Skip to content 
Różnica między normami
ISO 37001 a ISO 37301
Inspiracją do napisania tego porównania są coraz częstsze zapytania ze strony klientów i beneficjentów certyfikacji, którzy z jednej strony mają świadomość potrzeby zaopiekowania się standardem ISO 37301, ale jest to ich własna potrzeba. Natomiast z drugiej strony wymóg certyfikatu ISO 37001 staje się normą zwyczajową w projektach w łańcuchu dostaw, gdzie organizacje mające ustaloną już rynkowo reputację chcą, aby w ich projektach uczestniczyły firmy świadome ryzyka reputacyjnego związanego z korupcją. Struktura tego artykułu powinna pomóc zrozumieć subtelne różnice, bo normy są dziełem tego samego komitetu technicznego ISO/TC 309, jak również to jak podejść do certyfikacji każdej z nich, jaką opcję wybrać.
Niestety w rozmowach z klientami różnych jednostek certyfikacyjnych dość często zauważamy brak tej edukacyjnej roli ich certyfikatorów w zrozumieniu roli akredytacji w systemie certyfikacyjnym. Rodzi to nieświadomość klienta, a ta może kosztować ich wiele. Niestety Polska zalana jest nieakredytowanymi certyfikatami, które przez dojrzały zachodni świat biznesowy traktowany jest jak fake, jak fałszywka ale mimo tego jest przedmiotem „obrotu” towarowego dosłownie obrotu. Często klienci są świadomi tego faktu, ale potrzeba „tu i teraz” powoduje, że godzą się na takie ryzyko. O tej sytuacji pisaliśmy na Linkedin’ie oraz na naszej stronie w artykule: „ISO 37001 akredytowany czy NIE?” – https://coe.biz.pl/nieakredytowane-versus-akredytowane-iso-37001/
Będziemy o tym przypominać na naszej stronie, jak i w mediach, bo ośmieszamy się jako Polacy, jako Polski biznes w oczach potencjalnych zleceniobiorców, a tworzymy przy okazji „szarą strefę certyfikacyjną”.
Wprowadzenie do norm ISO 37001
i ISO 37301
W świecie zarządzania zgodnością i standardów organizacyjnych, dwie normy wydają się dominować dyskusje – ISO 37001 i ISO 37301. Ale czym dokładnie są te normy? Nie, bo pierwsza z nich jest bardzo kierunkowa – antykorupcja, a druga zdecydowanie bardziej szersza i może zawierać temat antykorupcji.
Obie normy oparte są na strukturze wysokiego poziomu (HLS), a więc ich poziom ogólności pozwala dobrze dopasować wymagania do specyfiki organizacji. HLS dotyczy zresztą każdej normy certyfikacyjnej już od 10 lat. Oprócz różnicy tytułu normy, to przy tym samym schemacie głównych punktów – Kontekst / Przywództwo / Planowanie / Zasoby / Działania operacyjne / Ocena efektów działania / Doskonalenie, różnica wynika z przedmiotu normy.
Krótki przegląd ISO 37001
ISO 37001 to międzynarodowy standard zaprojektowany do pomocy organizacjom w zwalczaniu korupcji. Dostarcza on wymagania dotyczące systemu zarządzania antykorupcyjnego i jest przeznaczony do pomocy firmom we wdrażaniu i utrzymaniu skutecznych polityk antykorupcyjnych. Chociaż w tytule angielskim jest odniesienie do łapówkarstwa, a nie do korupcji, to może być dzięki swojej otwartości definicyjnej adresowana do korupcji a nawet nadużyciom, lecz nie mniej niż tylko do łapówkarstwa.
Krótki przegląd ISO 37301
ISO 37301, z drugiej strony, to norma dotycząca systemów zarządzania zgodnością. Jest to zbiór wytycznych zaprojektowanych do pomocy organizacjom w utrzymaniu zgodności, czyli zgodności z prawem, ze standardami etycznymi i branżowymi, z postanowieniami umownymi itp. Obejmuje więc także wszelkie przejawy nadużyć, zarówno finansowych, jak i niefinansowych. Dość często stanowi alternatywę do rozwiązań w zakresie Compliance proponowanych przez kancelarie prawne co jest w naszym rozumienie nieporozumieniem. Jest ono dedykowane bardziej departamentowi prawnemu, w którym prawnicy in-house stanowią interfejs w kontaktach z kancelariami zewnętrznymi wyspecjalizowanymi w różnych tematach, realizującymi projekty dla klientów. Ten interfejs tworzy bardzo dojrzałą relację między stronami. I temu ma służyć wykorzystanie normy ISo 37301 w organizacji.
Kluczowe cechy ISO 37001
Obszar zastosowania
ISO 37001 koncentruje się na korupcji, a więc ma zastosowanie w dowolnej branży, która jest narażona na takie ryzyko. Rzadko zdarza się, aby system obejmował także nadużycia itp. Do czasu pojawienia się normy ISO 37301 w organizacjach dojrzałych wykorzystywano otwartość definicji korupcji do włączenia nadużyć do zakresu uregulowań systemowych, jednakże obecnie rzadko się to promuje.
