Роль Міжнародної організації зі стандартизації полягає у сприянні міжнародній координації та стандартизації міжнародних стандартів. Спрощуючи міжнародні стандарти, вони сприяють розвитку організацій, які працюють відповідно до стандарту. Враховуючи те, що хабарництво стало значним ризиком, ISO виступила з ініціативою створити систему управління боротьбою з хабарництвом, яку можна було б сертифікувати, узгодити або інтегрувати з існуючими системами управління з метою боротьби з цією зростаючою загрозою підприємствам і установам у всьому світі.
Що таке система управління боротьбою з хабарництвом?
Система управління протидією хабарництву — це створення архітектури замкнутого циклу управління, яка встановлює, впроваджує, підтримує, переглядає та вдосконалює стратегії та цілі управління, які відповідають конкретним вимогам стандарту ISO 37001. Незважаючи на те, що природа організації відрізняється від один одного, цей стандарт стосується цілей управління щодо запобігання хабарництву в таких контекстах:
a) Хабарництво в державному, приватному та некомерційному секторах
б) Хабарництво організацією
c) Хабарництво з боку персоналу організації, який діє від імені організації або на її користь
d) Хабарництво діловими партнерами організації, які діють від імені організації або на її користь
д) Підкуп організації
f) Підкуп персоналу організації у зв’язку з діяльністю організації
g) Підкуп ділових партнерів організації щодо діяльності організації
h) Прямий і непрямий підкуп
ISO 37001 застосовується до організацій усіх типів і розмірів, які бажають:
- Вжити необхідних заходів, спрямованих на запобігання, виявлення та боротьбу з хабарництвом
- Сприяти довірі та впевненості акціонерів, ключових зацікавлених сторін та потенційних інвесторів
- Уникайте та/або зводьте до мінімуму вартість, ризик і збитки від участі в хабарництві
- Зменште ризики та досягніть репутації, запровадивши політику Системи управління боротьбою з хабарництвом
Ключові положення ISO 37001
- Область застосування
- Нормативні посилання
- Терміни та визначення
- Контекст організації
- Лідерство
- Планування системи управління протидією хабарництву
- Підтримка
- Операція
- Оцінка ефективності
- Поліпшення
Розділ 4: Контекст організації
Організація – це особа або група людей, які мають власні функції з відповідальністю, повноваженнями та відносинами для досягнення своїх цілей, наприклад компанія, корпорація, фірма, підприємство, орган влади, партнерство, благодійна організація чи установа, їх частина чи комбінація , зареєстровані чи ні, державні чи приватні.
Цей пункт поділений на п’ять розділів і описує, що важливо знати про організацію та впровадження Системи управління боротьбою з хабарництвом.
Для впровадження Системи управління протидією хабарництву ми повинні розуміти організацію та її контекст, розуміти потреби та очікування зацікавленої сторони, визначити сферу застосування Системи управління боротьбою з хабарництвом, Системи управління боротьбою з хабарництвом та оцінку ризиків хабарництва.
4.1 Розуміння організації та її контексту
Для досягнення цілей Системи управління боротьбою з хабарництвом організація повинна визначити зовнішні та внутрішні чинники, які відповідають її меті. Деякі з цих факторів включають:
- Розмір і структура організації
- Розташування та сектори, в яких організація працює або очікує працювати
- Характер, масштаб і складність діяльності та операцій організації
- Суб’єкти господарювання, над якими організація має контроль, або будь-які спільні підприємства
- Бізнес-партнери та асоціації організації
- Характер і масштаби взаємодії з державними службовцями
- Застосовні законодавчі, нормативні, договірні та професійні зобов’язання та обов’язки
4.2 Розуміння потреб і очікувань зацікавлених сторін
Щоб зрозуміти потреби та очікування зацікавлених сторін, організація повинна визначити зацікавлених сторін, які мають відношення до Системи управління протидією хабарництву, і визначити відповідні вимоги цих зацікавлених сторін.
