Różnica między normami ISO 37001 a ISO 37301

Inspiracją do napisania tego porównania są coraz częstsze zapytania ze strony klientów, beneficjentów certyfikacji, którzy z jednej strony mają świadomość potrzeby zaopiekowania się standardem ISO 37301, ale jest to ich własna potrzeba. Natomiast z drugiej strony wymóg certyfikatu ISO 37001 staje się normą zwyczajową w projektach w łańcuchu dostaw, gdzie organizacje mające ustaloną już rynkowo reputację chcą aby w ich projektach uczestniczyły firmy świadome ryzyka reputacyjnego związanego z korupcją. Struktura tego artykułu powinna pomóc zrozumieć subtelne różnice, bo normy są dziełem tego samego komitetu technicznego ISO/TC 309.

Obie normy oparte są na strukturze wysokiego poziomu (HLS), a więc ich poziom ogólności pozwala dobrze dopasować wymagania do specyfiki organizacji. HLS dotyczy zresztą każdej normy certyfikacyjnej już od 10 lat. Oprócz różnicy tytułu normy, to przy tym samym schemacie głównych punktów – Kontekst / Przywództwo / Planowanie / Zasoby / Działania operacyjne / Ocena efektów działania / Doskonalenie, różnica wynika z przedmiotu normy.

Wprowadzenie do norm ISO 37001 i ISO 37301

W świecie zarządzania zgodnością i standardów organizacyjnych, dwie normy wydają się dominować dyskusje – ISO 37001 i ISO 37301. Ale czym dokładnie są te normy? Nie, bo pierwsza z nich jest bardzo kierunkowa – antykorupcja, a druga zdecydowanie bardziej szersza i może zawierać temat antykorupcji.

Krótki przegląd ISO 37001

ISO 37001 to międzynarodowy standard zaprojektowany do pomocy organizacjom w zwalczaniu korupcji. Dostarcza on wymagania dotyczące systemu zarządzania antykorupcyjnego i jest przeznaczony do pomocy firmom we wdrażaniu i utrzymaniu skutecznych polityk antykorupcyjnych.

Krótki przegląd ISO 37301

ISO 37301, z drugiej strony, to norma dotycząca systemów zarządzania zgodnością. Jest to zbiór wytycznych zaprojektowanych do pomocy organizacjom w utrzymaniu zgodności. To zgodność z prawem, ze standardami etycznymi i branżowymi, z postanowieniami umownymi itp. Obejmuje więc także wszelkie przejawy nadużyć, finansowych i niefinansowych.

Kluczowe cechy ISO 37001

Obszar zastosowania

ISO 37001 koncentruje się na korupcji, a więc ma zastosowanie w dowolnej branży, która jest narażona na takie ryzyko. Rzadko zdarza się aby system obejmował także nadużycia, etc.

Skupienie na antykorupcji

Jego głównym celem jest dostarczenie firmom narzędzi do walki z korupcją na wszystkich szczeblach organizacji. Widzimy, że norma antykorupcyjna jest znacznie bardziej szczegółowa i praktyczna od normy porównywanej. Ma też dużą swobodę w kształtowaniu zakresu systemu – ale minimum to przekupstwo w prawie mającym zastosowanie. Zakres można też rozszerzyć na inne powiązane dziedziny. Definicja korupcji, używana przez organizację, może objąć korupcję w szerokim znaczeniu. A więc także różne formy nadużyć finansowych i niefinansowych – np. defraudację, konflikt interesów, nepotyzm, zmowy przetargowe. Niektórzy mówią, że rozszerzenie zakresu jest celowe z punktu widzenia skuteczności systemu.

Przekupstwo jest przestępstwem ukrytym. Bez specjalistycznych narzędzi, umiejętności i uprawnień trudno złapać jest kogoś na gorącym uczynku. Ale znaczeni łatwiej zaobserwować za to różne zjawiska często towarzyszące przekupstwu, powiązania świadczące o konflikcie interesów, drobne fałszerstwa dokumentacji, nadużywanie stanowiska i dostępnych funduszy dla osobistych korzyści.

Kluczowe cechy ISO 37301

Obszar zastosowania

ISO 37301 ma szerszy zakres, skupiając się na zgodności organizacji z przepisami prawa, a także na zgodności z jej własnymi wewnętrznymi wytycznymi. Tutaj jednak istnieją różne praktyki i podejścia do zakresu ich stosowania. Dość często systemy zarządzania w organizacjach wyjęte są spod jurysdykcji systemu zgodności. Dlaczego – zwykle systemy zgodności to domena prawników in-house, którzy bardziej współpracują z audytem wewnętrznym, komórkami zarządzania ryzykiem i ładu korporacyjnego niż komórkami bardziej operacyjnymi związanymi z procesami biznesowymi – produkcja, sprzedaż, usługi, etc/.

Skupienie na systemach zarządzania zgodnością

Jego celem jest pomóc firmom utrzymać zgodność zarówno zewnętrzną, jak i wewnętrzną, poprzez implementację skutecznego systemu zarządzania zgodnością. Jak organizacja zmapuje sobie zakres wymagań prawnych do objęcia i regulacje wewnętrzne, to zwykle wykracza to ponad możliwości osobowe, które do tego przewidziano. Dlatego taki zakres jest najczęściej ograniczany.

Porównanie ISO 37001 i ISO 37301

W skrócie, ISO 37001 skupia się na zwalczaniu korupcji, podczas gdy ISO 37301 jest bardziej ogólnym systemem zarządzania zgodnością. Nie ma się co tutaj dziwić, gdyż równie dobrze można powiedzieć, że system antykorupcyjny jest podsystemem systemu zgodności. I często organizacje, które nie mają presji wdrożenia systemu antykorupcyjnego w ramach wymagań klienta decydują się na wdrożenie ISO 37301, które obejmie również zagadnienia ISO 37001.

