ISO 37001 versus ISO 37301 - Entrevista com o auditor Hans-Jürgen Fengler

Hans-Jürgen Fengler, muito obrigado por dedicar seu tempo para esta entrevista! Gostaria de conversar com você sobre as diferenças entre as normas ISO 37001 e ISO 37301. Poderia explicar brevemente a que cada uma dessas normas se refere?

Hans-Jürgen Fengler: Com prazer. Ambas as normas tratam da implementação de sistemas de gestão para garantir a conformidade com leis e regulamentos. A ISO 37001 foca especificamente em anticorrupção. Ela fornece um framework para identificar, avaliar e eliminar riscos de corrupção, enquanto a ISO 37301 adota uma abordagem mais abrangente e cobre todas as obrigações de compliance de uma organização. Isso inclui leis, regulamentos e também compromissos voluntários, como o Pacto Global ou o Código B.A.U.M.

E como funciona a introdução de um sistema de gestão como o descrito na ISO 37301?

Hans-Jürgen Fengler: De acordo com a ISO 37301, uma organização deve definir um processo no qual os maiores riscos de compliance sejam identificados. Em seguida, é realizada uma avaliação de riscos para determinar onde são necessárias medidas, políticas, etc. O mesmo deve ser feito para a ISO 37001, mas apenas no tema de corrupção. O sistema é regularmente revisado e continuamente melhorado para garantir sua eficácia. No final, pode-se buscar a certificação por um organismo acreditado. Então, um auditor como eu analisa o sistema de gestão e verifica o potencial de otimização. O ponto-chave é desenvolver um sistema de gestão de compliance personalizado que atenda aos requisitos e riscos específicos da organização e que seja continuamente melhorado.

Em outras palavras, se a gestão de compliance mostra que a corrupção é um problema grave, então tenho que recorrer à ISO 37001?

Hans-Jürgen Fengler: Sim, você pode fazer isso. A ISO 37001 trata exclusivamente de corrupção. Isso significa que, se a corrupção for o risco de compliance mais relevante, você pode se concentrar na ISO 37001. No entanto, se a corrupção não for o tema mais relevante, faz mais sentido implementar o sistema de gestão de compliance. Também é possível usar o conteúdo da ISO 37001 para otimizar o sistema de gestão de compliance em relação à anticorrupção, melhorando e concretizando o sistema de gestão como um todo. Ao decidir entre ISO 37301 e ISO 37001, sempre surge a questão: O que quero demonstrar às minhas partes interessadas? Quais são os requisitos delas? E o que faz sentido para mim como organização? Além disso, há países onde um sistema de gestão anticorrupção em conformidade com a ISO 37001 também é exigido por lei para determinados setores, como na indústria da construção na Itália ou para empresas de capital aberto na bolsa de valores francesa. Nesses casos, a questão não se coloca, e a certificação ISO 37001 é obrigatória.

O número 37301 vem depois de 37001. Do que se trata essa designação?

Hans-Jürgen Fengler: A ISO 37001 foi publicada em 2016, enquanto a ISO 37301 só entrou em vigor em 2021. A norma predecessora da ISO 37301, a ISO 19600, era apenas um guia e não continha requisitos específicos, nem permitia a emissão de certificados acreditados. Como a ISO 37001 já tinha o número 37001, foi escolhido o número 37301 para a nova norma mais abrangente. Tudo o que é publicado pela ISO na área de sistemas de gestão de compliance pode ser encontrado na série 37000. E é por isso que a ISO 37301 também foi classificada aqui.

Quão adequadas são a ISO 37001 e a ISO 37301 para organizações de diferentes tamanhos, setores e localizações geográficas?

Hans-Jürgen Fengler: Basicamente, todas as normas de sistemas de gestão da ISO são adequadas para organizações de diferentes tamanhos, setores e localizações geográficas. A ISO 37001 e a ISO 37301 não são exceções. O Capítulo 4, "Contexto da organização", especifica quais requisitos específicos da empresa estão associados ao sistema de gestão em detalhe e o que precisa ser considerado. Em uma grande organização, há mais requisitos do que em uma pequena organização. Claro, isso tem uma forte influência nos requisitos de compliance que precisam ser considerados especificamente.

Um fator importante em termos de localização geográfica é que o risco de corrupção é maior em alguns países do que em outros. A Transparency International fornece o Índice de Percepção da Corrupção (CPI). Este é composto por 13 índices individuais, doze instituições independentes e entrevistas com especialistas, indicando o risco de corrupção nas diversas regiões do mundo.

Se eu trabalho em um país ou em cooperação com um país onde os riscos de corrupção são classificados como altos, então mecanismos de controle mais detalhados precisam ser instalados do que em um país onde os riscos de corrupção são menores e eu provavelmente precisarei verificar menos. Em outras palavras, a localização geográfica influencia o design específico do sistema de gestão.

É obrigatório ter as normas certificadas ou basta implementar um sistema de gestão adequado?

Hans-Jürgen Fengler: A certificação é, claro, opcional. No entanto, ela pode ajudar as empresas a documentar suas obrigações de conformidade e prová-las para as partes interessadas. A certificação é, naturalmente, opcional. No entanto, pode ajudar as empresas a documentar suas obrigações de compliance e comprová-las às partes interessadas.

Até que ponto as normas ISO 37001 e ISO 37301 podem ser integradas com outras normas de sistemas de gestão, como a ISO 9001?

Hans-Jürgen Fengler: Ambas as normas são baseadas na Estrutura de Alto Nível (HLS), ou Estrutura Harmonizada (HS), que também é usada por outras normas de sistemas de gestão da ISO. A integração é, portanto, possível em princípio.

No entanto, se a integração faz sentido depende da respectiva organização e de seus requisitos específicos.

Também é possível certificar apenas determinadas partes ou atividades dentro do escopo das normas?

Hans-Jürgen Fengler: Em princípio, a certificação parcial é possível. No entanto, isso é problemático no caso de questões de compliance, pois os requisitos geralmente afetam toda a organização. A certificação de áreas individuais exigiria, portanto, demarcações artificiais que são quase impossíveis de implementar na prática.

Muito obrigado pelos seus comentários interessantes!

A entrevista foi conduzida por Constanze Illner.