4.3 Визначення сфери застосування Системи управління протидією хабарництву
Для встановлення сфери застосування організація повинна визначити межі та застосовність Системи управління протидією хабарництву. Обсяг має бути доступним як документована інформація. При визначенні сфери застосування організація повинна враховувати:
- Зовнішні та внутрішні фактори, зазначені в 4.1
- Вимоги, зазначені в 4.2
- Результати оцінки ризику хабарництва, зазначені в 4.5
4.4 Система управління протидією хабарництву
Відповідно до вимог Системи управління протидією хабарництву, організація повинна створити, запровадити, підтримувати, постійно переглядати та, за необхідності, вдосконалювати Систему управління боротьбою з хабарництвом, включаючи необхідні процеси та їх взаємодію.
Система управління протидією хабарництву повинна містити заходи, спрямовані на ідентифікацію, оцінку ризиків, запобігання, виявлення та боротьби з хабарництвом.
4.5 Оцінка ризику хабарництва
Організація повинна провести оцінку ризику хабарництва, яка:
- Визначте ризики хабарництва, які організація може розумно передбачити, враховуючи визначені зовнішні та внутрішні фактори
- Оцініть та визначте пріоритетність виявлених ризиків хабарництва
- Оцініть придатність та ефективність існуючих засобів контролю в організації для пом’якшення оцінених ризиків хабарництва.
Здійснюючи оцінку ризику хабарництва, організація повинна встановити критерії для оцінки рівня ризику хабарництва, беручи до уваги політику та цілі організації.
Оцінка ризику хабарництва повинна переглядатися на регулярній основі для належної оцінки змін і нової інформації; а також у разі істотних змін у структурі чи діяльності організації.
Пункт 5: Лідерство
5.1.1: Керівний орган (або вище керівництво, якщо організація не має керівного органу) організації повинен продемонструвати лідерство та відданість Системі управління боротьбою з хабарництвом шляхом:
- Затвердження Антикорупційної політики організації
- Забезпечення узгодженості стратегії організації та політики боротьби з хабарництвом
- Отримання та перегляд інформації, що стосується змісту та функціонування Системи управління протидією хабарництву організації через заплановані проміжки часу
- Забезпечення виділення та призначення належних ресурсів для ефективної роботи Системи управління боротьбою з хабарництвом
- Переконайтеся, що відповідні заходи з розслідування та відновлення були вжиті та ефективно задокументовані
- Здійснення розумного нагляду за впровадженням системи СУБД організації з боку вищого керівництва та її ефективності.
5.1.2 Найвище керівництво має продемонструвати своє лідерство та відданість ABMS шляхом:
- Забезпечення того, щоб система управління боротьбою з хабарництвом, включаючи її політику та цілі, була створена, реалізована, підтримувалася та переглядалася для адекватного усунення ризиків хабарництва в організації
- Забезпечення інтеграції вимог системи Anti-bribery Management в процеси організації
- Розгортання адекватних і відповідних ресурсів для ефективної роботи ABMS
- Внутрішнє та зовнішнє спілкування щодо політики боротьби з хабарництвом
- Внутрішнє інформування про важливість ефективного управління боротьбою з хабарництвом і дотримання вимог ABMS
- Переконайтеся, що система управління боротьбою з хабарництвом розроблена належним чином для досягнення поставлених цілей
- Сприяння належній культурі боротьби з хабарництвом в організації та постійне вдосконалення
- Підтримка інших відповідних керівних посад, щоб продемонструвати їхнє лідерство у запобіганні та виявленні хабарництва, оскільки це стосується їхніх сфер відповідальності
- Заохочення до використання процедур повідомлення про підозру та фактичне хабарництво
- Забезпечення того, щоб жоден персонал не піддавався помсті, дискримінаційним чи дисциплінарним заходам за звіти, зроблені добросовісно або на підставі обґрунтованих переконань про порушення або підозри в порушеннях політики організації щодо боротьби з хабарництвом, або за відмову брати участь у хабарництві, навіть якщо така відмова може призвести до втрати організацією бізнесу (крім випадків, коли особа брала участь у порушенні)
- Через заплановані проміжки часу звітувати керівному органу про зміст і роботу ABMS і про звинувачення в серйозному та систематичному хабарництві.
