Korupcja, oszustwa i nadużycia, czyli zintegrowane podejście do ryzyka zgodnie z ISO 37001 i ISO 37003

/ Artykuły i informacje / Korupcja, oszustwa i nadużycia, czyli zintegrowane podejście do ryzyka zgodnie z ISO 37001 i ISO 37003

Korupcja, oszustwa i nadużycia, czyli zintegrowane podejście do ryzyka zgodnie z ISO 37001 i ISO 37003 (2025-07-24)


Współczesne organizacje niezależnie od branży, wielkości czy formy prawnej, coraz częściej stają przed koniecznością uporządkowanego i systemowego zarządzania ryzykiem nieprawidłowości. Do najpoważniejszych przypadków tego typu zagrożeń należą: korupcja, oszustwa i nadużycia, które niosą za sobą konsekwencje nie tylko finansowe, ale także reputacyjne, prawne i operacyjne. W odpowiedzi na te wyzwania Międzynarodowa Organizacja Normalizacyjna ISO opracowała dwa wzajemnie uzupełniające się standardy: ISO 37001, którego regulacje towarzyszą organizacjom już od dziewięciu lat, obecnie w wersji zaktualizowanej na rok 2025, oraz ISO 37003, będący całkowicie nową normą, opublikowaną po raz pierwszy w tym samym roku.

Normy te, choć odrębne tematycznie, opierają się na wspólnych zasadach systemowego zarządzania ryzykiem, ładu organizacyjnego oraz etyki. Ich wspólna struktura wysokiego poziomu (HLS) ułatwia nie tylko wdrożenie, ale przede wszystkim integrację w ramach jednego spójnego systemu. ISO 37001 i ISO 37003 nie powinny być traktowane jako alternatywy, lecz jako elementy tej samej układanki, odpowiadające na różne aspekty ryzyka nieetycznych i nielegalnych działań.

Celem niniejszego artykułu jest przedstawienie podobieństw i różnic między ISO 37001 i ISO 37003, a także wykazanie, że ich zintegrowane wdrożenie stanowi logiczny i praktyczny krok dla organizacji chcących w sposób kompleksowy zarządzać ryzykiem nadużyć, oszustw i korupcji. W szczególności poniższe informacje mają na celu ułatwienie rozszerzenia istniejących systemów antykorupcyjnych o wymagania normy ISO 37003 jako odpowiedź na coraz bardziej złożone i zróżnicowane zagrożenia wewnętrzne i zewnętrzne.

 

I. WSPÓLNE FUNDAMENTY: STRUKTURA HLS I SYSTEMOWE PODEJŚCIE

Zarówno norma ISO 37001:2025 dotycząca systemu zarządzania działaniami antykorupcyjnymi, jak i ISO 37003:2025 odnosząca się do systemowego zarządzania ryzykiem oszustw i nadużyć, zostały opracowane w oparciu o strukturę wysokiego poziomu (HLS, czyli High-Level Structure). Jest to ustandaryzowana architektura wspólna dla zdecydowanej większości współczesnych norm ISO dotyczących systemów zarządzania, wprowadzona w celu zapewnienia spójności, kompatybilności i łatwości integracji pomiędzy różnymi standardami (z nielicznymi wyjątkami jak chociażby ISO 13485:2016, w której z jakichś względów nie zastosowano struktury HLS pomimo publikacji normy kilka lat po wprowadzeniu jej przez ISO).

Struktura HLS przekłada się na niemal identyczny układ rozdziałów oraz stosowanie tych samych pojęć, definicji i zasad formułowania wymagań. Dzięki temu, organizacje wdrażające standardy ISO mogą w sposób naturalny i efektywny zarządzać nimi w ramach jednego zintegrowanego systemu. Wspólne fundamenty obejmują m.in.:

  • Zdefiniowanie kontekstu organizacji i zrozumienie potrzeb oraz oczekiwań stron zainteresowanych (pkt 4),

  • Wymagania dotyczące przywództwa i zaangażowania najwyższego kierownictwa oraz organu zarządzającego (pkt 5),

  • Stosowanie w ramach planowania podejścia opartego na ryzyku i szansach (pkt. 6.1) oraz celach i planach ich realizacji,

  • Wymagania dotyczące zasobów, kompetencji, świadomości, komunikacji i dokumentacji (pkt 7),

  • Zarządzanie działaniami operacyjnymi (pkt 8),

  • Monitorowanie, pomiary, analizy i oceny, wewnętrzne audyty oraz przeglądy zarządzania (pkt 9).

  • reagowanie na niezgodności, prowadzenie działań korygujących oraz ciągłe doskonalenie (10),

Zakresy obu przedmiotowych norm są tematycznie rozbieżne: ISO 37001 koncentruje się na przeciwdziałaniu korupcji, natomiast ISO 37003 na szerszym spektrum ryzyka nadużyć i oszustw. Jednak pomimo tego fundamenty systemowe tych norm pozostają spójne. Taka zgodność strukturalna i metodologiczna nie tylko upraszcza wdrożenie, ale znacząco ułatwia integrację obu systemów, co w praktyce przekłada się na większą efektywność zarządzania ryzykiem oraz spójność działań w obszarze etyki, zgodności i odpowiedzialności.

 

II. PODOBIEŃSTWA MIĘDZY NORMAMI

Choć normy ISO 37001 i ISO 37003 różnią się zakresem tematycznym, wiele ich wymagań pokrywa się w obszarach kluczowych dla skutecznego zarządzania ryzykiem nieprawidłowości. Niezależnie od tego, czy punktem wyjścia jest przeciwdziałanie korupcji, czy ochrona przed oszustwami i nadużyciami, organizacje potrzebują podobnych mechanizmów: jasno określonych ról, skutecznych działań prewencyjnych, odpowiedzialności kierownictwa, funkcjonujących kanałów zgłaszania nieprawidłowości i innych. To właśnie w tych aspektach obie normy wykazują znaczące zbieżności co tworzy solidną podstawę do ich zintegrowanego stosowania.

W dalszej części przedstawiono obszary, w których wymagania obu norm są zbliżone lub uzupełniają się funkcjonalnie. Wskazano również punkty normatywne, które potwierdzają, że wiele z rozwiązań uznanych już w praktyce antykorupcyjnej znajduje bezpośrednie odzwierciedlenie w podejściu do zarządzania ryzykiem oszustw i nadużyć. Poniższe informacje odnoszą się wyłącznie do wymagań specyficznych dla norm ISO 37001 i ISO 37003, i nie obejmują zagadnień ogólnych, wspólnych dla wszystkich norm ISO dotyczących systemów zarządzania.

 

  1. Ocena ryzyka jako punkt wyjścia
    W obu normach ocena ryzyka stanowi integralny element planowania systemu zarządzania i została przypisana do punktu 4.5 w ramach rozdziału dotyczącego kontekstu organizacji. Zarówno ISO 37001, jak i ISO 37003 podkreślają, że identyfikacja, analiza i ocena ryzyka są podstawą do określenia adekwatnych środków nadzoru. W obu przypadkach wymaga się podejścia systemowego i opartego na dowodach, z uwzględnieniem wewnętrznych i zewnętrznych uwarunkowań funkcjonowania organizacji.

    Choć aktualne brzmienie żadnej z norm nie odnosi się wprost do wzajemnych powiązań pomiędzy zjawiskiem korupcji a oszustwami i nadużyciami, to w praktyce granice między tymi kategoriami działań niepożądanych bywają płynne. Przykładowo: jeśli pracownik dopuszcza się oszustwa lub nadużycia, działając na rzecz osoby trzeciej, w zamian za korzyść majątkową lub niemajątkową, taka sytuacja może jednocześnie wypełniać definicję korupcji (jako przyjęcie lub obietnica przyjęcia nienależnej korzyści) oraz klasyfikować się jako oszustwo (jako świadome działanie w celu uzyskania nieuprawnionej korzyści lub spowodowania szkody).

    Z drugiej strony, identyczna czynność może być zakwalifikowana wyłącznie jako oszustwo lub nadużycie, jeżeli jej beneficjentem będzie sam sprawca, bez udziału strony trzeciej, i bez elementu korupcyjnego. Różnica będzie zatem nie w mechanizmie działania, lecz w charakterze relacji między sprawcą a beneficjentem oraz w obecności (lub braku) czynnika korupcyjnego definiowanego jako propozycja, obietnica, wręczenie, żądanie lub przyjęcie nienależnej korzyści bez względu na jej wartość czy formę.

