ISO 37001 - implementace Systému managementu ochrany proti korupci

Navigace: Zdroje / ISO a výrobková certifikace / ISO 37001 - implementace Systému managementu ochrany proti korupci

Rubrika: ISO a výrobková certifikace

Autor: Vladimír Šich

Odborný garant: Vladimír Šich

Datum: 05.12.2022

Aktualizace: 05.12.2022

Mohlo by Vás zajímat

Obsah článku:

  • Co je ISO 37001?
  • Důvody, proč certifikovat organizaci pro ISO 37001
  • Jak implementovat ISO 37001?

Co je ISO 37001?

Norma ISO 37001 (Systém managementu ochrany proti korupci) je mezinárodní standard, který organizacím všech typů umožňuje předcházet, odhalovat a řešit úplatkářství a korupci. To zahrnuje přijetí protikorupční politiky, jmenování osoby, která bude dohlížet na dodržování předpisů proti úplatkářství, školení, hodnocení rizik, zavádění finanční a komerční kontroly a zavádění ohlašovacích a vyšetřovacích postupů.

ISO 37001 poskytuje celosvětově uznávaný způsob, jak řešit destruktivní kriminální činnost, která každý rok zpronevěří obrovské finanční prostředky prostřednictvím tzv. špinavých peněz. Řeší jeden z nejničivějších a nejnáročnějších problémů na světě a demonstruje odhodlaný přístup k potlačení korupce.

ISO 37001 může používat jakákoliv organizace, velká i malá, ať už ve veřejném, soukromém nebo dobrovolném sektoru a v jakékoliv zemi. Jde o flexibilní nástroj, který lze přizpůsobit velikosti a povaze organizace a riziku úplatkářství, kterému čelí.

Důvody, proč certifikovat organizaci pro ISO 37001

I když získání certifikace ISO 37001 nemusí být samoúčelné, přináší pro vaši organizaci několik důležitých výhod.

Norma poskytuje praktické vodítko

Norma vám pomůže uvést teorii do praxe. Provozní dokument nastiňuje praktické pokyny, jak zlepšit dodržování předpisů, jako je zavedení finančních a nefinančních kontrol, přizpůsobení školení o dodržování předpisů konkrétním rizikům, kterým vaše společnost čelí, a zacílení správného typu školení na správné skupiny zaměstnanců.

Dodržování požadavků poskytuje účinnou obranu

V případě nesprávného chování nebo porušení předpisů můžete prokázat, že jste již zavedli robustní mechanismy a postupy, a můžete zdokumentovat důkladnost svého programu proti úplatkářství. Certifikace znamená, že aktivně zapojujete všechny části organizace do celkového úsilí o dodržování předpisů, od nejvyššího vedení a řídících orgánů až po řadového zaměstnance. Ještě důležitější ale je ukázka toho, že vrcholový management dohlíží na adekvátní implementaci protikorupčního systému řízení organizace.

Výrazně posiluje reputaci etického podnikání

I když ISO nemá žádnou soudní pravomoc, získání certifikace dává vaší společnosti záviděníhodný obraz důvěryhodnosti. Dodržování standardu prokazuje váš závazek k etickému podnikání a boji proti korupci. Dáváte jasně najevo, že vaše organizace, včetně jakéhokoliv zaměstnance nebo třetí strany, kteří pro vás nebo s vámi obchodují, netoleruje korupční praktiky.

Jak implementovat ISO 37001?

Implementace normy ISO 37001 do organizace zahrnuje několik níže uvedených kroků. Pokud se pro implementaci rozhodnete, vše pro vás zajistíme na klíč.

Krok 1.  Politika proti korupci a úplatkářství

Nejvyšší vedení organizace vytvoří obecnou deklaraci, kterou implementuje jako součást svých interních směrnic. V této deklaraci stanoví své hodnoty a cíle a obecné postupy jak jich dosáhnout. Definuje rámec co považuje za korupci a to ve směru dovnitř své organizace tak ve směru ovlivňování klientů a třetích stran. Určí hranice a postoje, které nejsou tolerovány. Určí formy korupce jako jsou peněžní plnění, dary, protislužby, zdržení se v jednání apod. Dále stanoví deklaraci a metody ochrany oznamovatelů. Obecně se předpokládá, že tato politika půjde přes rozsah legislativních požadavků.

Krok 2.  Závazek a odpovědnost managementu

 Vedení organizace implementuje do stávající organizační struktury a vlastních směrnic odpovědnosti a pravomoci konkrétních osob nebo obecně u pracovních pozic. Určí jednotlivé role přestavitelů nejvyššího vedení a jmenuje odpovědné osoby za aktivní řízení antikorupčního systému. Tyto osoby musí získat jednoznačnou podporu vedení a musí mít přímý a rychlý přístup k nejvyššímu vedení pro sdělování relevantních informací. Neměli by podávat zprávy prostřednictvím jiného manažéra v řetězci, který pak přeposílá informaci dále.