5.2 Політика боротьби з хабарництвом, розроблена, підтримувана та перевірена вищим керівництвом, повинна:
Політика повинна відповідати меті організації та заохочувати конфіденційно висловлювати занепокоєння без страху помсти.
5.3 Організаційні ролі, обов’язки та повноваження
Найвище керівництво повинне призначити функції відповідності з питань боротьби з хабарництвом відповідальність і повноваження щодо нагляду за розробкою та впровадженням системи, надання порад і вказівок, забезпечення відповідності системи вимогам стандарту та звітування про її ефективність. Функція комплаєнсу з протидії хабарництву має бути забезпечена відповідними ресурсами та доручена особі (ам) з відповідною компетенцією, статусом, повноваженнями та незалежністю. Він повинен мати прямий доступ до керівного органу (за наявності) та вищого керівництва.
5.3.1 Ролі та обов’язки
Найвище керівництво несе загальну відповідальність за впровадження та відповідність ABMS.
Обов’язки та повноваження відповідних ролей розподіляються та повідомляються в усій організації. Менеджери на всіх рівнях залишаються відповідальними за застосування ABMS і відповідність у своєму відділі чи функції.
Керівний орган, вище керівництво та весь інший персонал несуть відповідальність за: розуміти, дотримуватися та застосовувати вимоги ABMS, пов’язані з їхніми ролями.
5.3.2 Комплаєнс-функція боротьби з хабарництвом
Найвище керівництво призначає функцію контролю за дотриманням законодавства щодо боротьби з хабарництвом відповідальними та повноваженнями щодо:
- Нагляд за розробкою та впровадженням СУБД організацією
- Надання консультацій та вказівок персоналу щодо СУБД та питань, що стосуються хабарництва
- Забезпечення відповідності вимогам ISO 37001
- Звітування керівного органу та вищого керівництва про продуктивність СУБД
Функція буде забезпечена відповідними ресурсами, включаючи компетентну особу зі статусом і незалежністю. Функція повинна мати прямий і оперативний доступ до керівного органу та вищого керівництва.
5.3.3 Для хабарництва з низьким рівнем ризику вище керівництво має встановити та підтримувати процес прийняття рішень або набір засобів контролю. Рівень повноважень має бути належним і вільним від фактичного чи потенційного конфлікту інтересів. Процеси та відповідність повинні періодично переглядатися вищим керівництвом.
Розділ 6: Планування
Під час планування системи управління боротьбою з хабарництвом організація повинна мати на увазі:
- Зовнішні та внутрішні фактори визначаються в контексті
- Вимоги зацікавлених сторін, як визначено
- Оцінка ризиків хабарництва та їх ефективний контроль
- Можливості для вдосконалення
Посилаючись на пункти, наведені вище, організація може дати розумну впевненість, що Система управління боротьбою з хабарництвом може досягти своїх цілей, може запобігти або зменшити небажані наслідки, пов’язані з політикою та цілями боротьби з хабарництвом, організація також може вжити проактивних заходів, управлінська позиція щодо постійного вдосконалення СУБД.
Організації повинні спланувати дії для усунення цих ризиків і можливостей хабарництва, а також визначити, як інтегрувати та впровадити ці дії в ABMS, а також оцінити ефективність цих дій.
Вимірні та досяжні цілі протидії хабарництву мають узгоджуватися з політикою, контролюватися та оновлюватись у разі необхідності. Задокументована інформація про цілі боротьби з хабарництвом повинна зберігатися.
Плануючи, як досягти цілей боротьби з хабарництвом, організація повинна визначити, чого буде досягнуто, які ресурси будуть потрібні, хто відповідатиме, коли цілі будуть досягнуті та як результати будуть оцінюватися та звітуватися.
Пункт 7: Підтримка
Організація повинна забезпечити необхідні ресурси, необхідні для створення, впровадження, підтримки та постійного вдосконалення Системи управління протидією хабарництву. Крім того, організація повинна визначити компетентних осіб для впровадження системи управління боротьбою з хабарництвом разом із політикою в організації, а також забезпечити навчання та відповідну обізнаність персоналу, включаючи ділових партнерів, які діють від її імені або на її користь, і які можуть становлять більш ніж низький ризик хабарництва для організації.