    Ten praktyczny przykład pokazuje, że wymagania obu norm w zakresie oceny ryzyka mają wysoki poziom komplementarności. W procesie analizy ryzyka organizacje często będą identyfikować te same lub bardzo zbliżone zdarzenia niepożądane, które w zależności od kontekstu i motywacji mogą przybrać formę incydentu o charakterze korupcyjnym lub byś oszustwem lub nadużyciem. Taka obserwacja dodatkowo wzmacnia zasadność integracji obu podejść i przemawia za wdrażaniem systemów zarządzania zgodnych z ISO 37001 i ISO 37003 jako jednej spójnej architektury przeciwdziałania nieprawidłowościom.

    2.  

  2. Odpowiedzialność organu zarządzającego (governing body)
    Zarówno norma ISO 37001, jak i ISO 37003 przypisują istotną rolę organowi zarządzającemu (governing body) w kontekście odpowiedzialności za funkcjonowanie systemu zarządzania. W obu przypadkach podkreślono, że skuteczność działań ukierunkowanych na przeciwdziałanie korupcji lub ryzyku oszustw i nadużyć wymaga nie tylko zaangażowania najwyższego kierownictwa, ale również aktywnego nadzoru ze strony organu zarządzającego.

    W ISO 37001, w punkcie 5.1.1, szczegółowo określono zakres odpowiedzialności tego organu. ISO 37003, choć w bardziej syntetyczny sposób, również przypisuje organowi zarządzającemu istotne obowiązki w zakresie nadzoru nad systemem (również w punkcie 5.1.1). Tego typu regulacja jest charakterystyczna dla systemów zarządzania z rodziny ISO 37xxx. Podobne wymagania występują również w normie ISO 37301 dotyczącej systemu zarządzania zgodnością.

    3.  

  3. Due diligence względem personelu
    Zarówno norma ISO 37001, jak i ISO 37003 podkreślają znaczenie identyfikacji stanowisk charakteryzujących się ryzykiem nieprawidłowości wyższym niż niskie. W takich przypadkach organizacja zobowiązana jest do wdrożenia adekwatnych i proporcjonalnych środków zaradczych, takich jak np. zwiększony nadzór, szczególne warunki zatrudnienia, dodatkowe mechanizmy kontroli lub rozszerzone procedury akceptacyjne.

    W obu dokumentach normatywnych przewidziano obowiązek stosowania działań należytej staranności (due diligence) wobec osób zatrudnianych na stanowiskach lub powierzanych funkcji, które generują podwyższone ryzyko nadużyć. ISO 37001 odnosi się do tego m.in. w punktach 7.2.2 i 8.2, natomiast ISO 37003 w punktach 7.2.2 oraz 8.2.7. Wskazane działania obejmować mogą m.in. identyfikację istotnych czynników ryzyka związanych z danym stanowiskiem lub daną funkcją, weryfikację kwalifikacji, doświadczenia zawodowego, historii zatrudnienia, innych informacji istotnych z punktu widzenia zgodności i etyki, a także ewentualnych konfliktów interesów.

    Obie normy akcentują potrzebę dostosowania zakresu tych działań do poziomu ryzyka a z praktycznego punktu widzenia, jak w przypadku innych środków nadzoru, uwzględnić należy zasady proporcjonalności, przejrzystości i skuteczności. Oznacza to możliwość elastycznego projektowania procesu rekrutacji oraz obsady stanowisk i funkcji istotnych z punktu widzenia zarządzania ryzykiem nieprawidłowości przy jednoczesnym zachowaniu odpowiedzialnego, świadomego i ustrukturyzowanego podejścia.

    Wdrażając środki weryfikacyjne, organizacje powinny każdorazowo uwzględniać krajowe i unijne przepisy prawa w zakresie ochrony danych osobowych, w tym w szczególności postanowienia ogólnego rozporządzenia o ochronie danych RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Przestrzeganie tych regulacji jest niezbędne w celu zapewnienia legalności przetwarzania danych w procesach due diligence a tym samym zapewnienia przestrzegania praw i wolności osób, których dane są przetwarzane.

    4.  

  4. Rekrutacja, onboarding i oświadczenia zgodności
    Zarówno ISO 37001, jak i ISO 37003 przewidują zbliżone wymagania dotyczące procesów rekrutacyjnych, onboardingu oraz formalnego potwierdzania zgodności z politykami organizacyjnymi. W obu normach podkreślono znaczenie informowania kandydatów, już na etapie naboru, o obowiązujących zasadach etycznych, regulacjach wewnętrznych oraz wartościach, którymi kieruje się organizacja.

    Po zatrudnieniu organizacja zobowiązana jest do zapewnienia skutecznego procesu onboardingu, który obejmuje przekazanie (lub zapewnienie dostępu do) aktualnej polityki oraz przeprowadzenie szkoleń w zakresie jej treści. Onboarding jest istotnym działaniem ukierunkowanym na budowania świadomości oraz przekazywania kluczowych informacji pracownikom, w tym w szczególności zagadnień związanych z etyką, odpowiedzialnością i przeciwdziałaniem nieprawidłowościom. Z tego względu niezbędne jest, aby w procesie tym spełnione były również wymagania punktu 7.3 Świadomość (w przypadku obu norm).

    Dodatkowo, zarówno ISO 37001, jak i ISO 37003 przewidują obowiązek składania oświadczeń o zgodności z obowiązującą polityką przez przedstawicieli najwyższego kierownictwa, członków organu zarządzającego (jeśli występuje), a także przez osoby pełniące funkcje lub zajmujące stanowiska obarczone ryzykiem wyższym niż niskie.

    5.  

  5. Szkolenia i budowanie świadomości
    ISO 37001 oraz ISO 37003 przewidują zbliżone wymagania dotyczące szkoleń i działań proświadomościowych. W obu normach podkreślono, że budowanie wiedzy i świadomości pracowników, partnerów biznesowych (ogólniej: osób działających dla i w imieniu organizacji) stanowi warunek skuteczności systemu zarządzania nieprawidłowościami.

    Wymagane jest, aby organizacja opracowała i wdrożyła program szkoleniowy uwzględniający specyfikę ryzyka, rolę uczestników oraz zakres ich odpowiedzialności. Szkolenia powinny obejmować nie tylko znajomość procedur i polityk, ale także promowanie wartości zgodności, uczciwości i odpowiedzialności.

    Obie normy wskazują również na potrzebę dokumentowania działań edukacyjnych, ich cyklicznego przeglądu oraz zapewnienia, że wiedza jest utrzymywana i rozwijana w sposób systemowy. ISO 37003, w porównaniu z ISO 37001, przedstawia w sposób bardziej szczegółowy zakres zagadnień, w odniesieniu do których powinna być zapewniona świadomość. Zakres wymagań i ich cel pozostają jednak zasadniczo tożsame.

    6.  

  6. Motywacyjne elementy wynagrodzeń i premie za wyniki
    ISO 37001 i ISO 37003 zawierają zbieżne wymagania dotyczące zasad kształtowania premiowania za wyniki. W obu normach, w punkcie 7.2.2, podkreślono, że organizacja powinna zapewnić, aby mechanizmy premiowania za wyniki w odniesieniu do funkcji i stanowisk obarczonych ryzykiem wyższym niż niskie nie zachęcały do działań niezgodnych z polityką, procedurami ani celami systemu zarządzania.

    W praktyce oznacza to konieczność takiego projektowania systemów premiowych, aby nie promowały one zachowań ryzykownych z perspektywy zgodności, etyki i odpowiedzialności. Premie i inne elementy uzależnione od wyników powinny uwzględniać nie tylko osiągnięcia, ale też sposób ich realizacji, w tym przestrzeganie wartości organizacyjnych.

    Warto zauważyć, że ISO 37003 zawiera dodatkowe rozwinięcie tej kwestii w punkcie 8.2.6, w którym odniesiono się szerzej do zarządzania celami opartymi na wynikach. Ujęcie to wykracza poza samą politykę premiową i obejmuje szerszy kontekst zarządzania celami, ich formułowania i powiązania z ryzykiem nadużyć co stanowi różnicę względem ISO 37001 i zostało przedstawione w dalszej części opracowania.

    7.  

