ISO 37001 та ISO 37301 - інтерв'ю з аудитором Гансом-Юргеном Фенглером

Ганс-Юрген Фенглер, велике спасибі, що ви знайшли час для цього інтерв'ю! Я хотів би поговорити з вами про відмінності між стандартами ISO 37001 та ISO 37301. Чи не могли б Ви коротко пояснити мені, про що йдеться в кожному з цих стандартів?

Ганс-Юрген Фенглер: Із задоволенням. Обидва стандарти стосуються впровадження систем менеджменту для забезпечення відповідності законам і правилам. ISO 37001 фокусується саме на боротьбі з корупцією. Він забезпечує основу для виявлення, оцінки та усунення корупційних ризиків, тоді як ISO 37301 застосовує більш комплексний підхід і охоплює всі зобов'язання організації щодо дотримання законодавства. Сюди входять закони, нормативні акти, а також добровільні зобов'язання, такі як Глобальний договір або Кодекс B.A.U.M.

А як відбувається впровадження такої системи управління, як описано в ISO 37301?

Ганс-Юрген Фенглер: Відповідно до ISO 37301, організація повинна визначити процес, в якому виявляються найбільші комплаєнс-ризики. Потім проводиться оцінка ризиків, щоб визначити, де необхідні заходи, політики тощо. Те ж саме має бути зроблено за стандартом ISO 37001, тільки для теми корупції. Система регулярно переглядається і постійно вдосконалюється для забезпечення її ефективності. Зрештою, можна отримати сертифікацію акредитованого органу. Тоді приходить аудитор, такий як я, щоб проаналізувати систему управління та перевірити потенціал для оптимізації. Ключовим моментом є розробка індивідуальної системи комплаєнс-менеджменту, яка відповідає конкретним вимогам і ризикам організації та постійно вдосконалюється.

Іншими словами, якщо комплаєнс-менеджмент показує, що корупція є основною проблемою, то я повинен звернутися до ISO 37001?

Ганс-Юрген Фенглер: Так, ви можете це зробити. ISO 37001 присвячений корупції. Це означає, що якщо корупція є найбільш актуальним комплаєнс-ризиком, то ви можете зосередитися на ISO 37001. Однак, якщо корупція не є найактуальнішою темою, тоді має сенс запровадити систему управління комплаєнсом. Також можна використовувати зміст ISO 37001 для оптимізації системи комплаєнс-менеджменту в частині протидії корупції і таким чином вдосконалити та конкретизувати систему управління в цілому. При виборі між ISO 37301 та ISO 37001 завжди виникає питання: Що я хочу продемонструвати своїм зацікавленим сторонам, які їхні вимоги? І що має сенс для мене як для організації? Крім того, є країни, де система антикорупційного менеджменту відповідно до ISO 37001 також вимагається законом для певних секторів, наприклад, у будівельній галузі в Італії або для публічних акціонерних товариств на французькій фондовій біржі. У цих випадках питання не виникає, і сертифікація за стандартом ISO 37001 є обов'язковою.

Номер 37301 йде після 37001. Що означає це позначення?

Ганс-Юрген Фенглер: ISO 37001 був опублікований ще у 2016 році, тоді як ISO 37301 набув чинності лише у 2021 році. Стандарт-попередник ISO 37301, ISO 19600, був розроблений лише як настанова і не містив жодних конкретних вимог, а також не міг видавати акредитований сертифікат. Оскільки ISO 37001 вже мав номер 37001, для нового, більш всеосяжного стандарту було обрано номер 37301. Все, що було опубліковано ISO у сфері систем управління відповідністю, можна знайти в серії 37000. І саме тому ISO 37301 також був класифікований тут.

Ганс-Юрген Фенглер, велике спасибі, що ви знайшли час для цього інтерв'ю! Я хотів би поговорити з вами про відмінності між стандартами ISO 37001 та ISO 37301. Чи не могли б Ви коротко пояснити мені, про що йдеться в кожному з цих стандартів?

Ганс-Юрген Фенглер: Із задоволенням. Обидва стандарти стосуються впровадження систем менеджменту для забезпечення відповідності законам і правилам. ISO 37001 фокусується саме на боротьбі з корупцією. Він забезпечує основу для виявлення, оцінки та усунення корупційних ризиків, тоді як ISO 37301 застосовує більш комплексний підхід і охоплює всі зобов'язання організації щодо дотримання законодавства. Сюди входять закони, нормативні акти, а також добровільні зобов'язання, такі як Глобальний договір або Кодекс B.A.U.M.

А як відбувається впровадження такої системи управління, як описано в ISO 37301?