Організація повинна впроваджувати процедури, пов’язані з працевлаштуванням із контролем:
- Умови праці з дотриманням СУБД та права на дисципліну
- Доступ до політики та навчання по ній
- Заходи, які необхідно вжити за порушення політики боротьби з хабарництвом та СУБД
- Персонал не карається за відмову брати участь у будь-якій діяльності, щодо якої вони вважають ризик підкупу більш ніж низьким, або за повідомлення про занепокоєння чи повідомлення про фактичне чи підозрюване хабарництво чи порушення політики/ABMS.
Пункт 8: Експлуатація
Організація повинна планувати, впроваджувати, контролювати та контролювати процеси, необхідні для виконання вимог Системи управління протидією хабарництву та впровадження дій для усунення ризиків і можливостей хабарництва. Організація повинна контролювати та переглядати будь-які заплановані чи ненавмисні зміни та вживати заходів для пом’якшення будь-якого негативного впливу, якщо це необхідно. Крім того, мають бути запроваджені процедури, які запобігають пропозиції, наданню чи прийняттю подарунків та подібних переваг, оскільки це може сприйматися як хабарництво.
Організація повинна дотримуватись політики боротьби з хабарництвом, керувати неадекватністю засобів контролю проти хабарництва, висловлювати занепокоєння та розслідувати факти хабарництва всередині організації.
Цей міжнародний стандарт передбачає кілька засобів контролю в розділах «Належна обачність» (8.2), «Фінансовий і нефінансовий контроль». Контроль в основному стосується транзакцій, проектів або діяльності та відносин. (8.3 і 8.4)
Запровадження контролю проти хабарництва поширюється на організації, які контролюються організацією, та діловими партнерами, де організація може допомогти зменшити відповідний ризик хабарництва. Організація повинна впроваджувати процедури, які вимагають, щоб усі інші організації, які вона контролює, або запровадили систему управління протидією хабарництву організації, або запровадили власні засоби контролю проти хабарництва (8.5).
8.6 Зобов’язання щодо боротьби з хабарництвом
Якщо ділові партнери мають більш ніж прийнятний або низький ризик хабарництва, потрібні ефективні засоби контролю та прийняття рішень, і це може призвести до припинення відносин. Оцінка ризику хабарництва необхідна в таких ситуаціях для оцінки ризику для організації.
Організація повинна мати порядок регулювання питань, що стосуються подарунків, знаків гостинності, пожертвувань та подібних благ. (8,7)
Управління неадекватністю засобів контролю протидії корупції
Якщо організація не може керувати ризиком хабарництва, стосунки, проект або контракт необхідно перевірити на відповідних етапах і, якщо це практично можливо, відкликати або відхиляти. (8,8)
Організація повинна впроваджувати процедури повідомлень про занепокоєння, щоб дозволити особам повідомляти про спробу, підозру та фактичне хабарництво або про будь-яке порушення або недоліки в ABMS до служби відповідності або відповідному персоналу. Процедура також повинна підтримувати конфіденційність, дозволяти анонімне повідомлення, забороняти помсту та захищати персонал від помсти. Організація повинна забезпечити, щоб люди були обізнані про процедуру звітування, їхні права та захист. (8,9)
Організація повинна впроваджувати процедури розслідування та боротьби з хабарництвом, які забезпечують ефективне розслідування, вимагають відповідних дій, надання повноважень слідчим, а також статусу та звітності до служби відповідності. Розслідування має проводити незалежний персонал, який звітує про результати персоналу, який не є частиною ролі чи функції, що розслідується. (8.10)
Розділ 9: Оцінка продуктивності
Організація повинна здійснювати моніторинг, вимірювання, аналіз та оцінку політики боротьби з хабарництвом. Однак перед тим, як це зробити, організація повинна визначити:
- Що потрібно контролювати
- Які методи слід використовувати для забезпечення достовірних результатів
- При проведенні моніторингу та вимірювання
- Як це задокументовано
Відповідно, внутрішній аудит повинен бути проведений для того, щоб отримати інформацію про те, чи відповідає Система протидії хабарництву вимогам організації та вимогам Міжнародного стандарту.