  7. Delegowanie podejmowania decyzji
    Zarówno ISO 37001, jak i ISO 37003 podkreślają konieczność precyzyjnego określenia zasad delegowania podejmowania decyzji, szczególnie w obszarach narażonych na ryzyko nieprawidłowości. Wymagania te przedstawiono odpowiednio w punktach 5.3.3 (ISO 37001) oraz 5.3.2 (ISO 37003).

    Obie normy wskazują, że organizacja powinna ustanowić jasne kryteria i mechanizmy delegowania uprawnień do podejmowania decyzji, uwzględniające zarówno poziom ryzyka, jak i znaczenie danej decyzji. Uprawnienia decyzyjne nie mogą być przekazywane w sposób, który rodzi ryzyko rzeczywistego lub potencjalnego konfliktu interesów.

    Proces delegowania powinien odbywać się w sposób nadzorowany i świadomy, zgodnie z ustalonymi zasadami wewnętrznymi. Zapewnienie przejrzystości w zakresie powierzanych uprawnień decyzyjnych ma na celu ograniczenie ryzyka nadużyć oraz wspiera odpowiedzialność osób działających dla i w imieniu organizacji.

    8.  

  8. Funkcje odpowiedzialne za nadzór nad systemem
    Zarówno ISO 37001, jak i ISO 37003 przewidują konieczność ustanowienia dedykowanych funkcji odpowiedzialnych za nadzór nad systemem oraz koordynację działań w zakresie przeciwdziałania nieprawidłowościom. W ISO 37001 (pkt 5.3.2) mowa o przypisaniu odpowiedzialności za funkcję przeciwdziałania korupcji, natomiast w ISO 37003 (pkt 5.3.3) określono rolę funkcji nadzorującej system zarządzania ryzykiem nadużyć.

    W obu przypadkach organizacja zobowiązana jest do wyznaczenia jednej lub kilku osób, które będą posiadały wystarczające kompetencje, niezależność i autorytet, aby skutecznie realizować swoje zadania. Należy zapewnić, że funkcje te są właściwie umocowane, a ich odpowiedzialność jest jasno określona i znana w organizacji.

    Celem tych wymagań jest stworzenie trwałego mechanizmu koordynacji i nadzoru, który umożliwi monitorowanie zgodności działań z przyjętą polityką, wsparcie we wdrażaniu działań zaradczych oraz skuteczne raportowanie do najwyższego kierownictwa oraz organu zarządzającego (jeśli ma zastosowanie). Choć nazewnictwo i zakres obowiązków mogą różnić się w zależności od normy, obie regulacje opierają się na wspólnym założeniu: konieczności powierzenia jasno określonej odpowiedzialności za nadzorowanie funkcjonowania i doskonalenia systemu zgodności.

    9.  

  9. Ryzyko związane z partnerami biznesowymi
    Obie normy (ISO 37001 oraz ISO 37003) przewidują zbliżone podejście do oceny i zarządzania ryzykiem wynikającym ze współpracy z partnerami biznesowymi. Zarówno w przypadku przeciwdziałania korupcji, jak i ograniczania ryzyka nadużyć, kluczowym elementem systemu jest wdrożenie odpowiednich działań weryfikacyjnych oraz zabezpieczeń kontraktowych wobec podmiotów działających dla i w imieniu organizacji lub na jej rzecz.

    ISO 37001 w punktach 8.2, 8.5, 8.6 oraz 8.8 formułuje wymagania dotyczące m.in. przeprowadzania due diligence wobec wybranych kategorii partnerów biznesowych, ustanawiania zobowiązań antykorupcyjnych, a także stosowania środków w przypadku braku adekwatnych zabezpieczeń. Analogiczne podejście prezentuje ISO 37003, w której kompleksowe wymagania zebrano w punkcie 8.2.8. Obejmują one m.in. identyfikację ryzyka, weryfikację kontrahentów, dostosowanie postanowień umownych oraz stosowanie działań monitorujących i korygujących.

    W obu dokumentach podkreślono, że podejście do oceny ryzyka partnerów powinno być proporcjonalne do poziomu zagrożeń oraz zintegrowane z innymi działaniami operacyjnymi i kontrolnymi. Choć ISO 37003 przedstawia to zagadnienie w bardziej rozbudowanej i uporządkowanej formie, cel regulacji w obu przypadkach pozostaje tożsamy: ograniczenie ryzyka nieprawidłowości wynikających z relacji zewnętrznych i wzmocnienie odpowiedzialności kontraktowej.

    10.  

  10. Procedury zgłaszania nieprawidłowości (whistleblowing)
    Zarówno ISO 37001, jak i ISO 37003 przewidują obowiązek ustanowienia bezpiecznych i skutecznych mechanizmów umożliwiających zgłaszanie nieprawidłowości przez pracowników, inne osoby działające w imieniu lub na rzecz organizacji oraz partnerów biznesowych i inne strony zainteresowane. Dostępność i świadomość takich procedur oraz ich skuteczność stanowią kluczowy element systemu i wspierają jego skuteczność operacyjną.

    Wymagania tym zakresie obejmują m.in. konieczność zapewnienia kanałów umożliwiających poufne lub anonimowe zgłoszenia, ochronę osób zgłaszających przed działaniami odwetowymi oraz wyraźne zakomunikowanie, że zgłaszanie podejrzeń stanowi działanie zgodne z oczekiwaniami organizacji. Obie normy odwołują się również do możliwości wykorzystania wytycznych zawartych w ISO 37002 jako wsparcia przy projektowaniu i wdrażaniu procedur whistleblowingowych (zgłaszania nieprawidłowości).

    Choć zakres redakcyjny tych wymagań różni się (ISO 37001 przedstawia je w punkcie 8.9, a ISO 37003 w punkcie 8.3.6), ich istota pozostaje zbieżna: zapewnienie, że każda osoba ma możliwość bezpiecznego zgłoszenia w dobrej wierze potencjalnych nieprawidłowości bez obawy o konsekwencje osobiste, a organizacja posiada obowiązek przyjęcia takiego zgłoszenia i podjęcia dalszych działań zgodnie z przyjętą procedurą.

III. RÓŻNICE MIĘDZY ISO 37003 A ISO 37001

Choć normy ISO 37001 i ISO 37003 opierają się na wspólnej strukturze wysokiego poziomu (HLS) oraz zawierają wiele spójnych wymagań, każda z nich obejmuje odrębny zakres tematyczny i posiada własne, specyficzne regulacje. Poniżej przedstawiono najważniejsze różnice między tymi normami z punktu widzenia ISO 37003 jako nowego standardu w rodzinie ISO 37xxx, skoncentrowanego na systemowym zarządzaniu ryzykiem oszustw i nadużyć.

  1. Elementy obecne w ISO 37001 jednak różniące się od tych przedstawionych w normie ISO 37003

    • Zakres ryzyk uwzględnionych w systemie (pkt 4.4)
      W normie ISO 37003 szczegółowo określono rodzaje nadużyć i oszustw, które powinny zostać objęte systemem zarządzania, wskazując konkretne kategorie sytuacji związanych z ryzykiem. Charakterystyczne dla tej normy jest to, że informacje te zostały przedstawione nie tylko w części wstępnej (pkt. 1 „Zakres”), ale dodatkowo powtórzone w punkcie 4.4, który należy już do części zawierającej wymagania normatywne. Taka forma prezentacji informacji jest nietypowa w kontekście innych norm ISO, gdzie szczegółowy opis zakresu zwykle umieszczany jest wyłącznie na początku dokumentu. Jednak ze względu na to, że jest to jedynie powielenie informacji zawartych już w zakresie, absolutnie nie wpływa to na sposób interpretacji ani wdrażania normy.

      •  

    • Planowanie i nadzorowanie działań operacyjnych (pkt 8.1)
      Norma ISO 37003, podobnie jak ISO 37001, wskazuje konieczność planowania, wdrażania oraz nadzorowania procesów operacyjnych w taki sposób, aby zapewnić ich zgodność z przyjętą polityką, procedurami oraz celami systemu zarządzania. Obie normy podkreślają konieczność skutecznego zarządzania ryzykiem operacyjnym oraz adekwatności stosowanych środków nadzoru do specyfiki organizacji i charakteru zidentyfikowanego ryzyka.

