Nowa norma ISO 37003:2025. Wymagania dla systemu zarządzania ryzykiem oszustw i nadużyć

/ Aktualności 2025 / Nowa norma ISO 37003:2025. Wymagania dla systemu zarządzania ryzykiem oszustw i nadużyć

Nowa norma ISO 37003:2025. Wymagania dla systemu zarządzania ryzykiem oszustw i nadużyć (2025-06-06)

 

29 maja 2025 roku Międzynarodowa Organizacja Normalizacyjna ISO opublikowała nową normę ISO 37003:2025 „Fraud control management systems. Guidance for organizations managing the risk of fraud”. To przełomowy dokument, który porządkuje i systematyzuje podejście organizacji do ryzyka nadużyć i oszustw, niezależnie od branży, wielkości czy sektora działalności.

 

Nowa norma ISO 37003 stanowi długo oczekiwane uzupełnienie rodziny standardów zarządzania odpowiedzialnością organizacyjną, w tym m.in. ISO 37001 (zarządzanie działaniami antykorupcyjnymi) i ISO 37301 (systemy zarządzania zgodnością). Jest też spójna ze strukturą wysokiego poziomu (High Level Structure, HLS), dzięki czemu może być łatwo integrowana nie tylko z wymienionymi standardami ISO 37001 czy ISO 37301, ale również z innymi systemami zarządzania, np. ISO 27001 czy ISO 27701.

 
Dlaczego powstała ISO 37003?

Zjawisko oszustw i nadużyć przybiera coraz bardziej złożone formy. Rozwój technologii cyfrowych, rosnąca liczba transakcji elektronicznych, outsourcing usług oraz globalizacja łańcuchów dostaw sprawiają, że organizacje stają się coraz bardziej narażone na tego typu ryzyko. Dotyczy to zarówno nadużyć i oszustw popełnianych przez osoby z wewnątrz, jak i z zewnątrz organizacji. Co istotne, norma ISO 37003 obejmuje także działania podejmowane przez samą organizację, jej przedstawicieli lub osoby działające w imieniu organizacji, które mogą zostać zakwalifikowane jako nadużycia lub oszustwa.

 

Norma nie służy wykrywaniu pojedynczych przypadków oszustw. Jej zadaniem jest stworzenie ram systemowego podejścia do przeciwdziałania nadużyciom i oszustwom: od prewencji i monitorowania, po reakcję i doskonalenie.

 
System FCMS. Integralna część systemu zarządzania ryzykiem

System zarządzania ryzykiem oszustw i nadużyć (FCMS, czyli Fraud Control Management System), którego wdrożenie opisuje norma ISO 37003, to nie jednorazowe działania, lecz trwała struktura zarządcza. Obejmuje wszystkie etapy cyklu reagowania na zagrożenia: identyfikację, analizę, przeciwdziałanie, wykrywanie, reagowanie i działania naprawcze oraz korygujące. Uwzględnia również potrzebę współpracy z innymi funkcjami organizacji takimi jak zarządzanie ryzykiem organizacji, audyt wewnętrzny, dział prawny, HR, IT oraz bezpieczeństwem informacji.

Norma ISO 37003:2025 podkreśla, że skuteczne zarządzanie ryzykiem oszustw i nadużyć wymaga wdrożenia kompleksowego zestawu zabezpieczeń i mechanizmów nadzoru. Kluczowe znaczenie ma tutaj nie tylko przeciwdziałanie konfliktom interesów, ale także wdrażanie przejrzystych zasad podejmowania decyzji, stosowanie odpowiedzialnych mechanizmów motywacyjnych oraz eliminowanie zachęt i mechanizmów, które mogłyby sprzyjać nadużyciom.

System FCMS powinien obejmować działania dotyczące ryzyka związanego z partnerami zewnętrznymi i pracownikami (m.in. due diligence, weryfikacja kompetencji i rzetelności), ochronę zasobów i dostępu do systemów, analizę danych w poszukiwaniu sygnałów ostrzegawczych, jak również regularne testowanie skuteczności zabezpieczeń i weryfikowanie funkcjonowania mechanizmów nadzorczych.

Ważnym elementem systemu FCMS jest również budowanie i utrzymywanie kultury organizacji (pomimo że takie określenie w samej normie nie pada) poprzez działania edukacyjne, szkolenia dla pracowników i partnerów, a także ciągłe podnoszenie świadomości zagrożeń dotyczących oszustw i nadużyć. W tym kontekście kluczowe jest istnienie bezpiecznych i poufnych kanałów zgłaszania nieprawidłowości (whistleblowing), wspieranych przez mechanizmy ochrony sygnalistów.

Uzupełnieniem systemu są procedury reagowania na oszustwa i nadużycia, w tym prowadzenie obiektywnych dochodzeń wewnętrznych, dokumentowanie przypadków, zarządzanie skutkami reputacyjnymi i finansowymi, a także wdrażanie działań korygujących ukierunkowanych na usuwanie przyczyn źródłowych. Wszystko to powinno być osadzone w kontekście ciągłego doskonalenia i integracji z innymi obszarami i rozwiązaniami w organizacji takimi jak compliance, bezpieczeństwo informacji, zarządzanie ryzykiem czy kontrola wewnętrzna.

 
Korzyści z wdrożenia ISO 37003

Organizacje, które zdecydują się na wdrożenie systemu zarządzania zgodnego z ISO 37003, zyskują nie tylko większą odporność na oszustwa i nadużycia, ale w przypadku skutecznego wdrożenia systemu zarządzania mogą zyskać także:

  • wzrost zaufania ze strony interesariuszy,

  • lepsze przygotowanie na zmieniające się wymogi regulacyjne,

  • wzmocnienie kultury etycznej i przejrzystości,

  • poprawę ładu organizacyjnego i efektywności procesów zarządczych.

Wdrożenie ISO 37003 to również czytelny sygnał dla partnerów, inwestorów i instytucji nadzorczych, że dana organizacja podchodzi do zarządzania ryzykiem oszustw i nadużyć w sposób świadomy i odpowiedzialny.

 
Dowiedz się więcej o ISO 37003

Szczegółowe omówienie zakresu normy ISO 37003:2025, jej zastosowania oraz sposobu wdrożenia systemu FCMS znajdziesz na naszej stronie: https://www.iso.org.pl/uslugi-zarzadzania/wdrazanie-systemow/zarzadzanie-ryzykiem/iso-37003/

 

Z wyrazami szacunku,
Zespół Malon Group

 

Materiały źródłowe:

  • ISO 37003:2025 “Fraud control management systems. Guidance for organizations managing the risk of fraud”

  • Informacje ze strony internetowej Międzynarodowej Organizacji Normalizacyjnej: https://www.iso.org/standard/37003

Back to Top