Для того, щоб зрозуміти, чи система управління протидією хабарництву є достатньою для ефективного управління ризиками хабарництва, з якими стикається організація, і чи вона ефективно впроваджується, організація повинна переглядати та звітувати через заплановані проміжки часу вищому керівництву.
Пункт 10: Покращення
Організація повинна реагувати на будь-яку невідповідність, яка виникає, вживаючи заходів для контролю, виправлення та усунення наслідків. Крім того, організація повинна оцінити потребу в діях для усунення причин невідповідностей шляхом перегляду, визначення причини та визначення того, чи існують або потенційно можуть виникнути подібні невідповідності. Причиною оцінки необхідності дій для усунення причин невідповідностей є запобігання повторенню невідповідностей.
Коригувальні дії повинні відповідати наслідкам виявлених невідповідностей, а організація повинна зберігати задокументовану інформацію як доказ характеру невідповідності. Організація повинна постійно вдосконалювати адекватність, ефективність і придатність запровадженої Системи управління протидією хабарництву. Крім того, завдяки постійному вдосконаленню організація підвищує ефективність операційної системи та легше досягає поставлених цілей.
Інтеграція ISO 37001 з іншими системами менеджменту
Цей міжнародний стандарт може бути окремим або його можна інтегрувати з іншими існуючими системами управління, такими як система управління якістю, система управління навколишнім середовищем і безпекою (ISO 9001, ISO 14001, ISO 27001 та ISO 22301).
Система управління протидією хабарництву – переваги для бізнесу
Відповідність стандарту ISO 37001 не може гарантувати, що будь-який ризик хабарництва виник або виникне в організації, оскільки неможливо повністю усунути ризик хабарництва. Однак ISO 37001 може допомогти організації впровадити необхідні заходи для запобігання, виявлення та боротьби з хабарництвом. Організації, які сертифіковані та відповідають вимогам Системи управління боротьбою з хабарництвом, користуються більшою довірою та визнанням за впровадження політики боротьби з хабарництвом і практикування культури боротьби з хабарництвом на робочому місці та території, де вони працюють.
Деякі організації, як-от транснаціональні корпорації та ті, що працюють у певних галузях промисловості, включаючи оборону, велике будівництво та ресурси, піддаються особливому ризику, але зазвичай він поширюється на будь-які організації, які конкурують за контракти по всьому світу. Практично жоден бізнес не повністю вільний від ризиків, пов’язаних з певною формою корупційних платежів.
Ось деякі з ключових переваг для бізнесу від прийняття ISO 37001:
Запобігання, виявлення та усунення ризиків хабарництва
- Збільшена можливість виявлення ризику хабарництва
- Ефективні механізми запобігання та усунення ризику хабарництва
- Загальне вдосконалення оцінки ризиків
- Завойовує довіру на ринку, покращуючи його репутацію та імідж;
- Управляє своїми бізнес-ризиками, в тому числі пов’язаними з третіми особами;
- Внутрішнє розслідування хабарництва до того, як інцидент стане публічним
- Зростання доходу та економія коштів
- Корпоративна соціальна відповідальність
Підвищення міжнародного визнання
- Міжнародна організація зі стандартизації (ISO) визнана в усьому світі авторитетом у питаннях
- Управління протидією хабарництву
- Відповідність іншим галузевим стандартам
- Дотримання національного та міжнародного законодавства
Запобігайте конфлікту інтересів
- Усвідомлення наслідків у разі участі у хабарництві
- Загальне підвищення ефективності організації
- Поліпшення фінансових показників
- Розширені можливості для виявлення шахрайства та належної перевірки
Зниження витрат
- Контроль фінансової звітності
- Ефективні механізми відстеження транзакцій
- Прозорі, зрозумілі та керовані процеси з чіткою відповідальністю
- Впровадити надійну методологію розслідування та належну обачність
- Розробити відповідне документальне забезпечення та перевірку
Сприяє культурі боротьби з хабарництвом
- Краща обізнаність щодо ABMS та культури боротьби з хабарництвом
- Загальне оздоровлення персоналу
- Загальне підвищення ефективності роботи співробітників
- Етичні цінності всередині організації можна просувати серед галузей і ринків
- Вплив на загальні соціальні процеси в суспільстві через саморегулівні організації та громадський контроль
Впровадження системи управління протидією хабарництву
При впровадженні системи управління протидією хабарництву на основі ISO 37001 важливо дотримуватися добре структурованої та ефективної методології, щоб охопити всі мінімальні вимоги стандарту. Для ефективної методології впровадження організації повинні враховувати конкретні ризики, які можуть вплинути на ефективність боротьби з хабарництвом. Важливо реалізувати план, який збалансовує стандартні вимоги, бізнес-потреби та кінцевий термін сертифікації.
