ISO 37001 ile ISO 37301 karşılaştırması - Denetçi Hans-Jürgen Fengler ile Röportaj

Hans-Jürgen Fengler, bu röportaja zaman ayırdığınız için çok teşekkür ederim! Sizinle ISO 37001 ve ISO 37301 standartları arasındaki farklar hakkında konuşmak istiyorum. Lütfen bana bu standartların her birinin neyi ifade ettiğini kısaca açıklayabilir misiniz?

Hans-Jürgen Fengler: Memnuniyetle. Her iki standart da yasa ve yönetmeliklere uygunluğun sağlanması için yönetim sistemlerinin uygulanmasıyla ilgilidir. ISO 37001 özellikle yolsuzlukla mücadele konusuna odaklanmaktadır. Yolsuzluk risklerinin belirlenmesi, değerlendirilmesi ve ortadan kaldırılması için bir çerçeve sağlarken, ISO 37301 daha kapsamlı bir yaklaşım benimser ve bir kuruluşun tüm uyum yükümlülüklerini kapsar. Buna yasalar ve yönetmeliklerin yanı sıra Küresel İlkeler Sözleşmesi veya B.A.U.M. Kodu gibi gönüllü taahhütler de dahildir.

Peki ISO 37301'de tanımlandığı gibi böyle bir yönetim sisteminin uygulamaya konulması nasıl işliyor?

Hans-Jürgen Fengler: ISO 37301'e göre, bir kuruluş en büyük uyum risklerinin belirlendiği bir süreç tanımlamalıdır. Daha sonra hangi önlemlerin, politikaların vs. gerekli olduğunu belirlemek için bir risk değerlendirmesi yapılır. Aynı şey ISO 37001 için sadece yolsuzluk konusu için yapılmalıdır. Sistem düzenli olarak gözden geçirilir ve etkinliğini sağlamak için sürekli olarak iyileştirilir. Sonunda, akredite bir kuruluş tarafından belgelendirme istenebilir. Ardından benim gibi bir denetçi yönetim sistemini analiz etmek ve optimizasyon potansiyelini kontrol etmek için gelir. Önemli olan, kuruluşun özel gereksinimlerini ve risklerini karşılayan ve sürekli olarak iyileştirilen, kişiye özel bir uyum yönetim sistemi geliştirmektir.

Başka bir deyişle, uyum yönetimi yolsuzluğun önemli bir sorun olduğunu gösteriyorsa, o zaman ISO 37001'e mi dönmeliyim?

Hans-Jürgen Fengler: Evet, bunu yapabilirsiniz. ISO 37001 tamamen yolsuzlukla ilgilidir. Bu, yolsuzluk en önemli uyum riski ise ISO 37001'e odaklanabileceğiniz anlamına gelir. Ancak, yolsuzluk en alakalı konu değilse, o zaman uyum yönetim sistemini tanıtmak daha mantıklıdır. Uyum yönetim sistemini yolsuzlukla mücadele açısından optimize etmek ve böylece yönetim sistemini bir bütün olarak iyileştirmek ve somutlaştırmak için ISO 37001'in içeriğini kullanmak da mümkündür. ISO 37301 ve ISO 37001 arasında karar verirken her zaman şu soru ortaya çıkar: İlgili taraflarıma ne göstermek istiyorum, onların gereksinimleri nelerdir? Ve bir kuruluş olarak benim için hangisi mantıklı? Ayrıca, İtalya'daki inşaat sektörü veya Fransız borsasındaki halka açık limited şirketler gibi belirli sektörler için ISO 37001'e uygun bir yolsuzlukla mücadele yönetim sisteminin kanunen gerekli olduğu ülkeler de vardır. Bu durumlarda, soru ortaya çıkmaz ve ISO 37001 sertifikası zorunludur.

37001'den sonra 37301 numarası gelir. Bu tanımlama ne anlama geliyor?