Krok 3.  Kontroly a školení

Organizace musí vytvořit účinný kontrolní systém, tak, aby nebylo možné zjištěné závažné informace zatajit nebo pozměnit, případně ponechat bez řešení. Kontrolní sytém musí zahrnovat provádění kontrol určitých finančních transakcí, ověřování realizovaných projektů a činností, kontrolu obchodních partnerů a zaměstnanců. Kontrolní systém musí zahrnovat pravidelné ověřování před rozhodnutím o spuštění, odložení, ukončení nebo revizi těchto transakcí, projektů nebo vztahů s obchodními partnery nebo zaměstnanci. Kontrolní systém musí vycházet z míry rizika, které nesou jednotlivé projekty, činnosti nebo vztahy. Kontrolní systém musí zahrnovat kontinuální metody ověřování stejně jako plánované interní audity.

Organizace zahrne pravidelná školení do vlastního systému plánovaných školení. Školení nesmí být formální a musí klást důraz na hodnoty organizace, definice jednotlivých forem korupce a způsoby jejich oznámení.

Krok 4. Analýza rizik

Analýzu rizik sestavuje osoba odpovědná za ABMS a schvaluje nejvyšší vedení. Analýza rizik musí vycházet z pravděpodobnosti vzniku nežádoucích událostí a to na základě interních rizik a rovněž na základě externích rizik vyplývající z projektů v jakých se společnost pohybuje a v jakém celkovém obchodním prostředí. Dále rizika můžou plynout z externího obchodního zastoupení nebo distribuční sítě. Dalším vstupem pro analýzu rizik je míra dopadu jednotlivých nežádoucích událostí, jako je ztráta prestiže, ztráta projektu, vyřazení z veřejných soutěží nebo finanční postih.    

Posuzování rizik musí být dokumentováno, přezkoumáváno na pravidelné bázi, v případě podstatných změn ve struktuře nebo činnostech organizace nebo v případě nežádoucích událostí. Existuje řada norem pro vypracování analýzy rizik, například ISO 31000 – Management rizik.

Krok 5. Hloubková revize projektů (due diligence)

Organizace musí zavést systém analýzy projektů, kdy důkladným přezkoumáním projektů se výrazně sníží riziko korupčního jednání. K hloubkovému přezkoumání by mělo vést následující:

  • kontrola finančního rozpočtu a porovnání s rozpočty podobných projektů
  • přezkoumání dodavatelského řetězce s ohledem na dohodnuté finanční toky (kdo co komu)
  • přezkoumání kvalifikace a referencí subdodavatelů
  • přezkoumání povolení a licencí v dodavatelském řetězci projektu
  • přezkoumání smluvních závazků obchodních zástupců včetně provizní politiky
  • analýza rizik prostředí ve kterém se má projekt realizovat

Krok 6. Revize smluvních závazků s obchodními partnery

Organizace musí zavést pravidelný systém analýzy smluvních závazků s obchodními partnery a provádět zejména kontrolu a analýzu smluv z pohledu:

  • výše provizních odměn
  • kritérií, za jakých je odměna vyplácena  
  • rozsahu oprávnění obchodního zástupce jednat jménem organizace a přijímat závazky
  • nejednoznačných ustanovení smluv

Analýza a přezkoumání smluv s obchodními partnery musí být prováděno více osobami na různých úrovních řízení v organizaci.

Krok 7. Finanční a kontraktační kontroly

Organizace musí implementovat do interního kontrolního systému pravidelné a namátkové kontroly přijatých a vystavených faktur a ověřovat zda předmět plnění a finanční částky jsou v souladu se smlouvami a objednávkami. Tyto kontroly musí vycházet z analýzy rizik a přednost dostávat projekty a finanční plnění s nejvyšší mírou rizika. Podle míry rizika projektu musí být do kontrolního mechanismu zapojeni i představitelé vyššího vedení nebo přinejmenším seznámeni o výsledku kontrol.

Organizace musí zavést systém kontroly nefinančních benefitů poskytovaných jejím zaměstnancům obchodními zástupci nebo třetí stranou.

Krok 8. Podávání zpráv, monitorování, vyšetřování a přezkoumání

Organizace musí vytvořit účinný a jednoduchý systém podávání zpráv v případě korupčního jednání nebo vzniku rizika takového jednání. Tento systém musí reportovat přímo nejvyššímu vedení a obejít několikastupňový systém řízení, aby nedošlo k zatajení nebo zkreslení informace. Nejvyšší vedení musí oznamovateli poskytnout zpětnou vazbu.

Krok 9. Nápravná opatření a neustálé zlepšování

Tento požadavek je univerzální pro všechny normy stanovující požadavky na systém řízení. Všechny incidenty musí být zaznamenány, analyzovány a realizována nápravná opatření. V oblasti systému protikorupčního managementu je specifickým úkolem ochrana oznamovatele, kdy je potřeba modifikovat systém neustálého zlepšování tak, aby oznamovatelé nebyli vystaveni tlaku za svá oznámení.