Немає єдиного плану впровадження ISO 37001, який би працював з кожною компанією, але є деякі загальні кроки, які дозволять організації збалансувати вимоги, які часто суперечать один одному, і підготуватися до успішно акредитованого сертифікаційного аудиту.
Дотримуючись структурованої та ефективної методології від TMS Україна, організація може забезпечити виконання всіх мінімальних вимог щодо впровадження системи управління. Як зазначалося вище, яку б методологію не використовували, організація повинна адаптувати її до свого конкретного контексту, а не застосовувати як кулінарну книгу. Ключова реалізація полягає в контекстуальному та адаптованому підході організації, який забезпечить надійний результат.
Послідовність кроків, необхідних у цьому процесі, може бути змінена (інверсія, злиття) для досягнення найбільш прийнятного результату.
Сертифікація на відповідність ISO 37001
Сертифікація організацій є життєво-важливим компонентом системи управління протидією хабарництву, оскільки вона надає доказ того, що організації розробили стандартизовані процеси на основі найкращої практики. Звичайний шлях для організації, яка бажає пройти сертифікацію відповідно до ISO 37001, такий:
- Впровадження системи менеджменту: перед аудитом система менеджменту має діяти певний час.
- Внутрішній аудит і перевірка функцією антикорупційного комплаєнсу, вищим керівництвом і керівним органом: перш ніж система управління може бути сертифікована, вона повинна мати принаймні один звіт внутрішнього аудиту, одну управлінську перевірку та одну перевірку антихабарницької комплаєнсу .
- Вибір органу сертифікації (реєстратора): Кожна організація може вибрати орган сертифікації (реєстратора) на свій вибір.
- Аудит перед оцінкою (необов’язково): організація може вибрати проведення попереднього аудиту для виявлення будь-яких можливих розбіжностей між поточною системою управління та вимогами стандарту.
- Етап 1 аудиту: перевірка відповідності проекту системи управління. Тому основною метою є перевірка того, що система менеджменту розроблена відповідно до вимог стандарту(ів) і цілей організації. Рекомендується, щоб принаймні деяка частина аудиту етапу 1 була виконана на місці в приміщенні організації.
- Етап 2 аудиту (виїзний візит): мета аудиту етапу 2 полягає в тому, щоб оцінити, чи відповідає заявлена система менеджменту всім вимогам стандарту, який фактично впроваджується в організації, і чи може підтримати організацію в досягненні її цілей. Етап 2 відбувається на ділянках(ах) організації(х), де впроваджено систему управління.
- Подальший аудит (необов’язково): якщо суб’єкт аудиту має невідповідності, які вимагають додаткового аудиту перед сертифікацією, аудитор здійснить наступний візит для підтвердження лише планів дій, пов’язаних з невідповідностями (зазвичай один день) .
- Підтвердження реєстрації: якщо організація відповідає умовам стандарту, Реєстратор підтверджує реєстрацію та публікує сертифікат.
- Постійне вдосконалення та наглядові аудити: після реєстрації організації сертифікаційний орган проводить наглядові дії, щоб переконатися, що система управління продовжує відповідати стандарту. Діяльність з нагляду повинна включати відвідування місця (принаймні 1 раз на рік), що дозволяє перевірити відповідність системи управління сертифікованого клієнта, а також може включати: розслідування за скаргою, перевірку веб-сайту, письмовий запит на подальші дії, тощо.