Praktyczne zastosowania norm

Zarówno ISO 37001, jak i ISO 37301 mają praktyczne zastosowania dla wielu firm. Obie normy pomagają firmom zrozumieć i kontrolować ryzyko związane z brakiem zgodności i korupcją. Ryzyko jest zresztą w każdej z tych norm tym wyzwalaczem działań związanych z jego redukcją.

Wybór odpowiedniej normy

Kiedy wybrać ISO 37001?

Jeżeli korupcja stanowi znaczące ryzyko dla Twojej firmy, ISO 37001 może być odpowiednim wyborem. Jest to zazwyczaj wymagania prawne – nie w Polsce, ale np. w Chile. Ale głównie jest wymaganiem klienta. Chociaż czasami w okresie przejściowym wystarcza posiadanie polityki antykorupcyjnej, czy też kodeksu etycznego.

Kiedy wybrać ISO 37301?

Jeżeli Twoja organizacja potrzebuje kompleksowego systemu zarządzania zgodnością, ISO 37301 może być lepszym wyborem. Zdecydowanie tak, ale to nie takie proste. Bo w zależności od profilu organizacji, gdy dodatkowo interesariuszem są np. instytucje zewnętrzne jak KNF, oprócz typowych, a wymagania prawne dotyczą jeszcze AML/CFT, oraz regulacji unijnych – CER, DORA, to przy pozostałych wymaganiach umownych i regulacyjnych jest to olbrzymie „pole” do obrobienia. Zadanie dla Departamentu.

Proces certyfikacji dla obu norm

Certyfikacja według obu norm wymaga spełnienia konkretnych wymagań i przejścia audytu prowadzonego przez niezależną stronę trzecią.

Dla normy antykorupcyjnej – ISO 37001 – normą odniesienia, która określa zasady prowadzenia audytu zgodności jest – ISO/IEC TS 17021-9:2016 – Ocena zgodności – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania – Część 9: Wymagania kompetencyjne w zakresie audytu i certyfikacji antykorupcyjnych systemów zarządzania,
Dla normy dotyczącej zgodności – ISO 37301 – równoważną jest ISO/IEC TS 17021-13:2021 Ocena zgodności — Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania — Część 13: Wymagania kompetencyjne dotyczące audytu i certyfikacji systemów zarządzania zgodnością

Podsumowanie różnic

Podsumowując, główna różnica między ISO 37001 a ISO 37301 polega na tym, że pierwszy skupia się na zwalczaniu korupcji, podczas gdy drugi oferuje szeroko zakrojony system zarządzania zgodnością.

Konkluzja

Wybór między ISO 37001 a ISO 37301 zależy od specyfiki i potrzeb Twojej organizacji. Obie normy oferują wartościowe narzędzia do zarządzania zgodnością i ryzykiem.
UWAGA: Jeżeli musisz certyfikować się to pamiętaj aby była to certyfikacja akredytowana, bo w innym przypadku klient odrzuci certyfikat nieakredytowany traktując go jako fake. Nie daj się nabrać.

Takie przypadki z udziałem polskich firm nie należą do rzadkości. Ta praktyka pokazuje szarą strefę certyfikacji, ale często klient świadomie podejmuje takie ryzyko, bo taniej. Ale to kłamstwo ma krótkie nogi, a klient może odebrać to jak utrata zaufania. Ryzyko nie warte podjęcia.

FAQs

Czy mogę certyfikować się zarówno według ISO 37001, jak i ISO 37301?

Tak, tam gdzie jest to zapisane w strategii firmy są podejmowane próby podwójnej certyfikacji, aby w pełni zabezpieczyć się przed ryzykiem niezgodności i korupcji. Jednakże na razie są to przypadki marginalne. Dlaczego? Bo obecnie akredytacja normy ISO 37301 jest bardzo rzadka, a presja rynku jeszcze nie tak wielka.

Czy muszę mieć certyfikat ISO, aby prowadzić działalność?

Nie, certyfikacja ISO jest dobrowolna, ale może pomóc firmie w zarządzaniu ryzykiem i poprawie jej reputacji. Dość często w łańcuchu dostaw może stanowić barierę wejścia dla dostawcy. W małych firmach firmy zlecające stosują w łańcuchu dostaw taryfę ulgową sprowadzając w okresie wstępnym – rocznym wymaganie tylko do polityki antykorupcyjnej, czy kodeksu etycznego.

Czy te normy dotyczą tylko dużych korporacji?

Nie, zarówno ISO 37001, jak i ISO 37301 mogą być stosowane przez organizacje wszelkich rozmiarów i z różnych sektorów. Rzadko jednak widać ich zastosowanie w organizacjach poniżej średniej wielkości. Wynika to głównie z dojrzałości organizacji.

Czy te normy są stosowane na całym świecie?

Tak, normy ISO mają międzynarodowy charakter i są stosowane przez firmy na całym świecie, jednakże ich fakultatywność daje firmom dobrowolność wykorzystania. Często gdy nie ma innych uniwersalnych dokumentów regulujących wspólne przedsięwzięcie, współpracę są wykorzystane jako platforma komunikacji między stronami.

Czy implementacja tych norm jest kosztowna?

Koszty implementacji zależą od wielu czynników, w tym od rozmiaru i specyfiki firmy. Zdecydowanie najlepszą formą implementacji jest podejście hybrydowe, tj. wykształcenie swojego zespołu i wsparcie eksperta zewnętrznego w kluczowych momentach projektu.

Różnica między normami ISO 37001 a ISO 37301