Ганс-Юрген Фенглер: Відповідно до ISO 37301, організація повинна визначити процес, в якому виявляються найбільші комплаєнс-ризики. Потім проводиться оцінка ризиків, щоб визначити, де необхідні заходи, політики тощо. Те ж саме має бути зроблено за стандартом ISO 37001, тільки для теми корупції. Система регулярно переглядається і постійно вдосконалюється для забезпечення її ефективності. Зрештою, можна отримати сертифікацію акредитованого органу. Тоді приходить аудитор, такий як я, щоб проаналізувати систему управління та перевірити потенціал для оптимізації. Ключовим моментом є розробка індивідуальної системи комплаєнс-менеджменту, яка відповідає конкретним вимогам і ризикам організації та постійно вдосконалюється.

Іншими словами, якщо комплаєнс-менеджмент показує, що корупція є основною проблемою, то я повинен звернутися до ISO 37001?

Ганс-Юрген Фенглер: Так, ви можете це зробити. ISO 37001 присвячений корупції. Це означає, що якщо корупція є найбільш актуальним комплаєнс-ризиком, то ви можете зосередитися на ISO 37001. Однак, якщо корупція не є найактуальнішою темою, тоді має сенс запровадити систему управління комплаєнсом. Також можна використовувати зміст ISO 37001 для оптимізації системи комплаєнс-менеджменту в частині протидії корупції і таким чином вдосконалити та конкретизувати систему управління в цілому. При виборі між ISO 37301 та ISO 37001 завжди виникає питання: Що я хочу продемонструвати своїм зацікавленим сторонам, які їхні вимоги? І що має сенс для мене як для організації? Крім того, є країни, де система антикорупційного менеджменту відповідно до ISO 37001 також вимагається законом для певних секторів, наприклад, у будівельній галузі в Італії або для публічних акціонерних товариств на французькій фондовій біржі. У цих випадках питання не виникає, і сертифікація за стандартом ISO 37001 є обов'язковою.

Номер 37301 йде після 37001. Що означає це позначення?

Ганс-Юрген Фенглер: ISO 37001 був опублікований ще у 2016 році, тоді як ISO 37301 набув чинності лише у 2021 році. Стандарт-попередник ISO 37301, ISO 19600, був розроблений лише як настанова і не містив жодних конкретних вимог, а також не міг видавати акредитований сертифікат. Оскільки ISO 37001 вже мав номер 37001, для нового, більш всеосяжного стандарту було обрано номер 37301. Все, що було опубліковано ISO у сфері систем управління відповідністю, можна знайти в серії 37000. І саме тому ISO 37301 також був класифікований тут.

Наскільки ISO 37001 та ISO 37301 підходять для організацій різних розмірів, галузей та географічного розташування?

Ганс-Юрген Фенглер: В основному, всі стандарти ISO на системи менеджменту підходять для всіх організацій різного розміру, галузей і географічного розташування. ISO 37001 та ISO 37301 не є винятком. Глава 4 "Контекст організації" детально визначає, які специфічні вимоги компанії пов'язані з системою менеджменту і що необхідно враховувати. У великій організації існує більше вимог, ніж у невеликій. Звичайно, все це має сильний вплив на комплаєнс-вимоги, які потрібно враховувати окремо.

Важливим фактором з точки зору географічного розташування є те, що ризик корупції в деяких країнах вищий, ніж в інших. Transparency International розраховує Індекс сприйняття корупції (СРІ). Він складається з 13 індивідуальних індексів, дванадцяти незалежних інституцій та експертних опитувань і вказує на ризик корупції в різних регіонах світу.

Якщо я працюю в країні або співпрацюю з країною, де корупційні ризики оцінюються як високі, то необхідно встановити більш детальні механізми контролю, ніж у країні, де корупційні ризики нижчі, і мені, як правило, доводиться менше перевіряти. Іншими словами, географічне розташування впливає на специфіку побудови системи управління.

Чи є обов'язковою сертифікація стандартів чи достатньо впровадити відповідну систему управління?

Ганс-Юрген Фенглер: Звичайно, сертифікація не є обов'язковою. Однак вона може допомогти компаніям задокументувати свої зобов'язання щодо дотримання стандартів і довести їх зацікавленим сторонам.

В якій мірі стандарти ISO 37001 та ISO 37301 можуть бути інтегровані з іншими стандартами систем менеджменту, такими як ISO 9001?

Ганс-Юрген Фенглер: Обидва стандарти базуються на структурі високого рівня (HLS), або гармонізованій структурі (HS), яка також використовується в інших стандартах ISO на системи менеджменту. Тому інтеграція в принципі можлива.

Однак, чи має сенс інтеграція, залежить від відповідної організації та її конкретних вимог.

Чи можна також сертифікувати лише певні частини або види діяльності в рамках стандартів?

Ганс-Юрґен Фенґлер: У принципі, часткова сертифікація можлива. Однак це проблематично у випадку з питаннями відповідності, оскільки вимоги зазвичай впливають на всю організацію. Тому сертифікація окремих сфер вимагала б штучного розмежування, яке майже неможливо здійснити на практиці.

Щиро дякуємо за ваші цікаві коментарі!

Інтерв'ю провела Констанца Ільнер.