      Istotną różnicą jest jednak sposób, w jaki ISO 37003 określa zakres odpowiedzialności operacyjnych. Norma ta wskazuje na potrzebę zaangażowania tam, gdzie ma to zastosowanie, aż kilkunastu wewnętrznych funkcji organizacyjnych, które mogą mieć kluczowe znaczenie w nadzorowaniu ryzyka oszustw i nadużyć. Dotyczy to między innymi obszarów kontroli finansowej, zaopatrzenia, zarządzania zasobami ludzkimi, bezpieczeństwa informacji, audytu wewnętrznego i innych, których efektywna współpraca ma zapewnić kompleksowe podejście do przeciwdziałania oszustwom i nadużyciom.

      Tymczasem norma ISO 37001 ujmuje kwestie planowania działań operacyjnych bardziej ogólnie, koncentrując się na ogólnych zasadach zapewnienia zgodności działań organizacji z polityką antykorupcyjną oraz wdrożeniem odpowiednich kontroli i mechanizmów operacyjnych, bez tak wyraźnego wskazania konieczności angażowania i koordynacji szerokiego spektrum funkcji wewnętrznych.

      •  

    • Konflikt interesów (pkt 8.2.3)
      ISO 37003 wprowadza bardziej szczegółowe i rozbudowane wymagania dotyczące konfliktów interesów w porównaniu do normy ISO 37001. W szczególności norma ta nakłada na organizację obowiązek aktywnego zarządzania konfliktami interesów poprzez ich identyfikację, zgłaszanie, ocenę i wdrożenie adekwatnych środków odnoszących się do ryzyka. Norma ISO 37003 wskazuje również konieczność udokumentowania tych procesów oraz określenia jasnych zasad ujawniania potencjalnych konfliktów przez personel oraz inne osoby działające dla i w imieniu organizacji.

      W ISO 37001 wymagania dotyczące konfliktów interesów w kontekście przeciwdziałania korupcji są ujęte w sposób bardziej ogólny i ograniczają się do konieczności ich zgłaszania (pkt. 7.2.2.1 e)). Natomiast ISO 37003 traktuje zagadnienie konfliktów interesów szerzej, podkreślając ich znaczenie w odniesieniu do szerokiego spektrum ryzyka oszustw i nadużyć. Takie podejście sprawia, że wymagania normy ISO 37003 mają bardziej uniwersalny charakter, dostosowany do złożonych i różnorodnych zagrożeń, z jakimi mierzą się współczesne organizacje.

      •  

    • Przegląd zarządzania (pkt 9.3)
      W normach ISO 37001 i ISO 37003 występują zauważalne różnice dotyczące realizacji przeglądu zarządzania. W ISO 37001 wyraźnie wskazano, w pkt. 9.3, że przegląd ten powinien być realizowany zarówno przez najwyższe kierownictwo, jak i organ zarządzający (governing body), jeśli został ustanowiony. Dodatkowo w ISO 37001 zawarte jest odrębne wymaganie (pkt 9.4), zgodnie z którym funkcja zapewnienia zgodności antykorupcyjnej również realizuje własny przegląd w zakresie działania systemu.

      Natomiast ISO 37003 ogranicza wymóg realizacji przeglądu zarządzania wyłącznie do najwyższego kierownictwa (pkt. 9.4). Norma ta nie przewiduje odrębnego, formalnego przeglądu dokonywanego przez funkcję zapewnienia zgodności, raportowania wyników przeglądu do organu zarządzającego ani przeprowadzania przez ten organ niezależnego przeglądu zarządzania. W ISO 37003 organ zarządzający zachowuje ogólną, nadrzędną funkcję nadzorczą, jednak nie przypisano mu bezpośredniej roli w formalnym procesie przeglądu zarządzania. Taka konstrukcja może skutkować odmiennym podziałem odpowiedzialności w zakresie przeglądów systemowych w porównaniu do ISO 37001.

    2.  

  2. Elementy specyficzne dla normy ISO 37003, które nie występują w ISO 37001

    • Kultura organizacyjna i ramy uczciwości
      Istotną różnicą między normami ISO 37001 a ISO 37003 jest podejście do kwestii kultury organizacyjnej. Wymagania dotyczące kultury organizacyjnej stanowią jeden z nielicznych obszarów, w których norma ISO 37001 formułuje bardziej rygorystyczne oczekiwania niż te przedstawione w ISO 37003. Wdrożenie zapisów jednoznacznie wskazanych w normie ISO 37001 (pkt 5.1.3 oraz 5.1.2 h), dotyczących budowania, utrzymywania i rozwijania kultury antykorupcyjnej, może mieć decydujące znaczenie dla skuteczności całego systemu zarządzania. Norma ta nie tylko formułuje ogólne zobowiązania kierownictwa, ale również szczegółowo definiuje kulturę antykorupcyjną jako wartości, etykę, przekonania i zachowania obecne w całej organizacji, które współdziałają ze strukturami i mechanizmami kontrolnymi w celu kształtowania pożądanych norm postępowania.

      Z kolei ISO 37003 nie odnosi się bezpośrednio do zagadnienia kultury organizacyjnej. Zamiast tego przedstawia mniej zobowiązujące wymagania dotyczące opracowywania i promowania „skutecznych ram uczciwości” (integrity framework, pkt 8.2.2) oraz ogólnego promowania systemu zarządzania ryzykiem nadużyć (FCMS, pkt 7.4.2). Ramy uczciwości zdefiniowane są tu jako zestaw zasad, wytycznych i procesów mających na celu wspieranie zachowań etycznych, odpowiedzialności i przejrzystości w organizacji.

      Chociaż intencje obu norm w zakresie promowania postaw etycznych są zbieżne, ISO 37001 poprzez jednoznaczne wymagania dotyczące budowania kultury organizacyjnej traktuje to zagadnienie znacznie poważniej, nakładając na najwyższe kierownictwo obowiązek aktywnego zaangażowania w świadome kształtowanie postaw i wartości. W przypadku ISO 37003 odczuć można wyraźny niedosyt wynikający z braku precyzyjnych odniesień do potrzeby tworzenia trwałej kultury uczciwości. Tym samym w praktyce stosowania ISO 37003 ciężar skuteczności systemu może być bardziej uzależniony od wdrożonych procedur i mechanizmów niż od realnego wpływu na wartości, przekonania i postawy osób działających dla i w imieniu organizacji.

      •  

    • Współpraca międzyfunkcyjna (punkty 4.5.2, 5.3.4, 5.3.5, 8.1 oraz 7.1.2)
      W normie ISO 37003 duży nacisk położono na konieczność współpracy międzyfunkcyjnej oraz integracji działań związanych z zarządzaniem ryzykiem oszustw i nadużyć. Szczególnie w punktach 4.5.2 oraz 5.3.4 i 5.3.5 podkreślono potrzebę koordynacji działań i efektywnego przepływu informacji pomiędzy różnymi funkcjami organizacyjnymi. Z kolei w punkcie 7.1.2 wskazano specyficzne wymagania dotyczące kompetencji osób realizujących zadania związane z bezpieczeństwem informacji, akcentując istotną rolę tej funkcji w kontekście ograniczania ryzyka oszustw i nadużyć powiązanego z ryzykiem bezpieczeństwa informacji.

      Szczególna rola przypisana funkcji bezpieczeństwa informacji wynika bezpośrednio ze specyfiki ryzyka związanego z oszustwami i nadużyciami. W załączniku A normy ISO 37003, mającym charakter informacyjny (co należy szczególnie podkreślić), w punktach od A.2 do A.4 przedstawiono szeroki katalog przykładów potencjalnych oszustw i nadużyć. Wśród nich wymieniono m.in.: kradzież informacji poufnych, nieautoryzowany dostęp do kont bankowych organizacji, ataki typu ransomware, cyberwłamania, nadużycia wynikające z uprzywilejowanego dostępu do systemów informatycznych, fałszowanie dokumentów oraz raportów finansowych, a także wiele innych incydentów, które jednocześnie ilustrują rodzaje ryzyka związanego z bezpieczeństwem informacji. W świetle przedstawionych zagrożeń ścisła współpraca z funkcją bezpieczeństwa informacji nabiera kluczowego znaczenia dla skutecznego zarządzania ryzykiem oszustw i nadużyć. Norma wyraźnie akcentuje konieczność zapewnienia odpowiednich kompetencji oraz efektywnego współdziałania pomiędzy specjalistami odpowiedzialnymi za system zarządzania bezpieczeństwem informacji (ISMS) a osobami odpowiedzialnymi za zarządzanie ryzykiem oszustw i nadużyć.