Hans-Jürgen Fengler: ISO 37001 2016 yılında yayınlanmıştı, ISO 37301 ise ancak 2021 yılında yürürlüğe girdi. ISO 37301'den önceki standart olan ISO 19600 yalnızca bir kılavuz olarak tasarlanmıştı ve herhangi bir özel gereklilik içermiyordu, ayrıca akredite bir sertifika da verilemiyordu. ISO 37001 zaten 37001 numarasını taşıdığından, yeni ve daha kapsamlı standart için 37301 numarası seçilmiştir. ISO tarafından uygunluk yönetim sistemleri alanında yayınlanan her şey 37000 serisinde bulunabilir. İşte bu yüzden ISO 37301 de burada sınıflandırılmıştır.

ISO 37001 ve ISO 37301 farklı büyüklükteki, sektörlerdeki ve coğrafi konumlardaki kuruluşlar için ne kadar uygundur?

Hans-Jürgen Fengler: Temel olarak, tüm ISO yönetim sistemi standartları farklı büyüklükteki, sektördeki ve coğrafi konumdaki tüm kuruluşlar için uygundur. ISO 37001 ve ISO 37301 de istisna değildir. Bölüm 4 "Kuruluşun Bağlamı", hangi şirkete özgü gereksinimlerin yönetim sistemiyle ayrıntılı olarak ilişkilendirildiğini ve nelerin dikkate alınması gerektiğini belirtir. Büyük bir kuruluşta, küçük bir kuruluşa göre daha fazla gereklilik vardır. Elbette tüm bunlar, özellikle dikkate alınması gereken uyum gereklilikleri üzerinde güçlü bir etkiye sahiptir.

Coğrafi konum açısından önemli bir faktör de yolsuzluk riskinin bazı ülkelerde diğerlerine göre daha yüksek olmasıdır. Uluslararası Şeffaflık Örgütü Yolsuzluk Algı Endeksini (CPI) sağlamaktadır. Bu endeks 13 ayrı endeksten, on iki bağımsız kurumdan ve uzman görüşmelerinden oluşmakta ve dünyanın çeşitli bölgelerindeki yolsuzluk riskini göstermektedir.

Eğer yolsuzluk riskinin yüksek olduğu bir ülkede ya da bir ülkeyle işbirliği içinde çalışıyorsam, yolsuzluk riskinin daha düşük olduğu ve daha az kontrol etmem gereken bir ülkeye kıyasla daha detaylı kontrol mekanizmaları kurmam gerekir. Başka bir deyişle, coğrafi konumun yönetim sisteminin özel tasarımı üzerinde bir etkisi vardır.

Standartların belgelendirilmesi zorunlu mu yoksa uygun bir yönetim sisteminin uygulanması yeterli mi?

Hans-Jürgen Fengler: Belgelendirme elbette isteğe bağlıdır. Ancak şirketlerin uyum yükümlülüklerini belgelemelerine ve paydaşlara kanıtlamalarına yardımcı olabilir.

ISO 37001 ve ISO 37301 standartları ISO 9001 gibi diğer yönetim sistemi standartlarıyla ne ölçüde entegre edilebilir?

Hans-Jürgen Fengler: Her iki standart da diğer ISO yönetim sistemi standartları tarafından da kullanılan Yüksek Seviyeli Yapıya (HLS), yani Uyumlaştırılmış Yapıya (HS) dayanmaktadır. Bu nedenle prensipte entegrasyon mümkündür.

Ancak entegrasyonun mantıklı olup olmadığı ilgili kuruluşa ve özel gereksinimlerine bağlıdır.

Standartlar kapsamında sadece belirli bölümleri veya faaliyetleri belgelendirmek de mümkün müdür?

Hans-Jürgen Fengler: Prensip olarak kısmi belgelendirme mümkündür. Ancak, gereklilikler genellikle tüm kuruluşu etkilediğinden, uyumluluk sorunları söz konusu olduğunda bu sorunlu bir durumdur. Bu nedenle münferit alanların belgelendirilmesi, pratikte uygulanması neredeyse imkansız olan yapay sınırlamalar gerektirecektir.

İlginç yorumlarınız için çok teşekkür ederim!

Röportaj Constanze Illner tarafından gerçekleştirilmiştir.