Skupienie na antykorupcji
Jego głównym celem jest dostarczenie firmom narzędzi do walki z korupcją na wszystkich szczeblach organizacji. Widzimy, że norma antykorupcyjna jest znacznie bardziej szczegółowa i praktyczna od normy porównywanej. Ma też dużą swobodę w kształtowaniu zakresu systemu – ale minimum to przekupstwo w prawie mającym zastosowanie. Zakres można też rozszerzyć na inne powiązane dziedziny. Definicja korupcji, używana przez organizację, może obejmować korupcję w szerokim znaczeniu. A więc także różne formy nadużyć finansowych i niefinansowych – np. defraudację, konflikt interesów, nepotyzm, zmowy przetargowe. Niektórzy mówią, że rozszerzenie zakresu jest celowe z punktu widzenia skuteczności systemu.
Przekupstwo jest przestępstwem ukrytym. Bez specjalistycznych narzędzi, umiejętności i uprawnień trudno złapać jest kogoś na gorącym uczynku. Ale znacznie łatwiej zaobserwować za to różne zjawiska często towarzyszące przekupstwu, powiązania świadczące o konflikcie interesów, drobne fałszerstwa dokumentacji, nadużywanie stanowiska i dostępu do funduszy wykorzystywanych dla osobistych korzyści.
Kluczowe cechy ISO 37301
Obszar zastosowania
ISO 37301 ma szerszy zakres, skupiając się na zgodności organizacji z przepisami prawa, a także z zewnętrznymi i wewnętrznymi wytycznymi. Jednak istnieją różne praktyki i podejścia do zakresu ich stosowania. Często systemy zarządzania zgodnością w organizacjach są wyłączane spod jurysdykcji systemu zgodności. Dlaczego? Zwykle dlatego, że systemy zgodności są domeną prawników wewnętrznych, którzy bardziej współpracują z audytem wewnętrznym, jednostkami zarządzania ryzykiem i ładem korporacyjnym niż z jednostkami bardziej operacyjnymi związanymi z procesami biznesowymi, takimi jak produkcja, sprzedaż i usługi.
Skupienie na systemach zarządzania zgodnością
Jego celem jest pomóc firmom utrzymać zgodność zarówno zewnętrzną, jak i wewnętrzną poprzez wdrożenie skutecznego systemu zarządzania zgodnością. Gdy organizacja zdefiniuje zakres wymagań prawnych do objęcia oraz wewnętrzne regulacje, zazwyczaj przekracza to możliwości personalne przewidziane na to. Dlatego taki zakres jest zwykle ograniczany. Zdarzają się też przypadki zawężania tematycznego zagadnień compliance – np. Compliance Security, gdzie oprócz wymagań prawnych – RODO, NIS / NIS2, CER, DORA etc. dokłada się standardy PCI DSS, ISO 27001, ISO 22301, ISAE 3401 (SOC 1), etc. To i tak jest dużo.
Porównanie ISO 37001 i ISO 37301
Podsumowując, główna różnica między ISO 37001 a ISO 37301 polega na tym, że pierwszy skupia się na zwalczaniu korupcji, podczas gdy drugi oferuje szeroko zakrojony system zarządzania zgodnością.
Można rzec, że jeden może być zawarty w drugim. Gdy chce się porównać ich przydatność najlepiej na początku odnieść to do motywacji wewnętrznej lub zewnętrznej. Dlaczego tak podchodzimy do sprawy – zakres prac do wykonania przy wdrożeniu może być diametralnie różny, co znacząco wydłuża czas implementacji. Jeżeli przy standardzie skupimy się na zgodności z wymaganiami regulatora to bez systemowego wsparcia odnośnie oceny ryzyka niezgodności czas takiego wdrożenia – łączony głownie z pracą prawników, może być długi.
Konkluzja
Wybór między ISO 37001 a ISO 37301 zależy od specyfiki i potrzeb Twojej organizacji. Obie normy oferują wartościowe narzędzia do zarządzania zgodnością i ryzykiem. Obecnie ze strony klientów nie ma presji na posiadanie certyfikacji ISO 37301, bo jest to standard, który dopiero co tworzy zręby akredytacji na świecie. A te, które są dostępne często są bardziej kontrowersyjne niż nowoczesne, czy też elitarne.
Jeżeli musisz certyfikować się, pamiętaj, aby wybrać certyfikację akredytowaną, ponieważ w przeciwnym razie klient rozumny, zwykle zagraniczny odrzuci nieakredytowany certyfikat, uważając go za fałszywy, uznając Twoją firmę jako reputacyjnie wątpliwą. Można zamknąć sobie drzwi do międzynarodowego biznesu na wiele lat.
Zapraszamy do współpracy
Zespół Centre of Excellence – QSCert
Bibliografia:
- ISO 37001:2016 Anti-bribery management systems — Requirements with guidance for use
- ISO 37301:2021 Compliance management systems — Requirements with guidance for use
- Artykuł Macieja Wnuka na Linkedin: https://www.linkedin.com/pulse/gdy-pieni%C4%85dze-wynosi-kasjerka-z-cba-znaczy-%C5%BCe-maciej-wnuk/