      Dodatkowo, w punkcie 8.1 normy ISO 37003 wskazano inne funkcje wewnętrzne, które mogą mieć istotne znaczenie w kontekście zarządzania ryzykiem oszustw i nadużyć w organizacji. Przedstawiony został szeroki zbiór obszarów organizacyjnych, których współpraca może znacząco poprawić efektywność zarządzania tym ryzykiem. Do wskazanych funkcji należą między innymi obszary zarządzania zasobami ludzkimi, bezpieczeństwa fizycznego i technicznego, prawnego, finansowego, zakupowego, zgodności (compliance) oraz wiele innych. Skuteczna koordynacja działań tych jednostek pozwala na bardziej efektywne zapobieganie oraz szybsze wykrywanie przypadków oszustw i nadużyć.

      •  

    • Prowadzenie dokumentacji i poufność informacji (pkt 7.5.4)
      Norma ISO 37003 w punkcie 7.5.4 przedstawia szczegółowe wymagania dotyczące prowadzenia dokumentacji, które nie mają swojego odpowiednika w normie ISO 37001. Organizacja jest zobowiązana do zapewnienia odpowiedniego prowadzenia i kompletności dokumentacji zgodnie z przyjętymi politykami, procedurami i systemami, co pozwala na zwiększenie transparentności oraz ułatwia wykrywanie nieprawidłowości. Wskazano również konieczność zarządzania bezpieczeństwem informacji, w tym identyfikację i ochronę informacji poufnych, kontrolowanie dostępu do informacji oraz prowadzenie rejestrów dostępu i innych aktywności użytkowników w krytycznych systemach. Norma dodatkowo wskazuje na obowiązek zarządzania metadanymi, które pomagają w weryfikacji autentyczności, wiarygodności i integralności zapisów.

      Te szczegółowe wymagania dotyczą zarówno samej organizacji, jak i jej partnerów biznesowych. Należy podkreślić, że wymagania te silnie korespondują z wymaganymi zabezpieczeniami odnoszącymi się do ryzyka bezpieczeństwa informacji, które przedstawiono w Załączniku A normy ISO/IEC 27001. Tego typu specyficzne i pogłębione regulacje w zakresie dokumentacji i informacji nie zostały uwzględnione w normie ISO 37001. Wymagania ISO 37001 w tej materii mają charakter ogólny i mniej rozbudowany. W zakresie bezpieczeństwa informacji ograniczają się wyłącznie do ogólnych regulacji przedstawionych w pkt. 7.5.3.

      •  

    • Zapobieganie oszustwom i nadużyciom (pkt. 8.2)
      Norma ISO 37003 zawiera rozbudowane regulacje dotyczące środków zaradczych ukierunkowanych na zapobieganie oszustwom i nadużyciom, które zostały przedstawione w punkcie 8.2. W artykule wcześniej poruszone zostały już kwestie związane z opracowaniem i promowaniem ram integralności (pkt. 8.2.2 powiązany z 7.4.2), zarządzaniem konfliktem interesów (pkt. 8.2.3), środkami odnoszącymi się do ryzyka wobec personelu (pkt. 8.2.7 powiązany z 7.2.2) oraz partnerów biznesowych (pkt. 8.2.8). Poniżej zaprezentowano pozostałe, charakterystyczne elementy prewencyjne specyficzne dla ISO 37003, których nie zawiera norma ISO 37001.

      Oprócz powyższych kwestii, ISO 37003 wskazuje na konieczność wdrożenia skutecznych, wewnętrznych środków nadzoru obejmujących wszystkie procesy organizacji (pkt 8.2.4). Organizacja jest zobowiązana do zidentyfikowania procesów podatnych na ryzyko oraz zapewnienia odpowiednich do wyników oceny ryzyka wewnętrznych środków nadzoru i ich regularnej aktualizacji. Niezbędne jest również zapewnienie świadomości i rozumienia tych środków nadzoru przez wszystkich pracowników będących uczestnikami procesów. Te wymagania mają na celu ograniczenie możliwości wystąpienia oszustw i nadużyć w ramach codziennych operacji organizacji. Odpowiednikiem tych wymagań w normie ISO 37001, przedstawionych jednak w sposób nieporównywalnie bardziej lakoniczny są wymagania dotyczące finansowych środków nadzoru (ISO 37001, pkt. 8.3) oraz innych niż finansowe środki nadzoru (ISO 37001, pkt. 8.4).

      Poza ogólnymi wymaganiami odnośnie wewnętrznych środków nadzoru w obszarze prewencji wskazanych zostało również szerokie spektrum dodatkowych zabezpieczeń. Wśród istotnych elementów prewencji znajduje się między innymi testowanie skuteczności wdrożonych i stosowanych środków nadzoru (pkt 8.2.5). Norma ISO 37003 wymaga przeprowadzania testów oraz symulacji scenariuszy ryzyka, które pozwalają na identyfikację potencjalnych słabości w stosowanych środkach nadzoru i umożliwiają proaktywne doskonalenie zabezpieczeń.

      Ponadto, norma wskazuje na obowiązek odpowiedniego formułowania i zarządzania celami opartymi na wynikach (pkt 8.2.6), tak aby minimalizować ryzyko presji na realizację celów mogącej prowadzić do oszustw lub nadużyć. Na zmniejszenie ryzyka w tym zakresie wpływ mają między innymi: odpowiednio określone cele w tym unikanie lub minimalizowanie polegania na celach sprzyjających występowaniu oszustw lub nadużyć, mechanizmy przeglądu i weryfikacji uzyskiwanych wyników pod kątem potencjalnych sytuacji niepożądanych oraz audytów i działań kontrolnych.

      ISO 37003 zwraca także uwagę na potrzebę ochrony organizacji przed oszustwami z wykorzystaniem technologii informatycznych (pkt 8.2.9). Wymagania te obejmują wdrożenie środków nadzoru w obszarze zarządzania bezpieczeństwem informacji, co jest spójne z zapisami punktu 7.5.4 normy ISO 37003 i odnoszą się między innymi do ochrony integralności, dostępności oraz poufności informacji.

      Wreszcie, ISO 37003 wymaga wdrożenia zabezpieczeń związanych z fizyczną ochroną aktywów organizacji (pkt 8.2.10). W tym zakresie organizacja powinna zapewnić mechanizmy nadzoru związane z dostępem fizycznym, ochroną majątku przed kradzieżą oraz nieautoryzowanym wykorzystaniem oraz monitoringiem pozwalającym na wykrywanie oszustw i nadużyć.

      Tak kompleksowe ujęcie zagadnień dotyczących zapobiegania nieprawidłowościom stanowi unikalny aspekt normy ISO 37003. Wprowadzone w tej normie rozwiązania są znacząco bardziej rozbudowane niż działania prewencyjne przewidziane przez normę ISO 37001, umożliwiając organizacjom bardziej systematyczne i holistyczne podejście do zarządzania ryzykiem.

      •  

    • Wykrywanie oszustw i nadużyć (pkt 8.3)
      W normie ISO 37003 wprowadzono szczegółowe wymagania dotyczące wykrywania nieprawidłowości, które nie mają swojego odpowiednika w normie ISO 37001. Punkt 8.3 ISO 37003 precyzuje obowiązek aktywnego monitorowania i analizowania różnorodnych źródeł informacji, które mogą wskazywać na wystąpienie potencjalnych zdarzeń o charakterze fraudowym. Wśród wskazanych metod wykrywania wymienia się m.in. przeglądy potransakcyjne, które pozwalają na analizę prawidłowości (lub identyfikację nieprawidłowości) przeprowadzonych operacji, a także szczegółową analizę raportów zarządczych, szczególnie raportów z rachunkowości zarządczej, w celu identyfikowania nietypowych wzorców czy anomalii finansowych.

      Norma dodatkowo zwraca uwagę na konieczność proaktywnego identyfikowania i wykorzystywania wskaźników wczesnego ostrzegawczych (tzw. red flags), czyli sygnałów mogących wskazywać na możliwość wystąpienia oszustw i nadużyć. Szczególnie istotne jest również systematyczne stosowanie narzędzi analitycznych oraz rozwiązań opartych na zaawansowanej analizie danych (data analytics), które pozwalają na wykrycie ukrytych lub nietypowych relacji między danymi. Norma wymaga także wdrożenia mechanizmów zgłaszania podejrzeń lub incydentów (fraud reporting), które powinny być łatwo dostępne dla personelu organizacji oraz partnerów biznesowych.

