ISO 37001 kontra ISO 37301 - Wywiad z audytorem Hansem-Jürgenem Fenglerem

Hans-Jürgen Fengler, bardzo dziękuję za poświęcenie czasu na ten wywiad! Chciałbym porozmawiać o różnicach między normami ISO 37001 i ISO 37301. Czy mógłbyś pokrótce wyjaśnić mi, do czego odnosi się każda z tych norm?

Hans-Jürgen Fengler: Z przyjemnością. Obie normy dotyczą wdrażania systemów zarządzania w celu zapewnienia zgodności z prawem i przepisami. ISO 37001 koncentruje się w szczególności na przeciwdziałaniu korupcji. Zapewnia ramy dla identyfikacji, oceny i eliminacji ryzyka korupcji, podczas gdy ISO 37301 przyjmuje bardziej kompleksowe podejście i obejmuje wszystkie zobowiązania organizacji w zakresie zgodności. Obejmuje to przepisy prawa, regulacje, ale także dobrowolne zobowiązania, takie jak Global Compact lub Kodeks B.A.U.M..

Jak działa wprowadzenie takiego systemu zarządzania opisanego w normie ISO 37301?

Hans-Jürgen Fengler: Zgodnie z normą ISO 37301, organizacja musi zdefiniować proces, w ramach którego identyfikowane są największe ryzyka związane ze zgodnością z przepisami. Następnie przeprowadzana jest ocena ryzyka w celu określenia, gdzie konieczne są środki, polityki itp. To samo należy zrobić w przypadku ISO 37001 tylko dla tematu korupcji. System jest regularnie przeglądany i stale ulepszany w celu zapewnienia jego skuteczności. Ostatecznie można ubiegać się o certyfikację przez akredytowany organ. Następnie pojawia się audytor, taki jak ja, który analizuje system zarządzania i sprawdza potencjał optymalizacji. Kluczem jest opracowanie dostosowanego do potrzeb systemu zarządzania zgodnością, który spełnia określone wymagania i ryzyko organizacji oraz jest stale ulepszany.

Innymi słowy, jeśli zarządzanie zgodnością pokazuje, że korupcja jest poważnym problemem, to muszę zwrócić się do ISO 37001?

Hans-Jürgen Fengler: Tak, możesz to zrobić. ISO 37001 dotyczy korupcji. Oznacza to, że jeśli korupcja jest najistotniejszym ryzykiem w zakresie zgodności, można skoncentrować się na normie ISO 37001. Jeśli jednak korupcja nie jest najistotniejszym tematem, bardziej sensowne jest wprowadzenie systemu zarządzania zgodnością. Możliwe jest również wykorzystanie treści ISO 37001 w celu optymalizacji systemu zarządzania zgodnością w odniesieniu do przeciwdziałania korupcji, a tym samym ulepszenia i konkretyzacji systemu zarządzania jako całości. Przy podejmowaniu decyzji między ISO 37301 a ISO 37001 zawsze pojawia się pytanie: Co chcę zademonstrować moim zainteresowanym stronom, jakie są ich wymagania? I co ma sens dla mnie jako organizacji? Ponadto istnieją kraje, w których system zarządzania antykorupcyjnego zgodny z ISO 37001 jest również wymagany przez prawo dla niektórych sektorów, na przykład w branży budowlanej we Włoszech lub dla spółek akcyjnych na francuskiej giełdzie. W tych przypadkach pytanie nie pojawia się, a certyfikacja ISO 37001 jest obowiązkowa.

Po numerze 37001 pojawia się numer 37301. O co chodzi z tym oznaczeniem?

Hans-Jürgen Fengler: Norma ISO 37001 została opublikowana już w 2016 roku, natomiast ISO 37301 weszła w życie dopiero w 2021 roku. Poprzednia norma ISO 37301, ISO 19600, została zaprojektowana jedynie jako wytyczne i nie zawierała żadnych konkretnych wymagań, ani nie można było wydać akredytowanego certyfikatu. Ponieważ norma ISO 37001 nosiła już numer 37001, dla nowego, bardziej kompleksowego standardu wybrano numer 37301. Wszystko, co zostało opublikowane przez ISO w obszarze systemów zarządzania zgodnością, można znaleźć w serii 37000. Dlatego też norma ISO 37301 również została do niej zaklasyfikowana.

W jakim stopniu normy ISO 37001 i ISO 37301 są odpowiednie dla organizacji różnej wielkości, z różnych branż i o różnym położeniu geograficznym?

Hans-Jürgen Fengler: Zasadniczo wszystkie standardy systemów zarządzania ISO są odpowiednie dla wszystkich organizacji o różnych rozmiarach, branżach i lokalizacjach geograficznych. ISO 37001 i ISO 37301 nie stanowią wyjątku. Rozdział 4 "Kontekst organizacji" określa, które wymagania specyficzne dla firmy są szczegółowo związane z systemem zarządzania i co należy wziąć pod uwagę. W dużej organizacji jest więcej wymagań niż w małej. Oczywiście wszystko to ma silny wpływ na wymagania dotyczące zgodności, które należy wziąć pod uwagę w szczególności.

Ważnym czynnikiem pod względem lokalizacji geograficznej jest to, że ryzyko korupcji jest wyższe w niektórych krajach niż w innych. Transparency International udostępnia Indeks Percepcji Korupcji (CPI). Składa się on z 13 indywidualnych indeksów, dwunastu niezależnych instytucji i wywiadów z ekspertami i wskazuje ryzyko korupcji w różnych regionach świata.

Jeśli pracuję w kraju lub we współpracy z krajem, w którym ryzyko korupcji jest oceniane jako wysokie, wówczas należy zainstalować bardziej szczegółowe mechanizmy kontroli niż w kraju, w którym ryzyko korupcji jest niższe i zwykle muszę sprawdzać mniej. Innymi słowy, położenie geograficzne ma wpływ na konkretny projekt systemu zarządzania.

Czy posiadanie certyfikatu zgodności z normami jest obowiązkowe, czy wystarczy wdrożyć odpowiedni system zarządzania?

Hans-Jürgen Fengler: Certyfikacja jest oczywiście opcjonalna. Może jednak pomóc firmom w udokumentowaniu ich zobowiązań w zakresie zgodności i udowodnieniu ich interesariuszom.

W jakim stopniu normy ISO 37001 i ISO 37301 mogą być zintegrowane z innymi standardami systemów zarządzania, takimi jak ISO 9001?

Hans-Jürgen Fengler: Oba standardy opierają się na High-Level Structure (HLS), odpowiednio Harmonized Structure (HS), która jest również wykorzystywana przez inne standardy systemów zarządzania ISO. Integracja jest zatem zasadniczo możliwa.

Jednak to, czy integracja ma sens, zależy od danej organizacji i jej specyficznych wymagań.

Czy możliwe jest również certyfikowanie tylko niektórych części lub działań w zakresie norm?

Hans-Jürgen Fengler: Zasadniczo możliwa jest częściowa certyfikacja. Jest to jednak problematyczne w przypadku kwestii zgodności, ponieważ wymagania zazwyczaj dotyczą całej organizacji. Certyfikacja poszczególnych obszarów wymagałaby zatem sztucznych rozgraniczeń, które są prawie niemożliwe do wdrożenia w praktyce.

Bardzo dziękujemy za interesujące komentarze!

Wywiad został przeprowadzony przez Constanze Illner.