of voor naamloze vennootschappen op de Franse beurs. In deze gevallen is de vraag niet aan de orde en is ISO 37001-certificering verplicht.
Het nummer 37301 komt na 37001. Wat houdt deze aanduiding in?
Hans-Jürgen Fengler: ISO 37001 werd al in 2016 gepubliceerd, terwijl ISO 37301 pas in 2021 van kracht werd. De voorloper van ISO 37301, ISO 19600, was alleen bedoeld als richtlijn en bevatte geen specifieke vereisten, noch kon er een geaccrediteerd certificaat worden afgegeven. Aangezien ISO 37001 al het nummer 37001 droeg, werd het nummer 37301 gekozen voor de nieuwe, uitgebreidere norm. Alles wat ISO publiceert op het gebied van compliance managementsystemen is terug te vinden in de 37000-serie. En daarom is ISO 37301 hier ook ingedeeld.
Hoe geschikt zijn ISO 37001 en ISO 37301 voor organisaties van verschillende grootte, industrieën en geografische locaties?
Hans-Jürgen Fengler: In principe zijn alle ISO-managementsysteemnormen geschikt voor alle organisaties van verschillende grootte, industrieën en geografische locaties. ISO 37001 en ISO 37301 vormen hierop geen uitzondering. Hoofdstuk 4 "Context van de organisatie" specificeert welke bedrijfsspecifieke eisen in detail zijn gekoppeld aan het managementsysteem en waar rekening mee moet worden gehouden. In een grote organisatie zijn er meer eisen dan in een kleine organisatie. Dit alles heeft natuurlijk een sterke invloed op de nalevingseisen waar specifiek rekening mee moet worden gehouden.
Een belangrijke factor in termen van geografische ligging is dat het risico op corruptie in sommige landen groter is dan in andere. Transparency International biedt de Corruption Perception Index (CPI) aan. Deze bestaat uit 13 individuele indexen, twaalf onafhankelijke instellingen en interviews met experts en geeft het risico op corruptie in de verschillende regio's wereldwijd aan.
Als ik werk in een land of in samenwerking met een land waar de corruptierisico's als hoog worden beoordeeld, dan moeten er meer gedetailleerde controlemechanismen worden geïnstalleerd dan in een land waar de corruptierisico's lager zijn en ik geneigd ben minder te hoeven controleren. Met andere woorden, de geografische locatie heeft invloed op het specifieke ontwerp van het managementsysteem.
Is het verplicht om de normen gecertificeerd te hebben of is het voldoende om een geschikt managementsysteem te implementeren?
Hans-Jürgen Fengler: Certificering is natuurlijk optioneel. Het kan bedrijven echter helpen om hun nalevingsverplichtingen te documenteren en te bewijzen aan belanghebbenden.
In hoeverre kunnen de normen ISO 37001 en ISO 37301 worden geïntegreerd met andere beheersysteemnormen zoals ISO 9001?
Hans-Jürgen Fengler: Beide normen zijn gebaseerd op de High-Level Structure (HLS), resp. Harmonized Structure (HS) die ook wordt gebruikt door andere ISO managementsysteemnormen. Integratie is daarom in principe mogelijk.
Of integratie zinvol is, hangt echter af van de betreffende organisatie en haar specifieke eisen.
Is het ook mogelijk om alleen bepaalde onderdelen of activiteiten binnen het bereik van de normen te certificeren?
Hans-Jürgen Fengler: In principe is gedeeltelijke certificering mogelijk. Dit is echter problematisch in het geval van nalevingskwesties, omdat de eisen meestal van invloed zijn op de hele organisatie. Certificering van individuele gebieden zou daarom kunstmatige afbakeningen vereisen die in de praktijk bijna onmogelijk te implementeren zijn.
Hartelijk dank voor uw interessante opmerkingen!
Het interview werd afgenomen door Constanze Illner.
DQS-nieuwsbrief
Blijf op de hoogte en abonneer u op onze nieuwsbrief!