      Nowością wprowadzoną przez ISO 37003 jest również wykorzystanie systemów opartych na sztucznej inteligencji, które wspierają analizę dużych zbiorów danych w czasie rzeczywistym, zwiększając efektywność wykrywania zdarzeń fraudowych. Ponadto wskazano na potrzebę efektywnego zarządzania skargami i reklamacjami jako źródłem informacji o możliwych nieprawidłowościach, a także przeprowadzania szczegółowych wywiadów końcowych (exit interviews) z pracownikami opuszczającymi organizację, które mogą dostarczyć wartościowych informacji dotyczących potencjalnych zagrożeń lub nieetycznych zachowań.

      Norma ISO 37001 nie zawiera analogicznych, szczegółowych wymagań dotyczących aktywnego i wieloaspektowego podejścia do wykrywania nieprawidłowości (korupcji), ograniczając się głównie do procedur ich zgłaszania (whistleblowing). Tym samym, podejście ISO 37003 jest bardziej kompleksowe i szczegółowe, istotnie wzmacniając zdolność organizacji do szybkiego i efektywnego wykrywania nieprawidłowości.

      •  

    • Reagowanie na zdarzenia związane z oszustwami i nadużyciami (pkt 8.4)
      Norma ISO 37003 przedstawia szczegółowe wymagania dotyczące kompleksowego procesu reagowania organizacji na wykryte lub podejrzewane przypadki oszustw i nadużyć. W przeciwieństwie do normy ISO 37001, w której kwestia reakcji ograniczona została głównie do prowadzenia dochodzeń w przypadkach korupcji (pkt 8.10), ISO 37003 rozszerza zakres wymagań o pełny zestaw procedur operacyjnych oraz zarządczych.

      W punkcie 8.4.2 norma wymaga podjęcia niezwłocznych działań zaraz po wykryciu zdarzenia, w szczególności zabezpieczenia materiału dowodowego (zarówno fizycznego, jak i cyfrowego), ograniczenia ewentualnych strat oraz wskazania osoby odpowiedzialnej za koordynację pierwszej reakcji. Działania te uzupełnia punkt 8.4.3, który precyzyjnie określa wymagania dotyczące postępowania z dowodami cyfrowymi, tak aby zagwarantować integralność danych oraz utrzymanie nieprzerwanego łańcucha dowodowego zgodnie z uznanymi metodami informatyki śledczej.

      Punkt 8.4.4 odnosi się do obowiązku przeprowadzenia formalnego dochodzenia. Norma rekomenduje w tym zakresie korzystanie z uznanych standardów, jakimi są wytyczne zawarte w ISO/IEC 37008, jednak w swojej treści nie formułuje dodatkowych wymagań w tym punkcie. Dodatkowe wymagania zostały przedstawione w pkt. 8.4.5 wskazującym na to, że każde zgłoszenie i zarzuty mogą być fałszywe lub oparte na osobistych motywach. Pomimo tego, że organizacja powinna się skupić na obiektywnych dowodach, niezależnych od przypisywanych motywów zgłaszającemu to jednak nawet zarzuty oceniane jako nieuzasadnione mogą wskazywać na obszary wymagające dalszego wyjaśnienia.

      ISO 37003 wyraźnie wskazuje na konieczność rozdzielenia funkcji dochodzeniowych od funkcji decyzyjnych w zakresie prowadzenia postępowania (pkt 8.4.7), aby uniknąć potencjalnych konfliktów interesów. Równocześnie organizacja musi dysponować opracowaną polityką dyscyplinarną, która w sposób jasny określa sankcje proporcjonalne do charakteru i wagi naruszenia (pkt 8.4.6).

      Istotnym aspektem procesu reagowania jest również zarządzanie sytuacją kryzysową (pkt 8.4.8), obejmujące przede wszystkim określenie procedur komunikacji w tym wewnętrzną i zewnętrzną oraz strukturę odpowiedzialności w tym zakresie. Dodatkowo, punkt 8.4.9 wymaga ustalenia zasad raportowania wewnętrznego i eskalacji wyników dochodzenia do odpowiednich poziomów kierownictwa organizacji.

      Norma wskazuje także na obowiązek prowadzenia szczegółowego rejestru incydentów (pkt 8.4.10), wskazując jakiego rodzaju informacje powinien ten rejestr zawierać. Z kolei punkt 8.4.11 wymaga analizy zdarzeń oraz ich zbiorczej oceny w celu identyfikacji trendów oraz luk i słabości wśród przyjętych i stosowanych środków nadzoru.

      Ponadto, ISO 37003 zobowiązuje organizacje do określenia polityki raportowania zewnętrznego incydentów właściwym organom ścigania lub regulatorom (pkt 8.4.12), a także podejmowania aktywnych działań mających na celu odzyskanie utraconych aktywów (pkt 8.4.13). Kolejne wymagania dotyczą postępowania w przypadku oszustw i nadużyć popełnionych przy udziale partnerów biznesowych (pkt 8.4.14) oraz rozważenia stosowania ubezpieczeń chroniących przed skutkami finansowymi oszustw (pkt 8.4.15).

      Na zakończenie procesu, punkt 8.4.16 normy nakazuje przeprowadzenie gruntownej analizy skuteczności środków nadzoru po wykrytym incydencie oraz wdrożenie stosownych usprawnień. Punkt 8.4.17 uzupełnia te wymagania o ocenę wpływu zdarzenia na zainteresowane strony (pracowników, klientów, inwestorów). Zgodnie z pkt 8.4.18, organizacja powinna wdrożyć środki uniemożliwiających kontynuację oszustwa lub nadużycia lub środki zapobiegawcze uniemożliwiające powtarzanie się analogicznych incydentów w przyszłości.

      Tak rozbudowane wymagania ISO 37003 tworzą spójny i wielowymiarowy proces zarządzania zdarzeniami związanymi z oszustwami i nadużyciami, który znacząco poszerza możliwości skutecznej i efektywnej reakcji organizacji w porównaniu z normą ISO 37001.

      •  

    • Audyt zewnętrzny (pkt 9.3)
      Istotnym elementem specyficznym wyłącznie dla normy ISO 37003, niemającym swojego odpowiednika w ISO 37001, jest wymóg realizacji audytu zewnętrznego jako integralnej części systemu zarządzania ryzykiem oszustw i nadużyć. Norma przewiduje przeprowadzanie okresowych audytów przez niezależnych audytorów zewnętrznych, którzy zapewniają obiektywność i bezstronność audytu.

      Audyt zewnętrzny w ISO 37003 służy nie tylko ocenie zgodności z wymaganiami normy, ale również dostarcza niezależnej, obiektywnej informacji o skuteczności funkcjonowania systemu zarządzania ryzykiem oszustw i nadużyć (FCMS, czyli Fraud Control Management System). Norma wymaga, aby wyniki audytu były przedstawiane odpowiednim funkcjom.

      Wdrożenie audytu zewnętrznego zgodnie z wymaganiami ISO 37003 stanowi istotne wsparcie dla organizacji, umożliwiając identyfikację potencjalnych słabości systemowych, luk i słabości związanych ze stosowanymi środkami nadzoru oraz obszarów wymagających dalszej optymalizacji. Należy mieć na uwadze, że regularne audyty prowadzone przez niezależne podmioty znacząco wzmacniają wiarygodność organizacji w oczach interesariuszy zewnętrznych, podkreślając jej zaangażowanie w skuteczne zarządzanie ryzykiem oszustw i nadużyć.

 

IV. WSPÓLNA PRZESTRZEŃ: RYZYKO JAKO PUNKT WYJŚCIA

Fundamentem skuteczności systemu zarządzania ryzykiem oszustw i nadużyć zgodnego z ISO 37003 jak również systemu zarządzania działaniami antykorupcyjnymi zgodnego z ISO 37001 jest gruntowna analiza i ocena ryzyka, której wyniki są traktowane jako punkt wyjścia do dalszych działań. Ocena ryzyka przypisana jest w obu przypadkach do kluczowego punktu 4.5, obejmującego identyfikację, analizę i ewaluację zagrożeń. Takie podejście systemowe, uwzględniające uwarunkowania wewnętrzne i zewnętrzne funkcjonowania organizacji, stanowi fundament doboru adekwatnych środków nadzoru zarówno prewencyjnych jak i reaktywnych. Mimo że żadna z norm nie odnosi się wprost do wzajemnych powiązań korupcji z oszustwami i nadużyciami, w praktyce obszary te są ściśle powiązane. Zagrożenia korupcyjne i fraudowe często występują równolegle, a słabe mechanizmy nadzoru sprzyjają zarówno przypadkom korupcji, jak i innym formom nadużyć.

