Devo implementar um sistema de gestão anticorrupção ou um sistema de gestão de conformidades? Quais são as diferenças entre as duas normas e como é que se pode determinar qual a norma mais adequada para cada empresa? Falámos com Hans-Jürgen Fengler sobre estas e outras questões. Este é auditor ISO 37001 e ISO 37301 e, como tal, é precisamente a pessoa certa para falar sobre este assunto.
Hans-Jürgen Fengler, muito obrigado por ter disponibilizado o seu tempo para esta entrevista! Gostaria de falar consigo sobre as diferenças entre as normas ISO 37001 e ISO 37301. Pode explicar-me brevemente a que se refere cada uma destas normas?
Hans-Jürgen Fengler: Com todo o prazer. Ambas as normas tratam da implementação de sistemas de gestão para garantir a conformidade com leis e regulamentos. A ISO 37001 centra-se especificamente na luta contra a corrupção. Fornece um quadro para a identificação, avaliação e eliminação dos riscos de corrupção, enquanto a ISO 37301 adopta uma abordagem mais abrangente e cobre todas as obrigações de conformidade de uma organização. Isto inclui leis, regulamentos, mas também compromissos voluntários como o Global Compact ou o Código B.A.U.M.
E como é que a introdução de um sistema de gestão como o descrito na ISO 37301 funciona?
Hans-Jürgen Fengler: De acordo com a ISO 37301, uma organização tem de definir um processo no qual são identificados os maiores riscos de conformidade. Em seguida, é efectuada uma avaliação de riscos para determinar onde são necessárias medidas, políticas, etc. O mesmo deve ser feito para a ISO 37001 apenas para o tópico da corrupção. O sistema é regularmente revisto e continuamente melhorado para garantir a sua eficácia. No final, pode procurar-se a certificação por um organismo acreditado. Depois, aparece um auditor como eu para analisar o sistema de gestão e verificar o potencial de otimização. A chave é desenvolver um sistema de gestão da conformidade feito à medida, que responda aos requisitos e riscos específicos da organização e que seja continuamente melhorado.
Por outras palavras, se a gestão da conformidade mostrar que a corrupção é um problema importante, então tenho de recorrer à ISO 37001?
Hans-Jürgen Fengler: Sim, pode fazer isso. A ISO 37001 tem tudo a ver com a corrupção. Isto significa que se a corrupção for o risco de conformidade mais relevante, então pode concentrar-se na ISO 37001. No entanto, se a corrupção não for o tópico mais relevante, então faz mais sentido introduzir o sistema de gestão da conformidade. Também é possível utilizar os conteúdos da ISO 37001 para otimizar o sistema de gestão da conformidade no que diz respeito à anticorrupção e, assim, melhorar e concretizar o sistema de gestão como um todo. Ao decidir entre a ISO 37301 e a ISO 37001, surge sempre a questão: O que é que eu quero demonstrar às minhas partes interessadas, quais são os seus requisitos? E o que faz sentido para mim enquanto organização? Além disso, há países onde um sistema de gestão anticorrupção em conformidade com a norma ISO 37001 também é exigido por lei para determinados sectores, por exemplo, na indústria da construção em Itália ou para as sociedades anónimas na bolsa de valores francesa. Nestes casos, a questão não se coloca e a certificação ISO 37001 é obrigatória.
O número 37301 vem depois do 37001. De que se trata esta designação?
Hans-Jürgen Fengler: A ISO 37001 já foi publicada em 2016, enquanto a ISO 37301 só entrou em vigor em 2021. A norma antecessora da ISO 37301, a ISO 19600, foi concebida apenas como uma diretriz e não continha quaisquer requisitos específicos, nem podia ser emitido um certificado acreditado. Como a ISO 37001 já tinha o número 37001, foi escolhido o número 37301 para a nova norma, mais abrangente. Tudo o que foi publicado pela ISO no domínio dos sistemas de gestão da conformidade pode ser encontrado na série 37000. E é por isso que a ISO 37301 também foi classificada aqui.
Quão adequadas são as normas ISO 37001 e ISO 37301 para organizações de diferentes dimensões, sectores e localizações geográficas?
Hans-Jürgen Fengler: Basicamente, todas as normas de sistemas de gestão ISO são adequadas a todas as organizações de diferentes dimensões, indústrias e localizações geográficas. A ISO 37001 e a ISO 37301 não são excepções. O capítulo 4 "Contexto da organização" especifica quais os requisitos específicos da empresa que estão associados ao sistema de gestão em pormenor e o que tem de ser tido em conta. Numa grande organização, existem mais requisitos do que numa pequena organização. Naturalmente, tudo isto tem uma forte influência nos requisitos de conformidade que têm de ser considerados especificamente.
Um fator importante em termos de localização geográfica é o facto de o risco de corrupção ser mais elevado em alguns países do que noutros. A Transparency International fornece o Índice de Perceção da Corrupção (IPC). Este é composto por 13 índices individuais, doze instituições independentes e entrevistas a peritos e indica o risco de corrupção nas várias regiões do mundo.
Se trabalho num país ou em cooperação com um país em que os riscos de corrupção são classificados como elevados, então é necessário instalar mecanismos de controlo mais pormenorizados do que num país em que os riscos de corrupção são mais baixos e em que tenho tendência a ter de verificar menos. Por outras palavras, a localização geográfica tem influência na conceção específica do sistema de gestão.
É obrigatório ter as normas certificadas ou é suficiente implementar um sistema de gestão adequado?
Hans-Jürgen Fengler: A certificação é, obviamente, opcional. No entanto, pode ajudar as empresas a documentar as suas obrigações de conformidade e a comprová-las perante as partes interessadas.
Em que medida podem as normas ISO 37001 e ISO 37301 ser integradas noutras normas de sistemas de gestão, como a ISO 9001?
Hans-Jürgen Fengler: Ambas as normas se baseiam na Estrutura de Alto Nível (HLS), ou seja, na Estrutura Harmonizada (HS), que também é utilizada por outras normas de sistemas de gestão ISO. Por conseguinte, a integração é, em princípio, possível.
No entanto, se a integração faz sentido depende da respectiva organização e dos seus requisitos específicos.
Também é possível certificar apenas determinadas partes ou actividades no âmbito das normas?
Hans-Jürgen Fengler: Em princípio, a certificação parcial é possível. No entanto, isto é problemático no caso de questões de conformidade, uma vez que os requisitos afectam normalmente toda a organização. A certificação de áreas individuais exigiria, portanto, demarcações artificiais que são quase impossíveis de implementar na prática.
Muito obrigado pelos seus comentários interessantes!
A entrevista foi conduzida por Constanze Illner.