Granice między korupcją a oszustwem czy nadużyciem często są płynne, a ta sama sytuacja może spełniać kryteria obu zjawisk. Decydujący jest tu kontekst oraz istnienie określonej relacji między sprawcą a innym beneficjentem, a nie sam mechanizm działania. Przykładowo pracownik może świadomie współpracować z osobą trzecią, działając na szkodę pracodawcy w zamian za korzyść majątkową. Taka sytuacja wypełnia znamiona korupcji (przyjęcie niedozwolonej gratyfikacji). Analogiczny przypadek, w którym sprawcą i jedynym beneficjentem jest sam pracownik, stanowi klasyczny przykład oszustwa gospodarczego, ponieważ działanie to prowadzi do uzyskania nienależnych korzyści przez pracownika a jednocześnie straty finansowej po stronie organizacji.

Inne przykłady sytuacji, które w zależności od okoliczności i relacji mogą być klasyfikowane jako korupcja lub oszustwo czy nadużycie, obejmują ustawianie przetargów lub wyboru dostawców (w zamian za „prowizję” dla osoby decyzyjnej działanie takie będzie korupcją, a na swoją własną korzyść – oszustwem), tworzenie fikcyjnych faktur samodzielnie lub we współpracy z zaprzyjaźnionym podmiotem i dzielenie się wyłudzonymi środkami. Odpłatne przekazywanie poufnych informacji konkurencji jest działaniem o charakterze korupcyjnym, ale wykorzystanie tych samych informacji do osiągnięcia własnych, nienależnych korzyści będzie już traktowane jako oszustwo /nadużycie.

Przedstawione przykłady jednoznacznie ukazują podobieństwo i wzajemną współzależność między ryzykiem korupcji oraz ryzykiem oszustw i nadużyć. Niemal każde umyślne działanie prowadzące do wyrządzenia szkody może być interpretowane dwutorowo, w zależności od roli poszczególnych stron, okoliczności sytuacji oraz motywacji sprawcy.

Obie normy przewidują zbliżone mechanizmy prewencyjne, aby przeciwdziałać zarówno przypadkom korupcji, jak i oszustwom i nadużyciom. Wymagane jest ustanowienie jasnych standardów etycznych i utrzymanie silnego „tonu z góry”. Najwyższe kierownictwo oraz organ zarządzający są wprost zobowiązani do wsparcia i nadzoru nad systemem (pkt 5.1.1 obu norm). Integralnym elementem prewencji jest ponadto dokładna weryfikacja osób i podmiotów narażonych na podwyższone ryzyko. Zarówno ISO 37001, jak i ISO 37003 wymagają stosowania należytej staranności (due diligence) wobec pracowników na stanowiskach istotnych z punktu widzenia ryzyka nieprawidłowości oraz wobec kluczowych partnerów biznesowych (por. ISO 37001 pkt 7.2.2, 8.2 i 8.5; ISO 37003 pkt 7.2.2 oraz 8.2.7 i 8.2.8). Obie normy kładą nacisk, by środki nadzoru były proporcjonalne do poziomu zagrożeń, przejrzyste i skuteczne. Dotyczy to np. jasno zdefiniowanych zasad podziału uprawnień i delegowania decyzji (ISO 37001 pkt 5.3.3; ISO 37003 pkt 5.3.2), jak również projektowania systemów premiowych tak, aby nie zachęcały do działań nieetycznych (w obu normach pkt 7.2.2). Zbliżone pozostają także wymagania dotyczące szkoleń i budowania świadomości (pkt 7.3). Organizacja musi prowadzić regularne szkolenia uwzględniające specyfikę zidentyfikowanych zagrożeń, tak aby pracownicy oraz partnerzy biznesowi byli świadomi obowiązujących zasad i konsekwencji ich naruszenia.

Analogiczna zbieżność dotyczy mechanizmów reaktywnych. Zarówno ISO 37001, jak i ISO 37003 zobowiązują organizację do wdrożenia skutecznych procedur zgłaszania nieprawidłowości (whistleblowing) oraz reagowania na incydenty. Każda osoba związana z działalnością organizacji (pracownik, kontrahent itp.) powinna mieć możliwość bezpiecznego, poufnego zgłoszenia podejrzenia korupcji bądź oszustwa czy nadużycia, bez obawy przed represjami, zaś organizacja ma obowiązek przyjąć każde takie zgłoszenie i odpowiednio zareagować. Oba standardy wymagają także formalnego badania incydentów i wyciągania konsekwencji wobec sprawców. ISO 37001 skupia się na dochodzeniach w przypadkach korupcji (pkt 8.10), natomiast ISO 37003 opisuje pełny cykl postępowania z incydentami dotyczącymi oszustw i nadużyć począwszy od wszczęcia formalnego dochodzenia po działania dyscyplinarne, analizę i rejestrację zdarzeń. Ostatecznie jednak cel obu norm jest wspólny: zapewnić szybkie wykrywanie nieprawidłowości, rzetelne zbadanie sprawy oraz wdrożenie właściwych działań korygujących (łącznie z ciągłym doskonaleniem systemu zgodnie z rozdziałem 10). W rezultacie, mimo odmiennego zakresu tematycznego, systemy oparte na ISO 37001 i ISO 37003 działają komplementarnie. Uwzględnienie wzajemnej zależności ryzyka korupcji oraz oszustw i nadużyć sprawia, że zintegrowane wdrożenie obu tych standardów staje się logicznym krokiem dla organizacji. Pozwala objąć jednym, spójnym systemem nadzoru cały obszar zagrożeń od korupcji po inne nadużycia i oszustwa, znacząco podnosząc skuteczność zarządzania ryzykiem nieprawidłowości.

 

V. KORZYŚCI Z INTEGRACJI SYSTEMÓW ZARZĄDZANIA ISO 37001 I ISO 37003

Korzyści płynące z połączenia wymagań ISO 37001 i ISO 37003 są wielowymiarowe. Przede wszystkim zintegrowany system zarządzania ryzykiem korupcji oraz oszustw i nadużyć wzmacnia wiarygodność organizacji w oczach interesariuszy. Jednolita, kompleksowa strategia przeciwdziałania nieetycznym działaniom stanowi jasny sygnał dla klientów, partnerów biznesowych i inwestorów, że firma poważnie traktuje kwestie uczciwości i zgodności z prawem. Implementacja obu norm jednocześnie pokazuje proaktywne podejście do należytej staranności, co przekłada się na zwiększone zaufanie otoczenia oraz spełnienie rosnących oczekiwań regulatorów i innych interesariuszy co do posiadania skutecznych mechanizmów antykorupcyjnych i antyfraudowych.

Dzięki temu organizacja jest lepiej przygotowana na wymagania prawne i nadzorcze, a w razie kontroli lub dochodzeń może wykazać spójny system zapobiegania nieprawidłowościom. Integracja systemów ISO 37001ISO 37003 przynosi także istotne korzyści operacyjne. Wdrożenie obu standardów w jednym, skonsolidowanym modelu eliminuje dublowanie procesów oraz rozproszenie odpowiedzialności. Obie normy opierają się na podejściu opartym na ryzyku wymagając systematycznej identyfikacji, analizy i oceny zagrożeń (np. pkt 4.5 obu norm definiuje obowiązek oceny ryzyka nieprawidłowości). Zamiast prowadzić osobne analizy dla korupcji oraz dla oszustw i nadużyć, organizacja może ustanowić jeden zintegrowany proces zarządzania ryzykiem, który uwzględnia pełne spektrum zagrożeń począwszy od korupcji po oszustwa i nadużycia. Takie ujednolicenie pozwala lepiej alokować zasoby i skoncentrować środki nadzoru tam, gdzie łączne ryzyko jest najwyższe. W efekcie poprawia się efektywność operacyjna, procedury są spójne, a działania prewencyjne i detekcyjne wzajemnie się wspierają a nie kanibalizują.

Jednolity system ułatwia też utrzymanie kultury etycznej w organizacji: szkolenia, komunikacja i polityki mogą być projektowane holistycznie, kładąc nacisk na wszystkie przejawy nieprawidłowości jednocześnie, zamiast wprowadzać oddzielne programy dla każdego rodzaju zagrożeń. Istotnym atutem integracji jest spójność zarządcza i nadzorcza. Zarówno ISO 37001, jak i ISO 37003 przywiązują dużą wagę do zaangażowania najwyższego kierownictwa oraz roli organu zarządzającego (governing body) w utrzymaniu systemu (obie normy zawierają takie wymagania w pkt 5.1.1). Prowadzenie jednego zintegrowanego systemu oznacza, że organ zarządczy, zarząd oraz kadra kierownicza mogą sprawować nadzór nad obszarem zgodności, kontroli wewnętrznej i audytu w sposób jednolity. Funkcje odpowiedzialne za compliance, zarządzanie ryzykiem, audyt wewnętrzny czy bezpieczeństwo informacji nie działają w sposób od siebie odseparowany, ale ściśle współpracują w ramach wspólnych rozwiązań i mechanizmów. Taki zintegrowany nadzór sprzyja wychwytywaniu powiązań między różnymi rodzajami nieprawidłowości np. korupcja często wiąże się z fałszowaniem dokumentacji finansowej, a oszustwa mogą iść w parze z przekupstwem. Jednolity system ułatwia więc identyfikację takich sytuacji i pozwala na skoordynowaną reakcję. Co więcej, dzięki współdziałaniu kluczowych funkcji nadzorczych zwiększa się skuteczność kontroli wewnętrznej i ogólny poziom odporności organizacji na korupcję, oszustwa i nadużycia.

Zarząd otrzymuje spójny obraz stanu systemu antykorupcyjnego i antyfraudowego, co ułatwia podejmowanie strategicznych decyzji i utrzymanie wysokich standardów etycznych. Z praktycznego punktu widzenia integracja ułatwia też zarządzanie samym systemem zarządzania. Normy ISO opierają się na wspólnej strukturze wysokiego poziomu (HLS), co oznacza, że zawierają zbliżone wymagania między innymi w zakresie planowania, procesów wsparcia, monitorowania, audytowania i doskonalenia. W obu standardach przewidziano m.in. konieczność prowadzenia audytów wewnętrznych i okresowych przeglądów zarządzania (rozdział 9 w obu normach). Zintegrowany system umożliwia łączenie tych działań. Zamiast organizować oddzielne audyty dla systemu antykorupcyjnego i systemu zarządzania ryzykiem oszustw i nadużyć, audytorzy mogą przeprowadzać wspólne audyty obejmujące cały zakres ryzyk nieprawidłowości. Podobnie przeglądy zarządzania mogą jednocześnie oceniać skuteczność, adekwatność i przydatność wszystkich mechanizmów nadzoru i rozwiązań systemowych w obszarze przeciwdziałania zarówno korupcji, jak i oszustwom i nadużyciom. Taka synergia oszczędza czas i zasoby, a jednocześnie zapewnia, że najwyższe kierownictwo otrzymuje pełny obraz skuteczności działań etycznych w organizacji w skonsolidowany sposób. Raportowanie wyników systemu staje się bardziej przejrzyste. Możliwe jest przygotowanie jednej, kompleksowej informacji o ryzykach i skuteczności środków nadzoru dla potrzeb zarządu, rady nadzorczej czy interesariuszy zewnętrznych, zamiast wielu odrębnych sprawozdań. Na koniec warto zauważyć, że integracja ISO 37001 i ISO 37003 tworzy fundament pod jeszcze szersze podejście do zarządzania zgodnością i ryzykiem. Oba systemy można z powodzeniem łączyć z innymi standardami opartymi na HLS na przykład z ISO /IEC 27001 (system zarządzania bezpieczeństwem informacji) czy ISO 37301 (system zarządzania zgodnością) z którymi to systemami dzielą dodatkowo wiele innych wymagań niż tylko „systemowe”. Dzięki temu organizacja może budować kompleksowy, zintegrowany system zarządzania obejmujący różnorodne aspekty ładu korporacyjnego, etyki i bezpieczeństwa. Integracja ISO 37001 z ISO 37003 jest zatem nie tylko efektywna tu i teraz, ale również perspektywiczna. Pozwala sprostać obecnym zagrożeniom korupcyjnym, oszustwom i nadużyciom, a jednocześnie przygotowuje grunt pod dalsze doskonalenie systemu w odpowiedzi na przyszłe wyzwania. W rezultacie organizacja zyskuje spójny system odporny na nieprawidłowości, zwiększający jej odpowiedzialność społeczną, reputację i bezpieczeństwo operacyjne.

 

VI. PODSUMOWANIE I WNIOSKI

Norma ISO 37003 nie zastępuje ISO 37001 ani nie stanowi jej formalnego rozszerzenia. Jest to odrębny standard poświęcony ryzyku nadużyć i oszustw. Obie normy łączy jednak wspólne podejście do zarządzania ryzykiem nieetycznych zachowań oraz wspierania przejrzystości, odpowiedzialności i uczciwości. W wielu obszarach ISO 37003 rozwija podejście znane z ISO 37001, przenosząc je z zagrożeń korupcyjnych na szersze spektrum nadużyć i oszustw. Razem oba standardy tworzą spójne, strategiczne ramy do walki z ryzykiem naruszeń integralności: ISO 37001 koncentruje się na zapobieganiu korupcji, zaś ISO 37003 dostarcza narzędzi do proaktywnego przeciwdziałania różnego rodzaju oszustwom i nadużyciom.

Struktury ISO 37001 i ISO 37003 są zgodne z ujednoliconą High-Level Structure (HLS) dla norm zarządzania, co umożliwia ich integrację w ramach jednego systemu. Zintegrowane podejście pozwala wykorzystać synergię i uniknąć dublowania działań. Wspólne procesy i mechanizmy kontrolne mogą jednocześnie spełniać wymagania obu standardów, co zwiększa efektywność operacyjną i spójność funkcjonowania całego systemu. Tak kompleksowe ujęcie przeciwdziałania korupcji oraz oszustwom i nadużyciom stanowi również wyraz dojrzałości ładu organizacyjnego. Organizacja integrująca te wymagania pokazuje, że traktuje ryzyko korupcji oraz oszustw i nadużyć holistycznie, budując kulturę etyczną i silne fundamenty ładu wewnętrznego w zakresie zgodności.

Warto rozważyć osadzenie zintegrowanego systemu w szerszej ramie zarządzania zgodnością według normy ISO 37301. Standard ISO 37301:2021 (Compliance Management Systems) obejmuje wszystkie obszary zgodności, w tym wymagania związane z przeciwdziałaniem korupcji i fraudom. Może on zatem pełnić rolę nadrzędnego „parasola”, integrującego elementy systemu antykorupcyjnego (ISO 37001) i antyfraudowego (ISO 37003) w jedno spójne rozwiązanie. Taka integracja stwarza możliwość ustanowienia wspólnych mechanizmów nadzoru, skoordynowanych audytów oraz łącznych przeglądów zarządzania dla obu obszarów, w ramach jednego, kompleksowego systemu odpornego na oszustwa, nadużycia i korupcję. Zintegrowany system zarządzania zgodnością, obejmujący zarówno wymogi ISO 37001, jak i ISO 37003, nie tylko spełnia założenia obu norm, ale wzmacnia spójność działań organizacji i ułatwia utrzymanie wysokich standardów etyki począwszy od profilaktyki, poprzez wczesne wykrywanie nieprawidłowości, aż po skuteczne reakcje na incydenty. Taki jednolity system przekłada się na zwiększenie zaufania interesariuszy oraz trwałe umocnienie odporności organizacyjnej na zagrożenia związane z oszustwami, nadużyciami i korupcją.

 


Rafał Malon

CEO Malon Group, Senior Consultant

 

Materiały źródłowe:

  • ISO 37001:2025 Anti-bribery management systems — Requirements with guidance for use”.

  • ISO 37003:2025 “Fraud control management systems. Guidance for organizations managing the risk of fraud”

  • ISO 37301:2021 “Compliance management systems. Requirements with guidance for use” (PN-ISO 37301:2022-07 “Systemy zarządzania zgodnością. Wymagania i wytyczne stosowania”



Back to Top